개인정보보호법상 가명처리에 관한 연구

Abstract

On Feb 4th, 2020, there were several revisions in the Personal Information Protection Act ('PIPA') of the Republic of Korea. The revision is said to be aiming to boost and enlarge the legitimate process and use of personal information without the consent of the subjects of that information('the subject'), which will lead to research and developments of new technologies related to big data such as artificial intelligence, and machine learning. On the other hand, since the Constitutional Court of the Republic of Korea affirmed that the subject of personal information retains the constitutional right to decide whether to disclose, use or access one's personal information, the PIPA also can be one of the legal measures to secure such constitutional right. Thus the primary purpose of this research is to inquire into the practical balance between the sound protection of personal information and the legitimate and effective use of personal information. The new PIPA introduced the notion of pseudonymization which is set up for pseudonymized information so that the processor of the personal information("the processor") came to be allowed to use and process the personal information without the consent of the subject. Encryption via mathematical cryptography is one of the most efficient, secure pseudonymization methods. Since it can be performed easily through software in computing systems, mathematical cryptography has specific strength in the big data processing. In addition, it is a secure way of encryption in that it is based on mathematical conundrums. The processors can also choose from a variety of algorithms, such as AES, homomorphic encryption, and hash functions, depending on shapes, processing environments, and purposes of the data. There are several flaws in legal implements under the new PIPA, however: (1) We don't see some important concepts, and explanations such as the criteria of appropriate pseudonymization, or additional information in pseudonymization from the law itself and its subordinate statutes; (2) As a result, such important concepts and standards are only being explained by guidelines of several related government agencies which are not formal statutes, so that the processors cannot figure out easily whether their process of personal information is legitimate or not; (3) Such guidelines mislead the processors and the subjects with irrelevant explanations not based on the statutes or contradict to them; (4) Furthermore, we still have several legal issues even with the new PIPA, such as the relationship between the Medical Act and the PIPA, and whether the 'sensitive information' in the PIPA also can be pseudonymized under the law. There are foreign legislative examples for the revised PIPA, one is the European Union's General Data Protection Regulation ('GDPR') and the other one is the US federal's Health Insurance Portability and Accountability Act of 1996 ('HIPAA'). The GDPR clearly regulates the criteria for determining identifiability: (1) It enlarges the viewpoint of judging identifiability to a third party with a reasonable possibility in addition to the processor; (2) To determine whether the information is identifiable or not, it directs to regard the state of the art, cost and time used for the identification with the character, scope, content of the processing. The HIPAA also gives some perspectives on the concept of 'identifier'. It clarifies the definition of an identifier and demands the processor erase the whole identifier. It allows the processor to use de-identification as an alternative if the experts with statistical and scientific techniques give the opinion that the probability of re-identification is very low. There were discussions on de-identification measures, even in the old PIPA era, since there were attempts by the processors and some rulings that tried to exclude some personal information from the scope of the law, which had undergone de-identification such as pseudonymization. However, such trials sometimes led to improper conclusions. For example, one court used the fact that two processors exchanged a matching table that paired plaintext and cipher, to deny their intention of malpractice. Other courts misunderstood a mere substitution as a legitimate de-identification. Those rulings were derived from the insufficient stipulation of the statutes concerning important concepts including de-identification, and pseudonymization. One reason for the drawbacks we can find in the judgments above lies in an attempt to allow the use of personal information through non-identification measures by an insufficient guideline since the old PIPA didn't regulate the concept and requirements of de-identification. In sum, the main problem was that the standards for the judgment of the court had not been prepared by legislation. Inconsistent and sometimes inappropriate decisions and judgments by government agencies and courts will not provide legal stability to the processors and are likely to cause anxiety about the use of personal information by data subjects. This study concluded that the new PIPA, subordination statutes, and related guidelines still need improvements to pseudonymization and encryption measures: (1) criteria for determining proper pseudonymization or encryption measures; (2) the concept and requirements of additional information used for pseudonymization; (3) whether or not to pseudonymize sensitive information; (4) the relationship with other legislation such as the medical law, etc.; and (5) examples of pseudonymization or encryption techniques. Especially, for guidelines, it is necessary to establish a legal basis by a delegation from the higher statutes, correct conflicts with them, and specify technical matters that guidelines can explain, such as the advantages and disadvantages of encryption algorithms and proper management of additional information. Processing of personal information using big data presupposes frequent calculations on large amounts of digital data, thus encryption measures based on mathematical cryptography that can be implemented in software are very useful. However, since statutes and guidelines do not clearly address the technical aspects of encryption measures, it is necessary to categorize the advantages and disadvantages of each encryption algorithm regarding the form or field of applicable information. Accordingly, government agencies and courts should scrutinize the characteristics of encryption algorithms and concentrate on judging the legality of encryption algorithms used as de-identification measures. It is important to secure the safety and legitimacy of the processing of personal information for mitigating the concerns of the subjects of the information so that members of society can support the professor's research and development of new technology on big data. Expecting follow-up research and legislation will continue on the problems pointed out in this research, and the proposed contents, through these attempts, government agencies will achieve harmony between technology development and personal information protection with an appropriate interpretation and application of the PIPA.

기계 학습, 인공지능 개발 등 새로운 기술의 연구, 개발, 적용이 주목받는 소위 4차 산업혁명의 흐름에 따라 개인정보의 적법하고, 효율적인 이용을 촉진하고자 2020. 2. 4. 데이터 3법이 개정되었다. 그 중 개인정보보호법은 개정을 통하여 가명정보, 가명처리의 개념을 도입하고 일정한 요건에 따라 정보주체의 동의 없는 이용을 허용하게 되었다. 헌법재판소가 정보주체의 헌법상 권리로 개인정보자기결정권을 확인하였고, 이를 보장하기 위한 입법적 조치가 개인정보보호법이라고 볼 수 있으나, 한편 정보이용 주체가 개인정보를 처리, 활용함으로써 행사하게 되는 재산권의 행사, 학문의 자유 등도 개인정보보호법에 의하여 실현될 것이어서 양자의 조화로운 보장 방안을 모색하는 것이 본 연구의 목적이다. 결국 개인정보의 적정한 이용을 통하여 정보주체의 개인정보 침해에 대한 우려를 불식시키는 것이 개정 개인정보보호법의 해석, 적용, 집행의 주요한 과제로 볼 수밖에 없는 셈이다. 개정 개인정보보호법의 해석 상 정보주체의 동의 없이 개인정보를 적법하게 처리하고자 한다면 안전성의 확보에 대한 필요한 조치(법 제15조 제3항 등)를 하거나, 해당 정보가 가명처리(법 제2조 제1호의2)를 통하여 가명정보(법 제28조의2 이하)가 되어야 하는데, 어느 경우든 비식별조치로서의 가명처리, 암호화조치가 불가피하다. 가명처리의 기법 중 하나인 수리암호에 따른 암호화조치는 수학적 난제에 기한 안전성 내지 기밀성, 컴퓨터 연산 기능 향상에 따른 효율성, 디지털데이터의 형식으로 처리된 빅데이터에 대한 가공 용이성 측면에서 우수성이 있다고 판단되고, AES, 해시함수, 동형암호와 같이 데이터 형태, 처리환경 및 목적에 따라 다양한 선택이 가능하다. 그러나 가명처리, 가명정보의 개념을 야심차게 도입한 신법에서는 적정한 가명처리의 기준, 추가 정보의 개념 등 필수적인 사항을 제대로 규율하지 않거나 하위 법령에 대한 위임을 포기하였고, 법률로부터 일부 사항에 관하여 위임 받은 시행령조차 이를 그대로 고시에 재위임한 결과, 고시 차원에서 불충분하거나 부적절한 규율이 이뤄졌다. 이에 따라 각 행정관청은 소관 개인정보에 대한 가명처리에 관한 가이드라인을 제작, 공표하였는데, 가이드라인의 법적 성격, 규율 형태에 비추어 규범력이 희박함에도 위 가이드라인들은 수범자들에게 권장, 설명이라는 외관을 취하면서 사실상 의무를 부과하고 있어 논란이 있다. 또한 가이드라인에서는 가명처리된 식별자라고 하여도 삭제하여야 한다거나, 가명정보의 이용은 가명처리 목적, 환경에 기속된다거나, 안전한 가명처리가 개발될 때까지는 가명처리를 금지한다는 등으로 법률의 내용, 입법취지에 반하는 설명을 하고 있고, 민감정보의 가명처리, 의료법 등 단행 법률과의 관계 등 입법으로 해결할 사항에 대하여 임의로 규율을 시도하고 있는 문제점도 발견된다. 한편, 신법이 개정되는 과정에서 선례가 되었던 유럽연합의 GDPR, 미 연방 법률인 HIPAA에서는 식별가능성의 판단에 대하여 법령의 단계에서 상세한 규율을 하여 국내 법제 개선에 중요한 시사점을 제공하고 있다. GDPR은 ▴ 식별가능성을 판단하는 주체를 개인정보처리자 외의 제3자로 넓히고, ▴ 현재 사용하는 최신의 기술, 식별에 사용되는 비용, 시간을 감안하여 식별가능성을 판단하도록 하고 있으며, ▴ 이에 더하여 개인정보 처리의 성격, 범위, 내용을 종합하여야 한다고 규율하고 있고, HIPAA는 식별자의 개념을 명시적으로 제시하면서 ▴ 아예 식별자를 삭제하거나, ▴ 통계학적, 과학적 기법을 사용하는 전문가가 합리적으로 사용가능한 정보를 결합하여도 식별가능성이 매우 낮다는 의견을 개진하는 방법으로 판단할 수 있다고 규정한다. 물론 구법 당시에도 정보주체의 동의 없이 개인정보를 이용하고자 비식별조치를 한 사례 또는 개인정보 유출 사고가 발생하였을 때 개인정보로 볼 수 없다는 주장을 한 사례가 있어 식별주체, 식별가능성에 대해 하급심이 판단하였는데, 개인정보보호에 관심을 가지고 식별주체를 제3자에까지 확대한 판결도 있었으나, 암호화조치에 대한 이해가 부족하여 개인정보처리자들의 주장에 경도된 나머지 부적정한 암호화조치를 적법하다고 보거나, 정보주체와 암호문을 연결하는 매칭테이블을 주고받은 행위를 오히려 범의를 부정하는 논거로 드는 등으로 사실을 오인하고 법리를 오해한 사례도 찾을 수 있었다. 위와 같은 판결의 문제점은 구법이 비식별조치를 명확하게 규율하지 않은 가운데 가이드라인으로서 일응의 기준만 제시하여, 법원의 규범적 판단에 관한 최소한의 기준이 입법으로 마련되지 않은 것에 가장 큰 이유가 있다고 평가할 수 있다. 본 연구를 통하여 신법이 개정, 시행된 이후에도 이러한 구법상의 문제점은 여전히 상당 부분 잔존하고 있음을 확인하였으므로, 가명처리와 암호화조치에 관하여 입법상의 개선, 가이드라인의 보완이 필요하다는 결론에 이르렀다. 우선 입법 조치로는, ① 적정한 가명처리, 암호화조치의 판단 기준, ② 가명처리 시 사용되는 추가 정보의 개념, ③ 법 제15조 제3항, 제17조 제4항에 관한 하위 법령 단위에서의 규율, ④ 민감정보에 대한 가명처리 여부에 관한 정리, ⑤ 의료법 등 단행 법률과 개인정보보호법과의 관계 설정 등이 필요하다. 시행령 이하 하위 법령에서는 ① 위 각 입법사항에 대한 구체적인 규율에 더하여, ② 추가 정보, 암호화조치 등 가명처리의 기법에 관한 개략적인 예시 등을 정할 수 있을 것이고, 가이드라인에 대하여는 ① 가이드라인의 제작, 공표에 관하여 법령에서 일정한 사항을 위임하거나, 최소한 행정청에서 이를 정할 수 있는 근거를 마련하고, ② 법령의 취지에 상충되거나 법령이 규율하여야 할 부분은 정리하며, ③ 추가 정보의 관리, 암호화 알고리즘의 장단점 및 구현 방식 등 가이드라인에서 설명이 필요한 부분을 보완하면 좋을 것이다. 한편 기술적 측면을 고려할 때, 암호화조치가 가명처리의 여러 기법 중 하나이지만, 개정법이 상정하고 있고 실제 정부와 기업이 기도하고 있는 가명처리의 형태는 대량의 디지털데이터에 대하여 빈번한 연산을 통한 처리, 즉 빅데이터에 대한 처리가 될 것이므로, 암호화 알고리즘에 따라 소프트웨어로 구현되기 쉬운 수리암호화조치가 안정성 및 효용성의 측면에서 중요한 위치를 차지하고 있다. 본 연구 결과, 암호화조치의 중요성에 비하여 개인정보보호위원회가 가이드라인 등에서 암호화조치에 대하여 구체적인 설명을 회피하거나 부적절, 불충분한 설명에 그쳤고, 일부 법원 또한 비식별조치의 적정성을 판단하는 과정에서 암호화조치를 하나의 요건으로 취급하는데 그쳐 적절한 판단을 그르친 사례가 확인되는데, 이는 암호화조치의 개념이나 중요성은 물론 기술적 조치에 관한 이해가 부족한 것에 이유가 있다고 보았다. 예를 들어 이미 널리 활용되고 있는 해시함수 등 일방향 암호화에 대하여 다양한 공격방법을 상정하여, 매칭테이블 작성, 보관을 엄격히 금지하고, 사전계산을 통한 공격에 대비할 수 있는 솔트와 같은 기술적 조치의 근거를 마련할 필요가 있으며, 잡음(노이즈) 추가의 경우 수리암호화에서 사용하는 수준의 보안성을 요구할 필요가 있을 것이다. 가이드라인이 삭제, 부분 삭제, 마스킹을 가명처리 기법으로 들고 있다고 하더라도 법령 단계에서 식별가능성의 판단 기준을 정립하지 않는 이상 정보이용주체가 이를 악용하여 불완전한 가명처리에 그칠 염려가 있고, 순열, 라운딩과 같이 정보이용가치를 현저히 저감하게 하는 가명처리는 정보이용주체가 선택할 가능성이 희박하므로, 위와 같이 적정한 가명처리의 판단 기준을 명문화하는 기회에 암호화 알고리즘별 장단점, 적용 가능한 정보의 형태, 분야를 범주화하는 노력도 필요하다고 생각된다. 덧붙여 개인정보의 유출 등 사고가 발생되어 정보이용주체가 더 이상 가명처리된 정보를 관리하지 못하게 되는 상황에서도 유효한 가명처리 기법을 규율할 필요가 있고, 특히 암호화조치에 대한 규범적 판단을 내림에 있어, 식별가능성 판단 기준을 강화하면서 특히 기술의 특성을 고려한 정치한 논증이 필요할 것이다. 정보주체인 사회 구성원들이 개인정보의 적정한 이용에 공감대를 가져야만, 정보이용 주체들은 빅데이터 이용을 통한 기술의 연구, 개발 및 구현에 적극적으로 나설 수 있게 된다. 본 연구에서 정리한 문제점, 개선 착안점 등 제언한 내용 등이 후속 연구와 입법 등으로 이어져, 행정, 사법기관이 균형 있게 개인정보보호법을 해석, 적용, 집행하여 개인정보의 처리에 따른 활용을 통한 기술의 개발, 이용과 정보주체의 개인정보를 안전하게 보호에 기여할 수 있기를 기대한다.