개인정보보호법의 의의와 시행령 개정 고려사항

※ 이 글은 네이버 이진규이사의 기고를 받아 작성되었습니다.

1. 개정 개인정보보호법 주요 내용
오는 8월 5일 시행 예정인 개정 개인정보보호법(법률 제16930호)은 4차산업 혁명 시대의 가장 중요한 자원인 데이터, 특히 개인식별정보에 대한 보호조치를 규정함으로써 안전한 활용의 기반을 마련한 중요한 법률이다. 현실에서 가장 많은 개인정보의 처리가 발생하여 국민의 삶에 직접적 영향을 미치는 온라인 상에서의 개인정보 처리에 대해서는 개인정보보호법의 특별법인 정보통신망법이 특별법으로서 우선 적용되었고, 금융분야에서의 개인정보처리의 경우 주무부처가 개인정보보호위원회가 아닌 금융위원회였기 때문에 국가적으로 통일성 있는 개인정보보호 정책의 실현이 가능하지 않았던 구조였다. 빅데이터 분석이용과 관련한 법적 근거가 미비하여 4차산업 혁명 시대에 부적합한 법률이라는 비난도 제기되어 왔다.

이에, 개정 개인정보보호법은 다음과 같은 주요 내용을 반영했다.
가. 개인정보 보호체계의 일원화
개인정보보호위원회, 방송통신위원회, 금융위원회 등에 분산되어 있던 개인정보보호 기능을 개인정보보호위원회로 일원화하는 동시에 개인정보보호법과 정보통신망법의 유사·중복규정을 정비하여 개인정보보호법으로 통합하였다.

나. 빅데이터 분석·이용의 법적근거 마련 및 기업의 책임성 강화
가명정보는 과학적 연구, 통계작성, 공익적 기록보존 목적에 한하여 정보주체의 별도 동의 없이 활용할 수 있게 하였다. 또한, 데이터 결합의 법적 근거를 마련하였고 개인정보처리자간 결합 시 보안성을 갖춘 국가지정 전문기관의 결합을 허용하였다. 아울러, 가명정보 결합에 다른 대규모 정보 집적, 재식별, 유출 등의 위험으로부터 정보주체를 보호하기 위해 가명정보에 대한 안전조치 및 처리 시 금지의무를 부여하였다.

다. 정보주체의 동의없는 개인정보의 이용제공
당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 개인정보를 추가적으로 이용하거나 제공하는 것을 가능하게 하였다.
2. 개인정보보호법 시행령의 주요 내용과 고려사항
개정 개인정보보호법의 국회 통과에 이어 시행령(안)도 입법예고 되었다. 시행령(안)이 입법예고된 이후, 산업계, 시민사회 등에서 다양한 수정 의견이 제기되고 있다. 대통령직속 4차산업혁명위원회는 ‘데이터 옴부즈만’제도를 통해 다양한 의견을 수렴하는 한편, 금융과 정보통신 분야 간담회를 개최하는 등 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 하위법령의 정비를 위한 노력이 이어지고 있다.

시행령의 주요 내용 및 고려사항은 다음과 같다.
가. 개인정보보호위원회 조직 구성운영에 관한 사항(안 제4조의2 등 신설)
(1) 분야별 전문위원회 구성위원을 10명에서 20명으로 확대, (2)개인정보 보호 주요 정책 등을 협의하는 ‘개인정보보호 정책협의회’의 근거를 신설 (3)기본계획의 수립기간 및 시행계획의 심의의결 기간을 변경 하는 등의 내용을 반영했다. 분야별 전문위원회는 심의의결사항에 대하여 사전 검토하기 위해 설치하는데, 기존에는 주로 적용 법조에 대한 분석과 적절성 판단을 위한 전문위원회 중심의 운영이 되었다면 향후에는 변화한 데이터 처리 환경의 실무적 경험과 국제협력 분야의 이해를 갖춘 전문가 중심의 전문위원회가 확대될 것으로 예상된다.

다만, 이와 같은 전문위원회가 유럽연합의 EDPB(European Data Protection Board, 기존의 Article 29 Working Party를 대체한 ‘유럽연합 개인정보보호 이사회’로서 유럽연합 회원국에 공통적으로 적용되는 개인정보 보호 정책이 통일성 있게 집행될 수 있도록 정책적 가이드를 제공하는 역할(advisory group)을 수행함)와 마찬가지로 일정한 법적 효과를 갖춘 기관이 아니며, 전문위원회의 판단이나 결정에 개인정보보호위원회가 구속되지 않기 때문에 얼마나 실효적 권한을 갖게 될 것인지는 불투명하다. 또한, 4차산업혁명 시대의 빅데이터 처리와 관련한 기술적, 제도적 전문성을 확보하는 부분에 있어서도 아직은 기대보다 우려가 앞선 산업계 목소리가 나오는 점도 고려를 해야 할 지점이다.

나. 개인정보를 추가적으로 이용제공할 수 있는 기준 마련(안 제14조의2)
법 제15조 및 제17조에 따라 시행령 제14조의2는 “대통령령으로 정하는 바”를 구체적으로 규정하였다. 행정안전부가 입법예고하였다가, 산업계 등 의견을 받아들여 일부 수정 의견을 반영한 내용은 아래와 같다.

<행정안전부가 공개한 개인정보보호법 시행령 제14조의2 수정안> 제14조의2(개인정보의 추가적인 이용·제공 기준 등) 법 제15조제3항 및 법 제17조제4항에서 “대통령령으로 정하는 바”란 다음 각 호의 사항을 모두 충족하는 경우를 말한다. 이 경우 법 제17조제4항에 관하여는 ‘이용’을 ‘제공’으로 본다. 1. 개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 관련성이 있을 것 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것 3. 개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것 4. 가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명처리하여 이용할 것

이와 같은 시행령 제14조의2의 구성은 유럽연합개인정보보호규정(GDPR) 제6조 제4항의 내용을 차용하여 일부 변형한 것인데, 이를 표로 비교해보면 다음과 같다.

차이점	개인정보보호법 시행령(안)	GDPR
충족 범위	제14조의2 제1호 내지 제4호 모두 총족	(a) 내지 (e)의 항목을 주된 고려사항으로 판단
맥락 판단	수집한 정황 또는 처리 관행을 고려하여 추가적 이용을 예측 가능	수집 맥락, 특히 처리자와 정보주체 사이에 형성된 관계를 고려
영향 검토	추가 처리로 인해 정보주체 및 ‘제3자’의 이익을 부당하게 침해하지 않아야 함	추가 처리로 인해 정보주체에게 미칠 수 있는 결과를 고려
보호 조치	가명처리 가능한 경우 가명처리	암호화, 가명처리 등 적절한 보호조치가 존재하는지 고려
정보 성격	-	개인정보의 성격, 특히 민감정보 내지 범죄정보 등에 해당하는지 고려

당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 개인정보를 추가적으로 이용하거나 제공하는 것을 가능하게 하려는 의도와는 달리, 위와 같은 시행령(안) 규정에 의하는 경우 현실적으로 이를 적용하여 개인정보의 양립가능한 이용(compatible use)를 통한 데이터 활용을 기대하는 것은 요원한 일이 되어버린다.

※참고) 양립가능한 이용(compatible use): 당초 수집 목적과 다른 목적으로 개인정보를 이용하는 것을 허용하는 것으로, GDPR Article 6(4)에 그 요건이 명시되어 있다. 양립가능하다는 단어의 의미는 최초 수집 당시의 개인정보 이용 목적과, 향후에 해당 개인정보를 다른 목적으로 이용하려는 것이 ‘호환성 있다(compatible)’는 의미이다. GDPR 제정 이전의 Data Protection Directive 95/46/EC에서도 허용 되었으나, 구체적으로 관련 규정이 명시되진 않았다. GDPR에 이르러서야 요건과 효과가 구체화 되었다.

다. 민감정보 정의의 확대 (안 제18조)

시행령 제18조 제3호 및 제4호에 각 바이오정보(biometric data)와 인종 민족 정보에 관한 정의를 추가하여 민감정보를 확대하였다. 변화하는 사회상, 특히 정보 프라이버시와 관련한 다양한 사회적 현상의 변화를 고려할 때 이는 당연한 일이라 할 것이다. 다만 문제가 되는 지점은 우리나라의 민감정보 처리가 원칙적 금지/예외적 허용이라는 입장을 가지고 있는데, 특히 예외적 허용에 있어 (1) 정보주체에게 법에서 정한 일정한 사항을 알리고 “다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우”, (2) 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 등 2가지의 근거만을 두고 있다는 점이다. 민감정보의 처리를 적절히 제한하는 것은 당연히 필요할 것이나, 이의 처리가 반드시 필요한 경우에도 이와 같은 예외적 근거에 부합하지 않는 경우 처리 자체가 불가능해져 발생할 수 있는 다양한 문제점도 고려가 필요하다.

라. 가명정보 결합에 대한 규율 (안 제29조의2 등)

개인정보처리자 간 가명정보를 결합할 때에는 보호위원회나 관계 중앙행정기관의 장이 지정하는 “결합전문기관”이 가명정보의 결합을 수행하도록 하는 한편, 그 절차와 방법은 보호위원회가 정하여 고시하도록 하였다. 또한, 가명정보의 결합을 신청하는 결합신청자는 “분석공간”에서 결합된 정보를 분석해야 하며, 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우로서 결합신청자가 결합된 정보의 반출을 신청하는 경우 결합전문기관은 일정한 평가 기준에 따라 검토한 후 반출을 승인하도록 하고 있다.

이와 같은 결합전문기관을 통한 가명정보결합은 빅데이터인 결합가명정보를 생성하게 되는데, 그로인한 재식별위험성 증가, 분석공간의 컴퓨팅 파워의 한계, 신용정보법과의 분석공간 설치 등 규정의 차이, 결합전문기관의 불투명한 법적 책임성 등에 있어 새로운 고려점을 야기한다.

3. 개선방안 등 제언

현재 개인정보보호법 시행령(안)과 관련하여 가장 많은 논쟁이 발생하고 있는 지점은 개인정보의 추가적 이용 및 제공에 대한 시행령 제14조의2이다. 가명정보의 결합 및 활용을 제도화 하는 것은 전 세계적으로 유례가 없는 일이며, 가명정보의 정의나 가명정보 생성 방식 내지 보호수준 등에 대한 사회적 합의가 아직 부재한 상태에서 가명정보 결합에 따른 데이터 경제 활성화는 다소 시간이 소요될 것으로 예상되는데 반해 개인정보의 추가적 이용 및 제공은 당장에 효과를 발생시킬 수 있다. 기존 개인정보보호법제의 고질적 문제로 지적 받아온 ‘동의 쏠림’ 현상으로 인한 문제점들도 상당부분 해소할 수 있다. 이와 같은 기대에도 불구하고 행정안전부가 “(직접적 영향을 미칠 수 없는)법률에서는 열어주고, (주무 권한을 행사할 수 있는) 시행령에서 막는” 몽니를 부리는 점은 전 세계적 데이터 경제 시대의 현상과 추세를 전혀 이해하지 못하고 있는 것은 아닌지 하는 우려마저 들게 한다.

이에, 개인정보의 추가적 이용 및 제공에 관한 규정을 최소한 유럽연합의 GDPR 제6조 제4항과 유사하게 수정할 필요가 있다. 신용정보법은 이미 GDPR과 같은 방식으로 개인정보의 양립가능한 이용을 규정하고 있다는 점에 비추어, “일반법인 개인정보보호법이 보다 강력한 규제를 규정할 합리적 사유가 부재”하다는 비판을 전적으로 수용하여야 한다.

또한, 가명정보의 결합 등 조치와 관련하여, 결합의 결과로 생성된 “매우 큰 가명정보”의 보호방안을 충분히 제시해야 한다. 반출을 허용할 것이 아니라, 보다 안전하면서도 효율적인 분석 공간(소위 “클라우드 기반의 데이터 분석 샌드박스(Sandbox)”)을 구축하여 제공하여야 한다. 결합전문기관이 제공하는 분석 인프라(SW 및 서버 등)가 산업계의 요구사항을 충족하지 못하는 수준인 것으로 판명나는 경우, 제도를 바꾸어 대응하느라 또 아까운 시간을 소비해야 한다. 지금에라도 기업 자율적으로 가명정보를 결합할 수 있는 체계를 갖추되, 강력하고 안전한 결합 및 보호 조치를 취할 수 있는 기업들이 시장의 니즈를 충족할 수 있게 해주어야 한다.

기타, 여전히 남아있는 문제점들 – 신용정보법의 개인정보보호 규정 잔존, (개인정보의 한 유형인 위치정보의 보호 및 이용에 관한) 위치정보법 주무부처 논의 필요성, 동의 외의 적법 처리근거의 유명무실화 등 – 을 포괄한 제2차 개인정보보호 법제 개정 논의를 당장에 착수해야 할 것이다. 코로나19가 가져다준 외부의 충격으로 부랴부랴 대응하는 것 만으로는 변화하는 시대를 선도할 수 없다. 주도적이고 적극적이며 유연한 대응이 필요한 시점이다.