정보 주체 동의 없이 개인정보를 제3자에게 제공하고 활용할 수 있는 기준으로 완화 한 개인정보보호법 시행령이 개정됐다. 개인정보처리자의 당초 수집목적과 관련성이 있으면 정보 주체 동의 없이 개인정보를 추가로 이용할 수 있게 된다.
행정안전부와 방송통신위원회는 28일 국무회의에서 개인정보보호법 시행령과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령 개정안이 28일 국무회의에서 의결됐다고 밝혔다.
의결된 개인정보보호법 시행령은 애초 마련된 개정안보다 기준이 완화됐다. 앞서 개정안에선 기업이 수집한 개인정보를 동의 없이 사용하기 위해 ▲당초 수집목적과 ‘상당한’ 관련성 여부 ▲개인정보를 수집한 정황 또는 처리 관행에 비춘 예측 가능성이 있는지 여부 ▲제3자 이익 부당한 침해 방지 ▲가명처리 의무 등 4가지 조건을 모두 충족해야 했다.
이번 시행령에선 모든 요건을 충족해야 한다는 표현을 고려해야 한다는 표현으로 수위를 낮췄다. 또한 요건 중 ‘상당한 관련성’에서 ‘상당한’을 삭제했다. 상당한과 같은 모호한 어휘로 법적 분쟁이 발생할 위험이 있다는 업계 의견을 반영한 것으로 풀이된다.
아울러 가명정보 결합 절차 규정도 마련됐다. 가명정보를 결합하려는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 결합전문기관이 가명정보를 결합하면, 개인정보처리자는 전문기관 내에 마련된 안전한 공간에서 결합된 정보를 분석할 수 있고, 전문기관의 안전성 평가 및 승인을 거쳐서 전문기관 외부로 반출할 수 있다. 결합전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖춰 지정될 수 있고 3년 간 지정의 효력이 인정된다.
가명정보 안전성 확보조치를 위해 가명정보를 처리하는 개인정보처리자는 내부 관리 계획을 수립하고, 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리하도록 했다. 또한 개인정보처리자가 가명정보의 처리 목적, 가명처리한 개인 정보의 항목 등의 사항을 기록해 보관하도록 했다.
지문, 홍채, 안면 등 생체인식 정보와 인종·민족정보를 ’민감정보’에 포함해 더욱 보호될 수 있도록 했다.
관련기사
- SKT, ICT로 유통 혁신…"O2O 늘리고, 개인정보 보호 강화”2020.07.19
- 아동 개인정보 무단수집 틱톡, 국내서도 과징금 제재2020.07.15
- "개인정보보호법, 공공과 민간 형평성 잃어"2020.07.09
- 기업 서버에 개인정보 저장하지 않고도 마이데이터 사업 가능하다2020.07.09
또한 그간 정보통신망법 시행령에 규정됐던 ‘개인정보 이용내역 통지’, ‘손해배상책임 보장’, ‘해외사업자의 국내대리인 지정’ 등 개인정보 보호 관련 조항을 삭제하고, 개인정보보호법 시행령에 이관했다. 또한 위임 근거가 사라진 개인정보보호 관련 조항들이 정보통신망법 시행령에서 삭제됐다. 또한 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근권한 등의 업무와 관련한 시행령의 조문 체계를 정비했다.
윤종인 행안부 차관은 “이번 시행령 개정으로 데이터를 안전하게 활용할 수 있는 법적 기반이 마련됐다”며 “8월 5일 개인정보 보호법과 시행령 등 하위법령이 차질 없이 시행되고, 개인정보보호위원회가 성공적으로 출범할 수 있도록 최선을 다하겠다”고 말했다.
