개인정보의 보호 및 활용과 관련한 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’), 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’) 개정안(‘데이터 3법’)이 2020년 1월 9일 국회 본회의를 통과했습니다. 개정 법률안은 공포 후 6개월이 경과한 날부터 시행됩니다.
I. 개인정보 보호법 및 정보통신망법
1. 개정 개인정보 보호법과 정보통신망법의 주요 내용
가. 개인정보 개념 체계와 적용범위의 명확화
1) 개인정보의 개념 정비
개인정보의 개념체계를 개인정보ㆍ가명정보ㆍ익명정보로 명확히 하였습니다. 이 중 ‘개인정보’는 ‘다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보’가 포함되는데, 개정법은 쉽게 결합할 수 있는지 여부를 판단할 때 ‘다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다’고 명시했습니다.
2) 가명정보 개념의 도입
‘가명처리’와 ‘가명정보’의 개념을 새롭게 도입했습니다. 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 ‘가명처리’라 하고, 가명처리를 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없는 정보를 ‘가명정보’라고 칭했습니다.
3) 익명정보의 법 적용 제외
시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보(‘익명정보’)에 개인정보 보호법이 적용되지 않는다는 점을 분명히 했습니다.
나. 개인정보주체의 동의 없는 가명정보의 활용
개인정보 처리자는 통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이도 가명정보를 처리할 수 있습니다. 다만 가명정보 처리 및 데이터 결합 시 안전조치의무를 다해야 하고, 특정 개인을 알아보는 행위를 해서는 안되며, 가명정보를 복원하기 위한 추가정보는 별도로 분리 보관해야 하고, 제3자에게 제공하여서도 안됩니다.
개인정보보호위원회나 관계 중앙행정기관의 장이 지정하는 전문기관을 통해 가명정보 간 결합도 가능해집니다. 결합된 정보는 전문기관의 장의 승인을 얻어야 반출할 수 있습니다. 가명정보의 결합 절차와 방법, 전문기관의 지정·지정 취소, 반출 및 승인의 기준·절차 등 구체적인 내용은 향후 개정될 대통령령을 통해 마련될 예정입니다.
다. 당초 수집 목적과 합리적으로 관련된 범위 내의 개인정보 활용
개인정보 처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 개인정보를 이용하거나, 제공할 수 있습니다. 개인정보주체의 동의 없는 개인정보 이용ㆍ제공의 범위, 절차 및 방법의 구체적인 내용은 모두 향후 개정될 대통령령에 정하게 됩니다.
라. 정보통신망법상의 개인정보 관련 규정의 이관
정보통신망법에 규정된 개인정보 보호에 관한 사항을 삭제하고, 개정 개인정보 보호법 제6장에 “정보통신서비스 제공자 등의 개인정보 처리 등 특례”를 신설하여, 「개인정보 보호법」으로 일원화했습니다.
마. 개인정보보호위원회의 지위 격상 및 행정안전부와 방송통신위원회의 개인정보 관련 기능 이관
개정법에 따라 개인정보보호위원회가 국무총리 소속 중앙행정기관으로 격상되고, 과거 행정안전부 및 방송통신위원회에 분산되어 있던 개인정보 보호 기능이 개인정보보호위원회로 이관됩니다.
2. 시사점
기존에는 가명정보에 관한 규정이 없어 이를 산업목적으로 활용하는데 제약이 있었습니다. 개정법은 ‘다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는’의 판단기준을 법률에 도입하여 개인정보 여부의 판단기준을 구체화하고, 익명정보가 개인정보 보호법의 적용을 받지 않는다는 점을 명시하는 한편, 추가 정보 없이는 특정 개인을 알아볼 수 없는, 이른바 ‘가명정보’를 활용할 때에 정보주체의 동의를 받지 않아도 된다는 것을 명시하여 가명정보의 활용 가능성을 열었다는 것에 큰 의미가 있습니다. 또한, 개인정보보호위원회의 지위와 독립성이 강화되어 EU GDPR 인증의 가능성이 높아졌다는 것도 주목할만합니다. 가명정보 간의 결합절차와 방법, 정보주체의 동의 없이도 이용할 수 있는 개인정보의 범위(‘수집목적과 합리적으로 관련된 범위’의 의미)에 대해 대통령령의 개정 추이를 모니터링할 필요가 있습니다.
II. 신용정보법
1. 개정 신용정보법의 주요 내용
가. 가명처리ㆍ익명처리된 개인신용정보의 이용ㆍ제공 및 활용
1) 가명처리된 개인신용정보의 이용ㆍ제공
통계작성, 연구, 공익적 기록보존 등을 위해서는 신용정보주체의 동의 없이도 가명처리된 개인신용정보를 이용ㆍ제공할 수 있도록 했습니다. 이 때 신용정보회사 등에 대하여 가명조치에 사용된 추가 정보는 분리 보관하도록 하고, 가명정보를 보호하기 위한 보안대책을 수립·시행하게 하였습니다.
2) 익명처리된 개인신용정보로의 추정
금융위원회가 지정하는 데이터전문기관의 적정성평가를 거친 경우 ‘더 이상 특정 개인을 알아볼 수 없도록 익명처리된 개인신용정보’로 추정하는 조항을 마련하여 빅데이터 활용에 따른 법적 불확실성을 해소했습니다.
3) 정보집합물 간의 결합 방법 등 안전조치 규정
신용정보회사 등이 보유하는 정보집합물을 제3자가 보유하는 다른 정보집합물과 결합할 경우 데이터전문기관을 통해서만 하도록 하고, 데이터전문기관이 결합된 정보집합물을 해당 신용정보회사 등에 전달하는 경우에는 가명조치 또는 익명조치가 된 상태로 전달되도록 하는 등 서로 다른 산업분야 간 데이터를 결합할 때의 절차와 방법에 관한 근거가 규정됐습니다.
나. 신용정보 관련 사업의 규제체계 개편
기존 신용조회업무가 ‘신용정보의 수집, 생성, 제공’을 개념요소로 하여 지나치게 포괄적이라는 지적을 수용하여, 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분하고, 이 중 기업신용조회업을 ⓛ기업정보조회업무, ②기업신용등급제공업무, ③기술신용평가업무로 세분화했습니다.
금융거래에 관한 개인신용정보 외의 개인신용정보만을 활용하여 개인인 신용정보주체의 신용상태를 평가하는 전문개인신용평가업과 기업신용조회업으로서 기업정보조회업무, 기업신용등급제공업무 및 기술신용평가업무에 대해서는 허가요건으로서 최소 자본금을 처리대상 정보나 업무의 특성 등에 따라 5억 원 또는 20억 원으로 하는 등 진입규제를 대폭 완화했습니다.
신용조회회사가 영리목적의 겸업을 하지 못하도록 했던 규제를 폐지하고, 신용정보주체 보호 및 신용질서를 저해할 우려가 없는 업무에 대해서는 겸영을 허용하고, 허가를 받은 업무에 부수하는 업무를 수행할 수 있도록 했습니다.
신용정보회사 등의 지배주주의 변경승인제도, 임원의 자격요건 및 일정 개인신용평가회사 및 개인사업자신용평가회사의 최대주주 자격심사 제도에 관하여 「금융회사의 지배구조에 관한 법률」에 준하는 제도를 도입했습니다.
다. 본인신용정보관리업(MyData) 도입
본인의 신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 ‘본인신용정보관리업’이 도입됐습니다. 데이터 분석 및 컨설팅, 신용정보주체의 개인정보 자기결정권의 대리 행사 및 일정한 투자일임업ㆍ투자자문업 등을 부수업무나 겸영업무로 허용하고 있어, 새로운 금융분야 데이터 산업으로 육성될 것으로 예상됩니다.
라. 금융분야에 개인정보 자기결정권 도입
정보주체가 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에 전송하여 줄 것을 요구할 수 있는 개인신용정보의 전송요구권을 신설했습니다. 또한, 정보주체가 금융회사 등에 자동화평가 실시여부, 자동화평가의 결과와 기준, 기초자료 등의 설명을 요구할 수 있도록 하고, 자동화 평가 결과의 산출에 유리하다고 판단되는 정보의 제출, 기초정보의 정정·삭제, 자동화평가 결과의 재산출 요구권 등을 도입했습니다.
마. 금융위원회의 정보활용 상시 감독 및 신용정보회사 등의 손해배상책임
금융회사 등의 신용정보관리ㆍ보호인은 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검하고 그 점검결과를 금융위원회에 제출해야 합니다. 금융위원회는 이 결과를 점수 또는 등급으로 표시하고, 향후 금융감독원이 신용정보 보호 업무에 대하여 검사할 때 이를 활용할 수 있게 하였습니다. 또한, 신용정보회사 등이나 신용정보 이용자가 개인신용정보의 누설 및 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손으로 신용정보주체에게 피해를 입힌 경우 손해액의 5배 범위 내에서 배상해야 합니다.
2. 시사점
금융분야에서는 은행, 카드, 보험, 금융투자 등 금융업권별로 체계적으로 관리되는 정형화된 데이터가 대량으로 축적되어 있습니다. 개정법은 개인의 특성을 반영한 맞춤형 금융상품의 개발이나, 정보통신, 위치정보, 보건의료 등 다른 산업분야와의 융합을 통한 신산업 육성이 가능하도록 빅데이터 분석ㆍ이용의 법적 근거를 마련하고 금융분야 데이터산업으로서 신용정보 관련 산업에 대한 규제체계를 정비했다는 것에 큰 의미가 있습니다.
