토르월드

2. 개정 정보통신망법의 주요 내용

개정 정보통신망법은 개정된 개인정보 보호법과 함께 개인정보 보호법과 정보통신망법으로 분산된 개인정보 보호 관련 법령을 「개인정보 보호법」으로 일원화하기 위하여 정보통신망법 상의 개인정보 관련 규정(“제4장 개인정보의 보호”의 주요 조항들)을 삭제하였다.

1. 개정 개인정보보호법의 주요 내용

가. 개인정보 정의의 명확화

개정 개인정보 보호법은, 기존 개인정보의 범위에 ‘다른 정보와 쉽게 결합하여 특정 개인을 알아 볼 수 있는 정보’를 포함시키면서, 쉽게 결합할 수 있는지를 판단할 때 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다’고 정하여 판단기준을 명확히 하고 있다. 이후 아래에서 살펴보는 바와 같이, 특정개인을 비식별화 처리한 가명정보, 특정개인을 아예 알아볼 수 없는 익명정보를 정의하여, 개인정보의 체계를 명확히 하였다. 이를 그림으로 표현하면 아래와 같다. (개인정보보호법 제2조 제1호)

나. 가명정보 개념의 도입

개정 개인정보 보호법에 의하여 새로 개인정보의 개념에 명시되는 “가명정보”는 가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아 볼 수 없는 정보를 말한다. 여기서 “가명처리”는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.(동법 제2조 제1호 다목, 제1호의2, 제8호 및 제3절)

그리고 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있다.(동법 제28조의2 제1항) 여기서 ‘과학적 연구’ 문구에 관하여 ‘산업적 연구’가 포함되는지 여부에 관하여 논쟁이 있었으나, 입법 제안 이유에 ‘데이터를 기반으로 하는 새로운 기술, 제품, 서비스의 개발 등 산업적 목적’이 명시되어 있다는 점에서 산업적 목적이 포함된다고 보는 것이 입법자의 의사에 부합한다. 가명정보에 대해서는 개인정보의 파기, 정보주체의 개인정보 열람·정정·삭제 요구권 등에 대한 개인정보 보호법의 조항들이 적용되지 않는다.(동법 제28조의7)

다. 당초 수집 목적과 합리적으로 관련된 범위 내의 개인정보 활용

개정 개인정보 보호법에 의하면, 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 향후 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나, 제공할 수 있다. (동법 제15조 제3항, 제17조 제4항) 이에 대하여 시행령 입법예고안에서는 유럽의 GDPR 제6조의 ‘양립가능성’과 유사한 개념인 ① 추가처리 목적과 당초 수집목적의 상당한 관련성, ② 수집한 정황과 처리 관행에 비춘 예측가능성, ③ 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것, ④ 가명처리로 추가처리 목적을 달성할 수 있는 경우 가명처리 할 것이라고 규정하고 있다.

라. 익명정보의 법 적용 제외

개정 개인정보 보호법 제58조의2에 따르면, 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보, 즉 이른바 익명정보에는 개인정보 보호법을 적용하지 아니한다는 점을 명시하였다.

마. 정보통신망법상의 개인정보 관련 규정의 이관

개정 개인정보 보호법은 제6장으로 “정보통신서비스 제공자 등의 개인정보 처리 등 특례”를 신설하고, 이번에 개정된 정보통신망법과 함께 기존에 개인정보 보호법과 정보통신망법으로 분산되어 있던 개인정보 보호 관련 법률을 「개인정보 보호법」으로 일원화 하였다. 즉, 개정 개인정보 보호법은 기존 정보통신망법에 있던 개인정보에 관한 규정 중 개인정보 보호법과 상이한 규정들을 정보통신 서비스제공자등에 대한 특례 규정으로 이관하였다. 예를 들어 개인정보의 수집 및 이용, 개인정보 유출 통지 및 신고, 서비스 미이용 이용자 개인정보의 파기, 개인정보 이용내역의 통지, 손해배상의 보장, 국내대리인의 지정, 국외 이전 개인정보의 보호, 과징금 등 규정 등이다. 이에 따라 정보통신망법 상의 관련 법령이 모두 삭제되었다.

바. 정보통신서비스 제공자등의 개인정보 처리위탁시 원칙적동의규정 폐기

개정 개인정보 보호법은 기존 정보통신망법 제25조 규정 즉, 정보통신서비스 제공자등이 제3자에게 개인정보의 처리를 위탁하려면 원칙적으로 이용자로부터 처리위탁에 대해 원칙적으로 동의를 받아야 한다는 규정을 삭제하고 개인정보보호법상의 처리위탁 규정을 적용하기로 하였다.

개인정보 보호법에 따르면, 개인정보처리자는 제3자에게 개인정보의 처리를 위탁하기 위하여 정보주체의 동의를 받을 것이 요구되지 않았다. 그런데 기존 정보통신망법 제25조 제1항은 정보통신서비스제공자등에 대하여 처리 위탁을 위해 원칙적으로 이용자의 동의를 받아야 한다고 정하고 있었고, 이러한 차별적 규제로 인하여 정보통신서비스제공자등은 수집․이용 동의, 제공 동의뿐만 아니라 처리위탁 동의에 대해서도 원칙적으로 동의를 받아야 했기 때문에, IT 서비스 제공자들이 일반적으로 이용하고 있는 클라우드를 통한 데이터의 처리를 저해하는 대표적인 규제로 지적받아 왔고 이번에 개정된 것이다.

사. 개인정보 보호위원회의 독립성 및 집행기능 강화

개정 개인정보 보호법에 따라 현재 행정안전부, 방송통신위원회 등에 분산되어 있는 개인정보 보호 업무를 개인정보 보호위원회로 통합하게 된다. 과거의 우리나라가 유럽 GDPR 적정성 평가에서 탈락하게 된 계기가 개인정보보호를 하는 독립적인 기구가 없다는 것이 주요한 원인 중의 하나로 지적되어 이부분을 보완한 것으로 보인다. 따라서 개인정보 보호위원회는 앞으로 개인정보의 오·남용 및 유출 등을 감독할 감독기구로서의 역할을 수행하게 된다. 개인정보 보호위원회는 직제상 국무총리 소속의 중앙행정기관으로 변경되고, 다만 그 사무의 독립적인 수행을 위하여 권리침해조사 및 처분 등 일부 사무에 관하여는 국무총리의 행정감독권에 관한 정부조직법 제18조의 적용이 제외된다.(동법 제7조 내지 제7조의14)

코로나 바이러스 이후 우리의 생활은 대면 중심에서 비대면 중심으로 급격히 바뀌고 있다. 온라인 채널을 통한 디지털 기반의 비대면 산업은 코로나 이후 시대의 핵심 성장동력이 될 것이다. 대표적인 비대면 산업을 구성하는 ICT(Information & Communication Technology)의 중요성이 강조되면서 동시에 ICT 산업의 핵심 자원인 데이터 이용과 보호에 관한 관심도 높아지고 있다. 코로나 바이러스 이후 ‘데이터 경제’시대가 본격적으로 도래한 것이다.

2018. 11. 발의 이후, 1년째 국회에 발목이 잡혀있던 개정 데이터 3법(「개인정보보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률」,「신용정보의 이용 및 보호에 관한 법률」, 이하 ‘개정 데이터 3법’)이 2020. 1. 9. 국회 본회의를 통과하였다. 문재인 대통령이 2018. 8. 혁신성장의 미래로 ‘데이터 경제’를 지목하고, “대한민국이 인터넷을 가장 잘 다루는 나라에서 데이터를 가장 잘 다루는 나라가 되도록 데이터를 적극적으로 개방하고 공유하도록 하겠다”고 밝힌 지 1년 5개월 만이다. 위 개정 데이터 3법은 국무회의 심사를 거쳐 2020. 2. 4. 공포되었으며, 2020. 8. 5.부터 시행예정이다.

현재는 법 시행에 필요한 위임 사항 등을 규정하기 위해 각 법률 시행령 개정안이 만들어져 2020. 3. 31.자로 입법예고가 되어 있는 상황이다. 기존 개인정보 보호법 시행규칙은 폐지되고 관련 규정에 관한 법령 개정사항 및 해석례에 관한 구체적인 고시는 2020. 5. 중 입법예고하여 2020. 7. 중 개정완료 될 예정이고, 가이드라인 및 해설서는 법 시행일인 2020. 8. 5. 에 맞추어 마련될 것으로 보인다.

개정 데이터 3법인 「개인정보보호법」(법률 제16930호), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(법률 제16955호, 이하 ‘정보통신망법’), 「신용정보의 이용 및 보호에 관한 법률」(법률 제16957호, 이하 ‘신용정보법’)은 ① 가명정보 도입을 위한 데이터 이용 활성화, ② 개인정보 보호체계 일원화, ③ 마이데이터 등 금융분야 데이터 신산업 도입, ④ 전문기관을 통한 데이터 결합 지원 등을 주요 내용으로 하고 있다.

개정 데이터 3법에서 가장 새롭게 느껴지는 것은 ‘가명정보’라는 개념이다. ‘가명정보’란 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 혹은 다른 정보화 쉽게 결합하여 알아볼 수 있는 정보를 가명 처리함으로써 원상태로 복원하기 위한 추가 정보의 사용 ․ 결합 없이는 특정 개인을 알아볼 수 없는 정보를 의미한다(개인정보보호법 제2조 제1호 제다목). 개인정보란 이름, 성별, 전화번호, 이메일 주소, 거주지 등 누군가인지 식별(identification)할 수 있는 식별자와 준식별자가 포함된 정보를 말한다. 여기서 누군가를 특정할 수 있는 이름, 전화번호, 이메일 등의 정보를 식별자라고 부르며, 개인정보에서 식별자를 다른 표현으로 바꾼 것을 가명정보라고 한다. 예를 들어, 삼성전자, 홍길동, 36세, 남성, 070-123-4567, 서울 서초구 서초중앙로 160, gildonghong@mail.com 등의 개인정보가 있을 때, 이 정보를 삼성전자, 홍××, 30대, 남성, 070-×××-××××, 서울 서초구 ×××, ×××××@mail.com 등으로 바꾼 것은 가명정보라고 할 수 있다. 그리고 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체의 동의 없이 가명정보를 처리할 수 있다(개인정보보호법 제15조 제3항).

참고자료 :

김인엽, “데이터3법 발의 14개월 만에 국회 본회의 통과”, 서울경제, 2020. 1. 9.

박소현, “성장판 열린 AI기업...한국판 아마존 나오나”, 파이낸셜 뉴스, 2020. 1. 9.

인재근 외 14인, “개인정보보호법 일부개정법률안 제2016621호”, 대한민국 국회, 2018. 11. 15.

권헌영, “데이터 규제 3법 개정 전망과 과제”, 『KISO 저널』제36호, 한국인터넷자율정책기구, 2019, 16면.

최은정, "데이터 3법 통과로 연내 GDPR 적정성 결정 기대 - 추후 가명정보 보호 위한 안전조치 마련돼야", 아이뉴스24, 2020. 1. 22.

이상우, “빅데이터 산업의 연료, 가명정보와 익명정보란?”, IT동아, 2020. 4. 14.