올해 초 데이터 3법이 개정되면서 개인정보 보호법에 가명정보의 개념이 도입되었고, 가명정보 특례규정도 신설됐다. 신설된 가명정보 특례규정은 정보주체 동의 없이도 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보를 처리할 수 있도록 했기 때문에 개인정보 처리를 위해서는 정보주체의 동의를 얻어야 한다는 개인정보 보호법 기본원칙의 예외를 인정한 것으로 평가된다.

즉, 가명처리 절차만 잘 준수하면 정보주체의 동의 없이도 빅데이터 활용이 가능하게 된 것이다.

이후 가명정보 특례규정을 뒷받침하기 위하여 개인정보 보호법 시행령이 개정되었고, 가명정보의 결합 및 반출 등에 관한 고시 등이 신설됐으며 올해 9월 24일 개인정보보호위원회는 가명처리 목적의 범위, 가명처리의 방법 및 절차 등을 안내한 '가명정보 처리 가이드라인' 내놓았다.

위 가이드라인은 가명정보 처리에 대한 구체적인 기준을 제시한 것으로 가명정보를 처리하고자 하는 개인 및 기업들은 가이드라인의 내용을 잘 살펴볼 필요가 있다.

우선 개인정보 보호법 제28조의2 제1항의 가명정보처리 목적에 대하여 '통계작성'에는 상업 목적의 통계 처리가 포함되며, '과학적 연구'에는 산업 목적의 연구가 포함된다.

상업·산업 목적 연구가 포함된다는 것은 곧 가명정보 처리 목적이 비영리 목적으로 국한되지 않는다는 것을 의미한다.

다만, 가이드라인은 법규의 효력은 없어 가명정보 처리자의 법적 안정성 보호를 위해 추후 가명정보 특례규정에 영리 목적 연구가 포함됨을 명시할 필요가 있을 것으로 보인다.

가명정보 처리 절차는 사전준비, 가명처리, 적정성 검토 및 추가 가명처리, 활용 및 사후관리의 4단계로 나누어 지는데, 가명처리 결과에 대해 적정성을 검토하여 가명처리 목적을 달성하기 어렵거나 재식별 가능성이 있는 경우 2단계를 반복하거나 추가 가명처리를 해야 한다.

또한 적정성 검토 시 가명처리 수행자와 적정성을 검토자, 가명정보취급자는 관리적?기술적으로 권한을 분리해야 한다.

가명처리 수행자가 적정성 검토를 수행하거나 가명정보를 취급하게 되면 특정 개인을 식별하게 될 가능성이 있기 때문이다.

가명정보 특례규정은 가명정보의 결합?반출을 제한적으로 허용하고 있어 가명정보 결합?반출절차가 어떻게 진행될지는 빅데이터 업계의 관심사항이었다.

가이드라인은 가명정보 결합·반출 절차에 대해 결합전문기관에 가명정보 결합신청, 결합키 관리기관의 결합키 생성 및 정보 송신, 결합정보 반출 전 추가처리 및 반출심사, 반출 및 사후관리의 4단계로 이루어진다고 안내하고 있다.

앞서 가명처리 수행자와 적정성 검토자 등을 분리한 것처럼, 가명정보 결합 시에도 결합 수행 주체를 결합신청자, 결합키관리기관, 결합전문기관으로 분리했다.

이제 막 가명정보 처리가 허용되었기 때문에 가명정보 결합·반출까지 활성화되려면 시간이 필요할 것이고, 가명정보 결합?반출 절차가 다소 복잡하고 번거로워 보이는 면도 있지만 이용 사례가 늘어나면 신청 및 협의 절차도 간소화되어 자리잡을 것으로 예상된다.

그밖에 가이드라인에는 가명정보의 안전한 관리를 위해 개인정보처리자가 준수해야 하는 관리적·기술적·물리적 보호조치에 대해서도 다루고 있다.

이번에 위원회가 발간한 가이드라인은 가명처리의 일반사항을 규율한 것이고, 추후 개별 산업 분야 가명처리에 대해 위원회는 소관 부처와 공동으로 분야별 가이드라인도 마련하여 발간할 예정이다.

분야별 가이드라인 발간의 시작으로 위원회는 올해 9월 25일 보건복지부와 의료분야에 대한 '보건의료 데이터 활용 가이드라인'을 발간하기도 했다.

이러한 분야별 가이드라인은 위원회 단독으로 발간한 가이드라인보다 우선 적용되는 만큼, 각 분야 가명정보 처리자들은 위원회 가이드라인과 함께 분야별가이드라인도 확인해 가명정보 처리 시 개인정보 보호법 위반이 발생하지 않도록 항상 주의해야 할 것이다.

(법무법인(유) 충정 양성호 변호사)

hjlee@yna.co.kr

(끝)

본 기사는 인포맥스 금융정보 단말기에서 13시 00분에 서비스된 기사입니다.
저작권자 © 연합인포맥스 무단전재 및 재배포 금지