1

빅데이터 관련

주요 국가의 개인정보보호 법제도 분석에 따른

한국 개인정보보호법 개선의 검토

고려대학교 법학전문대학원 박노형 교수

NAVER Privacy White Paper

2

목차

요약문 7

1. 빅데이터 분석기술과 프라이버시 10

가. 빅데이터와 프라이버시와의 관계 10

나. 빅데이터 분석기술과 개인정보보호법의 문제 11

2. EU의 GDPR 12

가. 개인정보의 목적 외 처리 13

나. 익명처리와 가명처리 16

3. 한국의 개인정보보호법 21

가. 개인정보의 목적 외 이용·제공 21

나. 통계작성 및 학술연구 등 목적 22

다. 익명처리와 가명처리 23

라. 개인정보보호법 제18조 제2항 제4호에 따른 빅데이터 분석기술 활용 가능성 24

4. 미국 및 일본의 개인정보보호법제 25

가. 미국의 비식별조치 26

나. 일본의 비식별조치 34

다. 미국과 일본의 비식별조치 평가 37

5. 결어 : 빅데이터 분석기술 활용을 위한 한국의 개인정보보호법 개정 방안 38

참고문헌 43

3

요약문

1. 빅데이터(big data)는 ‘사람, 기기 또는 센서와 같은 다양한 종류의 출처로부터 생성된 다양한 유

형의 큰 분량의 데이터’(large amounts of different types of data produced from various

types of sources, such as people, machines or sensors)를 가리킴.

- 빅데이터 분석기술 차원에서 ‘개인정보의 광범위한 수집과 추가 처리’(extensive collection and

further processing of personal information)는 대규모의 전자적 감시, 프로파일링 및 개인정보

의 공개와 관련하여 심각한 프라이버시의 우려를 제기함.

- 빅데이터 분석기술이 정보의 최대한 수집과 활용인 점에서 개인정보보호의 기본원칙 중에서 ‘개인

정보 최소화’(data minimization) 원칙을 위반할 가능성이 높기 때문임.

- 빅데이터 분석기술을 통하여 기후변화, 전염병 또는 약의 부작용 등의 정확한 예측이 가능하게 되는

사회적 유용성이 인정되지만 동시에 개인의 프라이버시나 개인정보보호에 대한 침해 가능성도 커지

게 됨.

2. 빅데이터 분석기술의 활성화를 위하여 개인의 프라이버시와 개인정보보호가 일방적으로 제한되거

나 침해될 수 없을 것이고, 동시에 관련 기술과 혁신의 발전이 무조건 제한되거나 침해될 수도 없음.

- 프라이버시와 개인정보보호의 법익과 기술발전에 근거한 빅데이터 분석기술의 활용 사이의 올바른

균형이 요구됨.

- 개인의 프라이버시를 침해하지 않고서도 빅데이터 분석기술의 모든 이익을 얻기 위하여 동 분석기

술의 한계를 정하고 동 분석기술에서의 적절한 개인정보보호 안전조치를 통합하는 것이 필요함.

- 종래 빅데이터 분석기술과 프라이버시를 상호대척관계(big data v. privacy)로 보고 있었지만, 프라

이버시와 개인정보보호를 빅데이터 분석기술의 내재적인 기본적 가치로서 이해하여 프라이버시를

빅데이터 분석기술에 포함하는 상호통합관계(big data with privacy)로 보아야 할 것임.

3. 흥미롭게도 한국의 개인정보보호법은 개인정보보호에 관한 일반법으로서 일본이나 유럽연합의 상

응하는 법에 비교하여 상당히 최근에 제정되었음에도, 빅데이터 분석기술 등 개인정보의 활용 측면

에서는 상당히 부정적인 역할을 하는 것으로 이해됨.

- IT강국이라고 자타가 공인하는 한국에서 개인정보보호와 개인정보 활용의 올바른 균형이 상실된 것

으로 볼 수 있음.

- 한국 개인정보보호법의 빅데이터 분석기술의 활성화에 대한 문제는 크게 개인정보의 ‘목적 외 이용·

제공’과 개인정보의 소위 ‘비식별화’에 관련되는 것으로 볼 수 있음.

- 빅데이터 분석기술에서 개인정보가 수집 또는 제공되어 이용되는 과정에서 그 대상인 대량의 개인

4

정보가 원래의 수집 목적으로만 처리될 수 없는 현실적인 한계가 있기 때문임.

- 이러한 점에서 개인정보의 특정 개인에 대한 식별성을 제거하는 비식별화가 빅데이터 분석기술을

위한 모범답안으로서 제시되고 있지만, 일단 비식별화된 개인정보가 달리 재식별화되는 현실적인

문제가 제기됨.

- 그럼에도, 개인정보의 목적 외 이용·제공과 비식별화는 현실적으로 불가피하고, 이들은 개인정보보

호를 주된 목적으로 하는 개인정보보호법의 법적 테두리 내에서 허용되어야 할 것임.

4. 빅데이터 분석기술을 허용하는 방식에는 크게 두 가지 방식이 존재한다 할 수 있음.

- 첫 번째 방식은 개인정보를 최초 수집 시 목적이 아닌 추가 목적에 따라 목적 외 처리하도록 허용하

는 것이고, 두 번째 방식은 개인정보를 비식별처리하여 해당 정보가 더 이상 해당 법의 적용을 받지

않게 하는 것임.

- 유럽연합의 ‘개인정보보호일반규칙’(GDPR)은 가명처리정보와 익명처리정보를 구분하여, 개인정보

에 해당하는 가명처리정보는 일정한 법률요건을 충족하는 경우 목적 외 처리로서 허용하고, 개인정

보에 해당하지 않는 익명처리정보의 활용은 GDPR의 적용을 배재함으로써 상기 두 가지 접근 방식

을 모두 취한다고 볼 수 있음.

- 이와 달리, 미국의 ‘비식별정보’ 및 일본의 ‘익명가공정보’는 개인정보에 해당하지 않아서 자유로운

이용과 제공이 가능하여서, 이들 두 국가는 빅데이터 분석기술 등 개인정보의 활용을 위하여 후자의

접근 방식을 취하고 있는 것으로 보임.

- 문제는 이러한 비식별처리, 특히 익명처리에 따른 빅데이터 분석기술의 허용은 관련 개인정보보호

법제의 테두리 안에서 규율되는 것이 아니라, 해당 법의 적용범위를 벗어나게 하여 허용되는 것임.

5. 결론적으로 21세기 디지털경제에서 빅데이터 분석기술 등을 통한 개인정보 이용의 활성화는 결코

피하거나 억제할 수 없는 것이지만, 동시에 국가나 국제사회에서의 기본적 구성원인 개인의 개인정

보보호도 결코 양보될 수 없음.

- 이 점에서 빅데이터 분석기술과 개인정보보호는 함께 가야 할 것이고, 이러한 개인정보 활용은 개인

정보보호를 내재하면서 허용되어야 할 것임.

- 빅데이터 분석기술과 개인정보보호의 조화에 관하여 유럽연합, 미국과 일본의 관련 법제도를 검토

하는데, 개인정보의 비식별화 내지 익명조치에 중점을 두는 미국과 일본의 접근 보다는 목적 외 처리

로서 가명조치를 포함하는 유럽연합의 접근이 보다 현실적이고 법적으로 안정적이라고 판단됨.

- 특히 가명조치가 익명조치 보다 선호되는 것은 가역성이라는 점에서 익명조치는 결코 완전하지 않

으며, 또한 익명조치와 달리 가명조치는 여전히 개인정보보호법의 적용 범위 내에 있기 때문임.

- 즉, 개인정보보호법의 세계적 추세인 개인정보보호와 개인정보 활용 사이의 균형이 추구될 수 있을

것임.

5

- 2016년 발표된 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’는 미

국과 일본의 접근과 유사하게 익명조치에 집중한 점에서 또한 보다 정상적인 개인정보보호법의 개

정을 대신하는 점에서 긍정적이라고 볼 수 없음.

- 개인정보보호법의 목적으로부터 빅데이터 분석기술의 포용까지 동 법의 전면적인 개정이 필요할 것임.

6

1. 빅데이터 분석기술과 프라이버시

가. 빅데이터와 프라이버시와의 관계

빅데이터(big data)는 ‘사람, 기기 또는 센서와 같은 다양한 종류의 출처로부터 생성된 다양한 유형의

큰 분량의 데이터’(large amounts of different types of data produced from various types of

sources, such as people, machines or sensors)를 가리킨다.1 빅데이터의 일반적인 예로 기상 정보,

인공위성이 보낸 사진, 디지털 사진과 비디오, 전송기록 또는 GPS신호가 있지만, 사람의 이름, 사진, 이

메일주소, 은행계좌번호, SNS에 올린 자료, 건강정보 또는 IP주소와 같은 개인정보를 포함할 수 있다.2

빅데이터를 통하여 생성되는 개인정보의 경제적 가치가 확인되는데, 유럽시민의 개인정보의 가치가

2020년까지 1조유로(약1,245조원)로 발전할 것이라고 한다.3 개인정보를 활용한 빅데이터 분석기술

(big data analytics)의 발전은 개인정보의 주체인 사람의 보호, 특히 개인정보보호의 높은 수준을 요구

할 것이다. 높은 또는 올바른 수준의 개인정보보호가 유지되어야 소비자의 빅데이터 분석기술 활용에

대한 신뢰가 높아지고 그만큼 그의 활용이 더욱 확대될 것이기 때문이다.

빅데이터 분석기술 차원에서 ‘개인정보의 광범위한 수집과 추가 처리’(extensive collection and

further processing of personal information)는 대규모의 전자적 감시, 프로파일링 및 개인정보의

공개와 관련하여 심각한 프라이버시의 우려를 제기한다.4 빅데이터 분석기술이 정보의 최대한 수집과

활용인 점에서 개인정보보호의 기본원칙 중에서 ‘개인정보 최소화’(data minimization) 원칙을 위반할

가능성이 높기 때문이다. 빅데이터 분석기술을 통하여 기후변화, 전염병 또는 약의 부작용 등의 정확한

예측이 가능하게 되는 사회적 유용성이 인정되지만 동시에 개인의 프라이버시나 개인정보보호에 대한

* 본고의 작성과 편집에 도움을 준 고려대학교 대학원 박사과정 김효권 연구원과 박주희 연구원 및 석사과정 홍진형 연구원에게

고마움을 표한다.

1 European Commission, Factsheet: The EU Data Protection Reform and Big Data, (2016.03), p.1.

2 Information Commissioner’s Office, “Big Data and Data Protection”, (2014.07.28.), available online at: https://

ico.org.uk/media/for-organisations/documents/1541/big-data-and-data-protection.pdf, pp.34–39.

3 European Commission, supra note 1, p.1.

4 ENISA, Privacy by design in big data: An overview of privacy enhancing technologies in the era of big data analytics,

(2015.12), p.5.

7

침해의 가능성도 커지게 된다.5

빅데이터 분석기술의 활성화를 위하여 개인의 프라이버시와 개인정보보호가 일방적으로 제한되거나

침해될 수 없을 것이고, 동시에 관련 기술과 혁신의 발전이 무조건 제한되거나 침해될 수도 없다. 따라

서 프라이버시와 개인정보보호의 법익과 기술발전에 근거한 빅데이터 분석기술의 활용 사이의 올바른

균형이 요구된다. 개인의 프라이버시를 침해하지 않고서도 빅데이터 분석기술의 모든 이익을 얻기 위

하여 동 분석기술의 한계를 정하고 동 분석기술에서의 적절한 개인정보보호 안전조치를 통합하는 것이

필요하다. 이와 관련하여 종래 빅데이터 분석기술과 프라이버시를 상호대척관계(big data v. privacy)

로 보고 있었지만, 프라이버시와 개인정보보호를 빅데이터 분석기술의 내재적인 기본적 가치로서 이해

하여 프라이버시를 빅데이터 분석기술에 포함하는 상호통합관계(big data with privacy)로 보아야 할

것이다.6 이렇게 프라이버시와 빅데이터 분석기술을 통합관계로 접근하여야 21세기 디지털경제에서

개인정보를 활용할 수밖에 없는 빅데이터 분석기술은 물론 이러한 개인정보의 주체인 개인도 모두 균

형되게 이익을 추구할 수 있게 된다.

나. 빅데이터 분석기술과 개인정보보호법의 문제

최근 유럽연합을 비롯하여 주요 국가와 국제기구가 개인정보보호제도를 개혁하고 있는데, 이는 지

난 30년 가까이 급속하게 발전한 인터넷 등 관련 정보통신기술의 개인정보보호와의 합리적인 균형

을 이루기 위한 것으로 이해된다. EU의 ‘1995년 개인정보보호지침’(Directive 95/46/EC of the

European Parliament and of the Council of 24 October 1995 on the Protection of Individuals

with regard to the Processing of Personal Data and on the Free Movement of Such Data)

은 2016년 4월 ‘개인정보보호일반규칙’(General Data Protection Regulation: GDPR)으로 대체되

었고, 유럽평의회(Council of Europe)의 1981년 ‘개인정보의 자동처리에 관한 개인의 보호를 위한

협약’(Convention for the Protection of Individuals with regard to Automatic Processing of

5 International Working Group on Data Protection in Communications, Working Paper on Big Data and Privacy, (2014);

Article 29 Data Protection Working Party, Statement on the impact of the development of big data on the protection

of individuals with regard to the processing of their personal data in the EU, 14/EN WP221, (2014. 9. 16), available

online at: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/

files/2014/wp221_en.pdf; European Data Protection Supervisor, Opinion 07/2015 - Meeting the challenges of big

data, (2015), available online at:https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/

Consultation/Opinions/2015/15-11-19_Big_Data_EN.pdf; 특히 유럽의회는 개인 생활의 다양한 측면이 데이터로

전환되는 ‘사회의 데이터화’(datafication of society)의 문제를 공감하였다. European Parliament, Big Data and Smart

Devices and their Impact on Privacy, (2015), available online at: http://www.europarl.europa.eu/RegData/etudes/

STUD/2015/536455/IPOL_STU%282015%29536455_EN.pdf, p.11.

6 ENISA, supra note 4, pp.17-18.

8

Personal Data)은 소위 현대화를 위하여 개정 중이며, 1980년 ‘OECD가이드라인’(OECD Guidelines

on the Protection of Privacy and Transborder Flows of Personal Data)은 2013년 개정되었다.

또한, 일본의 2003년 개인정보보호법은 2015년 개정되었다.

흥미롭게도 한국의 개인정보보호법은 개인정보보호에 관한 일반법으로서 2011년 채택되어 현재 적용

되고 있지만, 일본이나 유럽연합의 상응하는 법에 비교하여 상당히 최근에 제정되었음에도, 빅데이터

분석기술 등 개인정보의 활용 측면에서는 상당히 부정적인 역할을 하는 것으로 이해된다. IT강국이라고

자타가 공인하는 한국에서 개인정보보호와 개인정보 활용의 올바른 균형이 상실된 것으로 볼 수 있다.

예컨대, 국내 빅데이터 공급 및 수요 기업을 대상으로 조사한 결과에 따르면 빅데이터산업 활성화에 가

장 큰 걸림돌 중 하나로 ‘법제도’문제가 지적되었다.7 즉, 국내에서는 개인정보 범위의 불명확성, 경직적

사전동의제도 등으로 인해 효율적 빅데이터 분석기술의 발전이 사실상 곤란하다는 것이다. 그 결과 국

내기업의 영업활동의 지장이 초래되고 우리 기업의 글로벌 경쟁력이 저하된다는 것이다.

한국 개인정보보호법의 빅데이터 분석기술의 활성화에 대한 문제는 크게 개인정보의 ‘목적 외 이용·제

공’과 개인정보의 소위 ‘비식별화’에 기인하는 것으로 볼 수 있다. 빅데이터 분석기술에서 개인정보가

수집 또는 제공되어 이용되는 과정에서 그 대상인 대량의 개인정보가 원래의 수집 목적으로만 처리될

수 없는 현실적인 한계가 있기 때문이다. 이러한 점에서 개인정보의 특정 개인에 대한 식별성을 제거하

는 비식별화가 빅데이터 분석기술을 위한 모범답안으로서 제시되고 있지만, 일단 비식별화된 개인정보

가 달리 재식별화되는 현실적인 문제가 제기된다. 그럼에도, 개인정보의 목적 외 이용·제공과 비식별화

는 현실적으로 불가피하고, 이들은 개인정보보호를 주된 목적으로 하는 개인정보보호법의 법적 테두리

내에서 허용되어야 할 것이다. 아래에서는 주로 유럽연합의 2016년 GDPR의 채택과 부차적으로 미국

과 일본의 관련 개인정보보호법의 내용을 중심으로 한국의 개인정보보호법 개선 방안을 검토한다.

2. EU의 GDPR

2016년 4월 유럽연합은 1995년 개인정보보호지침을 전폭적으로 개정하는 내용의 ‘개인정보보호일

반규칙’(General Data Protection Regulation: GDPR)을 채택하였다.8 2018년 GDPR의 적용으로 현

재의 28개 회원국들에서 일관되고 통일적인 개인정보보호법체제가 시행될 것이다.

7 한국정보화진흥원 ICT융합본부, “개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사·분석”, 한국정보화진흥원, (2015. 12), p.1.

8 European Union, REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April

2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of

such data, and repealing Directive 95/46/EC (General Data Protection Regulation, GDPR), (2016), available online at:

http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf.

9

가. 개인정보의 목적 외 처리

GDPR은 목적 외 처리에 대하여 상당히 유연한 접근을 취하고 있다. GDPR 제6조 제4항에 따라 개인정

보의 목적 외 처리가 허용되는 경우는 첫째, 목적 외 처리에 대한 정보주체의 동의를 얻는 경우, 둘째, 목

적 외 처리가, 제23조 제1항에 명시된 일련의 목적을 보호하기 위하여, 유럽연합 또는 회원국의 법률에

근거하는 경우,9 셋째, 개인정보가 최초로 수집될 때 제시된 목적과 다른 목적(another purpose)이 최

초 수집 목적과 양립하는 경우이다.

최초 수집 목적과 양립하는 다른 목적에 근거한 추가적 처리(further processing)를 허용하는 것은, 동

규정에 한정적으로 명시된 정보주체의 동의 또는 법률에 따른 예외사유 이외의 목적 외 처리를 폭 넓게

인정하려는 것으로서, 개인정보의 활용과 관련이 깊을 것이다. GDPR 제6조 제4항은 이러한 양립가능성

을 판단하기 위한 고려사항으로서 i) 최초 수집 목적과 추가적 처리를 위한 목적 사이의 연관성, ii) 정보주

체와 개인정보처리자의 관계를 고려하여, 해당 개인정보가 수집되는 전후 상황, iii) 제9조 내지 제10조

에서 규정하고 있는 민감정보 및 범죄기록 처리 여부 등 처리되는 개인정보의 특성, iv) 의도된 추가적 처

리가 정보주체에 미칠 수 있는 결과, v) 적절한 안전장치(safeguards)10로서 암호처리(encryption) 또는

가명처리(pseudonymisation) 여부를 규정한다. 추가적 처리를 위한 목적이 최초 수집 목적과 양립한다

면, 이러한 목적 외 처리는 정보주체의 동의나 별도의 법적 근거 없이도 허용된다.11

빅데이터 분석기술 등 개인정보의 활용과 관련하여 주목할 규정은 GDPR 제5조 제1항(b)이다. 동 조

항은 개인정보의 목적 외 처리를 원칙적으로 금지하면서도, GDPR 제89조 제1항에 따른 ‘공익을 위

한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적’(archiving purposes in the public

interest, scientific or historical research purposes or statistical purposes)은 원래의 수집 목적

과 양립 가능한 것으로 간주된다고 규정한다. 이러한 특별한 목적에 따른 추가적 처리는 제89조 제1항

에 규정된 안전장치를 구비하는 한, 적법한 목적 외 처리로서 허용되는 것이다.

9 GDPR 제23조 제1항에 규정된 목적으로는 국가안보, 방위, 공공안전, 범죄의 예방, 조사, 적발, 기소 또는 형사처분 집행(공공안전

확보 및 공공안전에 대한 위협의 예방을 포함), 그밖에 유럽연합 또는 회원국의 공익상 중요한 목적으로, 특히 유럽연합 또는 회원국의

중요한 경제적 또는 재정적 이익, 사법독립과 사법절차의 보호, 직업적 윤리의 위반에 대한 예방, 조사, 적발 및 기소, 상기 언급된

사항에 대한 공공기관의 감독 및 조사, 정보주체의 보호와 정보주체가 아닌 다른 사람의 권리와 자유, 민사청구의 집행이 존재한다.

10 여기서의 ‘safeguards’는 개인정보보호법 제29조 안전조치의무에서 규정하는 물리적·기술적·관리적 조치를 의미하는 안전조치와

구별될 것이다. 개인정보보호법 제29조와 유사한 조항은 GDPR 제32조 ‘security of processing’으로서 동 조항에서 규정하는

‘technical and organisational measure’가 국내법상 안전조치에 해당한다고 볼 수 있다. 이에 따라 GDPR 제89조 등에서

명시하고 있는 ‘safeguards’는 안전조치와 구분되기 위하여 ‘안전장치’로 표기될 수 있다. 동일한 맥락에서, GDPR 제32조는 ‘처리의

안보’가 아니라 ‘안전한 처리’로 풀이될 수 있다.

11 GDPR Recital (50).

10

따라서, GDPR에서 빅데이터 분석기술을 비롯한 개인정보의 활용은 다음의 근거에 의하여 목적 외 처

리로서 허용될 수 있다. 첫째, 제6조 제4항(e)에 따라 가명처리 또는 암호처리가 되어 있는 경우, 추가

적 처리를 위한 목적이 최초 수집 목적과 양립 가능한 경우가 존재할 수 있다. 다만, 동 조항에 따른 안

전장치는 목적의 양립 가능성을 판단하기 위한 하나의 고려사항에 불과하므로, 가명처리 또는 암호처

리의 존재 자체가 목적 외 추가적 처리를 필연적으로 적법하게 하는 것은 아니다. 둘째, 제5조 제1항(b)

및 제89조 제1항에 따라서, 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에

따른 개인정보 처리는, 해당 처리가 가명처리를 포함한 안전장치를 구비하고 있는 한, 목적 외 처리로서

허용된다.

양자의 가장 큰 차이는 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적을 위한

개인정보 처리의 경우, 최초 수집 목적과의 양립 가능성을 별도로 판단할 필요가 없다는 점이다. 또한

두 경우에 있어서, 가명처리 또는 암호처리를 포함한 안전장치는 그 법적 지위가 다르다 할 것이다. 즉,

제6조 제4항(e)에 근거하는 경우 안전장치는 양립 가능성을 판단하기 위한 고려사항에 불과한 반면, 제

5조 제1항(b)에서 언급하는 동 규정 제89조 제1항에 따른 안전장치는 목적 외 처리를 허용하기 위한

필수적인 요건에 해당한다.

1) 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적

① 개념과 범위

공익을 위한 기록보존 목적과 관련하여, 공익적 가치를 지닌 기록물을 보유하고 있는 공공당국 또는

공공·민간 기관이 수행하는 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공은 목적 외

추가처리로서 허용된다.12 GDPR은 과학적 연구 목적의 개인정보 처리는 폭 넓게 해석되어야 한다고

규정하고 있다. 여기서 과학적 연구는 기술의 발전과 실현, 기초연구, 응용연구 및 민간투자연구, 공

중보건 분야에서 시행된 공공보건연구를 포함한다.13 특히 GDPR은 과학적 목적에 따른 개인정보 처

리에 있어서 ‘유럽연합 기능에 관한 조약’(Treaty on the Functioning of the European Union) 제

179조 제1항이 고려되어야 함을 언급하고 있는데, 동 조항은 과학자, 과학적 지식 및 기술이 자유롭

게 이동하는 ‘유럽연구지역’(European Research Area)의 실현을 목적으로 한다. 역사적 연구에는

계보학 (genealogical) 연구가 포함된다.14 다만, 공익을 위한 기록보존과 마찬가지로, 역사적 연구

를 목적으로 한 개인정보 처리에 있어서 사망한 사람의 개인정보는 동 규정의 적용을 받지 않는다.

통계적 목적에 따른 개인정보 처리에 대하여 GDPR은 통계 내용(statistical content), 접근의 통제

12 GDPR Recital (158).

13 GDPR Recital (159).

14 GDPR Recital (160).

11

(control of access), 통계 목적에 따른 개인정보 처리에 대한 세부사항과 정보주체의 권리와 자유를

보호하고 통계의 기밀성을 보장하기 위한 적절한 조치를 유럽연합 또는 회원국의 법률이 결정해야

함을 명시하고 있다.15 통계적 목적에 따른 개인정보 처리는 통계 조사 및 통계 결과를 작성하기 위하

여 필요한 개인정보의 수집 및 처리의 작업 일체를 의미한다.16 이러한 통계 결과는 과학적 목적을 포

함한 다른 목적을 위하여 추가적으로 이용될 수 있다.17 특히, 통계적 목적은 i) 통계 목적에 따른 처리

의 결과가 개인정보가 아니라 총합적 데이터(aggregate data)라는 사실과, ii) 이러한 통계 처리의

결과나 통계에 이용된 개인정보는 어떠한 개인에 관한 조치나 결정을 지지하는데 활용되지 않았다

는 사실을 의미한다.18 통계적 목적과 관련된 GDPR의 상기 해설은 개인정보의 활용과 관련하여 매

우 중요한 의미를 가진다. 통계를 위하여 이용된 정보에 개인정보가 포함되는 경우, 그러한 통계 처

리는 GDPR의 적용을 받는 것이 당연지만, 통계적 목적에 따른 개인정보 처리가 목적 외 처리로서 허

용될 수 있는 이유는 그러한 통계 처리의 결과물이 개인정보가 아닌 총합적 데이터로서 간주되기 때

문이다. 이러한 맥락에서 가명처리와 익명처리는 통계적 목적에 따른 개인정보의 활용과 밀접한 연

관성을 가진다. 2013년 제29조 작업반은 통계적 목적에 따른 개인정보 처리는 교통사고에 따른 사

망자 통계와 같이 공익적 목적뿐만 아니라, 시장조사를 목적으로 하는 빅데이터 분석기술과 같은 상

업용 목적을 포함한다는 의견을 제시하였다.19

② 목적 외 처리의 실효성

빅데이터 분석기술 등 개인정보 활용을 통한 시장가치의 창출을 도모함에 있어서 가장 중요한 부분

은 그러한 개인정보 처리를 어떠한 근거에 따라서 허용할 것인가이다. 그런데, GDPR이 규정하는 개

인정보의 목적 외 처리, 특히 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목

적에 따른 개인정보 처리 규정은 개인정보의 활용을 허용하는 근거가 될 수 있다. 그러나 목적 외 처

리를 허용하기 위한 법적 근거를 구비하는 것과 마찬가지로 중요한 것은 개인정보의 활용을 실효적

으로 도모하기 위한 일관된 법체계의 마련이다. 이러한 맥락에서 GDPR은 공익을 위한 기록보존 목

적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보의 활용과 관련하여 다음과 같은 관

련 규정을 둔다.

첫째, GDPR은 위의 목적에 따라 개인정보를 활용하는 개인정보처리자에 대하여 특정 의무를 경감

한다. GDPR 제14조는 개인정보처리자가 정보주체 이외의 출처로부터 개인정보를 수집하는 경우,

15 GDPR Recital (162).

16 GDPR Recital (162).

17 GDPR Recital (162).

18 GDPR Recital (162).

19 Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation, 00569/13/EN WP203,

(2013.04.02), p.29.

12

개인정보처리자로 하여금 정보주체에게 자신에 대한 정보(기관명, 세부연락처 등), 처리의 목적과 근

거, 처리되는 개인정보의 유형, 수령인, 국외이전에 관한 정보 등을 고지하도록 요구한다. 그러나 동

조 제5항(b)는 개인정보처리자에게 ‘과도한 노력’(disproportionate effort)이 요구되고, 정보주체

에 대한 고지가 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인

정보 처리를 불가능하게 만들거나 그러한 목적의 달성을 심각하게 저해하는 경우 이러한 고지의무

를 면한다고 규정한다.

둘째, 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보 처리

에 대하여 정보주체가 가지는 권리는 다음과 같이 제한된다. GDPR 제17조에 따른 삭제권(right to

erasure)은 해당 목적에 따른 개인정보의 처리를 불가능하게 만들거나 그러한 목적의 달성을 심각

하게 저해하는 경우에 행사될 수 없다.20 또한, 과학 또는 역사 연구 목적, 또는 통계적 목적에 따른 개

인정보 처리가 공적인 이유를 근거로 처리되는 경우에, 정보주체는 제21조에 따른 처리반대권(right

to object)을 주장할 수 없다.21 또한, GDPR 제89조 제2항은 과학 또는 역사 연구 목적, 또는 통계적

목적에 따른 개인정보 처리에 대한 실효성을 확보하기 위하여, GDPR 제15조, 제16조, 제18조에 따

른 정보주체의 열람권, 정정권, 처리제한권의 행사를 유럽연합 또는 회원국의 입법조치로 제한할 수

있다고 규정한다.22

셋째, GDPR 제9조 제2항(j)에 따라 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계

적 목적에 따른 민감정보 처리는 개인정보보호 권리의 본질을 존중하고, 그러한 목적이 비례적인 한

도 내에서 허용된다.

이처럼 GDPR은 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 따른 개인정보

처리에 있어서 개인정보 활용의 유연성을 대폭 확대하면서, 프로파일링을 포함한 자동화된 방식에

따른 개인정보 처리의 위험성을 자각하고 정보주체의 권리를 보호하는 관련 규정도 마련하고 있다.

나. 익명처리와 가명처리

GDPR은 미국 또는 일본과 달리 익명처리와 가명처리를 구분하고 가명처리(pseudonymisation) 및

가명처리정보라는 새로운 개념을 도입하여, 정보주체의 권리를 보호하는 동시에 개인정보 활용의 유연

성을 제고하고 있다. 즉, GDPR은 가명처리와 가명처리정보를 GDPR의 적용범위에 포함함과 동시에,

20 GDPR 제17조 제3항.

21 GDPR 제21조 제6항.

22 GDPR 제89조 제2항.

13

개인정보처리자가 가명처리정보를 활용하도록 관련 규정을 완화한다. 이에 따라 개인정보처리자는 최

초 수집 목적과 다른 추가 목적 또는 공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 또는 통계적

목적에 따라 개인정보에 해당하는 가명처리정보를 빅데이터 분석기술에 활용할 수 있다.

흥미롭게도, 1995년 개인정보보호지침이 2016년 GDPR로 대체되는 과정에서 익명처리

(anonymisation)와 가명처리(pseudonymisation)의 두 개념의 지위가 변경되었다고 볼 수 있다. 먼

저, 1995년 개인정보보호지침은 가명처리를 언급하고 있지 않다. 다만, 제29조 작업반은 ‘익명처리기

법에 관한 05/2014 의견’(Opinion 05/2014 on Anonymisation Techniques)에서 동 지침 해설전

문 제26항에 근거하여 익명처리의 개념을 설명하면서, 익명처리는 개인정보의 추가적 처리(further

processing)로서 이해되어야 한다고 판단하였다.23 또한, 제29조 작업반은 가명처리가 익명처리의 수

단이 아니라고 밝혔는데, 이는 가명처리정보가 재식별될 수 있는 위험이 아주 작더라도 존재하기 때문

이다.24 이러한 맥락에서, 제29조 작업반은 가명(pseudonymity)은 식별성(identifiability)을 허용할

가능성이 있으므로, 개인정보보호의 법체제의 범위 내에서 규율되어야 한다는 의견을 제시하였다.25

이와 달리, GDPR은 주요 개념의 정의에 관한 제4조를 포함한 여러 관련 조항에서 가명처리를 상세히

규정하는 한편, 해설전문 제26항을 통하여 익명처리정보와 익명처리정보의 처리는 동 규정의 적용 대

상이 아님을 명시한다.26 이로써 1995년 개인정보보호지침이 2016년 GDPR로 대체되면서 비식별화

조치와 관련된 규율의 주된 관심은 익명처리에서 가명처리로 바뀐 것으로 볼 수 있다.27

1) 가명처리와 익명처리의 구별

GDPR에서 가명처리와 익명처리는 명확하게 구분된다. 먼저 GDPR 제4조에 따라 가명처리는 개인

정보의 처리에 해당하고, 가명처리된 개인정보, 즉 가명처리정보는 여전히 개인정보로서 GDPR의

적용을 받는다. 여기서 가명처리는 ‘추가적 정보의 이용 없이 개인정보가 더 이상 특정 정보주체에게

귀속될 수 없는 방식으로 개인정보의 처리’(processing of personal data in such a manner that

the personal data can no longer be attributed to a specific data subject without the use of

additional information)를 의미한다. 이러한 경우 이러한 추가적 정보는 별도로 보관되어야 하고,

23 Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, 0829/14/EN WP216,

(2014.04.10.), p.7.

24 Ibid., p.3.

25 Ibid., p.10.

26 GDPR Recital (26).

27 GDPR이 원칙적으로 익명처리정보와 익명처리정보의 처리에 대하여 적용되지 않는 점을 고려할 때, 제29조 작업반이 제시한

‘익명처리기법에 관한 05/2014 의견’을 포함하여 1995년 개인정보보호지침에 따른 익명처리정보에 대한 기존의 해설은 2016년

GDPR의 해석과 관련하여 조심스럽게 다루어져야 할 것이다.

14

해당 개인정보가 식별된 또는 식별가능한 자연인에 귀속될 수 없게 보장하도록 기술적·관리적 조치

가 취해져야 한다.28

GDPR 해설전문 제26항에 따르면, GDPR은 i) 식별된 또는 식별가능한 자연인과 관련되지 않거나

ii) 정보주체를 더 이상 식별할 수 없도록 개인정보에 익명처리가 가해진 익명처리정보(anonymous

information)에는 적용되지 않는다. 자연인에 대한 식별가능성 여부를 판단하기 위해서 개인정보처

리자(controller) 또는 제3자에 의하여 합리적으로 사용될 것으로 예상되는 모든 수단이 고려되어야

하고, 그러한 수단이 합리적으로 사용될 것으로 예상되는지를 판단하기 위해서는 식별하기 위해 소

요되는 비용·시간 등 객관적인 요소와 함께 처리 당시 가용한 기술과 기술적 발전을 모두 고려되어

야 한다.29

한편, 국제표준화기구(International Organization for Standardization: ISO)는 의료정보보호를

위한 기술보고서 ‘Health informatics — Pseudonymization’를 발간하였는데, 비식별조치의 이

해에 유용하다.30 동 보고서는 비식별처리(de-identification)를 ‘식별 데이터셋과 정보주체 사이의

연결을 제거하는 과정의 일반용어’(general term for any process of removing the association

between a set of identifying data and the data subject)로 정의한다.31 익명처리는 이러한 비

식별처리의 하부범주로서 ‘식별 데이터셋과 정보주체 사이의 연결을 제거하는 과정’(process that

removes the association between the identifying dataset and the data subject)이다.32 ISO

는 가명처리를 ‘정보주체와의 연결을 제거하고 또한 정보주체에 관련되는 특별한 특징셋과 하나 이

상의 가명 사이의 연결을 추가하는 특별한 유형의 익명처리’(a particular type of anonymization

that both removes the association with a data subject and adds an association between a

particular set of characteristics relating to the data subject and one or more pseudonyms)

라고 정의한다.33 일반적으로 가명처리는 직접 식별자를 무작위로 생성된 가치와 같은 가명

(pseudonym)으로 대체하는데,34 가명은 ‘일반적으로 이용되는 개인 식별자와 다른 개인 식별자

(personal identifier that is different from the normally used personal identifier)’를 의미한다.35

28 GDPR 제4조 제5호.

29 GDPR Recital (26).

30 ISO, ISO/TS 25237:2008 Health informatics — Pseudonymization, (2008.12.01.), available online at: http://

www.iso.org/iso/catalogue_detail?csnumber

=42807 참조. 동 보고서는 익명성의 기본 개념을 정의하고 비식별처리에 따른 개인정보 활용 사례를 설명하고 있다.

31 ISO, Ibid., p.3; Simson L. Garfinkel, “De-Identification of Personal Information 2 - NISTIR 8053” National Institute of

Standards and Technology Internal Report (NISTIR), (2015.10)에서 재인용.

32 ISO, Ibid., p.2; Simson L. Garfinkel, Ibid., p.43에서 재인용. 미국 NIST는 ‘anonymization’ 대신 ‘de-identification’이라고 한다.

33 ISO, Ibid., p.5; Simson L. Garfinkel, Ibid., p.2에서 재인용.

34 Simson L. Garfinkel, Ibid., p.43에서 재인용.

35 ISO, supra note 30, p.5; Simson L. Garfinkel, Ibid., p.43에서 재인용.

15

가명처리의 개념을 이해하기 위하여 직접 식별자(direct identifier)와 간접 식별자 (indirect

identifier)를 구별할 필요가 있다. 직접 식별자와 간접 식별자를 정의하고 있는 ISO 보고서에 따르

면, ‘한 개인을 직접적으로 식별하는 데이터’(data that directly identifies a single individual)’를

의미하는 직접 식별자는 ‘추가적 정보 없이 또는 공역에 있는 다른 정보를 통하여 교차연계하여 사

람을 식별하는데 이용될 수 있는 데이터’(data that can be used to identify a person without

additional information or with cross-linking through other information that is in the public

domain)이다.36 직접 식별자의 예는 이름, 사회보장번호나 이메일주소를 포함한다.37 간접 식별자

는 ‘독립적으로 개인을 식별하지 않지만 추가적 데이터포인트와 결합한다면 개별 신원을 드러낼

수 있는 데이터’(data that do not identify an individual in isolation but may reveal individual

identities if combined with additional data points)’를 의미한다. 예컨대, 생일, 성별 및 우편번호

라는 세 가지 간접 식별자를 결합하는 경우, 미국인의 87.1%가 식별될 수 있다고 한다.38 즉, 생일과

같은 간접 식별자를 단독으로 이용하여 개인을 식별하는 것은 어려워도, 성별과 우편번호라는 다른

간접 식별자를 결합하는 방식으로 특정 개인을 식별할 수 있게 되는 것이다.

가명처리는 이러한 직접 식별자 및 간접 식별자를 제거하거나 모호하게 하는 것이다. 이들 데이터포

인트는 무작위 식별 번호나 다른 가명과 같은 키를 사용하여 비식별화된 데이터베이스에 연계될 수

있는 별개의 데이터베이스에 보관된다. 익명처리와 달리, 가명처리는 추가적인 정보와의 결합을 통

하여 개인을 재식별할 수 있는 위험성을 가지므로,39 그러한 위험성을 감소시키기 위하여 개인정보

처리자는 ‘가명처리의 허가받지 않은 가역’(unauthorized reversal of pseudonymization)을 방지

하는 적절한 안전조치를 이행하여야 한다.40 이러한 안전조치에는 암호화·해싱(hashing)41·토큰화

(tokenization)42와 같은 기술적 조치와,43 협약·정책·프라이버시 중심 설계(privacy by design)와

같은 관리적 조치가 포함된다.44

36 ISO, Ibid., p.3; Simson L. Garfinkel, Ibid., p.15에서 재인용.

37 Simson L. Garfinkel, Ibid., p.15에서 재인용.

38 Latanya Sweeney, “Simple Demographics Often Identify People Uniquely”, Data Privacy Working Paper 3, Carnegie

Mellon University, (2000), p. 16.

39 Gabe Maldoff, “Top 10 operational impacts of the GDPR: Part 8 – Pseudonymization”, (2016.02.12.), available online

at: https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-8-pseudonymization/.

40 GDPR Recital (75).

41 ‘해시 (hash)’는 잘게 자른 조각을 의미하는데, 전산 처리에서 ‘해싱 (hashing)’은 디지털 숫자열을 원래의 것을 상징하는 더 짧은

길이의 값이나 키로 변환하는 것을 의미한다. 기록학용어사전, available online at: http://terms.naver.com/entry.nhn?docId=

441307&cid=42081&categoryId=42081.

42 토큰화는 모바일 결제 시스템에서, 신용카드와 같은 개인 정보를 보호하기 위해 관련 정보를 토큰으로 변환하여 사용하는 방식을

의미한다. IT용어사전, available online at: http://terms.naver.com/entry.nhn?docId=3377367&cid=42346&category

Id=42346

43 Article 29 Data Protection Working Party, supra note 23, pp.20-21.

44 Gabe Maldoff, supra note 39.

16

2) 가명처리 관련 규정

GDPR은 다음과 같이 가명처리를 규율한다. 첫째, GDPR은 정보주체의 위험을 감소시키고 개인정보

처리자의 의무를 충족시키는 기술적 조치로서 가명처리를 장려한다.45 둘째, 가명처리정보를 어떠한

승인 없이 식별가능한 개인정보로 가역(reversal)하는 행위는 금지되고,46 이러한 행위는 개인정보

침해(personal data breach)를 구성한다.47 셋째, 가명처리를 포함한 안전장치(safeguards)는 최

초 수집 목적과 다른 목적의 양립 가능성을 판단하는 고려사항이다.48 넷째, 개인정보처리자는 ‘개인

정보보호 중심 디자인 및 설정’(data protection by design and by default)을 고려하여, 처리의 방

법을 결정하는 시점과 처리 당시 시점에서 가명처리를 포함한 안전장치를 취하여야 한다.49 다섯째,

개인정보처리자와 수탁처리자는 개인정보의 안전한 처리(security of processing)를 위하여 기술

적·관리적 조치를 취할 의무를 가지는데, 가명처리는 이러한 기술적 조치에 해당한다.50 여섯째, 개

인정보처리자를 대표하는 협회나 기타 단체는 행동강령(code of conduct)을 제정함에 있어서 가명

처리에 관한 세부규정을 마련할 수 있다.51 마지막으로, 가명처리는 공익을 위한 기록보존 목적, 과학

또는 역사 연구 목적, 또는 통계적 목적에 따른 개인정보 처리에서 반드시 요구되는 안전장치의 예로

서 명시적으로 언급된다.52

특히, GDPR은 개인정보를 보유하고 있는 개인정보처리자로 하여금 자체적인 가명처리에 따른 개인

정보의 활용을 허용한다. 해설전문 제29항에 따르면 개인정보처리자는 i) 개인을 식별하는데 쓰이는

추가적 정보를 별도로 보관하고, ii) 필요한 기술적·관리적 조치를 취하며, iii) 이를 감독하는 책임자

를 선정하는 경우, 자신이 보유한 개인정보를 스스로 가명처리할 수 있다. 예를 들어, 오픈데이터를

통하여 수집한 식별가능한 개인정보나 제3자로부터 제공받은 개인정보를 가명처리한 후, 해당 가명

처리정보를 통계적 목적에 근거하여 빅데이터 분석기술에 이용하는 것은 GDPR에서 허용된다.

45 GDPR Recital (28), (29).

46 GDPR Recital (75).

47 GDPR Recital (85).

48 GDPR 제6조 제4항.

49 GDPR 제25조.

50 GDPR 제32조.

51 GDPR 제40조.

52 GDPR 제89조.

17

3. 한국의 개인정보보호법

2011년 개인정보보호를 위한 일반법으로서 채택된 개인정보보호법은 국제적으로도 상당히 강력한 개

인정보보호법으로 평가되고, 그만큼 빅데이터 분석기술 등의 활용을 제약하고 있다고 이해된다.

가. 개인정보의 목적 외 이용·제공

개인정보보호법은 제3조에서 개인정보 처리 목적을 명확하게 하고 그 목적에 필요한 범위에서 최소한

의 개인정보만을 처리해야 함을 원칙으로 규정하고 있다. 그러나 개인정보의 활용을 허용할 수 있는 목

적 외 처리 규정과 관련하여 개인정보보호법은 GDPR과 다음과 같은 차이점을 가지고 있다.

첫째, 개인정보보호법 제2조는 개인정보 처리를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유,

가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그밖에 이와 유사한 행위’라고

정의하는데, ‘개인정보의 목적 외 이용·제공 제한’에 관한 제18조는 이러한 처리 중에서 이용과 제공에

국한한다.53 이는 개인정보보호법이 수집(제15조), 제공(제17조), 파기(제21조) 등 특정 유형의 개인정

보 처리를 분리하여 개별적으로 규율하고 있기 때문이다. 물론, 빅데이터 분석기술 등 개인정보의 활용

은 대개의 경우 개인정보의 이용·제공에 해당하겠지만, 개인정보의 목적 외 수집·저장·보유·가공·편집

등이 허용되지 않는다는 점은 개인정보의 활용을 저해하는 결과를 야기할 수 있다.

둘째, 개인정보보호법 제18조에 따라 동 법 제15조 및 제17조의 범위를 초과한 개인정보의 이용 및 제

공은 원칙적으로 금지되지만, 이에 대하여 다음과 같은 예외사유가 존재한다.

53 개인정보보호법 제2조.

18

제18조

제2항

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를

받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고

인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로

개인정보를 제공하는 경우(밑줄 추가)

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는

소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 (공공기관에 한함)

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

(공공기관에 한함)

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 (공공기관에 한함)

8. 법원의 재판업무 수행을 위하여 필요한 경우 (공공기관에 한함)

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 (공공기관에 한함)

제58조

제1항

1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보

2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보

3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보

4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등

고유 목적을 달성하기 위하여 수집·이용하는 개인정보

[표1] 개인정보의 목적 외 제공·이용에 대한 예외

[표1]에서 나타나는 바와 같이, 개인정보보호법은 목적 외 이용·제공에 대한 예외사유를 한정적으로

명시하고 있다. 이는 최초 수집 목적과 양립 가능한 목적에 따른 추가적 처리를 별도의 법적 근거 없이

도 허용하는 GDPR과 대조된다.

공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 근거한 목적 외 처리를 규정한

GDPR과 유사하게, 개인정보보호법 제18조 제2항 제4호는 ‘특정 개인을 알아볼 수 없는 형태로 개인정

보를 제공하는 경우’를 요건으로, ‘통계작성 및 학술연구 등의 목적’에 따른 목적 외 제공을 허용한다. 결

국 정보주체의 동의를 얻지 아니한 개인정보의 활용은 일반적으로 개인정보보호법 제18조 제2항 제4

호에 근거하는 것으로 보아야 할 것이다. 따라서, 빅데이터 분석기술과 관련하여 i) 개인정보의 활용 목

적이 통계작성 및 학술연구 등의 목적에 해당하는지 여부와 ii) 특정 개인을 알아볼 수 없는 형태로 개인

정보가 제공되었는지에 대한 여부에 따라 판단된다 할 수 있겠다.

나. 통계작성 및 학술연구 등 목적

개인정보보호법은 통계작성 및 학술연구의 개념과 범위에 대한 별도의 정의를 내리지 않는다. 다만 ‘통

계작성 및 학술연구 등’이라는 문언에 따라 비단 통계와 연구 목적이 아니라하더라도 제18조 제2항 제

19

4호의 취지에 부합하는 다른 목적의 제공이 존재할 수 있을 것이다.

GDPR과 비교하여, 통계작성 및 학술연구 등 목적에 따른 목적 외 제공·이용에는 다음과 같은 차이

점이 존재한다. 첫째, 개인정보보호법 제18조 제2항 제4호는 ‘특정 개인을 알아볼 수 없는 형태로 개

인정보를 제공’할 것을 요구한다. 이와 달리, GDPR 제89조 제1항은 공익을 위한 기록보존 목적, 과

학 또는 역사 연구 목적, 통계적 목적에 따른 개인정보 처리에 있어서 ‘적절한 안전장치’(appropriate

safeguards)가 반드시 확보되어야 함을 규정하며, 가명처리가 이러한 안전장치에 포함된다.

둘째, 개인정보보호법은 제18조 제2항 제4호 외에는 통계작성 내지 학술연구 목적과 관련되는 규정을

두고 있지 않다. 즉, 개인정보보호법은 제18조 내에서 목적 외 제공을 가능하게 하는 예외사유로서 통

계작성 및 학술연구 등 목적을 규정할 뿐, 이와 관련된 다른 조항을 두고 있지 않다. 이와 달리, GDPR은

공익을 위한 기록보존 목적, 과학 또는 역사 연구 목적, 통계적 목적에 따른 목적 외 처리는 개인정보의

활용이라는 측면에서 가명처리의 안전장치와 함께 보다 자세하게 규정하고 있다.

다. 익명처리와 가명처리

개인정보보호법은 가명처리를 고려하고 있지 않는 것으로 보인다. 첫째, 개인정보보호법은 익명처리와

달리 가명처리라는 용어를 사용하지 않는다. 다만, 동 법 제2조는 ‘해당 정보만으로는 특정 개인을 알아

볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것’을 개인정보에 포함하는데, 이는 GDPR에

서 정의하고 있는 가명처리정보와 결과적으로 매우 유사하다. 즉, GDPR의 가명조치는 ‘개인정보가 추

가적 정보의 이용 없이 특정 정보주체에게 더 이상 귀속될 수 없는 방식으로 개인정보의 처리’를 의미

한다. 둘째, 개인정보보호법은 제3조 7항에서 “개인정보처리자는 개인정보의 익명처리가 가능한 경우

에는 익명에 의하여 처리될 수 있도록 하여야 한다”라고 규정하여 익명처리를 명시적으로 권고하고 있

다.54 즉, 비식별화조치와 관련하여 개인정보보호법은 익명처리를 명시한다. 그러나, 동 법은 익명처리

의 구체적 내용 등에 관하여 규정하지 않는다. 셋째, 개인정보보호법 제18조 제2항 제4호의 ‘특정 개인

을 알아볼 수 없는 형태로 개인정보를 제공하는 경우’라는 문구가 가명처리 또는 익명처리를 의미하는

것인지 명확하지 않다. 그런데, ‘표준 개인정보 보호지침’(이하 표준지침) 제8조 제4항은 “개인정보처리

자가 법 제18조 제2항 제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여

서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다”라고 규정하고 있다.55 이 점에서 개인정보보

54 개인정보보호법 제3조 7항은 개인정보보호 원칙으로서 익명처리를 권고하고 있으나, 이러한 익명처리가 언제, 누구에 의하여,

어떻게 처리되어야만 하는지에 대한 관련 규정은 존재하지 않는다.

55 2011년 채택된 표준지침은 2016년 개정되었는데, 조문 번호만 변경된 제8조 제4항은 개정되지 않았다.

20

호법 제18조 제2항 제4호에서 요구하는 개인정보 처리는 가명처리가 아닌 익명처리로 보는 것이 타당

하다. 이러한 맥락에서, 현행 개인정보보호법이 GDPR에서 중점적으로 규정하고 있는 가명처리를 반영

하고 있다고 보기는 어려울 것이다.56

라. 개인정보보호법 제18조 제2항 제4호에 따른 빅데이터 분석기술 활용 가능성

빅데이터 분석기술을 포함한 개인정보의 활용이 개인정보보호법 제18조 제2항 제4호에 근거하여 허

용될 수 있는지 아래와 같이 판단될 수 있을 것이다. 우선, 개인정보의 활용에 있어서 가장 큰 걸림돌로

서 작용하는 것은, 개인정보보호법 제18조 제2항 제4호가 목적 외 ‘제공’만을 허용하고 있는 점이다. 이

는 목적 외 처리를 허용하는 GDPR 및 목적 외 이용·제공에 관한 제18조 제2항에 규정된 다른 예외사

유와도 차이를 보인다. 즉, GDPR과 달리, 개인정보보호법은 학술 연구 및 통계 목적 등에 따른 개인정

보의 ‘이용’을 허용하고 있지 않다. 동 법 제18조 제2항이 ‘목적 외’ 이용·제공이라는 예외를 규정하는

점에서 이러한 예외는 제한적으로 허용되어야 할 것이고, 따라서 명시적으로 ‘이용’이 규정되지 않은 의

미가 인정되어야 할 것이다. 이에 따라 개인정보처리자가 식별가능한 개인정보파일을 보유하고 있는

상황에서, 자체적인 비식별조치를 거친 후에도 수집 목적 외의 목적으로 개인정보를 활용하는 것은 허

용되지 않는 것으로 해석될 수 있다.57 따라서 목적 외 제공만을 허용하는 개인정보보호법 제18조 제2

항 제4호는 빅데이터 분석기술에서 개인정보처리자의 자발적이고 자율적인 개인정보 활용을 금지하

는 것으로 볼 수 있다. 동 규정에 따르면, 해당 개인정보를 익명처리하는 자는 제공자이지만, 정작 학술

연구 또는 통계 목적에 따라 개인정보를 활용하는 자는 제공받는 자가 된다.

개인정보보호법 제18조 제2항 제4호에서 명시된 ‘특정 개인을 알아볼 수 없는 형태’의 정보가 익명처

리정보인지 가명처리정보인지에 대한 여부는 개인정보보호법 적용 여부와 실무상 빅데이터 분석기술

의 허용 여부를 결정하는 관건이 된다. 여기서 i) 동 호가 개인정보의 ‘이용’을 규정하지 않고, ‘제공’만을

규정한다는 점과 ii) 표준지침 제8조 제4항이 “다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는

형태로 제공하여야 한다”라고 규정하고 있다는 점은 이러한 정보가 익명처리정보에 가깝다는 결론을

내리게 한다.

만약 제공받은 자가 이용하는 정보가 개인정보보호법 제2조에 따라 개인정보에 해당하는 가명처리정

보라면, 제공받은 자의 학술 연구 및 통계 목적에 따른 ‘가명처리정보의 이용’이 명시적으로 규정되어야

할 것이다. 그러나 동 법 제18조 제2항 제4호는 학술 연구 및 통계 목적에 따른 가명처리정보의 이용을

56 2016년 6월 30일 공개된 정부의 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’(이하 ‘2016년

가이드라인’이라 함)가 익명처리를 주된 내용으로 하는 것은 이러한 맥락에서 이해될 수 있다.

57 GDPR Recital (29) 참조. 그러나, 익명처리정보는 개인정보보호법의 적용을 받지 않는 점에서 개인정보처리자는 스스로

개인정보보호법의 적용을 받지 않는 익명처리정보를 만들어서 직접 이용할 수 있다는 주장도 가능할 것이다.

21

규정하는 것으로 보기는 어렵다. 제공받은 자의 학술 연구 및 통계 목적에 따른 정보의 ‘이용’을 개인정

보보호법이 규율하지 않는 이유는, ‘특정 개인을 알아볼 수 없는 형태로’ 제공된 정보가 개인정보보호법

제2조에 따른 개인정보에 해당하지 않는, 즉 동 법의 적용을 받지 않는 익명처리정보에 해당한다는 판

단에 따른 것이라고 추측할 수 있다. 개인정보보호법의 적용을 받지 않는 익명처리정보의 이용은 개인

정보보호법의 규율 대상이 아니기 때문이다. 이러한 입법 의도는 표준지침 제8조 제4항에 의하여 확인

될 수 있다.

전술한 바와 같이, GDPR에 따라 개인정보처리자는 추가적 정보의 별도 보관, 안전장치, 담당자 지정이

라는 세 가지 요건을 충족하는 경우, 자신이 보유하고 있는 개인정보를 스스로 가명처리할 수 있다. 이

와 달리, 개인정보보호법상 개인정보처리자는 자신이 보유하고 있는 개인정보를 스스로 가명처리한

후, 이를 목적 외 이용하는 것이 허용되지 않는다. 개인정보처리자는 자신이 보유하고 있는 개인정보를

활용하기 위해서 해당 정보를 익명처리하는 경우를 상정할 수 있지만, 개인정보보호법은 익명처리에

관한 세부 규정을 두지 않는다.

4. 미국 및 일본의 개인정보보호법제

빅데이터 분석기술을 허용하는 방식에는 크게 두 가지 방식이 존재한다 할 수 있다. 첫 번째 방식은 개

인정보를 최초 수집 시 목적이 아닌 추가 목적에 따라 목적 외 처리하도록 허용하는 것이다. 두 번째 방

식은 개인정보를 비식별처리하여 해당 정보가 더 이상 해당 법의 적용을 받지 않게 하는 것이다. GDPR

은 가명처리정보와 익명처리정보를 구분하여, 개인정보에 해당하는 가명처리정보는 일정한 법률요

건을 충족하는 경우 목적 외 처리로서 허용하고, 개인정보에 해당하지 않는 익명처리정보의 활용은

GDPR의 적용을 배재함으로써 상기 두 가지 접근 방식을 모두 취한다고 볼 수 있다.58

이와 달리, 미국의 ‘비식별정보’(de-identified data) 및 일본의 ‘익명가공정보’는 개인정보에 해당하지

않아서 자유로운 이용과 제공이 가능하여서, 이들 두 국가는 빅데이터 분석기술 등 개인정보의 활용을

위하여 후자의 접근 방식을 취하고 있는 것으로 보인다. 다시 말해, 이러한 비식별처리, 특히 익명처리

에 따른 빅데이터 분석기술의 허용은 관련 개인정보보호법제의 테두리 안에서 규율되는 것이 아니라,

해당 법의 적용범위를 벗어나게 하여 허용되는 것이다.

58 GDPR Recital (26).

22

가. 미국의 비식별조치

미국은 한국, 유럽연합, 일본과 달리 개인정보보호를 규율하는 일반법을 두지 않는다. 그런데, 개인정보

의 비식별화에 관하여 적어도 다음 두 가지 대표적인 입법예가 있다.

1) HIPAA 프라이버시 규칙

1966년 ‘건강보험 이동성 및 책임의 법’(Health Insurance Portability and Accountability Act:

HIPAA)의 프라이버시 규칙(Privacy Rules)은 ‘보호받는 건강정보’ (protected health information:

PHI)의 비식별화를 위한 두 가지 접근을 하고 있다.59 첫째 접근은 전문가결정 방식이고, 둘째 접근은

세이프하버 방식이다.60 물론 두 가지 접근은 재식별화(re-identification)의 위험이 없는 완전한 비

식별화 방식이 되지는 못한다. 대신에 이들 두 가지 접근은 재식별의 낮은 위험으로 비식별화된 건강

정보를 만들어서 공유하도록 하여 실용적이도록 의도된다.61

동 규칙의 보호대상인 PHI는 의료서비스제공자(health care providers) 등 동 규칙에 따라 건강정

보 보호 의무를 가지는 개인정보처리자(covered entity)가 보유하거나 전송하는 ‘개별적으로 식별

가능한 건강정보’(individually identifiable health information)를 의미한다.62 여기서 ‘개별적으

로 식별가능한 건강정보’는 개인의 과거, 현재 또는 미래의 신체적·정신적 건강 또는 상태, 개인에 대

한 의료서비스의 제공, 개인에 제공된 의료서비스의 과거, 현재 또는 미래의 납입과 관련하여 i) 개인

을 식별할 수 있는 정보 또는 ii) 합리적인 이유에 의하여 개인을 식별하기 위하여 이용될 것이라 믿을

수 있는 정보를 의미한다.63 개별적으로 식별가능한 개인정보는 이름, 주소, 생년월일, 사회보장번호

(Social Security Number) 등 여러 식별인자를 포함한다. 다만, ‘가족 교육권 및 프라이버시에 관한

법’(Family Educational Rights and Privacy Act)의 적용을 받는 근로기록(employment records)

등은 HIPAA 프라이버시 규칙의 적용을 받지 않는다.64

HIPAA 프라이버시 규칙은 개인의 PHI가 어떠한 상황에서 이용되거나 공개될 수 있는지에 대하여 관

련 기준을 정하고 이를 제한하는데 주된 목적이 있다. 동 규칙에 따라 개인정보처리자는 첫째, 동 규

59 HIPAA는 동 법률이 발효된 이후 3년 이내에 미국 의회가 프라이버시 관련 법률을 입법하지 않는 경우, 보건복지부 장관으로 하여금

개인을 식별할 수 있는 건강정보에 대한 관련 프라이버시 규칙을 공표할 것을 요구하고 있다. 이에 따라 HIPAA 프라이버시 규칙은

HIPAA가 발효된 후 상기 기간 동안 의회가 관련 입법을 채택하지 않았음을 근거로 보건복지부가 채택하였다.

60 각각 45 CFR §164.514(b)(1) 및 §164.514(b)(2) 참조.

61 Simson L. Garfinkel, supra note 31, p.22.

62 45 CFR §160.103.

63 45 CFR §160.103.

64 Family Educational Rights and Privacy Act, 20 USC §1232g.

23

칙이 허용하거나 요구하는 경우, 또는 둘째, 해당 정보의 대상이 되는 개인 또는 그의 대리인이 서면

형식으로 승인하는 경우에 한하여 PHI를 처리할 수 있다.65 또한 의료정보처리기관은 개인 또는 그의

대리인이 해당 개인의 PHI에 대하여 접근을 요구하는 경우 이를 공개해야 하고, 조사·검토·법집행과

관련된 의무 준수를 위하여 필요한 경우 해당 정보를 보건복지부에 공개해야 한다.66 PHI의 의무적

공개는 오직 상기 두 경우에 국한된다

① 전문가결정 방식

전문가결정 방식(Expert Determination Method)에 따라 전문가가 데이터를 검토하고 재식별화의

위험을 최소화하는 비식별화의 적절한 수단을 결정한다. 이에 관하여 프라이버시 규칙 은 다음과 같이

규정한다. 정보를 개인적으로 식별하지 못하게 하는 일반적으로 수락된 통계와 과학적 원칙과 수단의

적절한 지식과 경험을 가진 자가 이러한 원칙과 수단을 적용하여, 예견된 수령인이 단독으로 또는 다

른 합리적으로 이용가능한 정보와 결합하여 정보의 주체인 개인을 식별하도록 정보가 이용되는 위험

이 아주 작게 결정하고, 또한 이러한 결정을 정당화하는 분석의 방법과 결과를 기록하는 것이다.

그런데, 프라이버시 규칙이나 보건복지부 시민권국(Department of Health and Human Services

Office of Civil Rights)의 이행가이드는 전문가의 자격이나 기준을 제시하지 않고 또한, 전문가를 이

용하는 기관이 전문가결정을 공개하거나 전문가결정이 내려졌다는 것을 인정하기 위한 요건을 제시

하지 않는다.67 이들은 어떻게 재식별화 위험이 계산되어야 하거나 계량화되어야 하는지를 제시하지

않고, 또한 ‘아주 작아야’(very small) 한다는 것 이외에 재식별화의 최소 허용된 위험을 제시하지 않

는다.

전문가결정 접근은 전문가가 ‘일반적으로 수락된 통계 및 과학적 원칙과 수단’(generally accepted

statistical and scientific principles and methods)을 알고 이용해야 할 것을 제시한 점에서 통계적

공개통제(disclosure control)와 비식별화 수단에 대한 관련 문헌의 이해가 요구될 것이다. 비식별화

와 위험 수준의 강한 선례가 존재하므로, 효과적인 비식별화 수단으로서 이용될 것이라고 한다.68

65 45 CFR §164.502(a).

66 45 CFR §164.502(a)(2).

67 Office of Civil Rights, “Guidance Regarding Methods for De-identification of Protected Health Information in

Accordance with the Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule”, US Department

of Health and Human Services, (2012.11.26.), available online at: http://www.hhs.gov/ocr/privacy/hipaa/

understanding/coveredentities/De-identification/guidance.html 참조.

68 Federal Committee on Statistical Methodology, “Statistical Policy Working Paper 22 (Second version, 2005):

Report on Statistical Disclosure Limitation Methodology”, (2005.12), available online at: https://fcsm.sites.usa.gov/

files/2014/04/spwp22.pdf.

24

② 세이프하버 방식

세이프하버 방식(Safe Harbor Method)은 해당 기관이 ‘개인이나 친척, 고용주, 또는 개인의 가

족’(individual or relatives, employers, or household members of the individual)에 대한 데

이터의 18개 특정 유형을 제거하여 데이터의 비식별조치를 허용한다. 18개 특정 유형은 다음과 같

다: “(A) 성명; (B) 주(state) 보다 작은 모든 지리적 행정구역으로서, 거리 주소(street address), 시

(city), 카운티(county), 지구(precinct), 우편번호(ZIP code) 및 그와 동등한 지오코드(geocode)를

포함하나, 통계국(Bureau of the Census)의 현재 공개적으로 이용가능한 데이터에 따라 (i) 앞 세

자리가 동일한 모든 우편번호를 조합하여 형성된 지리적 단위가 20,000명 보다 많은 수를 포함하

고, (ii) 20,000명 이하의 수를 포함하는 이러한 모든 지리적 단위의 우편번호의 앞 세 자리가 000으

로 변경되면 우편번호의 앞 세 자리는 제외됨; (C) 생일, 입원일, 퇴원일, 사망일을 포함하여 개인에

직접적으로 관련되는 일자에 대한 일자 (년을 제외)의 모든 요소, 및 89세 보다 많은 모든 연령과 이

러한 나이를 나타내는 일자 (년을 포함)의 모든 요소, 단, 90세 이상의 단일 범주로 종합할 수 있는 연

령 및 요소는 제외; (D) 전화 번호; (E) 팩스 번호; (F) 이메일주소; (G) 사회보장번호; (H) 의료기록번

호 (Medical record numbers); (I) 의료보험(Health Plan) 수혜자 번호; (J) 계좌번호; (K) 자격증/면

허 번호; (L) 차량 번호판 번호 포함한 차량 식별자 및 일련번호; (M) 기기 식별자 및 일련번호; (N) 웹

URL(Universal Resource Locator); (O) 인터넷프로토콜(IP)주소; (P) 지문이나 성문(voiceprint)을

포함한 생체인증 식별자; (Q) 얼굴 전체의 사진 및 그와 유사한 이미지; (R) 기타 고유한(unique) 식

별 번호, 특징 또는 코드.

세이프하버 방식은 전문가결정 방식에 비해 규칙을 직접적으로 적용할 수 있고 과정을 반복할 수

있으며 합법적으로 비식별화된 정보집합(dataset)이라는 알려진 결과의 가능성을 제공한다. 어떠

한 방식을 사용하더라도, 비식별조치를 수행하는 기관(covered entity)은 ‘정보주체인 개인을 식

별하기 위하여 정보를 단독으로 또는 다른 정보와 결합하여 사용될 수 있다는 실제적 지식을 가지

고 있지’ 않아야 한다.69 그러나 보건복지부는 단순히 재식별 기법의 존재를 아는 것은 ‘실제적 지

식’(actual knowledge) 기준에 부합하지 않는다는 특별 지침을 내렸다. 즉, 해당 기관이 개인을 식별

하기 위하여 보건정보를 재식별하는 방법에 관한 특정 연구를 알거나 비식별화된 보건정보를 단독

으로 또는 다른 정보와 결합하여 이용하는 것이 필연적으로 해당 기관이 세이프하버 방식에 따른 실

제적 지식을 갖고 있음을 의미하는가에 대하여 보건복지부는 다음의 답을 제시하였다.70 즉, 건강정

보를 식별하는 특정 방법으로 정보를 결합하는 일정한 분석기술과 정량화 능력을 가진 연구자들의

69 45 CFR §164.514(c).

70 Office of Civil Rights, supra note 67, p.28.

25

능력에 관한 많은 자료가 있다.71 개인을 식별하기 위하여 해당 기관은 나머지 정보를 식별하는 방법

에 관한 연구나 비식별화된 정보를 단독으로 또는 다른 정보와 결합하여 이용하는 연구를 알고 있을

수 있다. 그러나, 동 기관의 이러한 연구와 방법의 단순한 지식은 그 자체로서 동 기관이 공개하고 있

는 데이터와 함께 이러한 방법이 이용될 것이라는 실제적 지식을 갖고 있음을 의미하지 않는다. 보건

복지부 시민권국(OCR)은 해당 기관이 비식별화된 데이터의 모든 잠재적 수령자들의 이러한 능력을

추정할 것으로 기대하지 않는다고 한다. 이는 세이프하버 방식의 의도와 일치하지 않는데, 동 방식은

해당 기관에게 해당 정보가 적당하게 비식별화되었는지를 결정하는 간단한 방식을 제공하기 위한

것이기 때문이다.72

PHI를 포함하는 데이터와 비식별화된 데이터에 추가하여, HIPAA 프라이버시 규칙은 ‘제한된 정보

집합’(limited datasets)이라는 세 번째 유형의 데이터를 인정한다. 프라이버시 규칙에 따르면, 제

한된 정보집합은 부분적으로 비식별화되었지만 여전히 날짜, 시(city), 주(state), 우편번호, 및 연령

을 포함한다. 이러한 데이터는 PHI로 간주되지만, 해당 데이터를 공유하는 기관이 ‘데이터 이용 합

의’(data use agreement)를 실행하면, 연구, 공중보건, 의료보험 운영을 위하여 공유될 수 있다. 데

이터 이용 합의는 최소한 안전 보호조치(security safeguards)를 요구하고, 해당 데이터의 모든 이

용자가 유사하게 제한될 것으로 요구하며, 재식별, 허가 없이 다른 데이터와의 연결, 및 정보주체와

의 접촉을 금지하면 된다.73

2) FCC의 2016년 ISPs의 프라이버시 규칙

미국 연방통신위원회(Federal Communications Commission: FCC)는 2016년 10월 27일 브로

드밴드 제공자들, 즉 인터넷서비스 제공자들(internet service providers: ISPs)이 그들 가입자들

의 웹브라우징, 앱 이용, 위치 및 금융 정보에 대한 수집 및 제공에 대하여 그들 가입자들, 즉 소비자

의 동의를 요구하는 ‘브로드밴드 소비자 프라이버시 규칙’(Broadband Consumer Privacy Rules:

71 예컨대, Bradley Malin and Latanya Sweeney, “How (not) to protect genomic data privacy in a distributed network:

using trail re-identification to evaluate and design anonymity protection systems”, Journal of Biomedical Informatics,

Vol.37, Issue 3, (2004. 6), pp. 179-192; Latanya Sweeney, “Data sharing under HIPAA: 12 years later,” A presentation

at the Workshop on the HIPAA Privacy Rule’s De-Identification Standard, Washington, DC., (2010.03.08-09) 참조.

72 Office of Civil Rights, supra note 67, p.28.

73 U.S. DEPARTMENT OF HEALTH AND HUMAN SERVICES National Institutes of Health, “How Can Covered Entities

Use and Disclose Protected Health Information for Research and Comply with the Privacy Rule?,” available online at:

http://privacyruleandresearch.nih.gov/pr_08.asp.

26

BCPR)을 채택하였다.74

ISPs가 제공하는 서비스의 가입자, 즉 소비자는 동 서비스를 이용함으로써 ISPs에 자신의 매우 민

감한 개인정보를 포함한 개인정보를 전달하고 있다. ISPs는 자신의 인터넷 연결을 통과하는 이러

한 소비자의 브라우징 습관 등 상당한 분량의 개인정보를 들여다 볼 수 있다. 소비자가 자신과 자

신의 아동의 프라이버시를 보호하기 위하여 이러한 개인정보가 이용되고 공유되는 방식에 대한 결

정을 내릴 권리를 가져야 한다고 판단한 FCC는 ‘개방 인터넷 명령’(Open Internet Order)을 통하

여 브로드밴드 인터넷 접속 서비스를 통신서비스로 재분류한다. 통신법(Communications Act)

Section 222는 통신사업자가 소비자 정보의 프라이버시를 보호하도록 요구하는데, BCPR은 통신

법 Section 222가 규정한 프라이버시 요건을 이행하기 위하여 채택된 것이다. 소비자는 ISPs가 자

신의 개인정보를 수집하여 이용하고 공유함에 대한 ‘고지된 결정’(informed decisions)을 함으로써

자신의 개인정보 이용에 대하여 보다 큰 통제를 할 수 있게 된다.75 즉, BCPR은 ISPs가 소비자의 개

인정보를 이용하고 공유함에 있어서 소비자의 동의를 요구하는 체제를 수립하는데, 동 체제는 개인

정보의 민감성에 따른다.76 이렇게 소비자 동의를 요구하는 접근은 연방거래위원회(Federal Trade

Commission: FTC)와 미국 행정부의 ‘소비자 프라이버시 권리장전’(Consumer Privacy Bill of

Rights: CPBR)의 접근과 일치한다고 한다.77

BCPR은 브로드밴드서비스 제공자와 다른 통신사업자에게 적용된다. BCPR은 음성서비스 (voice

services)에도 적용되어, ‘과금기록정보’(call-detail record information)를 민감한 정보로 다룬다.

그러나, BCPR은 FTC의 관할권 아래 ‘에지 서비스’(edge services)와 웹사이트의 프라이버시 관행

에 적용되지 않는다. 따라서, 트위터(Twitter)나 페이스북(Facebook)과 같은 웹사이트나 앱의 프라

이버시 관행에는 적용되지 않는다. 또한, BCPR은 소셜미디어 웹사이트의 운영이나 정부의 감청, 암

호화 및 법집행과 같은 문제를 포함한 브로드밴드 제공자의 다른 서비스에 적용되지 않는다.

74 FCC News, “FCC adopts Privacy Rules to give broadband consumers increased choice, transparency and security for

their personal data”, (2016.10.27.), available online at: http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/

db1027/DOC-341937A1.pdf. p.1. 동 결정은 Wheeler 위원장, Rosenworcel 위원의 찬성, Clyburn 위원의 일부 찬성 및 Pai

위원과 O’Rielly 위원의 반대로 확정되었다. 동 프라이버시 규칙의 원문은 다음을 참조: FCC, ”In the Matter of Protecting

the Privacy of Customers of Broadband and Other Telecommunications Services (WC Docket No. 16-106) Notice

of Proposed Rulemaking” FCC 16-39, (2016.04.01.), available online at: https://apps.fcc.gov/edocs_public/

attachmatch/FCC-16-39A1.pdf.

75 FCC는 이미 전화네트워크에 대한 소비자의 프라이버시를 보호하고 있었다.

76 이렇게 개인정보가 이용되는 방법이 아니라 개인정보의 민감성에 대한 연계는 소비자의 기대에 부응한다고 한다. FCC, “Fact

Sheet : The FCC adopts order to give broadband consumers increased choice over their personal information,“

(2016.10.27.), p.2, available online at: http://transition.fcc.gov/Daily_Releases/Daily_Business/2016/db1027/DOC-

341938A1.pdf.

77 FCC News, supra note 74, p.1.

27

빅데이터 분석기술과 관련하여 BCPR의 중요한 의의는 개별적인 소비자나 기기와 더 이상 연계되

지 못하도록 변경된, 즉 비식별화된 개인정보(de-identified information)를 의미하는 ‘총합적 소

비자 사유 정보’(aggregate customer proprietary information)를 규정한 것이다. 동 정보는 개

별 소비자 신원과 특징이 제거된 일정한 그룹이나 범주의 서비스나 소비자에 관련되는 집단데이터

(collective data)를 의미한다.78 이러한 정보의 이용과 공유는 원칙적으로 다른 개인정보와 달리 프

라이버시 문제를 야기하지 않을 것이다. 따라서 ISPs는 일반적인 소비자 데이터에 대한 동의 체제의

밖에서 이러한 비식별화된 개인정보, 즉 ‘총합적 소비자 사유 정보’를 이용하고 공유할 수 있다.

① 개인정보 이용과 공유의 세 가지 범주

BCPR은 소비자의 개인정보 이용과 공유를 세 가지 범주로 구별하는데, 소비자의 개인정보에 대한

투명성, 선택 및 보안 요건에 관하여 ISPs와 소비자에게 분명한 지침을 준다고 한다.79 첫째, 민감한

개인정보에 대한 옵트인 승인이다.80 ISPs는 소비자의 민감한 ‘사유 정보’(proprietary information)

를 이용하고 공유하기 위하여 소비자의 ‘긍정적인, 명시적인 동의’(affirmative, express consent),

즉 ‘옵트인’(opt-in) 동의를 얻어야 한다. BCPR이 명시한 민감한 개인정보는 휴대전화나 다른 기기

의 실제 위치와 같은 ‘정확한 지리위치’(precise geo-location), 금융정보, 건강정보, 아동의 정보

(children’s information), 사회보장번호, 웹브라우징기록(web browsing history), 앱이용기록

(app usage history) 및 통신내용(content of communication)을 포함한다.

둘째, 민감하지 않은 개인정보에 대한 옵트아웃 승인이다.81 위의 민감한 개인정보가 아닌 다른 모

든 개별적으로 식별가능한 소비자의 개인정보에 대하여 ISPs는 소비자가 옵트아웃 (opt-out) 하

지 않으면 이러한 개인정보를 이용하고 공유할 수 있다. 이메일주소와 서비스단계정보(service tier

information)와 같은 개인적으로 식별가능한 소비자의 정보는 민감하지 않다고 간주될 것이어서,

이러한 정보의 이용과 공유는 소비자의 기대에 일치하여 옵트아웃 동의를 받으면 된다.

셋째, 동의 요건에 대한 예외이다.82 브로드밴드서비스의 제공이나 동 서비스에 대한 계산청구와 징

수, 브로드밴드 제공자 네트워크의 기망적 이용으로부터 브로드밴드 제공자와 그 소비자의 보호, 소

비자가 이용하는 브로드밴드서비스와 함께 판매되는 서비스와 장치를 제공하고 판매하기 위한 민감

하지 않은 개인정보의 이용과 공유와 같이 법에 규정된 일정한 목적으로는 소비자의 동의가 추론된

78 47 CFR §64.7000(a).

79 FCC News, supra note 74, p.1; FCC, supra note 76, p.2.

80 47 CFR §64.7002(f) 및 47 CFR §64.7000(h).

81 47 CFR §64.7002(e) 및 47 CFR §64.7000(i).

82 47 CFR §64.7002(a).

28

다. 이러한 정보의 이용을 위하여 소비자-ISP 관계의 창설을 벗어나서 추가적인 소비자 동의가 요구

되지 않는다.

② BCPR의 다른 요건

위의 세 가지 요건 이외에 BCPR은 다음과 같은 요건도 포함한다. 첫째, 투명성 요건이다.83 ISPs는

소비자에게 수집한 정보, 동 정보가 어떻게 이용될 수 있으며 동 정보가 공유될 수 있는 자 및 소비자

가 자신의 프라이버시 선호도를 변경할 수 있는 방법에 대한 분명하고, 뚜렷하며 부단한 고지를 제공

해야 한다. 모바일브로드밴드 또는 고정브로드밴드를 제공하는 ISPs는 소비자에 대한 어떤 유형의

정보를 수집하는지 소비자에게 고지하고, 동 정보를 어떻게 무슨 목적으로 이용하고 공유하는지 명

시하며, 동 정보를 공유하는 자의 부류를 확인하여야 한다. 따라서, ISPs는 이러한 정보를 소비자가

서비스 이용에 서명할 때 고지하고, ISPs의 프라이버시정책이 상당하게 변경될 때 소비자에게 고지

하며, 이러한 정보는 부단하게 ISPs의 웹사이트나 모바일 앱에서 이용가능하여야 한다.84

둘째, 데이터 보안의 요건이다.85 브로드밴드서비스 제공자는 ISPs가 취해야 하는 것으로 고려해

야 하는 조치에 대한 지침과 합리적인 데이터 보안 관행을 수행해야 한다. FTC와 NIST의 보안요건

에 일치하여, 이러한 조치는 관련 산업의 모범관행의 시행, 적절한 책임의 제공과 보안 관행에 대

한 적절한 감시, 강력한 소비자 인증 장치의 시행, 및 FTC의 모범관행과 ‘소비자 프라이버시 권리장

전’(CPBR)에 일치하는 데이터의 적절한 처리를 포함한다.86

셋째, 상식적인 개인정보 침해 통지 요건이다.87 소비자는 자신의 개인정보가 침해되었을 때를 알 권

리를 가진다. ISPs가 소비자 데이터의 비밀성을 보호하고, 이렇게 보호하는데 실패한 것을 소비자와

법집행기관에게 통지하는 것을 권장하는데 필요한 ‘상식적인 개인정보 침해 통지’(common sense

data breach notification)가 요구된다.88 이러한 통지의 요구는 ISPs가 소비자의 개인정보가 불

법적으로 공개되었다고 결정할 때 발동되는데, ISPs가 합리적으로 피해가 발생하지 않을 것이라

고 결정하는 경우는 제외된다. 보고해야 하는 침해가 발생하면, ISPs는 다음의 조치를 취해야 한다:

i) ISPs는 피해를 입은 소비자에게 침해를 동 침해의 합리적 결정 후 30일이 경과하지 않는 가능한

한 조속하게 통지해야 한다; ii) FCC, FBI 및 비밀경호국(U.S. Secret Service)에게 5천명 이상의 소

83 47 CFR §64.7001.

84 FCC는 소비자자문위원회(Consumer Advisory Committee: CAC)로 하여금 자발적인 표준적 프라이버시 고지 형식을 개발하게

할 것이다.

85 47 CFR §64.7005.

86 데이터 보안 요건은 연방관보(Federal Register)에 BCPR의 요약이 게시된 90일 후 발효한다.

87 47 CFR §64.7006.

88 47 CFR §64.2011. 데이터 침해 통지 요건은 연방관보에 BCPR의 요약이 게시된 6개월 후 발효한다.

29

비자에게 영향을 주는 침해를 동 침해의 합리적 결정 후 7 근무일 보다 늦지 않게 통지하여야 한다;

iii) 5천명 미만의 소비자에게 영향을 주는 침해의 경우 해당 소비자에게 처음 통지되는 것과 동시에

FCC에 통지하여야 한다.

넷째, 금전적 유인으로부터의 소비자 보호이다. ISPs는 브로드밴드서비스 제공을 소비자의 법령이

보장한 프라이버시 권리의 포기 약속을 조건으로 하는 것이 금지된다.89 소비자의 개인정보의 이용

과 공유에 대한 명시적인 긍정적 동의를 대가로 할인이나 다른 유인을 제공하는 소위 ‘프라이버시 지

불’(pay for privacy)의 제의에 대하여, FCC는 서비스 가격을 프라이버시 보호에 관련시키는 프로

그램의 정당성을 사안별로 검토할 것이다.90 따라서 소비자는 부풀어진 가격의 지불과 프라이버시의

유지 사이에서 선택을 강요받지 않게 된다. 또한, ‘하거나 말거나’(take-it-or-leave-it) 제안이 금지

되어서, ISPs는 상업적 목적으로 자신의 개인정보의 이용과 공유에 동의하지 않는 소비자에게 서비

스를 제공하는 것을 거부할 수 없다.91

③ ‘총합적 소비자 사유 정보’의 보호

개별적인 소비자나 기기와 더 이상 연계되지 못하도록 변경된, 즉 비식별개인정보(de-identified

information)의 이용과 공유는 원칙적으로 일반적인 개인정보와 달리 프라이버시 문제를 야기하

지 않을 것이다. 따라서 ISPs는 일반적인 소비자 데이터에 대한 동의 체제의 밖에서 비식별개인정보

를 이용하고 공유할 수 있다. BCPR에서 이러한 비식별개인정보를 의미하는 ‘총합적 소비자 사유 정

보’(aggregate customer proprietary information)는 개별 소비자의 신원과 특징이 제거된 일정

한 그룹이나 범주의 서비스나 소비자에 관련되는 집단데이터(collective data)를 의미한다.92

그럼에도 ISPs는 이러한 비식별화된 개인정보, 즉 ‘총합적 소비자 사유 정보’를 용이하게 재식별할

수 있는 기술적 능력과 그러한 유인을 가질 수 있다. ISPs가 BCPR의 동의 체제 밖에서 개인정보의

이용과 공유에서 비식별화(de-identification)에 의지하려 한다면, 재식별화(re-identification)를

방지하기 위하여 2012년 FTC가 처음 개발한 시험을 충족해야 할 것이다.93 즉, ISPs는 첫째, ‘총합적

소비자 사유 정보’가 특정 개인에게 합리적으로 연결되지 않는다고 결정하고, 둘째, ‘총합적 소비자

사유 정보’를 개별적으로 식별될 수 없는 형식으로 유지하고 또한 동 정보를 재식별하지 않는다고 공

개적으로 약속하며, 셋째, ‘총합적 소비자 사유 정보’를 공개하거나 접근하도록 허가한 자가 동 정보

89 47 CFR §64.7004.

90 FCC, supra note 76, p.3.

91 47 CFR §64.7004.

92 47 CFR §64.7000(a).

93 FCC, supra note 76, pp.2-3.

30

를 재식별하는 것을 계약적으로 금지하고, 넷째, 이러한 계약이 위반되지 않도록 보장하도록 합리적

인 감시를 수행해야 한다.94 개별적 소비자 신원과 특징이 ‘총합적 소비자 사유 정보’로부터 제거되었

음의 입증책임은 ISPs에게 있다.95

나. 일본의 비식별조치

일본의 개인정보보호법은 민간부문의 개인정보보호에 관한 법률로서 2003년 5월 제정·공포되고

2005년 4월부터 시행되었는데, 기본이념, 국가의 책무 시행, 기본방침의 책정 등을 규정하면서, 개인

정보취급사업자의 의무 등을 분야별로 정리하여 기본법적 성격을 가진다. 공공부문을 위하여 국가행정

기관에 대한 법률, 독립행정법인 등에 대한 법률 및 지방공공단체 등에 대한 조례가 있다. 그런데, 빅데

이터 등 데이터 활용을 통한 새로운 산업과 서비스 창출이 가능하도록 2014년 6월 개인정보보호법 개

정이 예고되었고, 2015년 3월 정부안이 확정되었으며, 동년 9월 3일 중의원 본회의에서 가결되었다.96

동 개정에 따라, 개인정보보호와 개인정보 활용의 유용성 확보를 위하여 개인정보의 정의 규정이 명확

하게 되고, 본인의 동의 없는 제공이 가능하도록 ‘익명가공정보’ 개념이 신설되었다. 빅데이터 관련하여

일본의 개인정보보호법의 가장 중요한 내용은 익명가공정보의 도입이다.97 또한, 개인정보 취급 감시

감독 권한을 가진 ‘제3기관’인 개인정보보호위원회가 설치되고, 국외 제3자에 대한 정보 제공의 제한이

명문화되었다.

1) 특정 이용목적을 위한 개인정보의 취급

일본의 개정된 개인정보보호법에 따라 개인정보를 취급하는 개인정보취급사업자는 개인정보의 이

용목적을 가능한 한 특정하여야 한다. 이용목적을 변경하는 경우에는 변경 전 이용목적과 관련성이

있다고 합리적으로 인정되는 범위를 초과해서는 안 된다.98 개정 전에는 변경 전 이용목적과 ‘상당한’

관련성을 요구하였으나, 개정된 개인정보보호법에서 동 문언이 삭제되었다. 또한 원칙적으로 모든

이용 목적에 대하여 본인의 동의를 받아야 하며, 동의를 받지 않고 그 이용목적 달성에 필요한 범위

를 초과하여 개인정보를 취급하는 것은 금지된다.99 다만, 법령에 의거한 경우, 사람의 생명·신체·재

산의 보호를 위하여 필요한 경우로서 본인의 동의를 받기 곤란한 경우, 공중위생의 향상 또는 아동의

건전한 육성 추진을 위해 특히 필요한 경우로서 본인의 동의를 받기 곤란한 경우, 국가기관, 지방공

공단체 또는 그 위탁을 받은 자가 법령에 정한 사무를 수행함에 있어 협력이 필요한 경우로서, 본인

94 47 CFR §64.7002(g).

95 47 CFR §64.7002(g).

96 �個人情報の保護に関する法律（平成15年法律第57号）97 일본 개인정보보호법의 익명가공정보에 관한 내용은 아직 효력을 발생하지 않고 있다.

98 일본개인정보보호법 제15조.

99 일본개인정보보호법 제16조 제1항.

31

의 동의를 받도록 하면 당해 사무의 수행에 지장을 초래할 우려가 있는 경우에는 예외가 인정된다.100

일본 개인정보보호법은 개인정보의 목적 외 처리를 규정하고 있으나, 개인정보의 목적 외 이용 및 개

인데이터의 제3자 제공에 대하여 정보주체의 동의를 받을 것을 의무화하고 있다. 당초에는 상정하지

않았던 새로운 이용목적이 발생하거나 예정되지 않았던 제3자 제공을 하는 경우에는, 해당되는 본인

전부로부터 동의를 받아야 하고, 이는 개인정보를 이용한 신규 사업을 저해하는 하는 상황으로 이어질

수 있다는 점이 지적되어 왔다. 이에 다음과 같은 익명가공정보가 새로이 도입된 것으로 볼 수 있다.

2) 익명가공정보

일본 개인정보보호법에서 빅데이터 분석기술 등 개인정보의 활용에는 목적 외 처리 규정이 아니라

‘익명가공정보’ 규정이 관련되는 것으로 보인다. 개인정보에 해당하지 않도록 데이터를 가공하여 ‘익

명화’함으로써 정보주체의 프라이버시를 보호하면서 활용이 가능하도록 하고, 이와 같이 가공된 정

보를 ‘익명가공정보’로서 새로이 정의하여, 정보주체의 동의 없이도 해당 정보를 이용하고 제공할 수

있게 한 것이다.101

① 익명가공정보

익명가공정보는 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로

서, 당해 개인정보를 복원할 수 없도록 만든 정보이다.102 즉, 개인정보의 정의 각호에서 개인정보로

서 식별되는 부분을 삭제하고 이를 복원할 수 없게 가공함으로써 익명성을 유지하도록 만든 것이다.

특정 익명가공정보를 컴퓨터를 이용하여 검색할 수 있도록 체계적으로 구성한 것을 사업의 용도로

취급하거나 제공하는 자는 익명가공정보취급사업자로서 의무를 부담하게 된다.103

② 익명가공정보 취급규칙

일본 개인정보보호법을 개정하는 과정에서 특정 개인을 식별할 가능성을 감소시키기 위하여 가공을

100 일본개인정보보호법 제16조 제3항.

101 大場�敏行,�“約10年ぶりの改正：新しい個人情報保護法とその影響�前編”,�デロイトトーマツサイバーセキュリティ先端研究所�ニュースレター,�Vol.4,�(2016.1.22.).

102 일본개인정보보호법 제2조 제9항. 익명가공정보란 다음의 각호에 해당하는 개인정보 구분에 대응하고 해당 각호에 정하는 조치를

취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻는 개인에 관한 정보로서, 해당 개인정보를 복원할 수 없도록 한 것을

말한다: 제1호. 제1항 제1호에 해당하는 개인정보. 당해 개인정보에 포함된 기술 등의 일부를 삭제하는 것(당해 일부 기술 등을

복원할 수 있는 규칙성을 가지지 않은 방법에 의해 다른 기술 등으로 대체하는 것을 포함); 제2호: 제1항 제2호에 해당하는 개인정보.

당해 개인정보에 포함되는 개인식별부호의 전부를 삭제하는 것(당해 개인식별부호를 복원할 수 있는 규칙성을 가지지 않은 방법에

의해 다른 기술 등으로 대체하는 것을 포함).

103 일본개인정보보호법 제2조 제10항. 익명가공정보취급사업자는 익명가공정보를 포함하는 정보 집합물로서 특정 익명가공정보를

전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것 기타 특정 익명가공정보를 용이하게 검색할 수 있도록 체계적으로

구성한 것으로서 정령으로 정한 것(제36조 제1항의 익명가공정보데이터베이스등)을 사업용으로 제공하고 있는 자를 말한다.

32

하더라도 완전히 개인을 특정할 수 없는 정보로 가공하는 방법을 정하는 것은 어렵다는 점이 지적되

었다.104 때문에 익명가공정보는 특정 개인이 식별될 위험을 염두에 두고 가공한 정보로 평가되고 있

으며, 그 적정한 취급을 위한 규칙이 다음과 같이 마련되어 있다.105

익명가공정보 취급에 관한 절차로는 익명가공정보의 작성, 익명가공정보의 제공, 식별행위의 금지,

안전관리조치 등이 규정되어 있다. 먼저, 익명가공정보를 작성하는 경우에는 개인정보보호위원회규

칙이 정하는 바에 따라 특정 개인을 식별할 수 없도록 하고, 그 작성에 사용된 개인정보를 복원할 수

없도록 당해 개인정보를 가공하여야 한다.106 익명가공정보를 작성한 때에는 개인정보보호위원회규

칙이 정하는 기준에 따라, 가공방법에 관한 정보 유출을 방지하기 위해 필요한 대책으로서 이들 정보

의 안전관리조치를 강구하여야 한다.107 또한 그 익명가공정보에 포함되는 개인정보의 항목을 공표

하여야 한다. 익명가공정보를 작성한 후에도 특정 개인을 식별할 가능성이 완전히 없어지는 것은 아

니므로, 제3자에게 제공하는 경우에 익명가공데이터에 포함되는 항목을 미리 공표함으로써 개인의

권익을 보호하고 투명성을 확보하는 것이 목적이다. 해당 항목으로는 거주 지역, 연령, 구입상품명,

제공된 익명가공데이터의 종류와 포함된 사항 등을 들 수 있다. 익명가공정보를 작성한 후에는 그 익

명가공정보를 다른 정보와 조합하여 복원하는 것이 금지된다. 때문에 익명가공정보를 작성한 사업

자 자신이 그 정보를 취급하는 경우에도, 익명가공정보의 작성에 사용된 개인정보에 관하여 본인을

식별하는 것은 허용되지 않는다.108

익명가공정보취급사업자가 익명가공정보를 제3자에게 제공하는 때에는, 제3자에게 제공되는 익명

가공정보에 포함된 개인정보의 항목과 그 제공방법에 대하여, 개인정보보호위원회규칙이 정하는 사

항을 공표하여야 한다. 또한 제공하는 정보가 익명가공정보라는 사실을 명시하여야 한다.109

익명가공정보를 작성한 사업자가 개인정보로 복원하는 것은 금지되며, 익명가공정보취급사업자는

104 �新保�史生,�“個人情報保護法改正のポイントを学ぶ（7）:�匿名加工情報の取り扱い”,�国民生活�(2016.04),�p.�26.105 일본개인정보보호법 제2절 익명가공정보취급사업자등의 의무. 2016년 6월 현재 일본 개인정보보호위원회는 익명가공정보의

가공방법과 안전관리 등에 관한 규칙을 제정하기 위하여 그 내용을 검토 중에 있다.�個人情報保護委員會事務局,�“改正個人情報保護法の�槪要と施行に向けた�取組について”,�(2016.6),�pp.8-9.

106 일본개인정보보호법 제36조 (익명가공정보의 작성등) 제1항. 익명가공정보 작성 시, 특정 개인을 식별하는 것과 그 작성에 이용되는

개인정보를 복원할 수 없도록 하기 위해 필요한 것으로서 개인정보보호위원회규칙에 정한 기준에 따라 당해 개인정보를 가공해야

한다.

107 일본개인정보보호법 제36조 제6항.

108 일본개인정보보호법 제36조 제5항.

109 일본개인정보보호법 제37조 (익명가공정보의 제공) 익명가공정보를 제3자에게 제공하는 경우에는 개인정보보호위원회 규칙에서

정하는 바에 따라, 제3자에게 제공되는 익명가공정보에 포함되는 개인에 관한 정보의 항목 및 그 제공 방법에 대하여 공표함과

동시에, 당해 제3자에 대해서 당해 제공에 관련된 정보가 익명가공정보임을 명시하여야 한다.

33

식별행위 금지의무가 있다.110 완전한 익명가공정보를 작성 및 가공하는 방법을 정하는 것이 불가능

한 현실에서, 일반적으로 공개된 정보와 기존에 보유하고 있는 정보를 취합하거나 분석함으로써 특정

개인을 식별할 가능성이 있다. 이와 같은 처리를 의도적으로 시행하는 것은 금지되며. 의도하지 않게

식별되는 일이 없도록, 자신이 보유한 개인정보와 혼동하여 취급하지 않도록 주의가 필요하다.111

익명가공정보의 안전관리를 위해 필요하고 적절한 조치, 익명가공정보의 취급에 관한 고충 처리, 기

타 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 강구하고, 당해 조치의 내용을 공

표하도록 노력하여야 한다.112 익명가공정보는 그 가공방법 등이 공개되면 특정 개인에 대한 식별이

가능할 수 있는 정보이다. 때문에 그 취급에 관하여 안전관리조치를 모색하는 것이 필수적이며, 또한

종업원과 수탁업자에 대한 감독도 필요하다.

다. 미국과 일본의 비식별조치 평가

미국의 HIPAA 프라이버시 규칙과 FCC의 ISPs 프라이버시 규칙 및 일본 개인정보보호법의 비식별조치

는 다음과 같은 점에서 유사점을 가진다. 첫째, 개인정보를 변형(미국) 또는 가공(일본)하여 정보주체와

정보가 실질적으로 연결될 수 없다는 합리적 기대를 가지게 하거나(미국) 개인정보를 복원할 수 없도록

하는 것(일본)을 의미하는 점에서 이러한 조치는 GDPR의 익명처리에 가깝다고 볼 수 있다.113 HIPAA

프라이버시 규칙에 따라 전문가가 i) 비식별처리된 정보가 단독으로 정보주체를 식별할 수 있는 위험성

이 매우 적다고 판단하거나, ii) 합리적으로 이용가능한 정보와의 결합을 통하여도 정보주체를 식별할

수 있는 위험성이 매우 적다고 판단하는 경우에 해당 정보는 비식별정보가 된다. 이처럼 단독으로 또는

110 일본개인정보보호법 제38조 (식별행위의 금지) 익명가공정보취급사업자는, 익명가공정보를 취급함에 있어 당해 익명가공정보의

작성이 이용된 개인정보에 관한 본인을 식별하기 위해서 당해 개인정보에서 삭제된 기술등 또는 개인식별부호 또는 제36조 제1항의

규정에 의해 행해진 가공방법에 관한 정보를 취득하거나, 또는 당해 익명가공정보를 다른 정보와 조합(照合)해서는 안 된다.

111 �新保�史生, supra note 104, p.27.

112 일본개인정보보호법 제39조 (안전관리조치등) 익명가공정보취급사업자는, 익명가공정보의 안전관리를 위해 필요하고 적절한 조치,

익명가공정보의 취급에 관한 고충 처리, 기타 익명가공정보의 적정한 취급을 확보하기 위하여 필요한 조치를 스스로 강구하고, 당해

조치의 내용을 공표하도록 노력해야 한다.

113 일본의 익명가공정보가 GDPR의 가명처리정보에 해당한다고 보는 견해가 있으나, 그러한 해석에는 다음과 같은 문제가

제기된다. 첫째, 일본의 익명가공정보는 그 정의에서 해당 개인정보를 복원할 수 없을 것을 명시적으로 요구하고 있으므로, 이는

가명처리정보가 아닌 익명처리정보에 해당할 것이다. 둘째, 익명처리정보를 개인정보로 보지 않고 가명처리정보를 개인정보로 보는

GDPR의 해석에 따른다면, 개인정보에 해당하지 않는 일본의 익명가공정보는 GDPR의 익명처리정보에 더 가깝다고 보는 것이

타당하다. 셋째, 일본의 익명가공정보를 GDPR의 가명처리정보로 해석하는 것은 일본 개인정보보호법이 다른 정보와 조합하여

익명가공정보를 복원하는 것을 금지하고, 해당 정보의 식별행위를 금지하기 때문일 것이다. 그러나 이러한 재식별금지 규정을 근거로

해당 정보를 가명처리정보로 해석하는 것은 옳지 않다. 미국과 마찬가지로, 일본의 개인정보보호법은 개인정보의 완벽한 익명처리가

현실적으로 가능하지 않다는 사실을 고려하고 있다. 즉, 개인정보의 가역 또는 재식별을 금지하는 규정은 익명가공정보(또는 미국의

비식별정보)가 가명처리정보에 해당하기 때문이 아니라, 만에 하나 익명처리정보가 기술적으로 재식별이 가능한 경우를 고려하여

규정된 것이라 보아야 한다.

34

다른 정보와의 결합을 통하여도 개인을 식별할 수 없는 경우에 비식별정보가 된다면, 그러한 정보는 가

명처리정보가 아닌 익명처리정보에 해당할 것이다.

둘째, 미국과 일본의 관련 법제는 비식별정보, 비식별건강정보 및 익명가공정보를 개인정보로 보지 않

는 한편, 개인정보의 완벽한 익명처리가 불가능하다는 인식에 따라, 이러한 익명처리정보의 가역 또

는 재식별을 금지하는 규정을 함께 두고 있다. 특히 FCC의 ISPs 프라이버시 규칙이 개인정보처리자

(covered entity)로 하여금 재식별 금지를 약속하도록 요구하거나, 수령인으로 하여금 비식별정보의

재식별을 금지하는 계약적 의무를 부여하는 것은 해당 정보가 가명처리정보에 해당하기 때문이 아니

라 그러한 익명처리정보가 재식별될 수 있는 기술적 가능성이 있기 때문이다.114 일본 개인정보보호법

이 익명가공정보를 개인정보가 복원될 수 없도록 가공된 정보로 정의하면서도 이러한 익명가공정보의

재식별을 금지하는 규정을 별도로 명시하는 것은 개인정보의 완전한 익명처리가 현실적으로 불가능하

다는 우려를 반영한 것으로 보아야 할 것이다. 한편, GDPR도 미국 HIPAA 프라이버시 규칙과 유사하게,

‘합리적으로 이용가능한 모든 수단’(all the means reasonably likely to be used)을 동원하더라도 개

인정보처리자 또는 제3자가 개인을 식별할 수 없는 경우를 익명처리로 본다.115

5. 결어: 빅데이터 분석기술 활용을 위한 한국의 개인정보보호법 개정 방안

2016년 6월 30일 행정자치부(개인정보보호법 관장), 방송통신위원회(정보통신망법 관장), 금융위원

회(신용정보법 관장), 보건복지부(의료법 관장) 등 개인정보보호 관련 법률의 담당 부처들은 개인정보

비식별 조치 가이드라인을 발표하였다.116 관련 부처가 개인정보 비식별조치와 관련하여 기존에 발간

한 지침, 안내서, 가이드라인 등은 일괄 폐지되고 2016년 7월 1일부터 2016년 가이드라인이 적용되

고 있다. 2016년 가이드라인은 정보주체를 알아볼 수 없도록 처리된 비식별정보를 개인정보가 아닌

것으로 ‘추정’하고 이러한 ‘비식별정보’의 빅데이터 분석을 허용하고 있다. 동 가이드라인은 비식별정보

를 익명처리정보로서 추정하고 있는데, 이러한 접근 방식은 미국 또는 일본의 법제를 주로 반영한 것으

로 보인다.

114 이처럼 완전한 익명처리에 대한 불확신은 HIPAA 프라이버시 규칙에서 분명하게 드러난다. 동 규칙은 전문가로 하여금 정보주체를

더 이상 식별할 수 없다는 사실을 판단할 것을 요구하지 않고 정보주체를 식별할 수 있는 위험성이 ‘매우 적다’(very small)는 사실을

판단할 것을 요구하기 때문이다. Benjamin R. Jefferys et al, “Navigating legal constraints in clinical data warehousing:

a case study in personalized medicine,” Interface Focus, Vol. 3, Issue 2, (2013.04.06.), available online at: http://

rsfs.royalsocietypublishing.org/content/3/2/20120088.

115 GDPR Recital (26).

116 ‘개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-’(이하 ‘2016년 가이드라인’이라고 함). 흥미롭게도

개인정보보호위원회는 동 가이드라인의 마련에 공식적으로 참여하지 않은 것으로 보인다.

35

그러나, 2016년 가이드라인 보다는 유럽연합의 GDPR의 접근이 빅데이터 분석기술의 활성화를 위하

여 또한 정보주체의 지속적인 보호를 위하여 보다 바람직하다고 사료된다. 첫째, 미국과 일본의 법제가

취하고 있는 방식의 가장 큰 문제는, 개인정보의 완전한 익명처리에 대한 확신이 존재하지 않는 상황에

서, 더 이상 개인정보로 취급되지 않아서 개인정보보호 법제의 적용에서 배제되는 비식별정보 내지 익

명가공정보가 중심이 되는 것이다.117 빅데이터 분석기술을 촉진하고 장려하는 과정에서 개인정보보호

법의 적용여부는 매우 중요한 문제이다. 2016년 GDPR이 기존 1995년 개인정보보호지침에는 존재하

지 않았던 가명처리 개념을 도입한 이유는 개인정보보호와 개인정보의 활용이라는 두 보호법익을 법

의 테두리 안에서 균형되게 규율하기 위함이다. 가명처리를 GDPR의 적용범위에 공식적으로 도입한 것

은 가명처리정보의 활용을 허용하면서 개인정보처리자의 안전조치의무, 정보주체의 권리행사와 같은

일련의 개인정보보호 법원칙을 빅데이터 분석기술에서도 적용하게 한다는 점에서 의미가 있다. 예컨

대, 가명처리는 GDPR이 최초로 도입한 ‘개인정보보호 중심 설계’(data protection by design)’의 핵심

이다. 즉, 개인정보처리자는 ‘처리 수단의 결정 시점과 처리 자체의 시점에서’ GDPR의 요건을 충족하고

정보주체의 권리를 보호하기 위하여 개인정보보호 원칙을 효과적으로 이행하기 위한 적절한 기술적 조

치를 이행하여야 한다.118 이러한 기술적 조치의 핵심은 가명처리이다. 이처럼 GDPR의 가명처리 규정

은 개인정보처리자로 하여금 개인정보의 활용을 허용하는 동시에, 정보주체의 권리보호를 위하여 장려

되는 안전장치로서의 기능을 하고 있다. 또한 GDPR은 빅데이터 분석기술에 사용되는 프로파일링을 포

함한 자동화된 방식에 의하여 처리되는 개인정보를 별도로 규율하고 있다. 즉, GDPR은 프로파일링을

허용하면서도, 그러한 대규모 개인정보파일의 처리에 따른 정보주체의 권리 침해를 최소화하기 위한

여러 규정을 마련하고 있다. 개인정보보호법이 익명처리와 가명처리를 구분하지 않는 상황에서 2016

년 가이드라인이 비식별처리된 개인정보를 익명처리정보로 추정하고 그러한 정보를 일률적으로 개인

정보로서 취급하지 않는다면, 개인정보의 활용과 개인정보보호라는 두 가지 법익 사이에서 전자의 측

면을 지나치게 강조한 것이라는 비판을 받을 수 있다. 둘째, 개인정보의 완전한 익명처리가 가능한지

에 대한 기술적이고 현실적인 우려를 고려할 때, 가명처리정보가 익명처리정보에 비교하여 법적 규율

의 관점에서 보다 안정적이고 효과적이다. 익명처리 기법에 관한 제29조 작업반의 의견에 따르면, 식

별가능한 원본 데이터를 삭제하지 않은 상황에서, 식별 가능한 데이터를 제거한 원본 데이터의 일부분

을 양도하더라도, 즉 제공되는 정보에 직접 식별자(direct identifiers)가 제거되었다 하더라도, 개인정

보처리자 또는 제3자가 ‘식별가능한 원본 데이터에 접근할 수 있다면’ 제공되는 정보는 익명처리정보가

아니라 개인정보가 된다.119 다시 말해, 제3자에게 제공된 데이터에 직접 식별자가 제거되었다 하더라

도, 개인정보처리자(controller) 또는 제3자가 식별가능한 원본 데이터에 접근할 수 있는 경우, 해당 데

117 더욱이 2016년 가이드라인은 그의 법적 지위로 말미암아 현실적인 ‘힘’과 ‘정당성’을 가지기 어려울 것이고, 따라서 동 가이드라인의

중심 개념인 익명조치 내지 비식별조치는 정식으로 개인정보보호법에 도입되어야 할 것이다.

118 GDPR 제25(1)조.

119 Article 29 Data Protection Working Party, supra note 23, p.9.

36

이터는 가역성을 가지므로 익명처리정보가 아닌 개인정보가 된다는 것이다. 결국 제29조 작업반 의견

의 핵심은 익명처리정보는 불가역성을 가져야하므로, 식별가능한 원본 데이터에 대한 접근으로 인하여

개인정보로 가역(reversal)될 수 있는 가능성이 존재하는 경우에, 1995년 개인정보보호지침의 적용

을 배제해서는 안 된다는 것이다.120 제29조 작업반이 ‘식별가능한 원본 데이터의 존재’를 별도로 논의

한 이유는, 동 작업반 해석의 대상이 1995년 개인정보보호지침이고, 동 지침은 가명처리 및 가명처리

정보를 명시적으로 규율하고 있지 않기 때문일 것이다. 따라서 1995년 개인정보보호지침과 달리, 가

명처리를 규율하고 있는 2016년 GDPR에 따라 개인정보처리자가 보유하고 있는 원본 데이터는, 추가

적으로 결합하여 개인정보의 재식별을 가능케 하는 ‘추가적 정보’(additional information)에 상응하는

개념이라 볼 수 있다. 다만, 제29조 작업반은 원본 데이터가 개인정보처리자 또는 제3자에게 접근가능

한 경우만을 상정하고 있는 반면, GDPR은 그러한 추가적 정보를 별도로 보관하고 그에 대한 기술적·관

리적 조치를 보다 중요하게 요구하고 있다는 차이가 존재한다. 익명처리정보보다 가명처리정보의 규율

이 보다 현실적인 이유는, 사업자인 개인정보처리자의 입장에서 개인정보의 활용을 위하여 자신이 보

유하고 있는 식별가능한 개인정보를 스스로 익명처리하는 상황을 기대하기 어렵기 때문이다. 개인정보

처리자로 하여금 원본 데이터와 같이 추가적 결합을 통하여 개인을 식별할 수 있는 추가적 정보를 삭제

할 것을 요구하는 것보다, 이러한 추가적 정보를 별도로 보관할 것을 요구하고 그에 대한 안전조치의무

를 부여하는 것이 보다 더 현실적이기 때문이다. GDPR에서 규정하는 가명처리정보는 개인정보에 해당

한다. 흥미롭게도 2016년 가이드라인은 가명처리를 ‘비식별 조치’ 중 하나로 포함시키면서, 이러한 비

식별 조치에 따른 정보는 더 이상 개인정보에 해당하지 않는다고 설명하고 있다.121 그러나 동 가이드라

인에 따른 ‘비식별 조치’는 개인을 더 이상 식별할 수 없고, 개인정보보호법의 적용을 벗어나는 점에서

GDPR의 익명처리와 사실상 같은 개념일 것이다. GDPR은 추가적 정보와의 결합을 통하여 개인을 식별

할 수 있는 가명처리정보를 익명처리정보와 달리 개인정보에 포함시키고 있으므로, 가명처리정보가 개

인정보에 해당하지 않는다는 2016년 가이드라인은 GDPR의 관련 규정과는 다른 입장을 취하고 있는

것으로 볼 수 있다.

GDPR의 목적 외 처리 및 가명처리 관련 규정을 반영하여, 정보주체의 보호라는 개인정보보호법의 근

본적 목적을 훼손하지 않으면서, 목적 외 이용·제공에 따른 개인정보의 활용을 도모하기 위한 개인정보

보호법의 개정 방안은 다음과 같다. 첫째, 개인정보보호법 제2조 정의 조항에서 GDPR에서와 같은 ‘가

명처리’ 개념을 도입하고, 제3조 제7항에서 ‘익명처리’ 대신에 이를 권고한다. 익명처리정보는 더 이상

개인정보가 되지 않기 때문에 개인정보보호법의 적용대상이 될 수 없다. 또한, 오늘날 기술의 급속한 발

120 Article 29 Data Protection Working Party, supra note 23, p.16.

121 다만, 2016년 가이드라인은 가명처리 기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어렵다고 첨언하고 있다. 2016년

가이드라인, supra note 116, p.7.

37

전으로 완전한 익명처리는 비현실적이라는 점에서, 법적으로 개인정보의 불가역성을 요구하는 것은 무

리라고 할 것이다. 둘째, 목적 외 이용·제공을 허용하는 개인정보보호법 제18조 제2항의 제4호는 다음

과 같이 개정될 수 있다. 즉, 개인정보처리자는 통계 및 연구 등 목적에 따라 자신이 보유하고 있는 개인

정보를 스스로 가명처리하여 이를 활용하는 것이 허용되어야 할 것이다. 또한, 제18조 제2항 제4호를

설명하고 있는 현행 표준지침 제8조 제4항은 익명처리가 아닌 가명처리를 의미하는 방식으로 개정되

어야 할 것이다.

제18조(개인정보의 목적 외 이용·제공 제한)

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하

게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제

5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. ...

4. 통계 및 연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가명처리하여 이용·제공하는 경우

(개정안 강조)

[표2] 개인정보보호법 제18조 제2항 제4호의 개정안

셋째, 개인정보처리자의 의무, 정보주체의 권리 등 가명처리에 대한 관련 규정을 재정비한다. 이러한 규

정에는 프로파일링 관련 규정, 가명처리에 관하여 개인정보처리자에게 부여되는 안전장치의무, 가명처

리정보의 불법적인 가역 또는 재식별화의 금지 및 처벌 등이 포함될 수 있다. 넷째, 개인정보의 이용 및

제공의 유연성을 확대하기 위하여, 개인정보보호법 제1조에 개인정보의 활용이라는 목적이 추가되어

야 할 것이다. 현행 개인정보보호법은 개인의 자유와 권리에 대한 보호만을 목적으로 천명하고 있는데,

개인정보보호법이 개인정보의 활용에 따른 국민 편의, 복지 증진, 국가 경제 활성화의 도모도 함께 고려

해야 할 필요가 있다.122

한편, 미국 및 일본의 법제를 반영한다면, 개인정보보호법은 다음과 같이 개정될 수 있다. 첫째, 주요 개

념의 정의 조항에서 미국의 비식별정보(de-identified data) 또는 일본의 익명가공정보와 같이 비식별

조치가 취해진 정보를 별도로 정의한다. 둘째, 상기 정의된 비식별정보는 개인정보에 해당하지 않는다

는 사실을 명시하여, 해당 정보를 개인정보보호법의 적용 범위에서 배제한다. 셋째, 비식별정보의 재식

별화를 금지하는 관련 규정을 마련한다.

122 GDPR은 정보주체의 권리뿐만 아니라, 유럽연합 내의 개인정보의 자유로운 이동을 동 규정의 목적으로 함께 규정하고 있다. 대한민국

정보통신망법 역시 제1조에서 ‘정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러

정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함’을 목적으로

천명하고 있다. 또한 신용정보보호법 제1조 역시 “이 법은 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를

도모하며 신용정보의 오용ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호함으로써 건전한 신용질서의 확립에 이바지함을 목적으로

한다”고 규정한다. 두 법은 개인정보보호와 함께 정보통신망 이용의 촉진, 신용정보의 효율적 이용을 법률이 보호하는 법익으로서

천명하고 있다.

38

결론적으로 21세기 디지털경제에서 빅데이터 분석기술 등을 통한 개인정보 이용의 활성화는 결코 피

하거나 억제할 수 없는 것이지만, 동시에 국가나 국제사회에서의 기본적인 구성원인 개인의 개인정보

보호도 결코 양보될 수 없다. 이 점에서 빅데이터 분석기술과 개인정보보호는 함께 가야 할 것이고, 이

러한 개인정보 활용은 개인정보보호를 내재하면서 허용되어야 할 것이다. 앞에서 빅데이터 분석기술과

개인정보보호의 조화에 관하여 유럽연합, 미국과 일본의 관련 법제도를 검토하였는데, 개인정보의 비

식별화 내지 익명조치에 중점을 두는 미국과 일본의 접근 보다는 목적 외 처리로서 가명조치를 포함하

는 유럽연합의 접근이 보다 현실적이고 법적으로 안정적이라고 판단된다. 특히 가명조치가 익명조치

보다 선호되는 것은 가역성이라는 점에서 익명조치는 결코 완전하지 않으며, 또한 익명조치와 달리 가

명조치는 여전히 개인정보보호법의 적용 범위 내에 있기 때문이다. 즉, 개인정보보호법의 세계적 추세

인 개인정보보호와 개인정보 활용 사이의 균형이 추구될 수 있다. 따라서 2016년 가이드라인은 미국

과 일본의 접근과 유사하게 익명조치에 집중한 점에서 또한 보다 정상적인 개인정보보호법의 개정을

대신하려고 하는 점에서 긍정적이라고 볼 수 없다. 개인정보보호법의 목적으로부터 빅데이터 분석기술

을 포용할 수 있도록 보다 전면적인 개정이 필요하다.

39

참고문헌

1. 국내문헌

법규

개인정보 보호법 (시행 2016.9.30.)

개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내 (2016.6.30)

신용정보의 이용 및 보호에 관한 법률 (시행 2016.9.30.)

정보통신망 이용촉진 및 정보보호 등에 관한 법률 (시행 2016.9.23.)

표준 개인정보 보호지침안 (시행 2016.6.30.)

기타 자료

한국정보화진흥원 ICT융합본부, “개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사·분석”,

한국정보화진흥원, (2015. 12).

2. 외국문헌

법규

General Data Protection Regulation(GDPR, Regulation (EU) 2016/679)

EU Directive (EU Directive 95/46/EC - The Data Protection Directive)

1966년 ‘건강보험 이동성 및 책임의 법’ (Health Insurance Portability and Accountability Act:

HIPAA)의 프라이버시 규칙(Privacy Rules)

Code of Federal Regulations : Title 45 Public Welfare (45 CFR)

Code of Federal Regulations : Title 47 Telecommunications (47 CFR)

Family Educational Rights and Privacy Act (FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99)

個人情報の保護に関する法律（平成15年法律第57号）

국제문서

Article 29 Data Protection Working Party, Statement on the impact of the development

of big data on the protection of individuals with regard to the processing of their personal

data in the EU, 14/EN WP221, (2014.9.16.).

Article 29 Data Protection Working Party, Opinion 03/2013 on Purpose Limitation,

40

00569/13/EN WP203, (2013.04.02.).

Article 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation

Techniques, 0829/14/EN WP216, (2014.04.10.).

ENISA, Privacy by design in big data: An overview of privacy enhancing technologies

in the era of big data analytics, (2015.12).

European Commission, Factsheet: The EU Data Protection Reform and Big Data,

(March 2016).

European Data Protection Supervisor, Opinion 07/2015 - Meeting the challenges of big data,

(2015).

European Parliament, Big Data and Smart Devices and their Impact on Privacy, (2015).

International Working Group on Data Protection in Communications, Working Paper

on Big Data and Privacy, (2014)

ISO, ISO/TS 25237:2008 Health informatics — Pseudonymization, (2008.12.01.).

개별 국가 정부문서

FCC, “Fact Sheet : The FCC adopts order to give broadband consumers increased choice

over their personal information” (2016.10.27.).

FCC News, “FCC adopts Privacy Rules to give broadband consumers increased choice,

transparency and security for their personal data” (2016.10.27.).

FCC, “In the Matter of Protecting the Privacy of Customers of Broadband and Other

Telecommunications Services (WC Docket No. 16-106) Notice of Proposed Rulemaking”,

(2016.04.01.).

Federal Committee on Statistical Methodology, “Statistical Policy Working Paper 22

(Second version, 2005):

Report on Statistical Disclosure Limitation Methodology”, (2005.12).

Information Commissioner’s Office, “Big Data and Data Protection”, (2014.07.28.).

Office of Civil Rights, “Guidance Regarding Methods for De-identification of Protected Health

Information in Accordance with the Health Insurance Portability and Accountability Act (HI-

PAA) Privacy Rule”, US Department of Health and Human Services, (2012.11.26.).

個人情報保護委員會事務局,�“改正個人情報保護法の�槪要と施行に向けた�取組について”,�(2016.6).

41

저서 및 논문

Bradley Malin and Latanya Sweeney, “How (not) to protect genomic data privacy in a distrib-

uted network: using trail re-identification to evaluate and design anonymity

protection systems”, Journal of Biomedical Informatics, Vol.37, Issue 3, (2004. 6).

Benjamin R. Jefferys et al, “Navigating legal constraints in clinical data warehousing: a case

study in personalized medicine,” Interface Focus, Vol. 3, Issue 2, (2013.04.06.).

新保�史生,�“個人情報保護法改正のポイントを学ぶ（7）:�匿名加工情報の取り扱い”,�国民生活�(2016.4).大場�敏行,�“約10年ぶりの改正：新しい個人情報保護法とその影響�前編”,�デロイトトーマツサイバーセキュリティ�先端研究所�ニュースレター,�Vol.4�(2016.1.22.).

온라인 자료

Gabe Maldoff, “Top 10 operational impacts of the GDPR: Part 8 – Pseudonymization”,

(2016.02.12.).

기타 자료

Latanya Sweeney, “Simple Demographics Often Identify People Uniquely”, Data Privacy

Working Paper 3, Carnegie Mellon University, (2000).

Latanya. Sweeney, “Data sharing under HIPAA: 12 years later,” A presentation at the

Workshop on the HIPAA Privacy Rule’s De-Identification Standard, Washington, DC.,

(2010.03.08.-09).

Simson L. Garfinkel, “De-Identification of Personal Information 2 - NISTIR 8053”

National Institute of Standards and Technology Internal Report (NISTIR), (2015.10).

42

저자 소개

박노형 교수

현) 고려대학교 법학전문대학원 교수

현) 고려대학교 사이법법센터 소장

현) 한국통상법제연구소 소장

현) 한국조정학회 회장

현) 제 5차 정보안보 UNGGE 외교부 자문

현) 개인정보보호위원회 법령평가전문위 위원

고려대학교 기획처장, 교무처장, 법학전문대학원 원장/법대 학장 (2001, 2006, 2011-2013)

사단법인 동해연구회 회장 (2010-2015)

산업자원부 무역위원회 위원 (2004-2007)

한국국제경제법학회 초대회장 (2003-2006)