데이터 3법 시행령: 가이드라인 해설
안녕하세요. 법무법인 디라이트 황혜진 변호사입니다.
사실 데이터 3법에 대해서는 글도 많이 올라와 있고, 발표회와 세미나도 많았습니다. 다만 시행 직전까지 여러 의견이 수렴되면서, 많은 분들이 법 자체에 대해선 충분히 아시지만 실제 시행령이나 가이드라인이 어떻게 되는지, 이를 실무에 어떻게 적용해야 하는지에 있어서는 궁금증이 많으셨죠. 여기에 마이 데이터, 바이오 데이터 등에 이르기까지 최근의 데이터 이슈를 다뤄보면 좋겠다 해서 이 세미나를 기획하게 되었습니다.
저희 법인에 대해 잠깐 소개 드리자면, “전문성과 혁신으로 산업의 프론티어에서 고객을 도우며, 사회 변화를 위하여 공유가치를 함께 만들어 간다”는 걸 저희의 미션으로 삼고 있습니다. 어떻게 하면 법률 서비스가 더 전문성을 갖고 혁신할 수 있을까 끊임없이 고민하고 있고요. 저희가 설립된 지 삼년 반 정도 되었는데요, 특히 블록체인, 헬스케어, 핀테크, 엔터테인먼트, 모빌리티, 이커머스 등 스타트업이나 4차사업과 관련된 부분에서 전문성을 쌓고 프랙티스 하고 있습니다.
오늘 발표해주실 분들은 저희 프라이버시 / 빅데이터 프랙티스 그룹에 소속된 변호사님들입니다. 데이터3법이 시행되고 데이터 산업이 발전하면서 저희가 프랙티스 그룹을 좀 더 보강했습니다. 오늘의 강의는 크게 다섯 가지입니다. 1) 데이터 3법의 시행령과 가이드라인, 2) 가명 / 익명정보 활용 프랙티스, 3) 마이 데이터 사업 이슈, 4) 바이오 데이터 활용, 5) 그리고 기존 기존 개인정보 분쟁사례를 정리하는 시간까지 가져보려고 합니다.
데이터 3법 시행령 / 가이드라인 해설
안녕하세요. 저는 법무법인 디라이트의 황혜진 변호사입니다. 법인에서 개인정보 관련 업무를 하고 있습니다. 오늘 제가 발표를 맡은 부분은 데이터 3법 시행령 및 가이드라인 해설입니다.
데이터 3법 개정안은 지난 2월 공포되어 8월부터 시행되고 있는데요. 개정된 법률을 모두 다 꿰고 있는 분도 계실 테지만, 찾아보지 못한 분들도 계실 거예요. 여기에서는 개정법의 내용부터 시행령, 나아가서 새로 신설된 가맹처리 가이드라인까지를 모두 포괄하여 다루어 보겠습니다.
먼저 개정 개인정보 보호법 및 시행령 해설입니다. 먼저 개인정보 보호법의 주요 개정된 내용을 살짝 살펴본 뒤, 그 중 중요한 부분은 더 구체적으로 이야기해 보겠습니다.
가장 중요한 부분은 ‘가명처리’에 대한 부분입니다. “개인정보의 일부를 삭제하거나 일부, 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”을 가명처리라고 정의하고, 가명정보를 어떻게 활용할 수 있는지에 대한 내용을 새롭게 신설했습니다.
두번째로는, 아직 피부에 잘 와 닿지 않을 수 있는 변화인데요. 기존에는 개인정보를 관할하는 기관이 행안부와 방통위로 나눠져 있었는데, 그 각자가 하고 있던 사무를 개인정보보호위원회로 이관하여 개인정보위원회가 개인정보 보호 컨트롤 타워의 기능을 하게 되었습니다.
그리고 이 부분이 중요한데요. 기존에는 법규에 규정이 있거나 아주 예외적인 경우 외에는 개인정보를 수집, 이용하기 위해 반드시 정보 주체의 동의를 받아야 했는데요. 이제는 기존의 수집 목적과 합리적으로 관리되는 범위 내에서는 정보 주체의 동의 없이도 개인정보 이용이 가능하고, 나아가서 제3자에게 제공할 수 있는 근거가 마련되었습니다.
그리고 가명정보를 어떤 경우에 사용할 수 있는지에 대해서 새롭게 규정하고 있는데요. 자신이 보유하고 있는 것을 사용하는 방법과, 제3자가 갖고 있는 가명정보와 결합하는 방법을 각각 다르게 규정하고 있습니다. 또 가명정보를 처리하는 경우에 있어서 어떤 안전성 확보 조치를 취해야 하는지도 규정하고 있고요. 가명정보 또한 개인정보에 해당하기 때문에, 가명정보를 특정 개인을 식별하기 위한 목적으로 활용해선 안 된다고 명시하고, 그에 대해서 과징금이나 처벌조항을 규정하고 있습니다.
또 반가운 소식이 있습니다. 정보통신망법상에는 정보통신 서비스 제공자에 대해 개인정보를 어떻게 처리해야 하는지 규정하는 조항이 굉장히 많이 있었고, 그 조항과 개인정보보호법이 미묘하게 다를 때 어느 쪽을 따라야 하는지, 둘 다 따라야 하는지 혼란이 있었는데요. 그러한 혼란을 줄이기 위해서 정보통신망법에 있던 개인정보보호 관련 조항을 개인정보 보호법으로 이관하는 개정이 이루어졌습니다.
여기까지가 개정된 개인정보보호법의 주요 내용이었고요. 이제 그 중에서 중요한 내용들을 개정된 시행령과 묶어서 살펴보도록 하겠습니다.
먼저 첫번째는 개인정보와 관련된 개념이 개인정보, 가명정보, 익명정보 이렇게 세가지로 명확하게 규정되었다는 점입니다. 중요하기 때문에 법문부터 자세히 살펴보겠습니다.
개인정보란, “성명, 주민등록번호 및 영상을 통해 개인을 알아볼 수 있는 정보”와, “해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”를 말합니다. 이 경우 ‘쉽게 결합할 수 있는지’ 여부는, 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여 판단하도록 되어 있습니다.
그리고 이러한 개인정보를 가명처리함으로써 “원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보”를 가명정보라고 정의하고, 이런 가명정보 또한 개인정보의 일부를 이루는 것으로 규정하고 있습니다.
가명처리란 개인정보의 일부를 삭제하거나 일부, 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말하는데요. 여기서 추가 정보란 기본적으로 가명처리를 할 때 사용한 알고리즘 같은 것을 말합니다.
한편 익명 정보는 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 개인을 알아볼 수 없는 정보를 말하는데요. 익명 정보는 명백히 개인정보가 아니기 때문에 개인정보보호법의 규정을 따르지 않고 자유롭게 사용할 수 있습니다.
다음으로 중요한 변화는, 당초 수집 목적과 합리적으로 관련된 범위 내에서는 정보주체의 동의 없이도 개인정보를 이용, 제공할 수 있는 근거 조문이 신설되었다는 것입니다.
기존에는 법령에 특별히 개인정보를 수집하거나 이용할 수 있는 조항이 없다면, 몇 가지 예외적인 경우를 제외하고는 반드시 개인정보 주체에게 개인정보 수집 이용 동의를 받아야 했습니다. 그런데 이제는, “내가 최초에 수집할 때 말했던 목적과 합리적으로 관련이 있다”고 하는 경우, 몇 가지 사항을 고려하여 추가 동의를 받지 않고 개인정보를 이용할 수 있는 것은 물론, 더 나아가서 제3자에도 제공할 수 있게 되었습니다.
그런데 이게 그냥 되는 것이 아닙니다. 시행령에서 실제로 취해야 하는 조치를 정하고 있는데요.
이를 위해선 1) 당초 수집 목적과 관련성이 있는지, 2) 개인 정보를 수집한 정황, 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용, 또는 제공에 대한 예측 가능성이 있는지, 3) 정보 주체의 이익을 부당하게 침해하는지, 4) 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지를 고려해야 합니다.
여기에서 중요한 점은, 이러한 4가지 고려사항에 대한 판단기준을 ‘개인정보 처리방침’에 미리 공개해야 한다는 점입니다. 개인정보를 활용할 필요가 있는 기업에서는 추후 개인정보 처리방침 개정 시 이런 사항을 추가해야 할 겁니다.
이런 조항이 어떨 때 사용될 수 있는지가 궁금하실 텐데요. 예를 들어, 우리가 전화로 배달음식을 주문한다고 해 보죠. 매번 같은 피자집에서 주문하는데, 주문할 때마다 주소를 매번 불러주는 게 번거로울 수 있을 겁니다.
사실 제가 최초에 음식을 주문할 때 주소를 불러주는 목적도 배달이고, 이후 또 제가 전화했을 때 그 주소를 활용한다면 그 목적도 배달입니다. 저로서도 이 업체가 제 주소를 저장할 수 있으리라 충분히 예측할 수 있고, 이것이 제 이익과도 부합합니다. 따라서 업체에서 가명처리나 암호화 같이 안전성 확보에 적절한 조치를 취한 경우에는, 개인정보를 제 동의 없이 추가적으로 활용할 수 있게 하는 것이죠.
그리고 다음으로 주목해야 할 변화는, 민감정보의 범위를 시행령에서 좀 더 구체적으로 정하고 있다는 것인데요. 민감정보는 수집시 다른 정보들과 별도로 따로 동의를 받아야 합니다. 그런 민감정보에는 정보주체의 사상, 신념, 노동조합, 정당 가입 및 탈퇴, 혹은 정치적 견해, 건강, 성생활 등에 관한 정보, 또 대통령령으로 정하고 있는, 사생활을 현저히 침해할 우려가 있는 정보 등이 있습니다.
이번 시행령에는 “개인의 신체적, 생리적 행동적 특징에 관한 정보로서, 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보”를 민감정보의 하나로 규정하고 있습니다.
예를 들어 지문, 안면인식정보, 홍채정보 같은 것을 말하는데요. 이런 정보를 수집하는 기업에서는 향후 다른 정보 수집과는 별도로 동의를 얻어야 할 것입니다. 그 외에 또 추가된 민감정보로 인종과 민족에 관한 정보가 있습니다.
그 다음으로는, 정보통신서비스 제공자 등의 개인정보 처리 등 특례 조항이 제39조의 3부터 쭉 나열되어 있습니다.
여기서 조금 아쉬운 점은, 여전히 위에 있는 일반조항들과 내용이 겹쳐 혼선을 빚을 수 있는 부분들이 있다는 건데요.
오늘 알려진 소식에 따르면, 그런 조항들을 위의 일반조항들과 합치는 개정안을 발의한다고 합니다. 다만 일단은 지금 현행 법률에 익숙해야 하기 때문에, 그 부분을 살펴보도록 하겠습니다. 여기서는 정보통신서비스 제공자 등이 다른 사업자들과 어떤 차이점을 가지고 개인정보를 처리해야 하는지에 주목해서 설명하도록 하겠습니다.
먼저 정보통신서비스 제공자가 개인정보를 수집할 때는, 동의를 거부할 수 있다는 사실과 그에 대한 불이익을 고지할 의무가 없습니다. 그리고 선택정보를 정보주체가 제공하지 않는 경우에도 정보통신제공자가 서비스 제공을 거부해서는 안 된다는 점도 명시적으로 규정하고 있고요. 만 14세 미만 아동에 대해서 개인정보를 수집할 때 어떻게 해야 하는지도 규정하고 있습니다. 구체적으로 법적 대리인의 동의를 확인할 수 있는 방법은 시행령에서 규정하고 있고요.
그 다음 조항에서는 개인정보 유출 등의 통지, 신고에 대한 특례를 규정하고 있는데요. 정보통신서비스 제공자 등은 정당한 사유가 없는 한 개인정보 유출 등을 인지한 때로부터 24시간 내에 이용자에게 통지하고 보호위원회 등에 신고해야 합니다.
일반사업자는 1000명 이상의 개인정보를 보유해야만 비로소 개인정보 유출을 신고할 의무를 가지게 되는데요. 정보통신서비스 제공자의 경우 보유하고 있는 개인정보 수와 관계없이 무조건 신고하도록 규정하고 있습니다. 여기에서 ‘정보통신서비스 제공자 등’은, 정보통신서비스제공자와 그로부터 개인정보를 제공받는 자를 말하고요. 시행령에서는 개인정보 유출시에 구체적으로 어떻게 통지와 신고를 하는지에 대한 내용을 다루고 있습니다.
그리고, 개인정보파기에 대한 특례조항이 있는데요. 정보통신서비스를 1년 동안 이용하지 않은 이용자의 개인정보는 파기나 분리보관 등의 절차를 취하도록 되어있습니다. 다만 1년이라는 기간이 짧기 때문에 이용자의 요청에 따라 기간을 달리할 수 있도록 하고 있는데요. 그래서 실무상에서는 회원가입시에 별도의 동의를 받는 업체가 많습니다. 얼마동안 서비스를 이용하지 않을 때 개인정보 파기 및 분리보관을 하기를 원하는지 말이죠.
그리고 이용자의 권리에 대해서도 약간 차이점이 있는데, 개인정보 이용에 동의한 정보 주체는 언제든지 개인정보 수집, 이용, 제공 동의를 철회할 수 있습니다. 철회할 시는 개인정보를 복구, 재생할 수 없도록 파기하는 등의 조치를 취해야 하는데, 사실 개인정보 삭제와 결과적으로 비슷한 효과를 가져오기 때문에, 큰 차이는 없는 것으로 보이고요.
그리고 정보통신서비스 제공자등은 수집한 이용자의 개인정보 이용내역을 주기적으로 이용자에게 통지할 의무가 있고, 구체적인 통지 방법은 시행령에서 정하고 있습니다.
정보통신서비스 제공자 등은 개인정보 침해시에 손해배상 책임을 이행하기 위해서, 보험 또는 공제에 가입하거나 준비금을 적립하는 등의 조치를 취해야 합니다. 이런 의무는 정보통신서비스 부문에서의 전년도 매출액이 5천만 원 이상이거나, 전년도 말 기준 직전 3개월간 개인정보를 저장, 관리하는 이용자 수가 일일 평균 1천명 이상일 때 부과되게 됩니다.
또 정보통신서비스 제공자 등은 개인정보가 정보통신망을 통하여 노출되지 않도록 해야 하는 의무 뿐 아니라, 보호위원회나 KISA의 요청이 있을 시에 공중에 노출된 개인정보를 삭제하거나 차단할 조치를 취할 의무를 가지게 됩니다.
다음으로는 국내대리인의 지정인데요. 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자 등은 이용자 수나 매출액에 따라 국내 대리인을 서면으로 지정해야 합니다.
그런데 모든 업체가 이러한 부담을 지는 건 아니고요. 전년도 매출액이 1조원 이상이거나, 정보통신서비스 부문에 한정해서 매출이 100억원 이상인 경우, 또는 전년도 말 기준으로 직접 3개월간 개인정보가 저장되고 있는 이용자 수가 일일평균 100만명 이상인 경우에 비로소 국내대리인 지정의 의무를 부담하게 됩니다.
정보통신서비스 제공자 등은, 개인정보를 국외에 제공, 처리 위탁, 보관하려면 이용자의 동의를 받아야 하는데요. 대부분이 클라우드 서비스예요. 클라우드 서비스 중에 서버가 외국에 위치한 경우는 개인정보가 국외에 저장이 되기 때문에 원칙적으로 이용자의 동의를 받아야 합니다. 다만 다행히 법은 처리 위탁, 보관 등은 처리방침에 공개하거나 이메일로 고지하는 방법을 통해서 이러한 동의 절차를 대신할 수 있도록 하고 있기에, 이런 방식을 많이 택하고 있습니다.
다음 상호주의와 방송사업자등에 대한 특례, 과징금의 부과 등에 대한 특례가 있는데요. 이러한 부분은 법문 내용을 살펴보면 쉽게 이해할 수 있기 때문에 여기서는 설명하지 않고 넘어가도록 하겠습니다.
다음은 가명정보 처리 가이드 라인 해설입니다.
법에서는 가명정보 처리에 대한 조항을 많이 두고 있지 않아요. 개인정보 처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여, 정보주체의 동의 없이 가명 정보를 처리할 수 있다고 규정하고 있는데요.
다행히 가이드라인에서는 시장조사와 같은 상업적 목적의 통계 처리라든가, 기술, 제품, 서비스 개발 등 산업적 목적을 위한 과학적 연구를 위해서도 가명정보를 처리할 수 있다고 규정하고 있습니다. 목적을 한정적으로 보는 대신 넓게 보아서, 산업적으로, 상업적으로 다양하게 활용할 수 있는 기회가 열렸다고 볼 수 있겠습니다.
가명처리의 절차는 법에서는 규정하고 있지 않아서 가이드라인에 있는 내용을 참고할 텐데요. 뒤따라 이어질 박경희 변호사님 세션에서 좀 더 자세히 다루고, 여기에서는 중요한 부분만 살짝 훑어보고 넘어가도록 하겠습니다.
먼저 가명처리의 절차는 1) 목적의 적합성 및 사전계획을 수립하는 단계, 2) 가명처리를 정의하고 실제로 가명처리를 하는 단계, 3) 가명처리의 적정성을 검토하고 추가로 가명처리가 필요한지 살펴보는 단계, 4) 그걸 넘어서 활용하고 사업적으로 가명정보를 안전하게 관리하는 단계까지 네 단계로 규정이 되어 있습니다.
일반적으로 가명처리를 하더라도 아주 특이한 정보들은 여전히 개인을 식별 가능한 형태로 남아 있을 수 있습니다. 가이드라인이 예시로 들고 있는 것이, 어떤 호텔에 특별한 VVIP 방이 있다고 해 보죠. ‘어떤 사람이 어떤 방에 며칠부터 며칠까지 투숙했다’는 정보는 일반적으로는 가명처리가 되어 있다고 볼 수 있지만, 실제로는 SNS에는 어디에 내가 숙박했다는 후기를 올리는 사람들이 많이 있죠. 특히 특별한 VVIP 룸 같은 경우는 그 개인까지 식별될 수 있기 때문에, 이런 경우엔 그 특이정보를 가명처리하는 조치가 필요합니다.
여기서 또 중요한 점은, 온라인에 공개된 정보된 정보와의 결합가능성까지 고려해야 할 경우가 있다는 점이죠. 식별가능성의 범위를 비교적 넓게 해석하고 있다는 점에 주목할 필요가 있습니다.
다음 가명정보의 결합이 좀 주목할 만한 부분인데요. 본인이 가지고 있던 정보를 본인의 사업을 위해서 사용하는 경우에는, 개인정보 수집동의를 받을 때 그런 사실을 명확히 밝히고 신규 서비스 개발이나 서비스 개선 등의 목적으로 개인정보를 활용할 수 있다고 되어 있었죠. 여기에 이제는 가명정보를 제3자와 결합할 수 있는 가능성이 열렸기에 이 조항의 활용도가 앞으로 더욱 주목받고 있습니다. 다만 그에 대해 좀 엄격한 절차를 법과 가이드라인에서 규정하고 있어서, 그 부분을 좀 중요하게 살펴볼 필요가 있습니다.
간단하게 말씀드리면 개인정보처리자 A와 B가 각자가 보유하고 있는 가명정보를 결합해서 사용하려 한다고 할 때, 이를 A나 B가 직접 수행할 수는 없고, 보호위원회나 관계중앙행정기관의 장이 지정하는 전문기관에서 가명정보 결합을 수행할 수 있다는 것입니다.
여기서 결합인지 아닌지 헷갈리는 상황이 있을 수 있습니다. 가이드라인을 살펴보면, 제3자로부터 제공받은 가명정보와 본인이 보유한 가명 정보를 결합하는 경우는 내부결합에 해당하지 않기 때문에 전문기관을 통해서 해야 합니다.
예를 들어 기관 A가 1년전에 기관으로부터 가명정보를 받아서 보유하고 있었다고 해 보죠. 그것을 나중에 자기가 가지고 있는 가명정보와 결합을 하려고 한다면, 그런 결합 또한 내 영역에서 이뤄지는 결합이 아니라 제3자로부터 받은 가명정보와의 결합이기 때문에, 여전히 전문기관을 통해서만 수행을 할 수 있습니다.
그리고 가명정보의 결합절차는 약간 복잡한데요. 시행령과 ‘가명정보의 결합 및 반출 등에 대한 고시에’서 그 절차를 세부적으로 규정하고 있는데, 이것만 읽어서는 잘 이해가 안 되는 부분입니다. 그래서 가이드라인의 내용을 보시면, 이 또한 네 단계로 구성되어 있습니다.
먼저 1) 사전준비를 하고 결합을 신청하는 단계가 있고요. 2) 각자가 보유하고 있는 XXX에 대한 정보를 서로가 누군지 모르는 상태에서 결합을 해야 하기 때문에 그 두 정보를 매칭할 수 있는 결합키를 생성해야 합니다. 그리고 결합키와 일련번호 정보는 결합키 관리기관에, 일련번호와 나머지 정보는 결합정보기관에 송부해야 합니다. 3) 그 이후 전문기관에서 결합처리를 한 후, 개인정보가 완전히 가명정보화 되었는지 확인하고 추가 처리가 필요한 경우 추가 처리를 하는 절차가 있습니다. 원래는 그것을 전문기관에서만 확인할 수 있었는데, 별도로 반출해서 분석해야 할 필요성이 있을 시에는 반출요청까지 할 수 있습니다. 4) 그리고 심사를 받고, 반출된 개인정보를 받아서 사후관리를 하는 절차가 있습니다.
이때 반출은 항상 되는 것이 아니라 소정의 기준을 가지고 결합전문기관에서 심사를 하게 됩니다. 그래서 그 기준을 충족할 때에 반출 승인을 하도록 되어있고요.
또 가명정보를 안전하게 관리하기 위해서 필요한 조치들을 별도로 규정하고 있는데요. 가명정보는 여전히 개인정보에 해당하기 때문에 안전한 관리가 필요합니다. 그리고 가명정보라는 것은 항상 추가정보가 존재하기 때문에, 그런 정보들 간의 관계를 규정하기 위해서 별도의 조항을 두고 있습니다.
가이드라인을 보면, 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리 계획을 수립해야 하고요. 가명정보 처리업무를 외부에 위탁하는 경우에도 여전히 개인정보에 해당하기 때문에, 수탁자를 관리 감독할 의무를 부담하게 되죠. 그래서 계약서를 좀 더 철저하게 작성해야 하는데요.
가이드라인에서 외부 관리 계획이나 위탁 계약서에 들어갈 사항의 예시까지 다루고 있기 때문에 그 부분을 참고하시는 것이 도움이 될 것입니다.
그리고 가명정보의 안전성 확보를 위한 조치로서, 가명정보와 추가정보를 분리해서 보관하고, 접근권한을 분리하도록 법에서 규정하고 있습니다. 그리고 가명정보 처리 시스템에 접근한 기록을 삼 년간 보관해야 하고, 또 그 시설에 대한 출입을 통제해야 하고, 저장매체의 반출을 통제해야 하는 등의 내용이 전부 개인정보 처리와 동일하게 적용되고 있고요. 가명정보 처리에 대한 관련 기록을 작성해서 보관하도록 법에서 규정하고 있습니다.
그리고 가명처리 과정에서 특정 개인을 알아볼 수 있는 정보가 생긴 경우에는 해당 정보는 즉시 사용을 중단하고, 회수해서 파기해야 하는 의무가 부과됩니다. 만약에 어떤 가명정보를 받아 놓고 특정 개인을 알아보기 위한 목적으로 그 정보를 활용할 경우, 과징금을 부과하거나 처벌할 수도 있습니다.
마지막으로 개정된 신용정보 보호법 및 시행령 해설입니다.
먼저 신용정보법에 있는 개인정보 관련 규정들을 보면 신용정보의 범위가 넓고, 활용할 수 있는 키플레이어들이 다르고, 그런 활용의 범위도 구체적으로 적용되어 있어 개인정보보호법과 결이 다릅니다. 따라서 신용정보를 별도로 다루는 업체에서는 법을 반드시 숙지할 필요가 있는데요.
몇 가지 큰 변화가 있습니다. 기존에는 대통령령에서 신용정보에 대한 내용을 규정하고 있었는데 그것을 법단으로 끌어오는 개정이 이뤄졌고요. 또 개인정보 보호법과 유사하면서도 다른 조항들을 어떻게 해석해야 하는지 혼란이 있었는데, 그 관계가 명확해지고 유사 조항 등이 정비되었습니다.
신용정보법이 개인정보처리법과 다른 점 중 특히 주목할 부분이 몇 있습니다. 우선 신용정보법과 개인정보처리법은 개인정보 처리가 무엇인지 각각 규정하는 바가 다른데요. 신용정보법에서는 개인정보의 ‘결합’ 또한 개인정보 ‘처리’로 명시적으로 규정하고 있습니다.
그리고 신용정보법에도 가명처리나 가명정보, 인명정보에 대한 개념이 다 도입되어 있는데요. 가명정보를 상업적인 목적이나 상업적인 목적의 통계작성, 또는 연구 등에 활용할 수 있다는 것을 법단에서 명확히 하고 있습니다.
그리고 또 ‘정보집합물의 결합’이라는 개념을 사용하고 있는데요. 이 부분은 사실상 ‘가명정보의 결합’과 내용상 굉장히 유사하게 규정되어 있는 것을 가이드라인에서 살펴보실 수 있습니다.
원래 신용정보 같은 경우는 5년 이상 활용할 수 없다는 규정이 있었는데요. 가명정보는 예외적으로 가명처리 등 특정한 사항들을 고려해서 가명처리시 정한 기간동안 보존할 수 있도록 규정하고 있습니다. 활용 기간을 굉장히 넓힐 수 있는, 환영할 만한 변화입니다.
그리고 또 가명처리와 익명처리에 대해서, 이를 구체적으로 어떻게 신용정보처리자들이 활용할 수 있는지, 어떤 것이 금지되었는지를 정하는 규정들이 있습니다. 이 부분은 개인정보보호법과 비슷한 부분이 많은데요, 다른 부분은 다음과 같습니다.
개인정보보호법에서는 익명정보를 만들고서도, 그게 정말 익명정보로써 개인정보보호와 관련된 부분을 적용하지 않고 활용해도 되는지 계속 의문을 갖게 되는 상황이 연출되곤 합니다. 반면 신용정보법에 따르면, 익명처리를 한 기관은 이것을 금융위에 가져가서 익명처리가 잘 됐는지 봐주세요, 하고 심사를 요청할 수 있어요. 그 심사에서 적정평가를 받은 경우 이 정보를 신용정보 주체를 알아볼 수 없는 정보로 보고 좀 더 자유롭게 활용할 수 있도록 하고 있습니다.
특정 가명처리나 익명처리 기록을 보관하거나, 특정 개인을 알아볼 수 있게 된 경우 가명정보를 회수하고 처리 중지하는 내용들이 개인정보보호법과 동일하게 규정되어 있고요.
그리고 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리한 경우 과징금을 부과하고 벌금형으로 처벌하는 규정을 두고 있습니다.
이용자의 권리 중 가장 주목할 만한 것은 개인 신용 정보의 전송 요구권입니다. 신용정보의 주체가 본인의 개인신용정보를 신용정보관리회사 등에 전송하여 줄 것을 요구할 수 있는 권리인데요. 이 부분은 마이 데이터 부분에서 더 자세히 설명하도록 하겠습니다.
