정부, ‘데이터3법’ 시행령 개정안 입법예고

앞으로 일정한 요건을 갖추면 수집한 개인정보를 정보주체의 동의 없이도 활용할 수 있다. 단, 가명정보의 결합은 정부가 지정한 기관에서 담당한다. 또 인종, 민족이나 생체인식 관련 정보는 민감정보로 분류해 따로 보호해야 한다.

행정안전부와 방송통신위원회, 금융위원회는 데이터3법인 개인정보보호법, 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률), 신용정보법(신용정보의 이용 및 보호에 관한 법률)의 시행령 개정안을 마련하고 오는 31일 입법예고를 실시한다고 밝혔다.

이번 시행령 개정안의 입법예고 기간은 3월 31일부터 5월 11일까지다. 관계기관 협의 규제 및 법제처 심사, 국무회의 등을 거쳐 8월 5일 공포·시행된다.

개인정보보호법 시행령 개정안에 따라, 가명정보를 결합하는 개인정보처리자는 수집한 개인정보를 정보주체의 동의없이 추가로 이용, 제공할 수 있다. 이때 개인정보처리자는 정부에서 지정한 전문기관을 이용해야 하고, 결합된 가명정보는 전문기관의 안정 평가와 승인을 거쳐 외부로 반출할 수 있다. 또 개인을 알아볼 수 있는 추가 정보를 분리 보관하고, 접근권한을 분리하는 물리적, 기술적 안전조치를 실시해야 한다.

정부는 민감정보에 생체인식정보, 인종, 민족정보를 포함했다. 따라서 민감정보를 활용하기 위해선 정보주체의 동의를 받아야 한다. 지문, 홍채, 안면 등 생체인식정보는 개인 고유의 정보로 중요도가 높고, 인종과 민족정보는 처리 과정에서 개인을 차별하는데 사용될 수 있다는 우려가 있기 때문이다.

신용정보법 시행령 개정안에 따라, 금융회사는 데이터 결합을 하려면 금융위가 지정한 전문기관에 신청해야 한다. 정부는 공공적 성격을 띄는 기관을 우선 지정한다. 추후 민간기업까지 확대 지정할 계획이다.

전문기관은 데이터를 결합한 뒤 가명·익명처리와 함께 적정성 평가 등 안전조치를 거쳐야 한다. 결합한 데이터는 의뢰기관에 전달한 뒤 원본데이터와 함께 즉시 삭제해야 한다.

‘개인신용정보 전송요구권’ 도입으로 금융회사, 상거래기업, 공공기관이 보유한 정보를 정보주체인 본인이나 금융회사, 개인신용평가회사, 마이데이터 사업자에게 제공할 수 있다. 금융거래정보, 국세 지방세 등 공공정보, 보험료 납부정보, 기타 주요 거래내역 정보 등이 포함된다.

이를 바탕으로 정부는 마이데이터 산업을 도입했다. 시너지를 낼 수 있는 전자금융업, 대출 중개·주선 업무, 로보어드바이저를 이용한 투자자문·일임업을 관련 법령에 따라 인허가, 등록을 거쳐 겸업할 수 있도록 했다. 정부는 4월 중으로 구체적인 금융분야 마이데이터 산업 허가 방향을 추가적으로 발표할 계획이다.

아울러 온라인 상 개인정보 보호를 규율하던 정보통신망법의 개인정보보호 규정을 개인정보보호법으로 통합했다. 개정안 시행 이후 정보통신서비스 제공자도 개인정보보호법을 적용받게 된다.

한편 정부는 코로나19 확산으로 온라인 의견 수렴을 검토한다. 개인정보보호법 시행령에 포함되지 않은 가명정보 결합과 관련해 구체적인 절차 및 전문기관 지정 요건 등의 세부 사항은 신설 고시에 반영해 5월 중 행정예고할 예정이다.

글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network