ICT뉴스
제목 하단 바

[이슈분석]데이터3법 시행령, 데이터 결합절차 마련·가명정보 안전성 강화
작성일자 2020.03.31 조회수 6777
첨부파일 없음

데이터3법(개인정보보호법6·신용정보법·정보통신망법) 통과 90여일 만에 관련 시행령 개정안이 마련됐다. 개인정보보호법 시행령 개정안에 데이터 결합 절차를 마련하고 가명정보 안전성을 강화했다. 정보통신망법에 흩어졌던 개인정보 관련 시행령을 개인정보보호법으로 일원화해 업계 혼란을 최소화하는데 주력했다.

◇개인정보 추가 이용…가명정보 결합 상세·안전성 강화

개인정보보호법 개정으로 개인정보 추가 이용과 제공이 가능해진다.

개인정보처리자는 △당초 개인정보를 수집했던 목적과 상당한 관련성 △수집한 정황과 처리 관행에 비춘 예측 가능성 △추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등 요건을 갖춘 경우 수집한 개인정보를 정보주체 동의 없이 추가로 이용·제공할 수 있게 된다.

이는 유럽연합(EU) 개인정보보호법(GDPR)에서 수집 목적과 양립 가능한 범위 내에서 추가 처리를 허용하는 요건과 유사한 내용이다. 개인정보 수집 과정에서 추가로 동의를 받아야 했던 경직성을 완화할 것으로 기대된다.

가명정보 결합 절차와 전문기관 지정 요건을 확립했다.

가명정보를 결합하려는 개인정보처리자는 개인정보보호위원장 또는 관계 중앙행정기관장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 전문기관이 가명정보를 결합해주면, 개인정보처리자는 전문기관 내 마련된 안전한 분석 공간에서 결합된 정보를 분석할 수 있다. 인공지능(AI) 분석 등을 위한 데이터 반출 등이 필요할 경우, 결합된 가명정보는 전문기관 안전성 평가와 승인을 거쳐 전문기관 외부로 반출할 수 있다.

전문기관은 일정한 인력〃조직, 시설〃장비, 재정능력을 갖춰야 지정될 수 있다. 3년간 지정 효력이 인정된다. 안전한 데이터 활용 관련 국민 신뢰 확보를 위해 전문기관은 전문성과 신뢰성 있는 기관을 중심으로 지정〃운영할 계획이다. 한국정보화진흥원, 건강보험심사평가원, 한국교육학술정보원 등이 전문기관 후보로 거론된다. 세부사항은 '(가칭)가명정보 결합 등에 관한 고시'에 규정할 예정이다.

가명정보 안전성 확보·강화 조항이 신설된다.

가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 한다. 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리해야 하는 등 물리적·기술적 안전조치를 실시해야 한다. 가명정보 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성해 보관해야 한다.

안전조치 의무를 미준수할 경우 3000만원 이하 과태료, 가명처리 관련 기록 작성 의무를 어겼을 시에는 1000만원 이하 과태료를 부과해야한다. 재식별 목적으로 가명정보를 처리할 경우에는 5년 이하 징역 또는 5000만원 이하 벌금에 처하고, 전체 매출액 3%까지 과징금을 병과(둘 이상 동시 처벌)할 수 있다.

◇개인정보보호위원회 개선…정통망법 이관 완료

체계적 개인정보 보호를 위해 개인정보보호위원회 운영 제도를 개선했다.

전문위원회 효율성과 전문성 제고를 위해 위원 정수를 당초 10명에서 20명으로 확대했다. 범정부 차원 체계화된 개인정보 보호정책 추진과 개인정보 침해사고 예방·대응 등 개인정보보호 업무 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시·도 개인정보보호 협의회를 설치하고 운영 근거를 마련했다.

3년마다 수립하는 '개인정보보호 기본계획' 수립부터 시행까지 최대 2년 시차가 발생하던 문제를 해소한다. 기본계획 시행 시점에 더 근접해서 수립하도록 조정했다. 기존 12월말 위원회가 차차년도 시행계획 지침을 통보하던 방식에서 이보다 앞선 6월말 차년도 시행 계획 지침을 통보하는 식으로 시간을 앞당겼다.

데이터3법 시행에 따른 정보통신망법 시행령 관련 규정을 개인정보보호법으로 이관했다.

그간 정보통신망법 시행령에 규정됐던 '개인정보 이용내역 통지' '손해배상책임 보장' '해외사업자의 국내대리인 지정' 등 개인정보 보호 관련 조항을 개인정보보호법 개정안에 통합했다. 개인정보 보호법 시행 이후에는 정보통신서비스 제공자도 개인정보 보호법을 적용받게 된다. 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근권한 등 업무와 관련한 조문 체계 정비도 개정안에 반영했다.

정부는 이 같은 시행령을 31일 입법예고 후 40일간 업계 의견을 수렴할 방침이다.