공공정보를 이차 활용하여 여러 서비스를 개발하거나 시행하기 위해서는, 공공 기관이 원래의 목적대로 수집한 원시자료를 통합하여 분석할 수 있는 정보통신
기술이 필요하다. 이 때의 기술은 공공데이터베이스에 있는 요청된 정보를 승인하고 전송해 주는 기술로서 최대한 프라이버시침해가 되지 않도록 정보를 제공하고, 전송된 정보를 모아서 프라이버시침해가 되지 않도록 분석하는 기술이다.
그리고 전송하는 정보는 익명 처리되어 누구에 관한 정보인지 식별이 안 되도록 해야 한다. 법에서 일컫는 개인정보에는 속하지 않는 정보를 제공할 수 있기 때 문이다.85)
그런데, 이차 활용의 특징은 어느 기관으로부터 원시정보를 제공받는지 상관 없이 통계를 위하여 특정한 요구에 의해 가공되거나 구조화된 정보를 사용하게 된다는 것이다. 이차 활용을 하는 사람들에게 활용가치가 높은 정보는 유용성이 높은 정보이기 때문이다.86) 이러한 유용성이 높은 정보는 그만큼 프라이버시의 침해위험도 높다.
그림 5에서 X 축은 정보의 유용성을 나타내며 Y축은 프라이버시가 침해당할 수 있는 위험도를 나타낸다. A, B 및 C는 데이터의 임의의 점을 나타내고, C는 거의 프라이버시가 보호되지 않는 원시데이터다.87) 공공정보를 요청한 제3자는 가능하 면 개인정보보호법의 테두리 안에서 익명화가 되어 있으면서도 가능하면 높은 유용성을 가지는 범위(Z)의 정보를 선택하려고 할 것이다. 즉 점선으로 표시된 제한선 내에서 적절하게 익명화된 정보를 얻고자 할 것이다. 그러나 중요한 것 은 완전히 익명화된 정보는 유용성이 낮아지고, 익명화는 이차 활용 시 재식별 이 될 수 있다는 점이다.
85) 황인호, 2002, “개인정보보호제도에서의 규제에 관한 연구”, 공법연구, 제30집 제4호: 237면.
86) George T. Duncan, et al. 2001, “Disclosure Risk vs. Data Utility”, National Institute of Statistical Sciences, Carnegie Mellon University: pp. 1-31; High data utility is analytically valid data, so faithful in critical ways to the original data; low disclosure risk is safe data, so confidentiality is protected.
87) 박원환, 황조연, 2004, “통계자료의 비밀보호를 위한 익명화 방법들”, 통계연구, 제9권 제2 호: 153-154면.
이렇게 공공정보의 이차 활용에는 아이러니가 있다. 즉 정보를 이용하고자 하는 사람은 유용성이 높은 정보를 얻고자 할 것이고, 제공하는 공공기관은 프라이 버시를 보호하기 위하여 익명성이 높은 정보를 주려고 할 것이다.
그림 5. 정보의 유용성과 프라이버시 침해위험과의 관계
이러한 정보의 유용성과 프라이버시 침해위험과의 긴장관계를 감안하면, 익명화88)의 기술과 익명화 처리를 하는 개인정보처리자의 역할은 똑같이 중요하다.89)
88) 개인정보보호법 제2조 제19항; 개인식별 정보를 영구적으로 삭제하거나, 개인식별 정보의 전부 또는 일부를 해당기관의 고유 식별 번호로 대체하는 것을 말한다.
89) Anne Cambon-Thomsen, 2004, “The Social and Cultural Issues of Post-Genomic Human Biobanks”, Nature Reviews Genetics 5: p. 869; ①Traceable or coded. A code is attached to them and the correspondence between code and identity is physically separated from sample and data. A limited number of people can connect the code to the identity. ② Encrypted. There is a further level of protection through encryption (that is, the code is transformed into several characters that are linked to the code with the intervention of a third party). This third party intervention will then be required to trace individual
예를 들면, 동일한 속성의 데이터 값은 식별자와 준 식별자를 익명화하 여도 비슷한 값의 조합으로 개인이 식별될 수가 있다. 말하자면 이차 활용을 통하여 익명화된 정보가 재식별되는 경우가 발생할 수 있는데, 그림 6에서 보는 바와 같이 링크를 통하여 재식별이 되는 환자명과 질병 명을 확인할 수 있다.
그림 6. 익명화와 linkage를 통한 재식별의 예
따라서 개인정보 처리자가 어떤 기술방법을 적용하느냐가 중요하며, 이러한 측면에서 정보주체, 공공기관 정보처리 담당자, 공공정보 이차 활용자들의 입장을 함께 논의할 수 있는 구체적인 정보처리 과정과 운영체계를 새롭게 마련할 필요가 있다. 최근에는 항목별 속성 값을 일반화시켜 재식별을 방지하는 등의 익명화 방법을 논의하고 실제 적용한다.90) 이는 공공정보의 이차 활용에 대하여
identity. ③Anonymized. The link has been irreversibly cut between sample/data and the individual identity.
90) anonymization의 방법으로 데이터의 속성을 식별자, 민감정보, 준식별자로 분류하여 ‘k'명 의 준 식별자 정보를 일반화 하는 k-anonymization, 비구조화 정보를 익명화하는 패턴인식 이나 기계학습, 가명화 등이 있다.
별도의 규범적인 한계설정을 통하여 정보주체의 권리를 보호한다는 의미이다.
동시에 개인정보보호법에서 개인정보보호 정도를 민감정도91)에 따라 차별화하여 보호하는 것처럼, 이차 활용에서도 어떤 정보를 어떤 방법으로 활용할 수 있는지에 대해서 차별화하여 언급해 줄 필요가 있다는 것이다.
앞장에서 언급한 바와 같이, 개인정보자기결정권은 자신에 관한 정보의 흐름을 자율적으로 형성할 수 있도록 한다는 점에서 헌법상의 권리라고 할 수 있다.
전자정부92)에서는 이러한 개인의 권리와 공공정보를 이차 활용하기 위해서 강조 되는 효율성이나 목적합리성이 긴장 관계를 갖게 된다. 다시 말하면, 개인정보의
‘수탁자(fiduciary)’로서의 정부는 고도로 발전된 정보통신기술을 활용하여 맡겨진 정보의 개방과 이차 활용을 촉진시키려 하는 반면, 개인정보를 맡긴 정보주체에게 수탁한 그 정보를 제어하는 권한을 준 것이다. 이른바 개인정보보호의 역설이 발생하는 것이다.93) 이러한 긴장은 입법 목적에서부터 발생한다.
개인정보자기결정권은 양도하거나 양보할 수 없는 기본적 가치임에는 틀림없으나
91) 개인정보보호법 제23조; 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있 는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.; 개인정보보호 법 시행령 제18조; 법 제23조 각 호 외의 부분 본문에서 "대통령령으로 정하는 정보"란 다 음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부 터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. 1. 유전자검사 등의 결과로 얻어진 유전정보 2.「형의 실효 등에 관 한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보.
92) 전자정부법 제2조; 전자정부란 정보기술을 활용하여 행정기관 및 공공기관(이하 "행정기관 등"이라 한다)의 업무를 전자화하여 행정기관 등의 상호 간의 행정업무 및 국민에 대한 행 정업무를 효율적으로 수행하는 정부를 말한다.
93) Patricia A. Norberg, Daniel R. Horne and David A. Horne, 2007, “The privacy paradox:
Personal information disclosure intentions versus behaviors”, Journal of Consumer Affairs Volume 41, Issue 1: pp. 100-126.
절대적인 가치가 아닌 상대적인 가치다. 왜냐하면 사생활 영역을 벗어난 부분이나 공적 영역에서 자연스럽게 혹은 자발적으로 노출되는 개인정보도 있기 때문이다.
그리고 자신에 관한 정보라 할지라도 정보주체가 무제한적으로 지배할 수 있는 것이 아니고 법률에서 정한 일정한 한계도 존재하기 때문이다. 요컨대, 개인정보보호의 역설을 극복하기 위해서는 사적 권리로서 개인정보자기결정권과 공적 필요성으로서 공공정보의 이차 활용간 적절한 ‘균형(equilibrium)’을 발견하는 작업이 필요하다.
최근에는 공공기관이 수집 보관 관리하는 개인정보와 대규모 데이터베이스에 집적된 생체정보, 의료기관에서 생성된 의료정보를 모두 이차 활용하는 추세다.
이러한 생체 의료정보는 법률에서는 ‘민감정보’로 구별하여 쓴다. 그리고 일반적인 개인정보의 보호와는 다른 수준의 보호에 대한 규정이 있다.
다음 장에서는 민감정보로서 생체 의료정보의 이차 활용에 대한 요구와 그 활용을 제한하는 법익간의 균형점을 모색해 본다.
제4장 생체․의료정보 이차 활용과 보호
생체 의료정보는 인간유전체 연구94)나 의생명과학연구95)등 효율적인 학술연구 목적으로 이차 활용된다.96) 의생명과학연구는 일반적인 개인정보와 유전정보, 인체 유래물 정보, 건강정보를 모두 이용한다. 학술연구자 대부분은 생체 의료정보가 수집 보관되어 있는 공공기관에 정보제공을 요청한다. 그러나 요청하는 모든 연구자가 원하는 정보를 얻어 이차 활용을 하지는 못하고 있다. 왜냐하면 대개는 개인정보보호법에서 규정하는 개인 식별자를 제거한 정보를 제공받으므로 이차 활용성이 떨어지기 때문이다. 또한 이차 활용을 하여 개인이 식별되는 것을 염려하여 아예 시도조차 하지 못하기도 한다.
생체 의료정보를 이차 활용하는 인간 대상 연구의 근거가 되는 ‘생명윤리 및 안전에 관한 법률’에서도 정보주체의 사전 서면동의를 얻어야만 연구를 할 수 있도록 하고 있다. 하지만 연구자들이 직접 서면 동의를 구할 정보주체가 너무 많거나, 정보주체의 사망이나 이사 등으로 동의를 받을 수 없는 경우가 있다.
이런 경우, 연구를 심의하는 기관윤리위원회에서 서면동의 면제에 대한 사항을 심의하는 것으로 법적 장치를 마련하고 있다.
94) 1990년, 미국 국립보건원(NIH)은 아래 전 세계 수십 개 연구기관이 공동으로 참여한 ‘인간
94) 1990년, 미국 국립보건원(NIH)은 아래 전 세계 수십 개 연구기관이 공동으로 참여한 ‘인간