[아이뉴스24 김국배기자] 지난해 마련된 개인정보 비식별조치 가이드라인의 실효성이 떨어진다는 목소리가 커지고 있다.
적잖은 문제점으로 사업자가 믿고 활용하기엔 어려운 부분이 많다는 지적이다. 과도하게 높은 기준을 삼아 안전하게만 가려다 가이드라인이 이도 저도 아닌 불분명한 상태가 됐다는 비판까지 제기된다.
이진규 네이버 정보보호최고책임자(CISO)는 25일부터 26일까지 서울 강남구 코엑스에서 열린 '제23회 정보통신망 정보보호 콘퍼런스(NetSec-KR)'에서 이 가이드라인에 대해 조목조목 사례를 들며 비판했다.
그는 "지난해 가이드라인이 나왔을 때 현장의 기대가 많았으나 막상 발표되고 보니 기대와 다른 내용이 나왔다"며 운을 뗐다.
개인정보의 정의와 범위는 여전히 모호하고 산업 활성화 차원에서 고의·중과실을 제외하곤 사업자 처벌을 완화해 줄 것이라는 기대도 깨졌다는 게 그의 주장이다.
특히 그는 가이드라인의 내용이 오히려 비식별 조치의 의미를 퇴색시키고 있다고 지적했다.
그는 "비식별 정보에도 개인정보와 동일한 수준의 기술적, 관리적 안전조치를 하도록 가이드라인에 규정하고 있다"며 "비식별 조치에 따른 이득이 없을 뿐 아니라 그럴 바엔 개인정보인 채로 관리하는게 차라리 낫다"고 말했다.
아울러 "비식별화된 정보라 할지라도 불특정 다수에게 공개하는 것은 식별 위험이 있다고 원칙적으로 금지하고 있다"며 "이는 비식별조치 의미를 반감시키는 것"이라고 설명했다.
이어 "제한된 사람끼리만 공유하고 보호조치를 할거면 비식별 조치까지 하면서 공유해야 하는지 의문이 든다"며 "정작 사업자들이 궁금해하는 소셜 미디어 등 공개된 영역의 개인정보 활용에 대한 비식별조치 관련 내용은 포함돼 있지 않다"고 꼬집었다.
가이드라인이 개인정보가 아닌 비식별 정보를 제3자에게 제공하는 경우에도 '정기적 모니터링'을 의무로 둔 것도 지나치다고 그는 말했다.
이 CISO는 "개인정보를 제3자에게 제공하는 경우 그에 대한 관리 책임 역시 제3자에게 이관되는 것이 개인정보보호 법제의 취지"라며 "그렇지 않은 경우라면 취급 위탁하는 것이 옳다"고 주장했다.
이어 "고의나 중과실로 개인정보를 생성해 목적 외로 처리했을 때 처벌하는 것은 이해되나 의도를 갖지 않아도 처벌될 수 있는 부분이 있어 사업자들이 이 가이드라인을 믿고 개인정보를 활용할 수 있다는 신뢰를 갖기는 어려워 보인다"고 말했다.
'식별자' 조치 기준도 문제로 거론됐다. 그는 "일반적으로 개인정보에 해당하지 않을 수 있는 정보항목을 식별자 예시에 포함해 불필요하게 개인정보 비식별화 대상을 확대시켰다"며 "IDFA(애플), AAID(구글) 등 실제 가이드가 필요한 식별자에 대해선 언급 자체가 없다"고 강조했다.
마지막으로 그는 "페이스북은 맞춤형 광고를 하기 위해서 98개의 개인정보를 활용하고 있으며 모두 동의를 받은 것도 아니다"라며 "기존에 확보한 빅데이터를 마음 놓고 사용할 수 있는 환경을 만들어주면 좋겠다"고 당부했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기