개인정보보호법 시행령 ‘규제에서 활용으로’…규제 수위 낮춰다

다음 달 5일부터 시행되는 개인정보보호법·정보통신망법·신용정보법 등 '데이터3법‘을 앞두고 개인정봅호법 시행령이 개정됐다. 이에 따라 정보 주체의 동의 없이 개인정보를 제3자에게 제공하고 활용할 수 있게 된다.

행정안전부와 방송통신위원회는 이러한 내용을 담은 '개인정보보호법 시행령'과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령' 개정안이 28일 국무회의에서 의결됐다고 밝혔다.

개정 개인정보보호법 시행령은 정보주체, 즉 개인정보 주인의 동의 없이 개인정보를 추가로 활용하거나 제3자에게 제공할 때 갖춰야 할 기준을 완화했다.

개인정보 추가적 이용.제공 기준 등을 다른 제14조 2항 개정안에 따르면  개인정보의 추가적 이용을 위해서는 ▲개인정보를 추가적으로 이용하기 위해서는 당초 수집 목적과 상당한 관련성이 있어야 하며 ▲개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능해야 한다. ▲개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해해서는 안 되고 ▲가명처리를 해도 추가적 이용 목적을 달성할 수 있는 경우 가명 처리하도록 의무화해야 한다는 네가지 요건을 모두 충족시키라고 규정했다.

하지만 국무회의를 통과한 수정안은 '모두 충족' 대신 ' 고려해야 한다'로 완화하고 '제3자의 이익' 부분을 삭제했다. 개인정보 추가 이용 요건이 지나치게 엄격하다는 업계의 의견을 반영한 것이다.

가명정보를 결합한 결과를 정해진 '분석공간' 밖으로 반출하기 위한 요건은 일부를 완화하면서 보다 구체화했다.

기존 개정안은 '분석공간에서는 정보결합 목적을 달성하기 어렵거나 분석공간 이용이 어려운 경우' 신청·승인을 거쳐 외부반출이 가능하도록 했으나 수정안은 이 부분을 삭제했다.

대신 결합 목적과 반출정보가 관련이 있고, 특정 개인을 알아볼 가능성이 없으며, 반출정보에 대한 안전조치 계획이 있는 경우 결합전문기관의 반출심사위원회 승인을 거쳐 외부반출하도록 했다.

가명정보는 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보를 뜻한다. 가명정보 결합은 결합전문기관에서 담당하고, 가명정보 분석은 결합전문기관 내에 마련된 '분석공간' 안에서 하는 것이 원칙이다.

개정 시행령은 또한 가명정보의 안전성을 확보하기 위해서는 개인정보처리자가 가명처리 목적과 가명처리한 개인정보의 항목, 가명정보 이용 내역, 가명정보를 제공받는 자 등을 따로 기록해 가명정보 파기 후 3년 이상 보관하도록 했다.

아울러 지문·홍채·안면 등 생체인식정보와 인종·민족정보를 '민감정보'에 포함시켜 정보주체의 별도 동의를 받아야 추가 활용이 가능하게 했다.

윤종인 행안부 차관은 "8월5일 개인정보보호법과 시행령 등 하위법령이 차질없이 시행되도록 하겠다"고 말했다.