[기고] 개인정보보호법 시행령 개정

전문가 칼럼입력 :2020/10/02 14:19    수정: 2020/10/02 19:01

황혜진 법무법인 디라이트 변호사

올 2월 데이터 3법이 개정됐다. 개인정보의 가명처리를 통한 데이터 활용에 대한 기대감도 높아졌다. 법 개정으로 당초 수집 목적과 합리적인 범위 내에서 정보주체 동의 없이 개인정보 이용 및 제공이 가능하게 됐다. 또 통계작성·과학적 연구·공익적 기록보존 등을 위해 정보주체 동의 없이 가명정보를 처리할 수 있도록 개정법은 명시했는데 이를 구체적으로 적용할 수 있는 시행령과 가이드라인 제·개정에 이목이 쏠려왔다.

마침내 지난 8월 5일 개인정보보호법이 시행됐고, 가명정보 처리 가이드라인도 발표됐다. 개정된 시행령과 가이드라인의 어떤 내용이 기업의 개인정보보호 컴플라이언스에 영향을 미칠 지, 또 데이터 활용의 길을 열어줄 지 많은 기업이 궁금해하고 있다.

먼저 기업은 당초 수집 목적과 합리적인 범위 내에서 정보주체의 동의 없이 개인정보를 이용하고, 또 제3자에게 제공하기 위해 개정된 시행령에 주목할 필요가 있다. 시행령은 개인정보의 추가적인 이용 및 제공이 가능한 지 여부를 판단하기 위한 구체적인 고려사항을 제시하고 있다. 

또 개인정보처리자가 사전에 취해야할 조치로써 각 고려사항에 대한 판단 기준을 개인정보 처리방침에 사전 공개할 것을 요구하고 있다. 이에 따라 기업은 수집목적과 합리적인 범위 내에서의 정보주체 동의 없는 개인정보 이용 및 제공이 필요한 상황을 대비하기 위해 개인정보 처리방침을 미리 개정해 두는 것이 좋다.

다음으로 시행령 개정으로 지문, 홍채, 인식된 얼굴과 같은 생체인식정보가 민감정보에 포함됐음을 기업은 인지해야 한다. 생체인식정보를 수집하거나 제3자 제공하려는 자는 다른 개인정보 처리에 대한 동의와 별도로 생체인식정보 처리에 대한 동의를 받아야 한다.

또, 기업은 가명처리를 통한 데이터 활용을 극대화하기 위해 시행령의 가명정보 처리에 관한 특례 규정과 보호위원회가 발표한 가명정보 처리 가이드라인 내용도 꼼꼼히 숙지해야 한다.

먼저 눈에 띄는 부분은 가명정보의 처리 목적을 ‘통계작성, 과학적 연구, 공익적 기록보존 등’이라고만 규정해 아쉬움을 남겼던 개인정보보호법 해석에 대해 가이드라인은 '시장조사와 같은 상업적 목적의 통계처리도 ‘통계작성’에 포함했다. 또 ‘새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 과학적 연구 수행이 가능하게 했고, 민간 투자 연구와 기업 등이 수행하는 연구도 가능하다고 명시했다.

다만, 가이드라인에 따르면 가명처리 절차 중 제1단계인 ‘사전준비’ 단계에서 기업은 목적의 적합성을 검토하는 절차를 거쳐야 하는데, 이때 ‘신제품 개발을 위한 과학적 연구 수행’만으로는 부족하고 ‘○○제품의 성능 개선을 위해 개인별 ○○○특성에 대한 설문조사를 토대로 개인별 특성과 성능 요인의 연관성에 대한 과학적 연구’와 같이 구체적인 목적을 정해야 한다.

가명처리 2단계인 ‘가명처리’ 단계는 가명처리에 필요한 최소 항목을 선정하는 대상 선정, 재식별 가능성을 고려한 가명처리의 위험도 측정, 가명처리 수준정의를 거쳐 가명처리를 수행하는 것으로 구성됐다.

위험도 측정 시에는 가명처리 목적이 내부활용, 내부제공(기업 내 타 부서 제공), 제3자 제공 중 무엇이며, 타 부서나 제3자 제공의 경우 제공받는 자가 동일 정보주체에 대해 어떤 개인정보를 보유하고 있는지도 고려해야 한다.

또 가이드라인은 ‘수탁자를 통한 가명정보처리는 내부 활용에 해당하지만, 제3자로부터 제공받은 가명정보와 본인이 보유한 가명정보를 결합하는 경우는 전문기관을 통해야 함'을 명시하고 있어, 이러한 가명처리를 내부결합과 혼동하지 말아야 한다.

가이드라인은 또 ‘잘못된 제3자 제공 사례’도 제시했다. 호텔이 최고급 객실을 이용한 VIP등의 특이 정보를 삭제하지 않고 호텔 투숙 및 서비스 금액 등을 ○○분석회사에 서비스 이용에 대한 조사 연구 목적으로 제공하는 경우, 또 ○○분석회사가 온라인 SNS정보 수집을 포함한 연구조사를 실시하는 회사라면 위 가명정보의 분석 도중 특정일에 최고급 객실을 이용한 내용을 파악했을 때, SNS상 공개된 호텔 이용 후기 등을 통해 특정 개인을 식별할 가능성이 있기 때문에, 호텔은 특이 정보(최고급 객실 이용정보)를 삭제 또는 가명처리해야 한다고 기재하고 있다.

이에 따라 가명정보를 제3자에게 제공하려는 기업은 가명정보를 제공받는 제3자가 현재 보유하고 있지 않으나, 언제든 접근가능한 온라인상 정보를 고려해 가명처리의 위험도를 측정해야 하는 경우가 있다는 것을 유의해야 한다.

이 외에도 개정된 시행령은 가명정보의 안정성 확보 조치의 구체적인 내용을 규정하고 있을 뿐 아니라 다양한 가명정보 처리 기술과 예시를 소개하고 있어, 가명처리를 통한 가명정보를 활용하려는 기업은 이들 내용을 잘 숙지해야 한다.

또 기업이 데이터 활용에 있어 가장 큰 기대를 걸고 있는 개인정보처리자 간 가명정보의 결합 및 반출에 대한 가이드라인은 이달 초 사전공개 되었지만 아직 확정되지 않았고, 개인정보 보호법에 따른 결합전문기관도 아직 지정되지 않았으므로, 이에 대한 지속적인 관심을 기울일 필요가 있다. 필자가 속한 법무법인 디라이트는 개인정보보호법 시행령을 자세히 알아보는 무료 웨비나를 오는 6일 오후 2시 개최한다.  

황혜진 디라이트 변호사

*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.