데이터 3법 통과…의료·AI 등 관련 산업 탄력 전망
서론
가명 정보의 이용 및 데이터 결합, 개인정보 보호 감독기구의 일원화 및 지위 격상, 개인정보 보호 법률의 일원화를 내용으로 하는 「개인정보 보호법」(이하 개인정보법) 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 정보통신망법) 개정 법률안이 지난 1월 9일 국회 본회의를 통과했다. 이와 함께 신용정보 관련 산업에 관한 규제 정비와 신용정보 주체의 개인정보 자기 결정권을 강화하는 것을 골자로 하는 「신용정보의 이용 및 보호에 관한 법률」(이하 신용정보법) 개정 법률안도 함께 국회 본회의를 통과했다.
이러한 데이터 3법의 통과로 인해 데이터 경제 활성화에 대한 기대감이 높아지고 있는 가운데, 그 내용과 전망에 대해 간략히 살펴보고자 한다.
개인정보법 및 정보통신망법의 주요 개정 내용
(1) 가명 정보 개념 도입 및 이용 가능성 확대
개정 개인정보법은 개인정보를 ‘살아 있는 개인에 관한 정보’로 규정하면서 다음과 같이 세 가지로 분류하고 있다.
또한 개인정보법은 ‘이 법은 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다’는 적용제외 규정을 둬 ‘더 이상 개인을 알아볼 수 없는 정보’인 ‘익명 정보’를 개인정보 규제 체계에서 제외됨을 명확히 했다.
개인정보의 정의와 관련해 개인정보법은 ‘위 항목 중 쉽게 결합할 수 있는지’의 기준으로 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 제시함으로써 개인정보가 다른 정보와의 결합 가능성을 통해 무제한 확대되는 것을 방지했다. 이에 ‘결합 가능성’은 객관적 요건으로 봤다. 정보의 입수 가능성에 대해 전혀 고려하지 아니한 채 추상적으로 다른 정보들을 입수할 수 있다는 가정하에 다른 정보와의 결합 용이성 여부만을 기준으로 판단한 서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결(일명 IMEI 사건)에 대한 반성적 고려에 기인한 것으로 해석된다.
나아가, 개인정보법은 ‘가명 정보’의 개념을 도입해 정보 주체의 동의가 없더라도 통계 작성, 과학적 연구, 공익적 기록 보존의 목적으로 가명 정보인 개인정보를 처리할 수 있도록 허용했다. 또 서로 다른 정보처리자가 보유하고 있는 가명 정보는 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정한 전문기관이 결합할 수 있도록 했으며, 결합한 정보는 가명 정보 또는 익명 정보로 처리한 뒤 전문기관의 장의 승인을 받아 결합 수행 기관 외부로 반출할 수 있도록 해, 개인정보를 가명 처리한 후 다양하게 이용할 수 있는 길을 열었다.
이처럼 개인정보법은 정보 주체의 동의 없이 가명 정보 이용이 가능하도록 하는 한편, 발생할 수 있는 정보 주체 권리 침해를 방지하기 위해 가명 정보의 복원에 필요한 추가 정보의 분실∙유출 등을 방지하기 위한 △안전성 확보 조치 의무 △가명 정보 처리 관련 기록 작성∙보관 의무 △특정 개인을 알아보기 위한 가명 정보처리 금지의무 △가명 정보 처리 시 생성된 특정 개인 식별 가능 정보 처리 중지∙회수∙파기 의무 등을 규정하고, 이를 위반할 경우 형사처벌, 과태료, 과징금 등의 제재가 이뤄지도록 했다.
(2) 정보 주체의 동의 없는 개인정보 이용 범위 확대
개인정보법은 ‘당초 수집 목적과 합리적으로 관련된 범위 내’ 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 했는지 여부 등을 고려해 정보 주체의 동의 없이 개인정보를 이용할 수 있도록 함으로써 정보 주체의 동의 없는 개인정보 이용 범위를 확대했다. 이는 EU GDPR 제5조 제1항 (b) 호와 제6조 제1항 (f) 와 유사한 내용에 해당한다. 그동안 개인정보의 처리에 있어서 애초의 수집 목적이 제3자 제공을 전제로 한 경우에도 그 제공 행위를 위해 별개의 동의를 받도록 하거나, 동의를 받아 수집한 이후에 동의 범위에 포함되지는 아니하지만 여러 가지 이유로 개인정보의 처리가 필요한 경우에도 동의가 없다는 이유로 처리 가능 여부가 불명확해 법 위반 가능성을 전적으로 배제하기 어려운 경우가 많았다. 앞으로는 이러한 경우에 애초 목적과 합리적 범위 내에서 처리가 가능하도록 함으로써 필요한 범위 내에서 유연한 법 적용이 가능하도록 했다.
(3) 개인정보보호위원회로 개인정보 보호 감독 기구 일원화 및 권한 확대
개인정보법은 개인정보보호위원회를 국무총리 소속 중앙행정기관으로 격상하는 한편, 현행법상 개인정보 관련 주무부처였던 행정안전부와 방송통신위원회의 개인정보 보호 관련 기능을 보호위원회로 이관해 개인정보 보호 감독 기구를 일원화하고, 개인정보 처리자에 대한 검사 참여, 시정조치 요청, 처분에 대한 의견 제시 등 보호위원회의 권한을 확대했다. 개인정보의 처리에 관해 감독관청이 중복적이라는 지적 및 정부 기관으로부터의 독립성이 확보되지 않았다는 지적을 반영한 개정에 해당한다.
(4) 현행 정보통신망법상 규제의 일부 존속
개인정보법은 개인정보 관련 법제를 개인정보법으로 단일화하기 위해 현행 정보통신망법에서 개인정보 관련 규정을 삭제하고, 개인정보 이용내역 통지, 개인정보 국외 이전 시 보호조치, 국외 재이전시 조치, 국내 주소 또는 영업소가 없는 정보통신서비스 제공자의 국내대리인 지정, 손해배상 보험 가입 등 손해배상의 보장, 노출된 개인정보의 삭제∙차단, 상호주의 등 정보통신망법에 규정돼 있던 규정을 개인정보법상 특례 규정으로 옮겨 규정했다. 그런데, 일부 존속하는 특례규정에 의하면 개인정보 수집과 관련해 여전히 개인정보법상 일반적인 경우보다 한정돼 적법한 근거 확보가 동의로 사실상 한정되는 등 향후 해석상 논란이 발생할 것으로 보이는 바, 이 부분에 대한 감독 기관의 빠른 가이드 제공이 필요할 것이다.
신용정보법의 주요 개정 내용
(1) 개인신용정보에 가명정보 포함 및 이용 가능성 확대
개정 신용정보법은 ‘개인신용정보’를 ‘기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보’라고 정의하고, 이를 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’와 ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보’로 구분하고 있다. 개정 개인정보법과 달리 신용정보법은 개인 신용정보의 정의 아래 가명정보를 포함하지 않고, 별도로 ‘가명처리한 개인신용정보’를 가명정보’로 정의하는 한편, ‘가명처리’를 ‘추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것’이라고 정의했다.
나아가, 개정 신용정보법은 가명 정보를 통계 작성, 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 이를 이용할 수 있도록 하고 있는데, 이때 시장조사 등 상업적 목적 통계작성 및 산업적 연구가 포함된다는 점을 명확히 해 가명 처리된 개인신용정보를 이용해 금융 분야 데이터 관련 산업이 성장할 수 있는 토대를 제공하고 있다.
그리고, 이와 같은 가명 정보의 이용에 따른 부작용을 방지하기 위해 개인정보법은 신용정보회사 등에 대해 가명 처리에 사용한 추가 정보를 일정한 방법으로 분리해 보관하도록 하고, 신용정보회사 등은 가명 정보를 보호하기 위해 일정한 기술적∙물리적∙관리적 보안 대책을 수립∙시행하도록 하며, 가명 정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우 처리를 즉시 중지토록 하고, 특정 개인을 알아볼 수 있게 된 정보를 즉시 삭제하도록 하는 등의 안전 조치 의무를 부과했다.
(2) 개인신용정보의 수집∙이용 등 관련 규정 정비
그동안 현행 신용정보법은 개인신용정보의 처리와 관련해 개인정보법과 다른 체계를 가지고 있어 해석에 상당한 혼란을 초래해 왔는데, 이번 개정을 통해 개인정보법과 유사한 체계로 개인신용정보의 처리에 관한 규정들을 정비하면서 정보 주체의 동의 예외와 관련한 규정도 개인정보법과 유사하게 정비∙확대했다.
개인신용정보 ‘수집’과 관련해, 개인신용정보를 수집하기 위해서는 원칙적으로 신용정보 주체의 동의를 받아야 하는데, 현행 신용정보법은 동의 없이 개인신용정보 수집이 가능한 범위가 개인정보법과 달리 규정돼 있었으나, 개인정보법은 개인정보법상 수집 동의 예외 사유가 그대로 적용되도록 하는 한편, 공시 또는 공개된 정보도 정보 주체의 동의 없이 수집할 수 있도록 해 개인정보법보다 동의 예외 사유를 확대했다.
또한 신용정보 처리업무의 ‘위탁’과 관련해서도 개인정보법상 개인정보 처리업무 위탁 관련 규정을 준용하고, 개인신용정보를 ‘제공’하는 경우에도 개인정보법에 유사한(그렇지만 약간 다른) 원칙에 따라서 이용할 수 있도록 동의 예외 사유를 뒀다.
(3) 신용정보 관련 산업의 규제체계 정비
개정 신용정보법은 포괄적으로 규정돼 있던 현행 신용조회업을 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분하고, 진입규제를 각 사업에 맞게 조정했다. 특히 개인신용평가업의 한 종류로 통신, 전기, 가스, 수도 요금 등 비금융정보를 이용해 신용을 평가하는 비금융정보 전문개인신용평가업을 추가로 도입하면서 허가요건을 대폭 완화하는 등 금융 분야 데이터 산업 진입규제를 완화하고 이를 통한 경쟁 활성화를 유도하고 있다. 또한, 개인인 신용정보 주체의 신용관리를 지원하기 위해 본인의 신용정보를 일정한 방식으로 통합해 그 본인에게 제공하는 행위를 영업으로 하는 본인신용정보관리업(MyData) 등의 다양한 데이터 기반 관련 산업의 활성화를 도모했다.
(4) 신용정보 주체의 개인정보 자기 결정권 강화
개정 신용정보법은 가명 정보 이용 등을 통해 데이터 기반의 금융산업이 발전할 수 있는 토대를 제공하는 한편, 금융 분야 개인정보 보호를 강화하는 내용도 추가됐다. 특히 신용정보 주체가 금융회사, 정부, 공공기관 등에 대해 본인에 관한 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에 전송해 줄 것을 요구할 수 있는 전송요구권을 도입하고, 신용정보 주체가 금융회사 등에 자동화 평가(profiling) 실시 여부 및 자동화 평가의 결과, 기준 등에 대한 설명을 요구하고, 관련 정보의 제출, 정정∙삭제 요구 등을 할 수 있는 자동화 평가에 대한 대응권을 도입해 신용정보 주체의 개인정보 자기 결정권을 강화하고 있다.
향후 주요 쟁점
이처럼 개인정보법과 신용정보법이 개정됨에 따라 AI 분야, 빅데이터 관련 산업, 의료 분야, 금융 분야와 같이 대량의 데이터 처리가 필요하고 그 과정에서 개인정보의 처리를 수반할 수밖에 없으나 실제로 개인의 식별 값 자체는 중요하지 아니한 산업 분야에서 데이터가 폭넓게 이용될 수 있는 기초가 마련됐다. 나아가 이번 개정으로 한∙EU 간 개인정보 국외 전송에 대한 EU 집행위원회의 적정성 결정이 이뤄질 가능성이 커졌다고 할 수 있고, 그에 따라 국외 이전 절차를 위한 표준계약체결 등의 절차를 생략할 수 있는 등 국내 기업의 글로벌 진출에도 큰 도움이 될 수 있을 것으로 기대된다.
다만, 가명 정보의 개념이 명확하지 않고, 개정 데이터 관련 법률들은 구체화가 필요한 다양한 내용을 대통령령에 위임하고 있으며, 개인정보법과 신용정보법 간 규정이 일치하지 않는 부분도 여전히 존재하고, 신용정보법의 적용 범위가 기존보다 확대될 여지가 있어 비금융권 기업들 역시 신용정보법상 이슈들을 함께 고려해야 하는 중복 규제의 가능성도 있다. 이처럼 앞으로 개인정보법의 해석 및 적용과 관련해 시행령의 규정 내용, 개인정보보호위원회 등의 유권 해석 등을 지속해서 주시할 필요가 있을 것이다.