‘데이터 3법’으로 불리는 개정 개인정보보호법, 신용정보법, 정보통신망법이 5일 본격 시행된다.
데이터 3법의 핵심인 개인정보보호법에 가명정보 개념을 도입, 통계작성·과학적 연구·공익적 기록 보존 등 특정 목적에는 정보주체의 동의 없이 처리할 수 있게 됐고, 그 정보 결합도 허용된다.
개인정보의 가명처리로 데이터를 활용할 수 있는 길이 넓어지면서 데이터 경제 시대가 본격 개막하게 됐다.
이 개정법 시행을 위해 마련된 개인정보보호법 시행령 개정안에는 정보주체의 동의없이 개인정보를 추가로 이용·제공할 수 있는 기준과 가명정보의 결합절차 및 결합전문기관 지정 정보통신망법의 개인정보 보호에 관한 규정 이관 등에 관한 내용 등 법에서 위임한 사항이 구체적으로 반영돼 있다.
개정·시행되는 개인정보보호법 시행령에서 신설된 조항을 위주로 주요 내용을 살펴봤다.
개인정보보호 정책협의회(제5조의2)
개인정보보호 정책의 일관성 있는 추진과 개인정보보호 관련 사안에 대한 관계 중앙행정기관 간 협의를 위해 개인정보보호위원회에 개인정보보호 정책협의회를 둘 수 있도록 했다. 정책협의회는 개인정보보호 기본계획, 시행계획 등 개인정보 보호와 관련된 주요 정책, 주요 법령의 제·개정, 주요 정책의 협력 및 의견조정, 개인정보 침해사고 예방 및 대응, 기술개발 및 전문인력 양성 등 협의가 필요한 사항을 다룬다.
시·도 개인정보보호 관계 기관 협의회(제5조의3)
개인정보보호 정책의 효율적인 추진과 자율적인 개인정보보호 강화를 위해 특별시, 광역시, 특별자치시, 도, 특별자치도에 시·도 개인정보보호 관계 기관 협의회를 둘 수 있도록 했다. 협의회는 시·도 개인정보보호 정책, 관계 기관·단체 등의 의견 수렴 및 전달, 개인정보 보호 우수사례 공유 등을 협의한다.
개인정보의 추가적인 이용·제공(제14조의2)
개인정보처리자는 당초 수집목적과의 관련성 여부, 개인정보를 수집한 정황 또는 처리 관행에 비춘 추가 이용 및 제공에 대한 예측가능성이 있는지 여부, 추가 처리가 정보주체의 이익을 부당하게 침해하지 않는지 여부, 가명처리 또는 암호화같은 안전성 확보 조치를 했는지 여부 등을 고려해 정보주체의 동의없이 개인정보를 추가적으로 이용·제공할 수 있다.
민감정보의 범위(제18조)
민감정보에는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종이나 민족에 관한 정보까지 포함된다.
즉 생체인식정보와 인종·민족정보를 민감정보에 포함해 보호될 수 있도록 했다.
개인을 알아볼 목적으로 사용하는 지문․홍채․안면 등 생체인식정보는 개인 고유의 정보로서 유출시 되돌릴 수 없는 피해가 발생할 가능성이 커졌고, 인종·민족정보는 우리 사회가 다문화 사회로 변화해감에 따라 개인의 사생활을 침해할 우려가 높아진 상황이다. 이번에 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가돼, 이제는 별도로 정보주체의 동의를 받아 처리해야 한다.
가명정보 결합전문기관의 지정 및 취소(제29조의2)
결합전문기관의 지정 기준이 마련됐다.
▲보호위원회가 고시하는 바에 따라 가명정보의 결합·반출 업무를 담당하는 조직을 구성하고, 개인정보 보호와 관련된 자격이나 경력을 갖춘 사람을 3명 이상 상시 고용할 것
▲보호위원회가 고시하는 바에 따라 가명정보를 안전하게 결합하기 위해 필요한 공간, 시설 및 장비를 구축하고 가명정보의 결합·반출 관련 정책 및 절차 등을 마련할 것
▲보호위원회가 정해 고시하는 기준에 따른 재정 능력을 갖출 것 등이다.
결합전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖춰 지정될 수 있으며, 유효기간은 지정을 받은 날부터 3년이다.
보호위원회 또는 관계 중앙행정기관의 장은 결합전문기관이 유효기간의 연장을 신청하면 지정 기준에 적합한 경우에는 결합전문기관으로 재지정할 수 있다. 거짓이나 부정한 방법으로 결합전문기관으로 지정을 받았거나 스스로 지정 취소를 요청하거나 폐업한 경우, 개인정보 침해사고가 발생한 경우 등은 결합전문기관의 지정을 취소할 수도 있다.
개인정보처리자 간 가명정보의 결합 및 반출 등(제29조의3)
가명정보를 결합하려는 개인정보처리자는 보호위원회가 정해 고시하는 결합신청서를 결합전문기관에 제출할 수 있다. 결합전문기관이 가명정보를 결합하면, 결합신청자(개인정보처리자)는 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 안전한 공간에서 결합된 정보를 가명정보 등의 정보로 처리한 뒤 전문기관의 승인을 받아 전문기관 외부로 반출할 수 있다.
이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사위원회를 구성해야 하며, 반출 기준을 충족하는 경우 반출을 승인해야 한다. 그 기준은 결합 목적과 반출 정보가 관련성이 있을 것, 특정 개인을 알아볼 가능성이 없을 것, 반출 정보에 대한 안전조치 계획이 있을 것 등이다.
.
가명정보의 안전성 확보조치(제29조의5)
개인정보처리자는 가명정보와 가명정보를 원래의 상태로 복원하기 위한 추가 정보(개인을 알아볼 수 있는 추가 정보)는 분리 보관하며 접근 권한도 분리하는 등 안전조치를 실시해야 한다. 또한 개인정보처리자가 가명정보의 처리 목적, 가명처리한 개인정보의 항목, 가명정보의 이용내역, 제3자 제공시 제공받는 자 등의 사항을 기록해 보관하도록 했다.
원본기사 : https://byline.network/2020/08/4-70/