오늘도 기획자는 짬짬이 데이터 공부를 합니다.
꾸역꾸역 UX 박사과정 수료를 위해 수업을 들으면서 중간고사, 기말고사를 치르게 되었다. 대부분 주관식으로 서술하라는 형태의 시험이 많았다. 중간고사는 큰 종이 한 장에 문제 2-3개가 있었고 서술해 제출하는 형태였다. 무슨 수업인지 기억은 희미하지만 문제 하나가 데이터 3 법 개정에 대한 내용이었다. 이 법률은 무엇이길래 학교에서도, 회사에서도, 출판에서도 계속 다뤄지는 것일까?
데이터 3 법 개정에 대한 모든 것
데이터 3 법은 데이터 이용을 활성화하기 위해 2020년부터 만들어진 법률이다. 개인정보 보호법, 정보통신망법, 신용정보법 등 3개 법률을 통칭해 짧게 데이터 3 법이라고 불리고 있다. 보통 법을 개정하면 그런가 보다 하고 넘어가는데 왜 이 법률은 유독 많은 사람들에게 오르내리는 것일까? 대학원 시험 문제로도 나오고, 회사에서도 온통 데이터 3 법에 대한 이야기를 하는 것일까?
먼저, 갑자기 왜 데이터 3 법이 개정된 것일까?
이 법률이 등장하고 개정된 배경은 여러 이유가 있다고 한다. 가장 대표적으로 EU에서 '정보 이동권' 규정이 그 배경에 있다.
"정보주체는 정보 처리자에게 제공한 개인정보를 이해하기 쉬운 형식으로 돌려받을 권리를 가지고, 해당 정보는 동의 혹은 계약에 따라 처리된 개인에 대한 정보에 한하여, 정보 처리자를 방해하지 않고 돌려받은 개인정보를 제3의 정보 처리자에게 이전할 권리를 가짐(제20조 제1항)"
1항만 바로 봐도 알 수 있듯 정보를 제공하는 주체의 권한을 크게 보호하고 있다는 것을 알 수 있다. 이렇게 되면 기업이 마음대로 정보를 유통하는 것이 아니라 개인 동의받아야 유통이 가능해질 수 있는 법적 근거라고 할 수 있다. 이 규정에는 정보주체가 개인정보를 수령할 수 있는 권한과 제삼자에 이전할 권한을 지니고 있다. "방해하지 않는"한 정보 처리자로부터 다른 정보 처리자에게 개인정보를 이전시킬 권리가 있다고 규정한다. 정보를 생산한 주체의 권리를 크게 강화하면서 동시에 이렇게 되면 개인 정보를 갖고 서비스를 하는 업체들 간 경쟁도 촉진할 수 있게 된다.
그동안 우리나라는 개인정보가 여러 부서에서 관리되고 있었다. 그래서 eu의 개인정보보호법 적정성 평가를 통과하지 못하고 있었다. 이 산을 넘지 못하게 되면서 많은 기업들이 개인정보 보호를 위해 별도로 수많은 노력과 자금을 투자할 수밖에 없는 상황이 오게 된 것이다. 자연스레 데이터를 활용하는 여러 산업 역시 발전하는데 난항을 겪게 되었다.
데이터가 중요하지만 활용하기 어려운 상황
EU의 규정 개정도 한몫을 했지만 실무적으로도 데이터를 활용하는데 많은 제약이 있었다. 데이터를 활용해 서비스를 하고 싶어도 우리나라는 엄격한 개인정보 동의 제도로 데이터 활용이 어려운 상황이었다. 아이러니하게도 개인정보에 대한 규제는 있지만 보호에 대한 법적인 규제는 마련되어 있지 않아 유출에 대한 대처 방안은 미흡한 실정이었다.
데이터 3 법으로 무엇이 달라지는 것일까?
이러한 문제를 해결하기 위해 데이터 3 법을 개정하였다. 정부에서 주도적으로 개인정보 보호를 강화하고 데이터의 주권을 보호하기 위해 개정을 한 것이다. 아울러 개인정보를 상업적으로 활용할 수 있게 하고 '가명 정보'의 개념이 도입하기도 하였다.
가명 정보 제도는 정보주체의 동의 없이도 통계적, 과학적 연구를 목적으로 개인을 식별할 수 있는 가능성을 최소화하여 정보 처리자가 데이터를 직접 활용하거나 제3자에게 제공하는 제도이다. 물론 a라는 기업과 b라는 기업이 주먹구구식으로 데이터를 전달받아 합치는 개념은 아니다. 별도로 가명 결합을 하는 외부 기관에 의해 이름, 주민등록번호 등 개인을 알아볼 수 있는 민감정보를 비식별 처리해 특정 개인을 알기 어렵게 처리를 하게 된다.
서울시 강서구 가양동에 사는 35세 김순이는 개인을 정확히 식별을 할 수 있다. 이 정보들은 개인을 구분할 수 있는 개인정보이다. 하지만 서울시 강서구 가양동에 사는 30대 김모씨는 정확히 특정 개인을 식별하기란 어렵다. 이러한 정보가 바로 가명 정보인 것이다. 바로 이런 정보를 일일이 개인에게 동의를 받지 않아도 연구, 통계 목적으로 얼마든지 활용할 수 있다는 것이 데이터 3 법으로 크게 달라진 점이다.
데이터 3 법 개정으로 적극적인 맞춤형 서비스가 가능해질 수 있다
특정 개인을 일일이 식별하기는 어렵지만 통계적 정보로서 유의미한 활용이 가능하다. 인류 통계학적 정보와 소비 내역 등을 파악해 각 성별이나 계층별 맞춤형 서비스를 제공할 수도 있다. 데이터 활용에 대해 일일이 정보 주체에 확인받지 않아도 되서 재미있는 서비스를 빠르게 나타낼 수도 있다. 최근 어떤 은행에 들어가도 모든 은행 계좌 정보들을 확인받을 수 있도록 한 것 역시 데이터 3 법에 의해 가능한 시나리오이다. 그동안은 개인 신용도를 평가할 때 직장 소득, 대출 이력 등 몇 가지 공신력 있는 정보만 같고 평가를 하였다. 하지만 가명 정보를 활용해 얼마든지 더 촘촘한 신용 평가를 할 수도 있다. 예를 들어 아직 소득이 미비한 학생이지만 다른 물건들의 대출 이력, sns 사용 이력, 연체료 이력 등을 보고 신용도를 재평가할 수 있게 된다.
데이터 3 법으로 정말 개인을 식별하지 못할까
하지만 데이터 3 법 개정이 장밋빛 아름다운 그림만 있는 것은 아니다. 가장 큰 우려는 과연 개인을 정말로 식별하지 못할까?라는 우려이다. a 업체를 통해 서울시 강서구에 사는 30대 김 모 씨의 정보를 획득하고 b업체를 통해 강서구 30대 여성의 위염 진단 분포를 확인했다고 가정해보자. 이러한 정보들을 가명화하여 결합하면 제3의 결합 기관을 통해 개인을 식별할 수 없을 것이다. 하지만 얼마든지 추가적 데이터를 통해 강서구 30대 여성 중 위염에 진단받은 사람이 아무개라는 것을 유추하는 것은 가능하다.
데이터는 ux적으로 양날의 검이라고 생각한다. 개인의 데이터를 자주, 많이 활용될수록 고객 입장에서는 빠르고 직관적인 서비스를 활용하게 될 확률이 높아진다. 보다 개인에게 필요한 맞춤 정보를 제공할 확률이 높아지게 된다. 아울러 개인의 데이터가 여기저기 떠돌게 되면서 정보 유출의 사고 위험 역시 무척 높아지게 된다. 과연 어떤 것이 진정으로 고객을 위한 서비스인지 모르겠다. 그래서 it업체들은 이종 분야 간 데이터를 연결하는 서비스를 하면서도 함께 브랜딩을 하는 것이 '개인정보 보호'에 대한 인식인가 보다. 모두 다 중요해서 어느 것 하나 놓칠 수 없는 데이터 문제는 풀기가 어려워서, ux학과 시험문제로 다루어졌나 보다.
개인의 데이터로 변화하는 서비스는 이미 거스를 수 없는 방향이라면 어떻게 사람들에게 안전하게 데이터를 보호하고 있는지, 어떻게 하면 많은 데이터를 확보할 수 있을지를 계속 고민하면서 변화해야 하지 않을까 생각해본다.