김경환 법무법인 민후 대표 변호사는 데이터 3법 시행상 쟁점사항을 개인정보보호법을 중심으로 분석하여 개선방향을 제시하였습니다.
데이터 3법(개인정보보호법, 정보통신망법, 신용정보법 개정)이 시행되면서 개인정보 개념의 명확화, 가명정보 및 개인정보의 이용범위 확대, 정보집합물 결합 근거 마련, 개인정보처리자의 책임성 강화, 개인정보보호 추진체계 효율화와 같은 효과가 발생할 것으로 예상되고 있습니다.
김경환 변호사는 발표자료를 통해 개인정보보호법을 중심으로 데이터 3법의 쟁점사항을 검토하여 개선방향을 제시하였습니다.
2. - 2 -
과학적 연구
<개인정보보호법>
제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적
기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
8. "과학적 연구"란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등
과학적 방법을 적용하는 연구를 말한다.
o 시민단체 : 과학적 연구를 ‘학술연구’로 제한하여야 한다.
o EU GDPR : 위 제2조 제8호와 동일함
o 신용정보보호법 제32조 제6항
9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우. 이
경우 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업
적 연구를 포함한다.
⇒ 민간투자 연구가 포함되는 점, 신용정보보호법과의 일관성 측면을 고려한다면, 산업
적 연구도 포함한다.
3. - 3 -
추가처리의 요건
<개인정보보호법>
제15조(개인정보의 수집ㆍ이용) ③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련
된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한
조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의
없이 개인정보를 이용할 수 있다.
<개인정보보호법 시행령>
제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) ① 개인정보처리자는 법 제15
조 제3항 또는 제17조 제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제
공(이하 "개인정보의 추가적인 이용 또는 제공"이라 한다)하려는 경우에는 다음 각 호의
사항을 고려해야 한다. (초안은 ‘모든’ 사항을 고려하도록 하였음)
1. 당초 수집 목적과 관련성이 있는지 여부 (초안은 ‘상당한 관련성’이었음)
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용
또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부 (초안은 ‘제3자의 이익’도 포함되었음)
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
4. - 4 -
o 입법취지 : 수집 이후 사정변경 발생한 경우 (예컨대 한식 ⇒ 중식 추가)
o 시민단체 : 매우 좁은 범위에서 즉 정보주체가 납득할 수 있는 범위에서 엄격하게 해
석하여야 함
o EU GDPR 제6조 제4항 : ‘동의’의 경우는 적용 안 되는 점 외에는 대체로 유사함
o 신용정보보호법 제32조 제6항
9의4. 다음 각 목의 요소를 고려하여 당초 수집한 목적과 상충되지 아니하는 목적으
로 개인신용정보를 제공하는 경우 (표현상으로는 더 적절함)
가. 양 목적 간의 관련성
나. 신용정보회사등이 신용정보주체로부터 개인신용정보를 수집한 경위
다. 해당 개인신용정보의 제공이 신용정보주체에게 미치는 영향
라. 해당 개인신용정보에 대하여 가명처리를 하는 등 신용정보의 보안대책을 적절히
시행하였는지 여부
⇒ 처리목적을 광범위하게 기재하는 우리법의 현실에서 이 조항이 어떤 역할을 할지는
의문임. 처리목적을 구체적ㆍ특정적으로 기재하는 풍토부터 마련한다면, 이 조문의
기능이 충분히 발현될 수 있을 것임
5. - 5 -
결합개인정보와 가명정보의 구별
<개인정보보호법>
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하
는 정보를 말한다.
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여
알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수
가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려
하여야 한다. (결합개인정보)
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위
한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명
정보"라 한다)
1의2. "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의
방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
6. - 6 -
o EU GDPR 제4조 제5호 : ‘가명처리’란 추가정보의 이용 없이는 개인정보가 더 이상
특정 정보주체에게 귀속될 수 없는 방식으로 개인정보가 처리되는 것
☞ 추가정보의 ‘이용’만 있고, 추가정보의 ‘결합’이 없는 점이 우리 법과 다름
☞ 추가정보 이용으로 특정 정보주체에게 귀속된다는 것이 우리 법과 다름
o 신용정보보호법
제2조(정의) 이 법에서 사용되는 용어의 뜻은 다음과 같다.
15. "가명처리"란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없
도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서
제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용
정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.
가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우
나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구
성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보
집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우
다. 가목 및 나목과 유사한 경우로서 대통령령으로 정하는 경우
16. "가명정보"란 가명처리한 개인신용정보를 말한다.
7. - 7 -
o 구별방법 (= 원시 상태)
- 결합개인정보 : 결합 이전 비개인정보 상태임. ‘다른 정보’는 원시적으로 존재할 필
요 없음. 다른 정보와 결합하면 개인정보화됨
- 가명처리 : 처리 이전 개인정보 상태임. ‘추가정보’는 원시적으로 존재해야 함, 추가
정보가 사용ㆍ결합되면 복원됨 (추가정보에 대하여 별도 보관ㆍ관리 의무가 있음)
o 가명처리 이후의 상태
- 개보법 : 특정 개인을 알아볼 수 없는 상태인데, 가명정보는 개인정보이다
- GDPR : 특정 개인에게 귀속될 수 없는 상태 (가명정보는 개인정보)
- 신보법 : 특정 개인을 알아볼 수 없도록 어떤 신용정보주체와 다른 신용정보주체가
구별되게 처리하는 것인데, 가명정보는 개인정보이다.
o 가명정보의 개인정보화
- 개보법 : 추가정보의 사용ㆍ결합 (추가정보의 범위 : 연계정보 또는 식별자)
- GDPR : 추가정보의 사용
- 신보법 : 추가정보의 사용 (추가정보의 범위 : 연계정보 O, 식별자?)
8. - 8 -
가명정보의 결합과 반출
<개인정보보호법 시행령>
제29조의3(개인정보처리자 간 가명정보의 결합 및 반출 등)
② 결합전문기관은 법 제28조의3 제1항 에 따라 가명정보를 결합하는 경우에는 특정 개인을 알아볼 수
없도록 해야 한다. 이 경우 보호위원회는 필요하면 한국인터넷진흥원 또는 보호위원회가 지정하여 고시하
는 기관으로 하여금 특정 개인을 알아볼 수 없도록 하는 데에 필요한 업무를 지원하도록 할 수 있다.
③ 결합신청자는 법 제28조의3 제2항에 따라 결합전문기관이 결합한 정보를 결합전문기관 외
부로 반출하려는 경우에는 결합전문기관에 설치된 안전성 확보에 필요한 기술적ㆍ관리적ㆍ물
리적 조치가 된 공간에서 제2항에 따라 결합된 정보를 가명정보 또는 법 제58조의2에 해당
하는 정보로 처리한 뒤 결합전문기관의 승인을 받아야 한다.
④ 결합전문기관은 다음 각 호의 기준을 충족하는 경우에는 법 제28조의3 제2항에 따른 반출
을 승인해야 한다. 이 경우 결합전문기관은 결합된 정보의 반출을 승인하기 위하여 반출심사
위원회를 구성해야 한다.
1. 결합 목적과 반출 정보가 관련성이 있을 것
2. 특정 개인을 알아볼 가능성이 없을 것
3. 반출 정보에 대한 안전조치 계획이 있을 것
o 용어의 비일관성, 결합절차의 비효율성, 반출시 결합공간의 제약, 복잡한 승인절차 등
o 신용정보보호법 시행령 제14조의2의 절차와의 차이
9. - 9 -
제28조의7 적용범위
<개인정보보호법>
제28조의7(적용범위) 가명정보는 제20조, 제21조, 제27조, 제34조 제1항, 제35조부터
제37조까지, 제39조의 3, 제39조의 4, 제39조의 6부터 제39조의 8까지의 규정을 적용
하지 아니한다.
제20조 : 제3자로부터 수집한 가명정보는 수집출처 등을 고지하지 않아도 됨
제21조 : 가명정보는 보유기간의 경과, 목적 달성 이후 파기하지 않아도 됨
제27조 : 가명정보는 영업양도시 정보주체에게 고지하지 않아도 됨
제34조제1항 : 가명정보의 유출시 정보주체에게 통지하지 않아도 됨
제35조 : 가명정보의 열람ㆍ정정ㆍ삭제ㆍ처리정지 청구시 응하지 않아도 됨
제39조의3 : 가명정보의 경우 이용내역통지를 하지 않아도 됨
o 제21조의 문제 : 개인정보를 가명처리해서 보관하면 파기하지 않아도 되는가? (X)
10. - 10 -
<개인정보보호법>
제23조(민감정보의 처리 제한) ①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴,
정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가
있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된
다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정
보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
<개인정보보호법 시행령>
제18조(민감정보의 범위) 법 제23조 제1항 각 호 외의 부분 본문에서 "대통령령으로 정하는
정보"란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조 제2
항 제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는
경우의 해당 정보는 제외한다.
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한
기술적 수단을 통해 생성한 정보
o 제28조의7에 민감정보(예컨대 의료정보) 또는 바이오인식정보에 관한 제23조가 부존
재한바, 민감정보 등의 가명정보는 제23조에 의하여 동의를 얻어 처리해야하는가? (X)
11. - 11 -
정보통신서비스제공자 특례규정
<개인정보보호법>
제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의
없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따
른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정
보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우
(통상 정보통신망법의 ‘다른 법률’에는 개인정보보호법이 포함되는 것으로 해석해 왔으나, 이제
는 이러한 해석이 불가능함)
제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
제39조의5(개인정보의 보호조치에 대한 특례)
정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.
(제재조항도 없고, 안전성확보조치 기준으로 포섭이 가능하며, 개인정보처리자는 그러지 않아도
되는지 의문임)
12. - 12 -
<개인정보보호법>
제39조의6(개인정보의 파기에 대한 특례)
(미파기시 형사처벌 조항은 여전히 존재함에 유의해야 함, 제73조 1의2)
제39조의7(이용자의 권리 등에 대한 특례)
제39조의8(개인정보 이용내역의 통지)
(방통위가 폐지 1순위로 거론한 조항인데 살아 있는 것이 의문임)
제39조의9(손해배상의 보장)
제39조의10(노출된 개인정보의 삭제ㆍ차단)
제39조의11(국내대리인의 지정)
제39조의12(국외 이전 개인정보의 보호)
제39조의13(상호주의)
제39조의14(방송사업자등에 대한 특례)
제39조의15(과징금의 부과 등에 대한 특례)
o 전체적으로 ‘화학적 결합’이 일어나지 못한 특례 조항으로 판단됨 : 화학적 결합의 방
향으로는, 비특례 조문에 대한 대체형 조문을 늘리고 추가형 조문을 줄여서 규제를 최
소화하는 것이 바람직함