데이터 3법이 개정되면서 가명정보와 익명정보라는 개념이 나타났습니다. 도대체 개인정보는 알겠는 데, 가명정보랑 익명정보의 차이는 뭘까요? 어떻게 다른 걸까요?
먼저 개인정보, 가명정보, 그리고 익명정보에 대해 관련 법률상 정의를 찾아보겠습니다.
개인정보
[개인정보 보호법] "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다. |
신용정보법에는 개인정보에 대한 정의는 나와있지 않습니다. 다만 "신용정보"의 내용 중 "특정 신용정보주체를 식별할 수 있는 정보(나목부터 마목까지의 어느 하나에 해당하는 정보와 결합되는 경우만 신용정보에 해당)"이 개인정보보호법에서 명시한 개인정보 정의(제1호가목)와 일치합니다.
[신용정보법]
가. 살아 있는 개인에 관한 정보로서 다음 각각의 정보
1) 성명, 주소, 전화번호 및 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보
2) 법령에 따라 특정 개인을 고유하게 식별할 수 있도록 부여된 정보로서 대통령령으로 정하는 정보(이하 "개인식별번호"라 한다)
3) 개인의 신체 일부의 특징을 컴퓨터 등 정보처리장치에서 처리할 수 있도록 변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보
4) 1)부터 3)까지와 유사한 정보로서 대통령령으로 정하는 정보 |
정리하면 "개인정보"는 "살아 있는 개인을 식별할 수 있거나, 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보"를 의미합니다.
예시를 보면 아래 정보들을 조합하면 해당하는 개인을 찾는 것이 가능합니다.
개인정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조승우 | 1985.1.1 | 010- 111-2222 | 서울시 강남구 논현동 123번지 | 검사 | 배우자 아들 1 딸 1 | 4300만원 |
가명정보
[개인정보 보호법]
"개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다) |
[신용정보법]
15. "가명처리"란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서 제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.
가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우
나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우
다. 가목 및 나목과 유사한 경우로서 대통령령으로 정하는 경우
16. "가명정보"란 가명처리한 개인신용정보를 말한다. |
"가명정보"는 "추가정보가 없이는 특정 개인을 알아볼 수 없는 정보"입니다. 가명정보는 정보주체를 재식별할 수 없도록 적절한 기법을 활용해 비식별화해야 합니다.
여러 가명정보를 결합할수록 개인 식별가능성이 커져 데이터 결함에 따른 개인정보 유출에 대해 사전에 주의해야 합니다. 기업간의 가명정보를 결합할 때는, 데이터 결합이 안전하게 이루어지도록 결합키 관리기관과 데이터 결합기관이 분리되어있습니다. 그리고 결합데이터를 외부 반출시 기관의 승인이 필요합니다.
개인정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조승우 | 1985.1.1 | 010- 111-2222 | 서울시 강남구 논현동 123번지 | 검사 | 배우자 아들 1 딸 1 | 4300만원 |
가명정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조00 | 1985년 | 010-XXX-XXXX, (암호화) | 서울시 강남구 논현동 | 공무원 | 배우자 아들 1 딸 1 | 4300만원 |
익명정보
[신용정보법] "익명처리"란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다 |
"익명정보"는 개인정보가 아닙니다. "추가정보가 있어도 개인을 식별할 수 없는 정보"입니다. 익명정보는 개인을 식별할 수 있는 정보를 철저히 제거한 정보입니다. 익명정보는 가명정보나 개인정보에 비해 활용할 수 있는 정보가 적어 데이터의 가치가 낮게 평가됩니다.
개인정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조승우 | 1985.1.1 | 010- 111-2222 | 서울시 강남구 논현동 123번지 | 검사 | 배우자 아들 1 딸 1 | 4300만원 |
가명정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조00 | 1985년 | 010-XXX-XXXX, (암호화) | 서울시 강남구 논현동 | 공무원 | 배우자 아들 1 딸 1 | 4300만원 |
익명정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
홍길동 | 1980년생 | 삭제 | 서울 거주 | - | 가족 3명 | 4000 ~5000만원 |
정리
개인정보, 가명정보, 익명정보의 개념
| 개인정보 | 가명정보 | 익명정보 |
정의 | 특정한 개인을 식별할 수 있는 정보 | 추가 정보 결합없이는 개인을 식별할 수 없는 정보 | 더 이상 개인을 식별할 수 없는 정보 |
활용범위 | 사전 동의를 받은 범위 안에서 활용 가능 | 특정 목적으로는 동의없이 활용 가능
1. 통계작성 (상업적 목적 포함) 2. 연구(산업적 연구 포함) 3. 공익적 기록보존 목적 | 개인정보가 아니므로 제한없이 자유롭게 활용 가능 |
개인정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조승우 | 1985.1.1 | 010- 111-2222 | 서울시 강남구 논현동 123번지 | 검사 | 배우자 아들 1 딸 1 | 4300만원 |
가명정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
조00 | 1985년 | 010-XXX-XXXX, (암호화) | 서울시 강남구 논현동 | 공무원 | 배우자 아들 1 딸 1 | 4300만원 |
익명정보 |
이름 | 생년월일 | 핸드폰 | 주소 | 직업 | 가족 | 소득 |
홍길동 | 1980년생 | 삭제 | 서울 거주 | - | 가족 3명 | 4000 ~5000만원 |
개인정보, 가명정보, 익명정보에 대해 함께 정리해보았는데요. 이제 각 개념이 이해가 가시나요? 가명정보와 익명정보는 실무를 하다보면 이 둘을 구분하기 모호한 부분이 다소 존재합니다. 이 모호한 부분을 어떻게 해결하고 실무에 적용하느냐가 중요한 키가 될텐데요. 다른 포스팅을 통해서 조금 더 자세하게 다루겠습니다.
참고자료
[1] 신용정보의 이용 및 보호에 관한 법률(국가법령정보센터)
http://www.law.go.kr/법령/신용정보의%20이용%20및%20보호에%20관한%20법률
[2] 개인정보 보호법(국가법령정보센터)
http://www.law.go.kr/법령/개인정보%20보호법
[3] [ICT 시사용어]가명정보(전자신문)
https://www.etnews.com/20200903000206