‘데이터 3법’으로 불리는 개정 개인정보보호법, 신용정보법, 정보통신망법이 5일 본격 시행된다.

데이터 3법의 핵심인 개인정보보호법에 가명정보 개념을 도입, 통계작성·과학적 연구·공익적 기록 보존 등 특정 목적에는 정보주체의 동의 없이 처리할 수 있게 됐고, 그 정보 결합도 허용된다.

개인정보의 가명처리로 데이터를 활용할 수 있는 길이 넓어지면서 데이터 경제 시대가 본격 개막하게 됐다.

이 개정법 시행을 위해 마련된 개인정보보호법 시행령 개정안에는 정보주체의 동의없이 개인정보를 추가로 이용·제공할 수 있는 기준과 가명정보의 결합절차 및 결합전문기관 지정 정보통신망법의 개인정보 보호에 관한 규정 이관 등에 관한 내용 등 법에서 위임한 사항이 구체적으로 반영돼 있다.

개정·시행되는 개인정보보호법 시행령에서 신설된 조항을 위주로 주요 내용을 살펴봤다.

개인정보보호 정책협의회(제5조의2)

개인정보보호 정책의 일관성 있는 추진과 개인정보보호 관련 사안에 대한 관계 중앙행정기관 간 협의를 위해 개인정보보호위원회에 개인정보보호 정책협의회를 둘 수 있도록 했다. 정책협의회는 개인정보보호 기본계획, 시행계획 등 개인정보 보호와 관련된 주요 정책, 주요 법령의 제·개정, 주요 정책의 협력 및 의견조정, 개인정보 침해사고 예방 및 대응, 기술개발 및 전문인력 양성 등 협의가 필요한 사항을 다룬다.

시·도 개인정보보호 관계 기관 협의회(제5조의3)

개인정보보호 정책의 효율적인 추진과 자율적인 개인정보보호 강화를 위해 특별시, 광역시, 특별자치시, 도, 특별자치도에 시·도 개인정보보호 관계 기관 협의회를 둘 수 있도록 했다. 협의회는 시·도 개인정보보호 정책, 관계 기관·단체 등의 의견 수렴 및 전달, 개인정보 보호 우수사례 공유 등을 협의한다.

이에 따라 중앙행정기관으로 새롭게 출범하는 개인정보보호 통합 감독기구인 개인정보보호위원회는 부처 간 개인정보보호 정책협의회(실‧국장급) 구성·운영은 물론 대규모 침해사고 신속대응 및 공동조사 등을 위한 관계부처 ‘범정부 합동조사 협의체’를 운영할 예정이다. 시·도별 ‘개인정보보호 관계기관 협의회 구성·운영도 지원해 지역사회의 개인정보보호 강화를 위한 협력체계도 마련할 계획을 밝혔다. 

개인정보의 추가적인 이용·제공(제14조의2)

개인정보처리자는 당초 수집목적과의 관련성 여부, 개인정보를 수집한 정황 또는 처리 관행에 비춘 추가 이용 및 제공에 대한 예측가능성이 있는지 여부, 추가 처리가 정보주체의 이익을 부당하게 침해하지 않는지 여부, 가명처리 또는 암호화같은 안전성 확보 조치를 했는지 여부 등을 고려해 정보주체의 동의없이 개인정보를 추가적으로 이용·제공할 수 있다.

민감정보의 범위(제18조)

민감정보에는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보까지 포함된다. 즉 생체인식정보와 인종·민족정보를 민감정보에 포함해 보호될 수 있도록 했다.

개인을 알아볼 목적으로 사용하는 지문․홍채․안면 등 생체인식정보는 개인 고유의 정보로서 유출시 되돌릴 수 없는 피해가 발생할 가능성이 커졌고, 인종·민족정보는 우리 사회가 다문화 사회로 변화해감에 따라 개인의 사생활을 침해할 우려가 높아진 상황이다. 이번에 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가돼, 이제는 별도로 정보주체의 동의를 받아 처리해야 한다.

가명정보 결합전문기관의 지정 및 취소(제29조의2)

결합전문기관의 지정 기준이 마련됐다. ▲보호위원회가 고시하는 바에 따라 가명정보의 결합·반출 업무를 담당하는 조직을 구성하고, 개인정보 보호와 관련된 자격이나 경력을 갖춘 사람을 3명 이상 상시 고용할 것 ▲보호위원회가 고시하는 바에 따라 가명정보를 안전하게 결합하기 위해 필요한 공간, 시설 및 장비를 구축하고 가명정보의 결합·반출 관련 정책 및 절차 등을 마련할 것 ▲보호위원회가 정해 고시하는 기준에 따른 재정 능력을 갖출 것 등이다.

결합전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖춰 지정될 수 있으며, 유효기간은 지정을 받은 날부터 3년이다.

보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 유효기간의 연장을 신청하면 지정 기준에 적합한 경우에는 결합전문기관으로 재지정할 수 있다. 거짓이나 부정한 방법으로 결합전문기관으로 지정을 받았거나 스스로 지정 취소를 요청하거나 폐업한 경우, 개인정보 침해사고가 발생한 경우 등은 결합전문기관의 지정을 취소할 수도 있다.

개인정보처리자 간 가명정보의 결합 및 반출 등(제29조의3)

가명정보를 결합하려는 개인정보처리자는 보호위원회가 정해 고시하는 결합신청서를 결합전문기관에 제출할 수 있다. 결합전문기관이 가명정보를 결합하면, 결합신청자(개인정보처리자)는 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 안전한 공간에서 결합된 정보를 가명정보 등의 정보로 처리한 뒤 전문기관의 승인을 받아 전문기관 외부로 반출할 수 있다.

이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사위원회를 구성해야 하며, 반출 기준을 충족하는 경우 반출을 승인해야 한다. 그 기준은 결합 목적과 반출 정보가 관련성이 있을 것, 특정 개인을 알아볼 가능성이 없을 것, 반출 정보에 대한 안전조치 계획이 있을 것 등이다.

결합전문기관은 가명정보를 결합하는 경우 특정 개인을 알아볼 수 없도록 해야 한다. 이 경우 보호위원회는 필요하면 한국인터넷진흥원 또는 보호위원회가 지정해 고시하는 기관이 특정 개인을 알아볼 수 없도록 하는 데 필요한 업무를 지원하도록 할 수 있다.

가명정보의 안전성 확보조치(제29조의5)

개인정보처리자는 가명정보와 가명정보를 원래의 상태로 복원하기 위한 추가 정보(개인을 알아볼 수 있는 추가 정보)는 분리 보관하며 접근 권한도 분리하는 등 안전조치를 실시해야 한다. 또한 개인정보처리자가 가명정보의 처리 목적, 가명처리한 개인정보의 항목, 가명정보의 이용내역, 제3자 제공시 제공받는 자 등의 사항을 기록해 보관하도록 했다.

정보통신서비스 제공자 등의 개인정보의 안전성 확보 조치에 관한 특례 등(제48조의2~제48조의13)

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령의 관련 규정이 이관된 조항이다. 정보통신망법의 개인정보보호 규정이 개인정보보호법으로 이관됨에 따라 그간 정보통신망법 시행령에 규정됐던 ‘개인정보 이용내역 통지’, ‘손해배상책임 보장’, ‘해외사업자의 국내대리인 지정’ 등 개인정보보호 관련 조항을 삭제하고, 개정 개인정보보호법 시행령에 포함됐다.

이에 따라 개정 정보통신망법 시행령 규정에는 위임근거가 사라진 개인정보보호 관련 조항이 삭제됐다.

<관련기사> 신용정보법 개정안 시행으로 달라지는 것

<관련기사> 개인정보보호 컨트롤타워 ‘개인정보보호위원회’ 5일 출범

<관련기사> 개인정보보호위원회 위원장에 윤종인 행정안전부 차관 내정

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


--------------------------------------------------
[무료 웨비나] 강화학습 기반 비즈니스 최적화 방안
  • 일시 : 2020년 11월 30일 14시~15시
등록하러 가기
--------------------------------------------------
[무료 웨비나] 통합 분석을 통한 효율적인 IT 운영·정보관리 방안
  • 일시 : 2020년 12월 3일 14시~15시
등록하러 가기