검색
광장

개인정보 보호법 개정안 국회 통과

미국변호사

[ 2020.01.14. ]


개인정보의 보호 및 활용과 관련한 주요 법률(이른바 ‘데이터 3법’)인 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”), 「신용정보의 이용 및 보호에 관한 법률(이하 “신용정보법”)」 개정안이 2020. 1. 9. 국회 본회의를 통과하였습니다. 이들 개정안은 공포 후 6개월이 경과한 날부터 시행될 예정입니다(신용정보법의 경우 일부 예외 있음).


이른바 데이터 경제 시대에 신산업 육성을 위해서는 인공지능(AI), 클라우드, 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필수적인바, 이번 데이터 3법 개정은 안전한 데이터 이용을 위한 사회적 규범 정립을 위한 사회적 합의의 결과물입니다.


특히 개정 개인정보 보호법은 (1) 개인정보 정의의 명확화, (2) 가명정보 개념의 도입과 산업적 연구, 통계작성 등의 목적을 위한 활용 허용, (3) 당초 목적과 합리적으로 관련된 범위 내의 개인정보 이용 및 제공 허용, (4) 개인정보 보호위원회의 독립성 및 집행기능 강화 등을 주요 내용으로 하고 있을 뿐만 아니라, (5) 정보통신망법의 개인정보에 관한 규정을 개인정보 보호법에 이관하면서 정보통신서비스 제공자가 개인정보의 처리를 위탁할 때 원칙적으로 이용자 동의를 받도록 하는 차별적 규제를 폐지하는 등 개인정보의 보호와 안전한 활용 사이의 조화를 도모하고 있습니다.


개정된 개인정보 보호법의 주요 내용은 다음과 같습니다.



1. 개정 개인정보 보호법의 주요 내용

(1) 개인정보 정의의 명확화(제2조 제1호)

개정 개인정보 보호법은, 기존처럼 개인정보의 범위에 ‘다른 정보와 쉽게 결합하여 특정 개인을 알아 볼 수 있는 정보’를 포함시키면서, 쉽게 결합할 수 있는지를 판단할 때 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다’고 정하여 판단기준을 명확히 하고 있습니다. 특히 기존에 “쉽게 결합하여”의 의미에 대해 해석상 논의되어 온 ‘다른 정보의 입수가능성’을 고려하여야 할 사항으로 명시하고, ‘시간, 비용, 기술 등을 합리적으로 고려’할 것을 요구함으로써, 개인정보의 정의가 지나치게 확대 해석되지 않도록 그 기준을 설정하였다는 점에서 의의가 있습니다.


(2) 가명정보 개념의 도입(제2조 제1호 다목, 제1호의2, 제8호 및 제3절)

개정 개인정보 보호법에 의하여 새로 개인정보의 개념에 명시되는 “가명정보”는 가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아 볼 수 없는 정보를 말합니다. 여기에서 “가명처리”는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다.


참고로 처음 국회에 제안된 인재근 의원의 개정안은 가명처리 방법을 대통령령에 위임하는 것으로 제안되었습니다. 그러나 최종 통과된 개정 개인정보 보호법은 가명처리 방법의 원칙적인 내용을 법률 자체에서 정하고 대통령령에 위임하지 않고 있습니다. 따라서 향후 가명처리의 구체적인 방법에 관한 규제기관의 입장, 가이드라인 또는 안내서의 발표 여부 및 실제 적용 사례 등을 지속적으로 확인할 필요가 있을 것으로 예상됩니다.


그리고 개정 개인정보 보호법에 의하면, 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있습니다. 나아가 가명정보에 대해서는 개인정보의 파기, 정보주체의 개인정보 열람·정정·삭제 요구권 등에 대한 개인정보 보호법의 조항들이 적용되지 않는다는 점을 명시하였습니다. 특히 개정 개인정보 보호법의 제안이유에서도 명시한 바와 같이 과학적 연구 목적에는 ‘데이터를 기반으로 하는 새로운 기술?제품?서비스의 개발 등 산업적 목적’이 포함되므로 데이터 경제 시대에 맞게 개인정보의 이용 및 제공 범위도 확대되었다고 평가할 수 있습니다.


개정 개인정보 보호법은 한편으로, 가명정보의 활용 방법 중 서로 다른 개인정보처리자가 관리하는 가명정보들을 결합하는 것은 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관만이 수행할 수 있고, 결합된 정보는 전문기관의 장의 승인이 있어야 외부 반출이 가능한 것으로 정하여 서로 다른 개인정보처리자 간의 가명정보 결합에 대하여 제도적인 규제를 하고 있습니다.


한편, 개정 개인정보 보호법은 가명정보를 처리하는 자가 취하여야 하는 안전조치의무를 정하고 있을 뿐만 아니라, 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것을 금지하고 있고, 이러한 금지의무를 위반한 자는 전체 매출액의 3% 이하의 과징금 부과 및 5년 이하 징역 또는 5천만 원 이하 벌금의 형사처벌 대상으로 정하고 있다는 점을 유의할 필요가 있습니다.


(3) 당초 수집 목적과 합리적으로 관련된 범위 내의 개인정보 활용(제15조 제3항, 제17조 제4항)

개정 개인정보 보호법에 의하면, 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 향후 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나, 제공할 수 있습니다.


기존 개인정보 보호법의 이른바 사전 동의 시 고지된 목적에 대한 해석이 지나치게 형식적이고 엄격하다는 비판이 제기되어 왔는데, 개정 개인정보 보호법은 기존 규제를 완화하여 당초 수집 목적과 합리적으로 관련된 범위 내에서 개인정보 주체의 동의 없이 활용할 수 있는 가능성을 열어주는 것으로 이해됩니다.


다만, 구체적인 활용 방법은 향후 관련 대통령령에서 정해질 것이기 때문에, 대통령령 내용이 어떻게 정해질 것인지에 관하여 진행 상황을 지속적으로 모니터링할 필요가 있습니다.


(4) 익명정보의 법 적용 제외(제58조의2)

개정 개인정보 보호법에 따르면, 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보, 즉 이른바 익명정보에는 개인정보 보호법을 적용하지 아니한다는 점을 명시하고 있습니다.


이러한 익명정보는 개인정보가 아니어서 기존 법률에 의하더라도 해석상 당연히 법 적용 대상에 해당하지 않았는데, 개정 개인정보 보호법은 익명정보에 대한 개인정보 보호법 적용 여부에 관한 소모적인 논쟁이 발생하지 않도록 익명정보가 법 적용 제외 대상임을 명시적으로 정하였습니다.


(5) 정보통신망법상의 개인정보 관련 규정의 이관(제6장)

개정 개인정보 보호법은 제6장으로 “정보통신서비스 제공자 등의 개인정보 처리 등 특례”를 신설하고, 이번에 개정된 정보통신망법과 함께 기존에 개인정보 보호법과 정보통신망법으로 분산되어 있던 개인정보 보호 관련 법률을 「개인정보 보호법」으로 일원화 하였습니다.


즉, 개정 개인정보 보호법은 기존 정보통신망법에 있던 개인정보에 관한 규정 중 개인정보 보호법과 상이한 규정들을 정보통신 서비스제공자등에 대한 특례 규정으로 이관하고 있습니다. 예를 들어 개인정보의 수집 및 이용, 개인정보 유출 통지 및 신고, 서비스 미이용 이용자 개인정보의 파기, 개인정보 이용내역의 통지, 손해배상의 보장, 국내대리인의 지정, 국외 이전 개인정보의 보호, 과징금 등 규정이 이에 해당합니다.


(6) 정보통신서비스 제공자등의 개인정보 처리위탁 시 원칙적 동의 규정 폐기

개정 개인정보 보호법은 특히 기존 정보통신망법 제25조 규정 즉, 정보통신서비스 제공자등이 제3자에게 개인정보의 처리를 위탁하려면 원칙적으로 이용자로부터 처리위탁에 대해 원칙적으로 동의를 받아야 한다는 규정을 삭제하고 개인정보보호법상의 처리위탁 규정을 적용하기로 하였습니다.


개인정보 보호법에 따르면, 개인정보처리자는 제3자에게 개인정보의 처리를 위탁하기 위하여 정보주체의 동의를 받을 것이 요구되지 않았습니다. 그런데 기존 정보통신망법 제25조 제1항은 정보통신서비스제공자등에 대하여 처리 위탁을 위해 원칙적으로 이용자의 동의를 받아야 한다고 정하고 있었고, 이러한 차별적 규제로 인하여 정보통신서비스제공자등은 수집?이용 동의, 제공 동의 뿐만 아니라 처리위탁 동의에 대해서도 원칙적으로 동의를 받아야 했기 때문에, IT 서비스 제공자들이 일반적으로 이용하고 있는 클라우드를 통한 데이터의 처리를 저해하는 대표적인 규제로 지적받아 왔습니다.


처음 국회에 제안된 인재근 의원의 개정안은 위 정보통신망법 제25조의 규정까지 개정 개인정보 보호법에 이관하는 것으로 정하고 있었으나, 국회 행정안전위원회 심사과정 중에 위와 같은 문제점에 대한 의견이 제시, 수용되어 최종 개정 개인정보 보호법은 정보통신서비스 제공자등의 개인정보 처리위탁에 대한 원칙적인 동의 규정이 폐기된 것입니다.


(7) 개인정보 보호위원회의 독립성 및 집행기능 강화(제7조 내지 제7조의14)

개정 개인정보 보호법에 따라 현재 행정안전부, 방송통신위원회 등에 분산되어 있는 개인정보 보호 업무를 개인정보 보호위원회로 통합하게 됩니다. 특히 개인정보 보호위원회는 앞으로 개인정보의 오·남용 및 유출 등을 감독할 감독기구로서의 역할을 수행하게 될 것입니다. 이러한 개인정보 보호위원회는 직제상 국무총리 소속의 중앙행정기관으로 변경되고, 다만 그 사무의 독립적인 수행을 위하여 권리침해조사 및 처분 등 일부 사무에 관하여는 국무총리의 행정감독권에 관한 정부조직법 제18조의 적용이 제외됩니다.


2. 개정 정보통신망법 - 개인정보 관련 규정의 삭제

앞서 말씀드린 것처럼 개정 정보통신망법은 이번에 개정된 개인정보 보호법과 함께 개인정보 보호법과 정보통신망법으로 분산된 개인정보 보호 관련 법령을 「개인정보 보호법」으로 일원화 하기 위하여 정보통신망법 상의 개인정보 관련 규정(“제4장 개인정보의 보호”의 주요 조항들)을 삭제하였습니다.



3. 그 밖의 법률 개정 동향

신용정보법 개정안도 개인정보 보호법, 정보통신망법과 같은 날 본회의를 통과하였습니다. 개정 신용정보법은 개인신용정보의 처리에 대해서 개인정보 보호법의 일부 조항을 적용하도록 하는 등 개인정보 보호법과의 유사·중복 조항을 정비하고, 신용정보법 및 개인정보 보호법의 관계를 보다 명확히 하기 위한 개정 내용이 포함되어 있습니다. 따라서 향후 개인신용정보의 처리와 관련해서도 개정 개인정보 보호법의 적용 여부 및 그 내용에 대해 보다 면밀하게 살펴볼 필요가 있을 것입니다. 참고로 신용정보법 개정안은 금융기관이 아닌 사업자가 처리하는 개인신용정보에 대해서는 개인정보보호위원회, 금융기관이 처리하는 개인신용정보는 금융위원회가 각각 감독권한을 가지는 것으로 규정하고 있습니다.


참고로 지난 2018. 11. 15. 개인정보 보호법 개정안, 정보통신망법 개정안과 함께 국회에 제안된 「위치정보의 보호 및 이용 등에 관한 법률」(이하 “위치정보법”) 개정안은 개인정보에 해당하는 개인위치정보 보호 기능을 방송통신위원회에서 개인정보 보호위원회로 이관하고 해당 법률을 방송통신위원회와 개인정보 보호위원회가 공동으로 소관할 수 있도록 개정하는 내용을 담고 있습니다. 국회 심사 과정에서 두 부처의 소관 업무 범위 등에 대한 추가 논의가 필요하다는 이유로 위치정보법 개정안에 대한 검토를 연기하였으므로, 실제 위치정보법의 개정 여부도 지속적으로 살펴볼 필요가 있겠습니다.


이번 개정 개인정보 보호법은 수범자의 혼란을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 마련하였다는 점에서 그 의의가 크지만, 이와 동시에 개인정보처리자의 책임성을 강화하기 위한 각종 의무 부과 및 위반 시 과징금 도입 등 처벌도 강화하고 있다는 점을 간과하여서는 아니될 것입니다.


개정 개인정보 보호법은 공포 후 6개월이 경과한 날부터 시행되며, 하위 법령 및 고시 등의 개정 작업도 진행될 것입니다. 개정안의 내용 중 적용 가능성이 있는 내용을 면밀하게 검토하고, 하위 법령 및 고시 등의 개정 진행 상황을 지속적으로 모니터링할 필요가 있습니다.



박광배 변호사 (kwangbae.park@leeko.com)

윤종수 변호사 (jay.yoon@leeko.com)

김유진 변호사 (yujin.kim@leeko.com)

장주봉 변호사 (jubong.jang@leeko.com)

고환경 변호사 (hwankyoung.ko@leeko.com)

김현준 변호사 (hyunjun.kim@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

김태주 변호사 (taejoo.kim@leeko.com)

강민채 변호사 (minchae.kang@leeko.com)

손경민 변호사 (kyungmin.son@leeko.com)

종합법무관리솔루션

관련 법조인