앞서 살펴본 gdpr 제5조 제2항에서는 "in accordance with Article 89(1)" 라고 써있어서...

Article 89(1)을 살펴보기로 한다! 

Article 89(1)은 아래와 같이 규정되어 있다. 

https://gdpr-info.eu/art-89-gdpr/

Art. 89 GDPR Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.

 공익을 위한 기록보존목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적과 관련된 gdpr의 보호조치와 예외 

1.  공익을 위한 기록보존목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적을 위한 개인정보처리는 정보주체의 권리와 자유를 위하여 이 규정에 따른 적절한 보호조치가 있어야한다. 이러한 보호조치는 특히 개인정보처리의 최소화원칙 존중을 보장하기 위한 적절한 기술적 그리고 조직적 조치를 보장해야 한다. 가명화된 정보 또한 개인정보처리의 보호조치에 충족될 수 있도록 포함해야 한다. 위의 같은 목적들이 있는 곳은 허가되지 않거나 더이상 정보주체의 식별화(identification)가 허락되지 않는 추가적 처리를 함으로써 충족될 수 있고, 위와 같은 목적들은 이 보호조치에 의해 충족되어야 한다. 

즉, 이 규정은 공익을 위한 기록보존목적 혹은 역사적 연구 목적, 또는 통계적 목적과 관련하여 양립가능하면 정보주체의 동의없이 개인정보를 제공할 수 있는데, 이렇게 목적 외 이용할 경우 '가명화'와 같이 보호조치를 해야한다는 것이다. 

김상현, "유럽연합의 개인정보보호법, GDPR", 커뮤니테케이션북스, 2018. 9.

PP.31-32에서 발췌 

"개인정보는 구체적이고, 명시적이며, 적법한 목적을 위해 수집해야 하며, 그 목적과 양립하지 않는 방식으로 처리되어서는 안된다(목적제한). 다만 공익적인 기록 보존 목적, 과학이나 역사 연구 목적, 통계목적을 위한 추가처리는 이에 해당하지 않는다(GDPR 제5조 1항)"

"'목적제한'원칙은 기업이나 기관 같은 정보 처리자에게 몇 가지 명확한 개인 정보 처리 기준을 제공한다. 첫내, 왜 개인정보를 수집하며, 그것을 어떤 목적에 쓸 의도인지 처음부터 분명한 계획을 세우라는 것, 둘때, 그런 목적과 관련 의무 사항을 구체적으로 문서화해 법규에 따랐다는 '증거'를 만들라는 것, 셋째, 수집할 개인 정보의 내용과 목적을 정보 주체 당사자에게 명확히 알림으로써 '투명성'의 의무를 이행하라는 것, 그리고 넷째, 이미 수집한 개인 정보를 수집 당시의 목적과는 다른 목적으로 사용하거나 공개하고자 계획할 대는 그 새로운 사용 또는 공개를 공정하고, 적법하며, 투명한 방식으로 하라는 것이다"

이 부분에 대한 원문을 살펴보면 다음과 같다. 

https://gdpr-info.eu/art-5-gdpr/

Art. 5 GDPR Principles relating to processing of personal data

Personal data shall be:

1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
2. collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
3. adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
4. accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
5. kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);
6. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

간이하게 해석하면..

개인정보(Personal Data)는...:

1. 적법성, 공정성, 투명성 :

개인정보처리를 할 때에는 정보주체

(the data subject : A data subject is any person whose personal data is being collected, held or processed.

https://eugdprcompliant.com/what-is-data-subject/)와 관련하여 적법하고, 공정하고, 투명하게 개인정보처리해야한다.

=> 개인정보처리는 적법하고, 공정하고 투명해야 한다. 

2. 목적 제한 :

개인정보는 구체적이고, 명백하고 정당한 목적으로 수집되어야 하고, 그 목적들과 양립할 수없는 방식으로 추가적으로 처리되어서는 안된다; 공공의 이익을 위한 보관 목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적을 위한 추가처리만 가능한데, Article 89(1)에 따라, 최초목적에 양립가능해야 한다. 

=>개인정보처리의 목적은 구체적으로 제한되어야 한다.

3. 개인정보처리의 최소화 :

처리하는 개인정보가 명시한 목적을 이행하는데 충분하고, 그 목적과 합리적인 연관성이 있어야 하며, 그 목적에 필요한 수준으로 그 양을 제한해야 한다. 

=> 수집하고 처리하는 개인정보의 양을 최소화해야 한다. 

4. 정확성 :

개인정보는 정확해야 하고, 필요하다면 업데이트를 해야한다; 부정확한 개인정보는 확실하게 하기 위하여 지체 없이 삭제되거나 수정할 수 있는 모든 합리적인 조치를 해야 한다. 

=> 수집한 개인정보는 정확해야 하고, 필요하다면 바뀐 내용을 업데이트 해서 그 품질을 유지해야 하며, 부정확한 개인정보는 지체없이 삭제하거나 정정할 수 있도록 모든 가능한 조치를 취해야 한다(김상현, 위의 책, p.34)

=> 처리하는 개인정보는 정확해야 한다. 

5. 보유기간 제한 : 

개인정보가 처리되는 목적이 더이상 필요하지 않으면 개인정보를 보유해서는 안된다. 개인정보는 오직 공공의 이익을 위한 보관목적, 과학적 혹은 역사적 연구목적, 또는 통계적 목적인 경우,  데이터 주제의 자유와 권리를 보호하기 위한 이 규제에 의하여 Article 89(1)에 따른 적절하게 기술적이고 조직적인 조치가 취해지면 더 오래 보유할수도 있다. 

=> 개인정보는 목적에 필요한 기간 동안만 보유해야 한다. 

6. 무결성과 기밀성 : 개인정보에 대한 적절한 보안이 보장되고, 개인정보에 대한 무단 또는 불법처리와 우발적인 분실, 파기 또는 손상에 대한 보호를 포함해야 하고, 적절한 기술적 또는 조직적 조치를 사용한 방식으로 처리되어야 한다. 

=> 개인정보의 민감성에 걸맞은 보안 대책으로무결성과 기밀성을 보장해야 한다.  

====================================================

양립가능성이란 위 Article 5. (2)에 규정되어 있는바, 이러한 양립가능성에 대한 의미를 정확히 파악하려면  Article 89(1)로 가야 할 것 같다...

이거는 다음 글에..

1. 유럽 GDPR의 개인정보와 가명처리(pseudonymisation)의 개념

GDPR Article 4 (1)은 개인정보(Personal data)를 “식별되었거나(identified) 또는 식별가능한 (identifiable) 자연인(정보주체)과 관련된 모든 정보”라고 정의하고 있다. 여기서 ‘식별가능’하다는 것은, 이름, 고유번호, 위치정보, 온라인 식별자, 기타 해당 개인의 신체적, 생리적, 유전적, 정신적, 문화적, 사회적 정체성에 대한 사항을 참조하여 그 정보의 주체를 알아볼 수 있다는 의미이다. 개인정보의 예로, 이름과 성, 주소, 개인 이메일 주소, ID 카드 번호, 위치정보, 웹브라우저의 쿠키 ID, 스마트폰의 광고 식별자(Advertising ID), 환자를 식별하는 데 쓰이는 의료기관 보유 데이터 등이 있다.

GDPR Article 4 (5)는 가명화(pseudonymisation)란 추가 정보(additional information)를 이용하지 않고는 더 이상 특정 정보 주체를 식별할 수 없는 방식으로 개인정보를 처리하는 것을 뜻한다. 즉, 가명화된 정보는 개인정보에서 식별되는 한 개인을 가명(pseudonym)으로 대체함으로써 본래 식별되는 한 개인의 이름과 가명을 연결시켜 해당 개인이 누구인지 알 수 있는 ‘추가 정보’를 이용하지 않고는 특정 개인을 알아볼 수 없는 상태의 정보이다. 여기서 개별과 식별을 연결시키는 ‘추가정보’에 대해서는 개인 식별에 이용될 수 없도록 분리 보관되는 등 기술적․관리적 조치가 요구된다. GDPR Article 89 (1)에서는 가명화된 정보 또한 여전히 개인정보로 취급되기는 하지만, 여기서는 공익을 위한 기록보존, 과학적, 역사적 연구(사인의 영리목적 연구 포함) 또는 통계 목적의 활용이 허용된다.

2. 우리나라 개인정보보호법 상의 ‘가명정보’

개정 데이터 3법의 개인정보보호법과 신용정보법에서는 ‘가명정보’에 관하여, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보로 정의하고 있다. (개인정보보호법 제2조 제1의2, 신용정보법 제2조 제1호 제마목 15. 및 26)

신용정보법에 관한 정무위원회 수석전문위원 보고서에 따르면 익명정보와 가명정보에 관하여 아래와 같이 설명하고 있다.

그리고 개인정보처리자는 당초 수집목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 제3자에게 개인정보를 제공할 수 있으며(개인정보보호법 제17조 제4항), 통계작성, 과학적 연구, 공익적 기록보존등을 위하여 정보주체의 동의 없이 처리할 수 있으며(동법 제28조의2 제1항), 여기서 ‘과학적 연구’에는 산업적 연구도 포함된다는 것이 입법자들의 입법 태도이다. 이러한 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관만이 수행할 수 있다. (동법 제28조의3 제1항)

3. 소결

위에서 살펴본 유럽 GDPR의 가명화, 우리나라 개정 데이터 3법 상의 가명정보의 개념정의와 활용범위를 정리하면 아래 표와 같다.

○ 표 : 각국의 가명정보 개념정의와 활용범위

위 표에서 알 수 있듯이, 유럽 GDPR과 우리나라의 개정 데이터 3법상의 ‘가명정보’의 개념은 상당히 유사하다. 특히, 유럽 GDPR과 우리나라는 식별화될 수 있는 개인정보의의 경우에는 ‘양립가능성’ 혹은 ‘당초 수집 목적과 합리적으로 관련된 범위에서’ 암호화, 불이익발생 여부 등을 고려하여 정보주체의 동의 없이 제3자 제공이 가능하다고 하고, 가명정보의 경우에는 통계, 산업적 연구를 포함한 과학적 연구, 공익목적 등을 위하여 정보주체의 동의 없이 처리가 가능하다고 하여 개인정보와 가명정보를 최대한 구분하여 입법을 한 것으로 보인다.

가명정보의 개념에 관하여 보다 명확하게 파악하고 이해하기 위해서는 '식별'과 '개별'의 개념을 이해하고 확인하는 것이 필요하다. 

1. ‘식별’과 ‘개별’

개정 데이터 3법이 2020. 1. 9. 통과되자 시민단체들은 일제히 성명을 내고 비판의 목소리를 높였다. 시민단체들은 개정 데이터 3법이 기업이 이윤추구를 위해 적절한 통제장치 없이 개인의 가장 은밀한 신용정보, 질병정보 등에 전례 없이 광범위하게 접근하고 관리하도록 길을 터주었으며, 헌법 제10조에서 도출되고 제17조로 보장받는 개인정보자기결정권이 사실상 부정되었다고 한다. 이제 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 피해를 고스란히 떠안게 될 것이라고 주장한다.

이러한 비판이 나오는 이유는 개인정보보호법 상 보호되는 개인정보의 개념에 대하여 수범자인 국민이 식별화(identification)된 개인정보와 개별화(individualization)된 개인정보에 대한 개념을 혼동하고 있기 때문인 것으로 보인다. 식별화란 해당 개인이 누구인지 알 수 있는 것이다. 예를 들어, 이름과 주민등록번호 혹은 그 사람의 이름과 그 사람의 핸드폰번호만 알아도 이 사람이 누구인지 정확하게 식별될 수 있다. 왜냐하면 이름과 주민등록번호 혹은 이름과 핸드폰번호가 개인정보보호법 제2조에서 말하는 ‘쉽게 결합’이 되는 순간 그 사람이 누구인지 특정할 수 있기 때문이다. 따라서 ‘쉽게 결합’이라는 요건은 한 개인이 누구인지 알게 되는 것인 식별화의 핵심이다.

‘쉽게 결합’은 유럽 GDPR에서 말하는 ‘연결가능성’(linkability)과도 유사한 개념이라 볼 수 있다. 즉, 누군가의 이름인 홍길동이 있고, 이 홍길동의 핸드폰 번호 010-123-4567 과 홍길동이 연결되고 쉽게 결합이 되어야 이 사람이 홍길동임을 식별할 수 있는 것이다. 우리 법원 또한 “쉽게 결합하여 알아볼 수 있다”는 것은 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 해당 정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 의미하다고 판시한 바있다.

그러나 개별화는 다르다. 개별화는 대한민국의 모든 사람들의 이름 중에서 한명을 추려내어 개별적으로 보는 것을 의미한다. 개별화시킨 홍길동이라는 사람이 010-123-4567의 번호를 가지고 있는 사람인지는 알 수 없다. 010-123-4567과의 연결성, 즉 ‘쉽게 결합’이라는 요건이 없기 때문이다. 개별화된 정보는 ‘쉽게 결합’이라는 조건 없이 한명을 골라내는 것일 뿐 그 홍길동이 그 홍길동인지 식별하는 것이 어렵다. 따라서 아무리 의료기관이나 은행이 해당 개인의 데이터를 가지고 있으나 이것이 추가적인 정보와 연결되고 ‘쉽게 결합’되어 누구인지 식별할 수 없다면 이는 단순히 개별화된 정보이며, 추가적인 정보 없이는 그 사람을 식별할 수 없기 때문에 해당 정보주체의 인권을 침해할 여지는 적다.

개정 데이터 3법에 새로 소개된 가명정보는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말하는 바, 이는 누군가를 알아볼 수 있는 ‘식별화’된 정보가 아니라 추가정보가 없어 ‘쉽게 결합’될 수 없는 ‘개별화’ 정보에 가깝다고 봄이 상당하다. 그러나 만일 가명정보끼리의 결합으로 인하여 '개별화'된 정보다 다시 누구인지 '식별'될 수 있는 가능성 또한 상존한다. 이에 대하여 개정 데이터 3법은 벌칙규정 및 과태료 규정 등을 두고 있다. 

===========================================================================

나는 이렇게 식별과 개별에 관하여 구분하는 것이, 가명정보를 이해하는데 더 도움이 될거라 생각했는데, 이 부분에 관하여 논문을 써서 응모했을 때, 심사위원인 교수님께서는 이 부분은 오히려 가명정보에 대한 개념 설명에 혼란을 일으킬 수 있다고 보셨다.

심사평에 의하면 "

- Individualization의 개념이 어디에서 유래하는지 그 출전을 밝힐 필요가 있음. Individualization의 개념을 도입함이 없이는 설명이 불가능한지 검토 바람.

- 식별’ 과 ‘개별’을 개념상으로 대립시킬 수 있는지 검토 바람. 식별은 동명사이고 개별은 형용사로 쓰임. 즉 예컨대 ‘식별 가능’이라는 표현은 가능하나 ‘개별 가능’이라는 말은 어법에 맞지 않음.

- Identification을 식별이라고 번역하여서는 곤란하고 identify 하는 것을 말하므로 식별화라고 번역하여 일관되게 사용하여야 할 것임.

- Individualization도 ‘개별화’라고 번역하여야 하고 이를 개별이라고 번역하여서는 개념의 정확성을 기하기 어려울 것임.

- 심사자의 개인 의견으로는 Individualization이라는 개념을 도입하여 유익한 해결에 도움이 되기 보다는 불필요한 혼란을 초래하는 결과를 가져온다고 봄."

======================================================================

결국 논문투고는 떨어졌다.

가명정보에 관하여 여전히 국민의 법감정상의 용어와 개정 데이터 3법의 용어 상의 갭은 있는 것 같다. 

내 글이 부족해서였겠지만..

위와 같은 교수님의 지적은 상당히 유의미할 것으로 보이고,

만일 식별화와 개별화를 동위선상에서 구분하여 가명정보를 설명하고자 한다면, 보다 심도있는 논의는 필요할 것 같긴 하다.  

3. 개정 신용정보법의 주요 내용

가. 금융기관 빅데이터 분석･이용의 법적근거 마련

개정 신용정보법도 개정 개인정보보호법상의 체계와 같이 개인정보를 특정 신용주체를 식별할 수 있는 정보(신용정보법 제2조 제1호 제가목, 개인정보보호법상의 ‘개인정보’), 특정 신용주체를 비식별화하는 가명처리를 한 가명정보(신용정보법 제2조 제1호 제마목 15. 및 26, 개인정보보호법상의 ‘가명정보’), 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 익명처리한 익명정보 (신용정보법 제2조 제17호, 개인정보보호법상의 ‘익명정보’)로 구분하였다. 그리고 개인을 알아볼 수 없도록 안전하게 조치한 ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용할 수 있게 하였다. (신용정보법 제32조 제6항 9의2)

또한 빅데이터 분석 및 이용과 활용할 수 있도록 데이터 결합을 허용하고 이에 관한 법적 근거를 명시하였다. 데이터 결합을 통해서 비식별된 가명정보가 재식별될 가능성이 있으므로, 이에 관하여는 국가지정 데이터전문기관을 통한 데이터 결합만을 허용하였다. (동법 제17조의2) 이를 통하여 안전하게 데이터 결합이 이루어질 수 있는 제도적 기반을 마련하였다.

나. 신용정보 관련산업 규제체계 정비

신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분하고 진입규제 요건이 합리적 완화되었다. 신용정보회사인 개인 CB가 원칙적으로 영리 목적의 다른 업무를 겸업할 수 없도록 하는 규제를 폐지하였고, 신용정보회사 등의 업무체계를 정비하고 데이터 분석 및 컨설팅 업무 등을 수행할 수 있게 하였다.

다. 본인 신용정보 관리업 (My Data) 도입

정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이데이터(MyData) 산업이 도입된다. 핀테크 진입을 위해 최소 자본금은 5억원으로 하고, 금융회사 출자요건은 적용하지 않는 등 진입장벽을 최소화하였다. 마이데이터 사업자는 수집된 정보를 바탕으로 개인의 정보관리를 돕고, 맞춤형 상품 추천, 금융상품 자문 등을 할 수 있다.

데이터 분석 및 컨설팅, 신용정보주체의 개인정보 자기결정권의 대리 행사 및 투자일임, 투자자문 등을 부수, 겸영업무로 허용하였으며, 본인신용정보관리업을 새로운 금융분야 데이터 산업으로 육성하고자 했다.

라. 프로파일링 대응권 및 개인신용정보이동권의 도입

통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과와 같은 기계화, 자동화된 데이터 처리(Profiling)에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권이 도입된다. 또한 금융회사․공공기관 등에게 본인 정보를 다른 금융회사 등으로 제공토록 요구할 수 있는 ‘개인신용정보 이동권’(전송요구권)도 도입된다. 이는 유럽 GDPR의 정보이동권 개념을 도입한 것으로서, 정보주체가 금융기관 등에 대해 본인의 신용정보를 자신 또는 본인신용정보관리회사 등에게 전송할 것을 요구할 수 있다. 이러한 개인신용정보 이동권(전송요구권)의 대상은 정보주체의 신용 정보에 국한된다.

2. 개정 정보통신망법의 주요 내용

개정 정보통신망법은 개정된 개인정보 보호법과 함께 개인정보 보호법과 정보통신망법으로 분산된 개인정보 보호 관련 법령을 「개인정보 보호법」으로 일원화하기 위하여 정보통신망법 상의 개인정보 관련 규정(“제4장 개인정보의 보호”의 주요 조항들)을 삭제하였다.

1. 개정 개인정보보호법의 주요 내용

가. 개인정보 정의의 명확화

개정 개인정보 보호법은, 기존 개인정보의 범위에 ‘다른 정보와 쉽게 결합하여 특정 개인을 알아 볼 수 있는 정보’를 포함시키면서, 쉽게 결합할 수 있는지를 판단할 때 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다’고 정하여 판단기준을 명확히 하고 있다. 이후 아래에서 살펴보는 바와 같이, 특정개인을 비식별화 처리한 가명정보, 특정개인을 아예 알아볼 수 없는 익명정보를 정의하여, 개인정보의 체계를 명확히 하였다. 이를 그림으로 표현하면 아래와 같다. (개인정보보호법 제2조 제1호)

나. 가명정보 개념의 도입

개정 개인정보 보호법에 의하여 새로 개인정보의 개념에 명시되는 “가명정보”는 가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아 볼 수 없는 정보를 말한다. 여기서 “가명처리”는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.(동법 제2조 제1호 다목, 제1호의2, 제8호 및 제3절)

그리고 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있다.(동법 제28조의2 제1항) 여기서 ‘과학적 연구’ 문구에 관하여 ‘산업적 연구’가 포함되는지 여부에 관하여 논쟁이 있었으나, 입법 제안 이유에 ‘데이터를 기반으로 하는 새로운 기술, 제품, 서비스의 개발 등 산업적 목적’이 명시되어 있다는 점에서 산업적 목적이 포함된다고 보는 것이 입법자의 의사에 부합한다. 가명정보에 대해서는 개인정보의 파기, 정보주체의 개인정보 열람·정정·삭제 요구권 등에 대한 개인정보 보호법의 조항들이 적용되지 않는다.(동법 제28조의7)

다. 당초 수집 목적과 합리적으로 관련된 범위 내의 개인정보 활용

개정 개인정보 보호법에 의하면, 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 향후 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나, 제공할 수 있다. (동법 제15조 제3항, 제17조 제4항) 이에 대하여 시행령 입법예고안에서는 유럽의 GDPR 제6조의 ‘양립가능성’과 유사한 개념인 ① 추가처리 목적과 당초 수집목적의 상당한 관련성, ② 수집한 정황과 처리 관행에 비춘 예측가능성, ③ 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것, ④ 가명처리로 추가처리 목적을 달성할 수 있는 경우 가명처리 할 것이라고 규정하고 있다.

라. 익명정보의 법 적용 제외

개정 개인정보 보호법 제58조의2에 따르면, 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보, 즉 이른바 익명정보에는 개인정보 보호법을 적용하지 아니한다는 점을 명시하였다.

마. 정보통신망법상의 개인정보 관련 규정의 이관

개정 개인정보 보호법은 제6장으로 “정보통신서비스 제공자 등의 개인정보 처리 등 특례”를 신설하고, 이번에 개정된 정보통신망법과 함께 기존에 개인정보 보호법과 정보통신망법으로 분산되어 있던 개인정보 보호 관련 법률을 「개인정보 보호법」으로 일원화 하였다. 즉, 개정 개인정보 보호법은 기존 정보통신망법에 있던 개인정보에 관한 규정 중 개인정보 보호법과 상이한 규정들을 정보통신 서비스제공자등에 대한 특례 규정으로 이관하였다. 예를 들어 개인정보의 수집 및 이용, 개인정보 유출 통지 및 신고, 서비스 미이용 이용자 개인정보의 파기, 개인정보 이용내역의 통지, 손해배상의 보장, 국내대리인의 지정, 국외 이전 개인정보의 보호, 과징금 등 규정 등이다. 이에 따라 정보통신망법 상의 관련 법령이 모두 삭제되었다.

바. 정보통신서비스 제공자등의 개인정보 처리위탁시 원칙적동의규정 폐기

개정 개인정보 보호법은 기존 정보통신망법 제25조 규정 즉, 정보통신서비스 제공자등이 제3자에게 개인정보의 처리를 위탁하려면 원칙적으로 이용자로부터 처리위탁에 대해 원칙적으로 동의를 받아야 한다는 규정을 삭제하고 개인정보보호법상의 처리위탁 규정을 적용하기로 하였다.

개인정보 보호법에 따르면, 개인정보처리자는 제3자에게 개인정보의 처리를 위탁하기 위하여 정보주체의 동의를 받을 것이 요구되지 않았다. 그런데 기존 정보통신망법 제25조 제1항은 정보통신서비스제공자등에 대하여 처리 위탁을 위해 원칙적으로 이용자의 동의를 받아야 한다고 정하고 있었고, 이러한 차별적 규제로 인하여 정보통신서비스제공자등은 수집․이용 동의, 제공 동의뿐만 아니라 처리위탁 동의에 대해서도 원칙적으로 동의를 받아야 했기 때문에, IT 서비스 제공자들이 일반적으로 이용하고 있는 클라우드를 통한 데이터의 처리를 저해하는 대표적인 규제로 지적받아 왔고 이번에 개정된 것이다.

사. 개인정보 보호위원회의 독립성 및 집행기능 강화

개정 개인정보 보호법에 따라 현재 행정안전부, 방송통신위원회 등에 분산되어 있는 개인정보 보호 업무를 개인정보 보호위원회로 통합하게 된다. 과거의 우리나라가 유럽 GDPR 적정성 평가에서 탈락하게 된 계기가 개인정보보호를 하는 독립적인 기구가 없다는 것이 주요한 원인 중의 하나로 지적되어 이부분을 보완한 것으로 보인다. 따라서 개인정보 보호위원회는 앞으로 개인정보의 오·남용 및 유출 등을 감독할 감독기구로서의 역할을 수행하게 된다. 개인정보 보호위원회는 직제상 국무총리 소속의 중앙행정기관으로 변경되고, 다만 그 사무의 독립적인 수행을 위하여 권리침해조사 및 처분 등 일부 사무에 관하여는 국무총리의 행정감독권에 관한 정부조직법 제18조의 적용이 제외된다.(동법 제7조 내지 제7조의14)

코로나 바이러스 이후 우리의 생활은 대면 중심에서 비대면 중심으로 급격히 바뀌고 있다. 온라인 채널을 통한 디지털 기반의 비대면 산업은 코로나 이후 시대의 핵심 성장동력이 될 것이다. 대표적인 비대면 산업을 구성하는 ICT(Information & Communication Technology)의 중요성이 강조되면서 동시에 ICT 산업의 핵심 자원인 데이터 이용과 보호에 관한 관심도 높아지고 있다. 코로나 바이러스 이후 ‘데이터 경제’시대가 본격적으로 도래한 것이다.

2018. 11. 발의 이후, 1년째 국회에 발목이 잡혀있던 개정 데이터 3법(「개인정보보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률」,「신용정보의 이용 및 보호에 관한 법률」, 이하 ‘개정 데이터 3법’)이 2020. 1. 9. 국회 본회의를 통과하였다. 문재인 대통령이 2018. 8. 혁신성장의 미래로 ‘데이터 경제’를 지목하고, “대한민국이 인터넷을 가장 잘 다루는 나라에서 데이터를 가장 잘 다루는 나라가 되도록 데이터를 적극적으로 개방하고 공유하도록 하겠다”고 밝힌 지 1년 5개월 만이다. 위 개정 데이터 3법은 국무회의 심사를 거쳐 2020. 2. 4. 공포되었으며, 2020. 8. 5.부터 시행예정이다.

현재는 법 시행에 필요한 위임 사항 등을 규정하기 위해 각 법률 시행령 개정안이 만들어져 2020. 3. 31.자로 입법예고가 되어 있는 상황이다. 기존 개인정보 보호법 시행규칙은 폐지되고 관련 규정에 관한 법령 개정사항 및 해석례에 관한 구체적인 고시는 2020. 5. 중 입법예고하여 2020. 7. 중 개정완료 될 예정이고, 가이드라인 및 해설서는 법 시행일인 2020. 8. 5. 에 맞추어 마련될 것으로 보인다.

개정 데이터 3법인 「개인정보보호법」(법률 제16930호), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(법률 제16955호, 이하 ‘정보통신망법’), 「신용정보의 이용 및 보호에 관한 법률」(법률 제16957호, 이하 ‘신용정보법’)은 ① 가명정보 도입을 위한 데이터 이용 활성화, ② 개인정보 보호체계 일원화, ③ 마이데이터 등 금융분야 데이터 신산업 도입, ④ 전문기관을 통한 데이터 결합 지원 등을 주요 내용으로 하고 있다.

개정 데이터 3법에서 가장 새롭게 느껴지는 것은 ‘가명정보’라는 개념이다. ‘가명정보’란 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 혹은 다른 정보화 쉽게 결합하여 알아볼 수 있는 정보를 가명 처리함으로써 원상태로 복원하기 위한 추가 정보의 사용 ․ 결합 없이는 특정 개인을 알아볼 수 없는 정보를 의미한다(개인정보보호법 제2조 제1호 제다목). 개인정보란 이름, 성별, 전화번호, 이메일 주소, 거주지 등 누군가인지 식별(identification)할 수 있는 식별자와 준식별자가 포함된 정보를 말한다. 여기서 누군가를 특정할 수 있는 이름, 전화번호, 이메일 등의 정보를 식별자라고 부르며, 개인정보에서 식별자를 다른 표현으로 바꾼 것을 가명정보라고 한다. 예를 들어, 삼성전자, 홍길동, 36세, 남성, 070-123-4567, 서울 서초구 서초중앙로 160, gildonghong@mail.com 등의 개인정보가 있을 때, 이 정보를 삼성전자, 홍××, 30대, 남성, 070-×××-××××, 서울 서초구 ×××, ×××××@mail.com 등으로 바꾼 것은 가명정보라고 할 수 있다. 그리고 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체의 동의 없이 가명정보를 처리할 수 있다(개인정보보호법 제15조 제3항).

참고자료 :

김인엽, “데이터3법 발의 14개월 만에 국회 본회의 통과”, 서울경제, 2020. 1. 9.

박소현, “성장판 열린 AI기업...한국판 아마존 나오나”, 파이낸셜 뉴스, 2020. 1. 9.

인재근 외 14인, “개인정보보호법 일부개정법률안 제2016621호”, 대한민국 국회, 2018. 11. 15.

권헌영, “데이터 규제 3법 개정 전망과 과제”, 『KISO 저널』제36호, 한국인터넷자율정책기구, 2019, 16면.

최은정, "데이터 3법 통과로 연내 GDPR 적정성 결정 기대 - 추후 가명정보 보호 위한 안전조치 마련돼야", 아이뉴스24, 2020. 1. 22.

이상우, “빅데이터 산업의 연료, 가명정보와 익명정보란?”, IT동아, 2020. 4. 14.