한국어
English
현행 개인정보 보호법은 '살아있는 개인을 알아볼 수 있는 정보'라면 모두 개인정보에 해당한다고 보고, 해당 정보만으로는 특정 개인을 알아볼 수 없다고 하더라도 다른 정보와 결합해 그 개인을 식별할 수 있는 경우라면 개인정보로 보고 엄격하게 보호하고 있다.
이렇다 보니 그간 국내 기업들의 데이터 활용 범위도 제한된 측면이 있었다.
이런 가운데서도 국내 개인정보 보호법제는 소관부처가 일원화되어 있지 않은 등의 이유로 유럽연합(EU)의 개인정보보호법(GDPR) 적정성 평가를 통과하지 못했고, GDPR 준수를 위해 기업들은 수 많은 노력과 자금을 투입하면서 빅데이터 산업의 걸림돌로 작용했다.
이에 따라 이번에 시행되는 데이터 3법에는 개인정보의 실효적 보호 뿐 아니라 개인정보의 상업적 활용 활성화를 가능하게 하는 내용이 담겼다.
우선 개인정보보호 관련 기능을 개인정보보호위원회로 최대한 일원화하면서 EU의 GDPR 적정성 평가 통과 가능성이 높아졌다.
이번 데이터 3법은 개인정보 보호를 세부적으로 강화하면서도 개인정보의 상업적 활용이 가능한 점이 특징이다.
특히 이번 개정안에는 개인정보 중 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 '가명정보'의 개념이 처음으로 도입됐다.
개정 데이터 3법은 가명정보를 상업적 목적을 포함한 통계작성과 산업적 목적을 포함하는 과학적 연구, 공익적 기록 보존 등을 위해서는 정보주체의 동의 없이도 활용할 수 있도록 하고 있다.
더 이상 개인을 알아볼 수 없게 복원이 불가능할 정도로 조치한 '익명정보'는 개인정보가 아니게 돼 개인정보 보호법이 적용되지 않는다는 점도 분명히 했다.
즉 기존에는 정보주체에게 동의를 받지 않으면 처리할 수 없었던 정보도 특정 경우 동의 없이 처리할 수 있게 된 것이다.
그러나 무제한적인 가명정보 활용을 허용되는 것은 아닌 만큼, 기업이 준수해야 할 사항 역시 새롭게 정하고 있다.
가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위해 사용될 수 있는 정보를 포함해서는 안되며, 특정 개인을 알아보기 위한 목적으로 가명정보를 처리할 수 없게 된다.
이를 위반할 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있다.
또 기업이 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고 지체 없이 회수하거나 파기해야 한다.
서로 다른 기업이 보유한 가명정보를 결합하기 위해서는 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 이를 수행해야 한다.
그러나 가명정보의 상업적 식별가능성이 존재하는 만큼 개인정보 침해가능성도 무시할 수는 없다.
예컨대 가명정보가 주민등록번호 등 고유식별번호와 결합할 경우에는 재식별 가능성이 높다는 점을 충분히 예상할 수 있어, 가명정보의 오남용 가능성에 대한 우려도 나온다.
우리 법제에 가명정보라는 개념이 처음 도입된 만큼 아직까지는 명확한 기준이 없고, 활용 범위 또한 모호해 자칫하면 기업의 가명정보 활용이 개인정보 보호법 위반으로 이어지기 쉽다.
향후 기업들이 가명정보를 산업에 활용할 때 구체적으로 어느 기준을 적용해야 하는 지, 구체적인 위임입법과 현실적인 가이드라인이 제시되기를 기대한다.
(법무법인 충정 신채은 변호사)
(서울=연합인포맥스)
(끝)
본 기사는 인포맥스 금융정보 단말기에서 13시 00분에 서비스된 기사입니다.