1. 개인정보 정의
우리나라 ‘개인정보보호법(2017.10.19. 시행)’ 제2조 1호에서는 ‘개인정보’를 ‘살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함 한다)를 말한다’라고 규정하고 있다. 즉 개인정보보호법에서 보호하고자 하는 개인정보는 ‘특정 개인에 관한 일체의 정보’를 의미한다. 특정 개인 에 관한 정보라면 그 형태나 내용에 관계없이 모두 개인정보에 해당된 다. 그래서 우리나라에서는 보호의 대상인 개인정보의 범위는 매우 광범위하다.
미국은 공공부문에 관한 개인정보보호법인 ‘프라이버시법(Privacy Act 1974)’에서는 개인정보를 ‘개인 기록(Record)’은 ‘행정기관에서 보유하는 개인에 관한 정보의 개개 항목 또는 그 집합을 말한다고 정의하고 있다. 그 기록에는 그 개인의 교육, 금전적 거래, 병력, 전과 또는 취업경력에 관한 정보가 담기는데 한정되지 않는다. 그리고 그 기록에는 본인의 이름, 또는 식별번호나 식별부호 또는 그밖에 본인의 고유한 식별자, 예컨대 지문 성문 사진과 같은 것이 포함되어 있어야 한다.’ 라고 정의하고 있다. 따라서 이 법률은 이름 등의 고유 식별자를 통해 개인 식별이 되 는 정보만을 보호대상으로 하고 있다.
영국의 ‘개인정보보호법(Data Protection Act 1998)’에서는 ‘개인정보 (personal data)’를 ‘살아있는 개인에 관한 정보로서, 그 정보로 부터 또 는 그 정보와 그 외 ‘정보처리자’가 보유하고 있거나 또는 보유하게 될 것 같은 ‘다른 정보’를 결합해서 그로부터 개인이 식별될 수 있는 것을 말한다’ 라고 규정하고 있다. 영국의 법률은 고유 식별자를 특별히 언급 하고는 있지 않지만, 그 정보 자체로부터 개인이 식별되는 경우와, 그 정 보 자체로부터 식별되지는 않지만 다른 정보와 결합해서 식별이 가능한 경우를 규정하고 있다. 그리고 식별가능성을 판단하는 데 필요한 ‘다른 정보’란 ‘정보처리자’가 보유하고 있거나 보유할 가능성이 있는 정보를 의미하는 것임을 분명히 하고 있다.
유럽연합(EU)은 ‘개인정보(Personal Data)’를 ‘개인이 식별되는 또는 식별이 가능한 자연인에 관한 일체의 정보를 말하며, 식별이 가능한 사람이라 함은 직접 또는 간접적으로 식별이 될 수 있는 사람을 가리키는 데, 특히 개인 식별번호 혹은 그의 신체적, 정신적, 생리적, 경제적, 문화 적 또는 사회적 동일성을 고유하게 나타내는 한 개 또는 그 이상의 요소를 참조하여 식별될 수 있다’라고 규정하고 있다.
EU는 식별가능성의 판단 방법으로 개인의 동일성을 나타내는 고유식 별자를 참조할 것을 특별히 지시하고 있다. 2018년 5월부터 적용되는 EU의 ‘일반개인정보호법(GDPR)’ 에서는 비식별 정보를 ‘가명화(처리)정 보‘와 ‘익명화(처리)정보’로 구분하고 있다. 가명화정보는 그 자체로서는 식별할 순 없지만 다른 정보와 결합할 경우 식별가능성이 존재하는 것으로 개인정보로 인정하고 있으며, 익명화정보는 다른 정보와 결합하더라 도 개인 식별가능성이 매우 낮은 정보를 의미하고 개인정보가 아니라 판 단하고 있다는 점이다.
일본은 2015년 9월 ‘개인정보보호법’을 개정 하면서 ‘익명가공정보’라는 용어를 정의하였다. 익명가공정보라는 개념을 만들어 익명 데이터를 보 호, 이용하기 위한 제도를 본격적으로 도입하였다. 일본의 개인정보보호 법에서는 ‘개인정보’를 ‘생존하는 개인에 관한 정보로서, 당해 정보에 포함되어 있는 성명, 생년월일 그리고 정보기술 등에 의하여 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합할 수 있고, 그에 따른 특정의 개인을 식별할 수 있게 되는 것을 포함한다)을 말한다’라고 규정 하고 있다. 어떤 나라든지 개인정보보호법에서 보호대상인 ‘개인정보’를 정 의할 때에는 ‘개인이 식별되는(Identified) 또는 식별 가능한(Identifiable) 정보’라는 개념을 필수적으로 담고 있다.
2. 빅데이터와 개인정보보호 이슈
빅데이터 활용을 위해서는 다양하고 많은 정보를 수집하게 되며, 이는 개인에 관한 대량의 정보가 수집되어 집적되고 처리된다는 점이다. 이와 같이 빅데이터는 기존처럼 데이터베이스 관리도구에 의해 데이터가 수 집·저장·관리·분석의 역량을 넘어서는 대량의 정형 또는 비정형 정보인 데이터의 집합이기 때문에, 빅데이터의 특성상 분석과정에서 개인정보의 노출우려도 커지고 있다.
특히 경제적으로 유용한 개인(고객)의 금융정보와 신용정보를 수집할 가능성이 높다. 그래서 빅데이터는 개인에 관한 정보가 수집되고 가공되어서 활용되면 고부가가치로서 인정되지만, 반면에 빅데이터 이용이 늘어나면서 개인 사생활 보호라는 기본권 등이 심각하게 위협받고 있다. 수집된 개인정보에 대한 보호가 제대로 이루어지지 못할 경우에는 프라이버시 침해, 개인정보의 불법적인 악용 등이 우려가 된다. 개인정보 유출로 인해 보이스 피싱 등 개인정보 도용 사례와 같은 역기능이 사회적 으로 문제시 되고 있다. 그리고 개인정보의 유출로 인한 손실은 다시 돌이킬 수 없는 비가역성(Irreversibility)을 가지고 있고 피해규모를 산정하기가 어려운 경우가 대부분이다.
이와 같이 개인정보의 활용은 증가하고 있지만 기술발달에 따른 침해 가능성능성 역시 증가하고 있고, 개인(고객)정보 유출사고도 지속적으로 발생 하고 있는 상황이다. 일례로 2006년 미국내 검색사이트인 AOL(America Online)사 에서는 65만명의 고객정보 User-ID를 비식별 처리해서 공개했는데 뉴욕 타임스 기자가 일부 사용자 ID를 재식별 성공 하였고, 2006년 텍사스 대 학 연구팀이 온라인영화대여사인 넷플릭스(Netflix)사의 비식별 처리된 영화평점 데이터 50만이용자의 일부 고객정보를 재식별 성공하는 사례가 발생 하였다.
빅데이터의 활용과 개인정보 보호라는 두 가지 목적의 충돌 문제를 해결 하려고 정부, 학계에서도 다각적 논의와 여러 법률을 제·개정하고 관련 가이드라인을 통해서 지속적으로 강화해 왔다. 하지만 적정하고 안전 하게 개인정보를 보호하고 빅데이터 산업 발전을 위한 균형있는 개선방 안을 마련하지 못하고 있는 실정이다.
특히 전자금융거래 영역에서 개인정보 침해의 유형에는 ①금융회사 등 이 개인정보 침해의 주체가 되어 정보 주체의 사전 동의 없이 수집, 이 용, 제3자 제공·이전 등 침해행위를 하는 경우가 있을 수 있고, ②금융회 사 등이 내부 직원 또는 제3자의 해킹 등으로 고객정보가 유출되거나 금융시스템이 마비되는 경우를 상정해 볼 수 있으며, ③나아가 제3자가 금융회사나 금융보조업자 등이 아닌 이용자 개인의 PC나 모바일 기기를 통해서 무단으로 개인정보를 유출되는 경우를 고려해 볼 수 있다.
그리고 일반적인 영역의 개인정보 유출과 달리 전자금융거래 영역에서 는 이용자의 개인정보 뿐만 아니라 신용정보 또한 유출됨으로써 그에 따른 무단자금이체 등 거액의 금전피해가 발생될 수 있어 그 심각성이 매 우 높다고 할 수 있다. 전자금융 거래영역의 해킹사고는 금융회사나 전자금융 보조업자의 영역(전자금융거래를 위한 서버위치 영역 등) 뿐만 아니라 네트워크와 이용자 영역(PC, 모바일 기기 등) 등 금융거래가 일 어나는 거의 모든 영역에서 개인정보 유출로 인한 피해가 발생하기 때문에 금전적 피해, 이용자의 명의도용 등 심각한 2차적인 피해 및 보안 위협으로 이어질 수 있다.
특히 최근 금융권 개인정보 유출사고 사례 특징을 살펴보면 금융권 개인정보 유출사고는 불법적인 악성코드 설치 및 해킹, 전산시스템 접근 우회, 내·외부자의 실수 및 고의 등이 주요 요인이 되고 있다. 개인정보 유출 요인은 크게 회사 내부자와 협력업체 등 외부자에 의한 보안위협으로 분류할 수 있다. 내부자에 의한 위협은 고객정보가 저장된 USB 저장 매체, 노트북, 프린터 출력물 분실 등과 같은 내부자의 실수로 인한 위협 과 웹메일에 의한 내부정보유출 등 내부자 고의에 인한 위협이 있을 수 있다. 외부자에 의한 위협은 주로 협력업체 직원 등 외부자가 회사내부 단말기에 원격 또는 직접적으로 전산망이나 DB 시스템에 접근하여 고의 적으로 유출하는 것과 같은 관리소홀로 인한 정보유출 위협의 형태를 가진다.
