개정 데이터 3법의 주요 내용 (개인정보보호법)

1. 개정 개인정보보호법의 주요 내용

 

가. 개인정보 정의의 명확화

 

개정 개인정보 보호법은, 기존 개인정보의 범위에 ‘다른 정보와 쉽게 결합하여 특정 개인을 알아 볼 수 있는 정보’를 포함시키면서, 쉽게 결합할 수 있는지를 판단할 때 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다’고 정하여 판단기준을 명확히 하고 있다. 이후 아래에서 살펴보는 바와 같이, 특정개인을 비식별화 처리한 가명정보, 특정개인을 아예 알아볼 수 없는 익명정보를 정의하여, 개인정보의 체계를 명확히 하였다. 이를 그림으로 표현하면 아래와 같다. (개인정보보호법 제2조 제1호)

 

 

나. 가명정보 개념의 도입

 

개정 개인정보 보호법에 의하여 새로 개인정보의 개념에 명시되는 “가명정보”는 가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아 볼 수 없는 정보를 말한다. 여기서 “가명처리”는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.(동법 제2조 제1호 다목, 제1호의2, 제8호 및 제3절)

그리고 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있다.(동법 제28조의2 제1항) 여기서 ‘과학적 연구’ 문구에 관하여 ‘산업적 연구’가 포함되는지 여부에 관하여 논쟁이 있었으나, 입법 제안 이유에 ‘데이터를 기반으로 하는 새로운 기술, 제품, 서비스의 개발 등 산업적 목적’이 명시되어 있다는 점에서 산업적 목적이 포함된다고 보는 것이 입법자의 의사에 부합한다. 가명정보에 대해서는 개인정보의 파기, 정보주체의 개인정보 열람·정정·삭제 요구권 등에 대한 개인정보 보호법의 조항들이 적용되지 않는다.(동법 제28조의7)

 

다. 당초 수집 목적과 합리적으로 관련된 범위 내의 개인정보 활용

 

개정 개인정보 보호법에 의하면, 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 향후 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나, 제공할 수 있다. (동법 제15조 제3항, 제17조 제4항) 이에 대하여 시행령 입법예고안에서는 유럽의 GDPR 제6조의 ‘양립가능성’과 유사한 개념인 ① 추가처리 목적과 당초 수집목적의 상당한 관련성, ② 수집한 정황과 처리 관행에 비춘 예측가능성, ③ 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것, ④ 가명처리로 추가처리 목적을 달성할 수 있는 경우 가명처리 할 것이라고 규정하고 있다.

 

라. 익명정보의 법 적용 제외

 

개정 개인정보 보호법 제58조의2에 따르면, 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보, 즉 이른바 익명정보에는 개인정보 보호법을 적용하지 아니한다는 점을 명시하였다.

 

마. 정보통신망법상의 개인정보 관련 규정의 이관

 

개정 개인정보 보호법은 제6장으로 “정보통신서비스 제공자 등의 개인정보 처리 등 특례”를 신설하고, 이번에 개정된 정보통신망법과 함께 기존에 개인정보 보호법과 정보통신망법으로 분산되어 있던 개인정보 보호 관련 법률을 「개인정보 보호법」으로 일원화 하였다. 즉, 개정 개인정보 보호법은 기존 정보통신망법에 있던 개인정보에 관한 규정 중 개인정보 보호법과 상이한 규정들을 정보통신 서비스제공자등에 대한 특례 규정으로 이관하였다. 예를 들어 개인정보의 수집 및 이용, 개인정보 유출 통지 및 신고, 서비스 미이용 이용자 개인정보의 파기, 개인정보 이용내역의 통지, 손해배상의 보장, 국내대리인의 지정, 국외 이전 개인정보의 보호, 과징금 등 규정 등이다. 이에 따라 정보통신망법 상의 관련 법령이 모두 삭제되었다.

 

바. 정보통신서비스 제공자등의 개인정보 처리위탁시 원칙적동의규정 폐기

 

개정 개인정보 보호법은 기존 정보통신망법 제25조 규정 즉, 정보통신서비스 제공자등이 제3자에게 개인정보의 처리를 위탁하려면 원칙적으로 이용자로부터 처리위탁에 대해 원칙적으로 동의를 받아야 한다는 규정을 삭제하고 개인정보보호법상의 처리위탁 규정을 적용하기로 하였다.

개인정보 보호법에 따르면, 개인정보처리자는 제3자에게 개인정보의 처리를 위탁하기 위하여 정보주체의 동의를 받을 것이 요구되지 않았다. 그런데 기존 정보통신망법 제25조 제1항은 정보통신서비스제공자등에 대하여 처리 위탁을 위해 원칙적으로 이용자의 동의를 받아야 한다고 정하고 있었고, 이러한 차별적 규제로 인하여 정보통신서비스제공자등은 수집․이용 동의, 제공 동의뿐만 아니라 처리위탁 동의에 대해서도 원칙적으로 동의를 받아야 했기 때문에, IT 서비스 제공자들이 일반적으로 이용하고 있는 클라우드를 통한 데이터의 처리를 저해하는 대표적인 규제로 지적받아 왔고 이번에 개정된 것이다.

 

사. 개인정보 보호위원회의 독립성 및 집행기능 강화

 

개정 개인정보 보호법에 따라 현재 행정안전부, 방송통신위원회 등에 분산되어 있는 개인정보 보호 업무를 개인정보 보호위원회로 통합하게 된다. 과거의 우리나라가 유럽 GDPR 적정성 평가에서 탈락하게 된 계기가 개인정보보호를 하는 독립적인 기구가 없다는 것이 주요한 원인 중의 하나로 지적되어 이부분을 보완한 것으로 보인다. 따라서 개인정보 보호위원회는 앞으로 개인정보의 오·남용 및 유출 등을 감독할 감독기구로서의 역할을 수행하게 된다. 개인정보 보호위원회는 직제상 국무총리 소속의 중앙행정기관으로 변경되고, 다만 그 사무의 독립적인 수행을 위하여 권리침해조사 및 처분 등 일부 사무에 관하여는 국무총리의 행정감독권에 관한 정부조직법 제18조의 적용이 제외된다.(동법 제7조 내지 제7조의14)