데이터 3법⁽¹⁾의 개정 개요

 

2011년 9월에 많은 논란 끝에 전 분야를 아우르는 개인정보 분야 일반법인 「개인정보보호법」이 시행되었다. 이 법은 시행 후 9년 동안 주민등록번호 처리의 법정주의 등 규제 강화, 징벌적·법정손해배상제도의 도입, 개인정보보호 인증제도의 통합 등 많은 변화를 겪어 왔다. 이 법은 2020년에 다시 한 번 제정 시 보다 더 큰 진통을 겪으며 새롭게 태어났다. 제4차 산업혁명 시대의 도래에 따른 세계 각국의 데이터경제 활성화 전략 추진과 EU(유럽연합)의 일반 개인정보보호법(GDPR; General Data Protection Regulation) 시행(2018.5) 및 국내에서의 개인정보의 효율적 활용을 위한 법 개정의 거센 요구 등의 영향으로 기존의 개인정보보호 추진체계까지 바꾸며 새로운 모습으로 개정된 것이다.

 

개정 「개인정보보호법」은 심의·의결 기구에 머물렀던 개인정보보호위원회(이하 ‘보호위원회’)를 중앙행정기관화하고, 행정안전부와 방송통신위원회가 수행하고 있던 개인정보 보호 관련 법 집행 권한을 보호위원회로 이관하여 일원화하였다. 또한 개인정보 정의의 판단기준 명확화, 가명정보 개념 도입 및 가명정보 처리 시 준수의무 등 개인정보의 안전한 이용 활성화를 도모하고자 하였다. 한편, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’)의 개인정보 규정(제4장)을 삭제하여 이 중 「정보통신망법」에만 있는 조항들은 「개인정보보호법」내에 특례규정으로 편입되었다. 그리고 「신용정보의 이용 및 보호 등에 관한 법률」(이하 ‘신용정보법’)도 「개인정보보호법」과의 정합성, 가명정보의 도입 등을 내용으로 하여 개정되었다. 위 법률들은 2020년 2월 4일 공포되었고, 6개월 후인 8월 5일에 시행될 예정이다.

 

「개인정보보호법」개정 주요 내용

 

1. 개인정보보호위원회의 중앙행정기관화

개인정보보호 추진체계 변화
[출처: 한국인터넷진흥원 자료]

개정 「개인정보보호법」은 현행 대통령 소속의 보호위원회를 국무총리 소속의 중앙행정기관으로 하고, 독자적인 조직·인사·예산권 및 조사·처분 등 집행권과 의안제출 건의권 및 국회·국무회의 발언권을 부여하였다. 보호위원회의 위상에 절대적으로 요구되는 독립성 보장을 위해 국무총리 소속으로 하되 조사·처분 등 독립성이 요구되는 일부 기능⁽²⁾에 대해서는 국무총리의 행정 감독권을 배제하였다.(제7조제1항, 제2항).

 

이로써 그동안 행정안전부와 방송통신위원가 수행했던 업무⁽³⁾는 모두 보호위원회로 이관되었다. 한편 개정 「신용정보법」은 개인신용정보와 관련하여 금융위원회의 감독을 받지 않는 신용정보회사 등 금융회사 외의 ‘상거래 기업 및 법인’에 대해서는 금융위원회의 감독·검사 등을 대신하여 보호위원회에 대하여 자료제출 요구·검사·출입권·시정명령·과징금·과태료 부과 등의 권한을 부여(제38조제5항, 제42조의4제1항 등)함으로써 현행의 개인정보보호 추진체계를 완전히 탈바꿈시켰다.

 

2. 개인정보 범위의 판단기준 제시

개정 「개인정보보호법」은 특정 개인의 식별가능 여부에 대한 기준을 제시하였다. 현행법은 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는” 이라는 정의와 관련하여 과연 “쉽게 결합하여”의 범위가 어디까지인지 여부를 명확하지 않아 법 적용의 어려움 등 논란이 지속되어 왔었다. 개정법은 “다른 정보의 입수 가능성” 등 기준을 제시하여 기업 등 이해관계자의 개인정보 처리에 기존보다 명확한 기준을 제시하였다(제2조제1호). 아울러 “익명정보‘라는 용어는 사용하지 않았으나, 익명정보는 「개인정보보호법」을 적용하지 않는다는 규정도 신설(제58조의2)하였다.

 

3. 가명정보의 제도화

개정「개인정보보호법」은 데이터 활용을 활성화하기 위해 가명정보의 개념을 도입하고, 그 처리에 관한 특례 규정을 신설하였다. 이에 따라 개인정보처리자는 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 정보주체의 동의없이 처리할 수 있게 되었고, 개인정보처리자 간에 지정된 전문기관을 통해서 가명정보를 결합하여 이용할 수 있게 되었다.

 

4. 수집목적과 합리적 관련 범위 내에서의 활용 확대

개인정보처리자는 애초에 수집 시에 고지한 수집목적과 합리적으로 관련된 범위 내에서 암호화 등 안전성 확보조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용(제15조제3항) 또는 제공(제17조제4항)할 수 있다.

 

이 규정은 개인정보의 활용을 도모하기 위해 개인정보 목적 명확화 원칙을 완화한 것으로 볼 수 있는데, 새로 생긴 추가의 개인정보 이용 또는 제공 목적이 애초의 수집목적과 합리적으로 관련되었다면 안전성 확보를 전제로 하여 정보주체의 동의 없이 개인정보를 이용하거나 제공하는 것을 허용함으로써 개인정보 처리자의 입장에서는 개인정보 처리의 범위를 넓혀주는 효과를 기대할 수 있게 되었다.

 

「정보통신망법」개정 주요 내용

 

1. 「개인정보보호법」과 유사·중복 규정 삭제

「정보통신망법」의 개인정보보호 규정(제4장)에서 「개인정보보호법」과 유사·중복되는 규정들은 모두 삭제하였다. 예컨대, 개인정보 정의, 민감정보·주민등록번호 처리제한, 개인정보 처리위탁, 안전조치의무, 개인정보보호책임자 지정, 정보주체의 권리, 손해배상, 개인정보보호 인증 등의 규정은 모두 삭제하였다.

 

2. 삭제된 일부 규정을 「개인정보보호법」 내에 특례 규정으로 이관

삭제된 「정보통신망법」 규정 중에 「개인정보보호법」과 상이하거나 「정보통신망법」에만 존재하는 규정은 특례 규정으로 하여 「개인정보보호법」제6장으로 편입하였다. 예컨대, 개인정보의 수집·이용, 유출통지 및 신고, 동의철회권, 손해배상, 국내대리인, 개인정보 국외 이전, 상호주의 등 규정과 해당 조항에 따른 과징금 및 형사처벌 조항도 함께 편입되었다.

 

이들 특례 규정은 정보통신서비스제공자등을 규제대상으로 한정하고, “정보주체”의 개인정보가 아닌 “이용자”(정보통신서비스제공자가 제공하는 서비스를 이용하는 자)의 개인정보를 그 보호범위로 하고 있다.

 

3. 「정보통신망법」에 존치하는 규정

「정보통신망법」의 단말기 접근권한에 대한 동의, 주민등록번호 처리 관련 본인확인기관의 지정 등 규정은 삭제되지 않고 여전히 존치한다. 이들 조항이 존치하는 이유는 개인정보 보호와는 직접 관련은 없으며, 그 적용 대상이 통신사업자 등 방송통신위원회 소관 사업자라는 특성을 반영하였기 때문이다.

 

「신용정보법」개정 주요 내용

 

1. 「개인정보보호법」과 유사·중복 조항의 정비 등

개인신용정보의 처리, 그 업무의 위탁, 유통 및 관리와 신용정보주체의 보호에 관하여 일반법인 「개인정보보호법」의 일부 규정을 금융 분야에 알맞게 특별법인 「신용정보법」에 수용하거나 일반법과 특별법의 적용관계를 보다 명확히 규정하였다. 또한 이 법에서 유사하거나 중복적으로 규정하고 있는 내용에 대해서는 「개인정보보호법」의 해당 조문을 적용하도록 하는 등 현행 개인정보 보호 체계를 보다 효율화하였다.⁽⁴⁾

 

2. 가명정보의 개념 도입 등

추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 처리(가명처리)한 개인신용정보로서 가명정보의 개념을 도입하였다(제2조제15호, 제16호 신설). 그리고 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 연구(산업적 연구를 포함), 공익적 기록보존을 위해서는 가명정보를 신용정보주체의 동의 없이도 이용하거나 제공할 수 있도록 규정하였다(제32조제6항 제9의2, 제9의4).

 

이외에도 개정 「신용정보법」은 익명처리에 대해서는 금융위원회에서 지정한 데이터 전문기관의 적정성 평가를 거친 경우에는 더 이상 특정 개인을 알아볼 수 없도록 처리한 정보로 추정하여 금융회사 등의 빅데이터 활용에 따른 법적 불확실성을 어느 정도 해소하였다.(제2조제17호, 제26조의4, 제40조의2 제3항부터 제5항까지).

 

3. 정보활용 동의제도의 내실화

개정 「신용정보법」은 고지사항의 중요한 사항만을 발췌한 요약정보를 신용정보주체에게 알리고 정보활용 동의를 받을 수 있도록 하되, 신용정보주체가 요청할 경우 고지사항 전부를 알리도록 하는 등 신용정보주체에게 요약정보를 고지한 후에 동의를 얻는 가능성을 허용하였다(제34조의2 신설).

 

한편, 금융위원회로 하여금 금융회사 등의 정보활용 동의사항에 대하여 사생활의 비밀과 자유를 침해할 위험, 신용정보주체가 받게 되는 이익이나 혜택 등을 고려하여 정보활용 동의등급(정보활용 동의 사항에 대하여 금융위원회가 평가한 등급)을 부여하도록 하고, 금융회사 등은 그 동의등급을 신용정보주체에게 알리고 정보활용 동의를 받도록 하여 신용정보주체가 자신의 정보활용 동의에 따르는 효과를 손쉽게 알 수 있도록 하였다(제34조의3 신설).

 

4. 새로운 개인정보자기결정권의 도입

개인인 신용정보주체가 금융회사, 정부·공공기관 등에 대하여 본인에 관한 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에게 전송하여 줄 것을 요구할 수 있는 개인신용정보의 전송 요구권을 도입하였다(제33조의2 신설).

 

그리고 개인인 신용정보주체가 금융회사 등에게 자동화평가 실시 여부 및 자동화평가의 결과 및 주요기준, 기초자료 등의 설명을 요구할 수 있도록 하고, 자동화평가 결과의 산출에 유리하다고 판단되는 정보의 제출 또는 기초정보의 정정·삭제, 자동화평가 결과의 재산출을 요구할 수 있는 권리를 도입함으로써 신용정보주체에게 자동화평가에 대한 적극적인 대응권을 보장하고자 하였다(제36조의2 신설).

 

5. 신용정보 관련 산업의 규제체계 변경 등

금융거래에 관한 개인신용정보 외의 ① 개인신용정보만을 활용하여 개인인 신용정보주체의 신용상태를 평가하는 전문개인신용평가업과 ②기업신용조회업으로서 기업정보조회업무, 기업신용등급제공업무 및 기술신용평가업무에 대해서는 허가요건을 낮추어 진입규제를 대폭 완화하였다(제5조제1항․제3항, 제6조제2항제1호단서․제1호의3 신설). 이는 금융 분야 데이터산업에서 경쟁과 혁신을 촉진함과 동시에 사회초년생 등 금융 이용경험이 부족한 취약계층에 대한 개인신용평가 등의 정확성과 공정성을 높이고자 한 것이다.

 

또한 개인사업자의 신용을 판단하는데 필요한 정보를 수집하고 개인사업자의 신용상태를 일정한 방법으로 평가하여 그 결과를 제3자에게 제공하는 행위를 영업으로 하는 개인사업자신용평가업을 도입하였다(제2조제8호의2, 제5조제2항, 제6조제2항제1호의2 등 신설). 이는 개인신용평가회사, 기업신용조회회사 외에 신용카드업자가 겸영업무로 수행할 수 있도록 하는 등 개인사업자에 관한 신용위험 관리체계를 개선함과 동시에 개인사업자에 대한 성장 지원 기능을 확충할 수 있도록 하기 위한 것이다.

데이터 3법 개정과 향후 전망

 

많은 전문가와 이해관계자들이, 특히 산업계에서는 데이터 3법의 개정으로 데이터 이용이 활성화 될 수 있을 것으로 기대하고 있다. 그 이유는 무엇보다도 가명정보 개념을 도입하여, 새로운 기술, 제품 및 서비스의 개발 등 산업적 목적의 과학연구, 통계작성 및 공익기록 보존 등 목적으로는 가명처리한 정보를 정보주체의 동의 없이 처리할 수 있게 되었기 때문이다. 또한 그동안 개인정보의 범위 불명확성 때문에 개인정보를 마음대로 이용할 수 없었던 불합리한 상황을 극복하고자 현행 개인정보 정의 규정에 그 범위의 구체적 판단기준을 제시함으로써 개인정보처리자 입장에서는 관련 법률 준수에 대한 혼란이 최소화되었다. 즉 개인정보의 정의가 명확해지고, 가명정보 이용의 통로가 제도화됨으로써 데이터 활용의 폭이 커지고 향후의 빅데이터 분석 및 AI(인공지능) 등 신기술을 이용한 데이터 이용의 활성화 등 우리나라의 데이터 기반 경제의 발전에 크게 기여할 것으로 기대된다.

 

나아가, 개인정보보호위원회를 중앙행정기관화하여 그동안 여러 부처로 분산되어 있던 개인정보 보호 정책수립, 법집행 등의 일원화(개인정보보호 감독기구 독립성 확보) 및 「개인정보보호법」중심의 정합성을 위한 타법의 개정 등 개인정보 보호 추진체계의 변화는 관련 법률의 효율적·통일적·체계적 집행 및 규제 대상자의 법 준수 혼란 최소화 등에 크게 기여할 것으로 전망된다.