미국에서 헬스베리티, 베릴리 같은 업체가 나올 수 있는 배경은 개인정보보호 제도의 기본 원칙이 ‘사후 동의’기 때문이다. 미국은 개인정보 활용에 관한 연방정부 차원의 법률이 존재하지 않는다. 그 대신 산업별로 개인정보 활용에 대한 법률을 갖추고 있다. 의료정보, 신용 보고서, 정확한 위치정보 등의 민감한 정보에만 사전 동의 방식이 적용된다.
의료정보 등 민감한 정보도 기업이 활용할 길을 열어놨다. 미 보건복지부가 2012년 발표한 ‘건강보험 양도 및 책임에 관한 법(HIPAA)’ 비식별화 가이드라인이 대표적이다. 가이드라인에 따라 이름, 주소, 계좌번호 등 개인을 식별할 수 있는 18개 정보를 비식별화하면 이를 기업이 당사자 동의 없이 자유롭게 활용 가능하다. 비식별 조치의 안전성은 민간 전문가들이 판단하도록 하고 있다.
유럽연합(EU)이 채택한 일반개인정보보호법(GDPR)은 미국보다 개인정보를 엄격히 규제한다. GDPR은 이름, 성별, 나이 등 특정인을 식별할 수 있는 정보를 지운 ‘가명정보’도 개인정보로 간주하고 개인의 사전 동의를 구하는 것을 원칙으로 삼고 있다. 개인이 동의를 철회하면 기업은 언제든지 정보를 삭제해야 한다.
다만 공익·학술적 목적으로 빅데이터를 연구할 때는 예외다. 사전 동의 없이도 비식별 처리된 개인정보를 쓸 수 있다. 가명정보의 안전성은 미국과 마찬가지로 민간 전문가들이 판단한다. 학술적 목적으로 시작한 연구가 열매를 맺어 상업화됐을 때 역시 예외 범주에 들어간다. 학술적 목적의 범위를 넓게 잡고 있는 셈이다.
정보기술(IT) 법학 전문가인 심우민 경인교대 사회과교육과 교수는 “EU 내 기구인 유럽데이터보호감독관(EDPS)의 지침을 보면 공익을 현저히 침해하지 않는다는 조건하에 사전 동의를 받지 않은 가명정보도 상업적으로 쓸 수 있다”고 설명했다.
한국 정부와 여당이 추진 중인 개인정보보호법 개정안들은 GDPR을 상당수 참고하고 있다. 가명정보 개념, 공익·연구 목적에 제한한 사후 동의 등이 비슷하다. 그러나 비식별 조치 안전성 검증을 한국인터넷진흥원(KISA)과 같은 정부기관을 통해 하도록 하는 점, 데이터의 상업적 활용에 한계가 있다는 점 등은 크게 차이난다.
