|
특히 이번 개정안에는 데이터3법 무용론이 일었던 개보법 14조 2에 대한 기준을 낮췄다. 앞선 시행령에선 기업이 수집한 개인정보를 동의 없이 사용하기 위해 △당초 수집 목적과의 상당한 관련성 △수집한 정황과 처리 관행에 비춘 추가 이용 예측 가능성 △제3자 이익 부당한 침해 방지 △가명처리 의무 등 4가지 조건을 ‘모두’ 충족해야 했다. 특히 ‘상당한 관련성’과 ‘관행에 비춘’이라는 표현은 모호하기도 해 혹시 모를 법적 분쟁으로 경영 위험이 발생할 가능성도 컸다.
이번 시행령에선 기존의 ‘상당한 관련성’에서 ‘상당한’을 삭제하고, ‘수집한 정황과 처리 관행’을 ‘수집한 정황 또는 처리 관행’으로 수정했다. 또 당초엔 14조 2에 해당하는 모든 요건을 충족해야 한다는 표현을 고려해야 한다는 표현으로 수위를 낮췄다. 이에 추가 처리가 정보주체의 이익을 부당하게 침해하지 않는지 여부 등까지 고려해 개인정보를 수집했던 목적과 합리적 관련성이 있는 경우 동의 없이 개인정보를 추가적으로 이용·제공할 수 있게 된다.
이어 가명정보를 결합하려는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 결합전문기관이 가명정보를 결합하면, 개인정보처리자는 전문기관 내에 마련된 안전한 공간에서 결합된 정보를 분석할 수 있고, 전문기관의 안전성 평가 및 승인을 거쳐서 전문기관 외부로 반출할 수 있다. 결합전문기관은 △일정한 인력·조직 △시설·장비 △재정능력을 갖춰 지정될 수 있고 3년 간 지정의 효력이 인정된다.
또 가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 하고, 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리하는 등 안전조치해야 한다. 처리자가 가명정보의 처리 목적, 가명처리한 개인정보의 항목 등의 사항도 기록해 보관하도록 했다.
생체인식정보와 인종·민족정보를 ’민감정보’에 포함해 더욱 보호될 수 있도록 했다. 개인을 알아볼 목적으로 사용하는 지문·홍채·안면 등 생체인식정보는 개인 고유의 정보로서 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커졌다. 인종·민족정보는 다문화 사회로 변화하면서 개인의 사생활을 침해할 우려도 높아졌다. 이에 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가하여 별도로 정보주체의 동의를 받아서 처리하도록 했다.
아울러 정보통신망법 시행령의 관련 규정을 이관했다. 망법의 개인정보보호 규정이 개보법으로 이관되면서 그동안 망법 시행령에 규정됐던 △개인정보 이용내역 통지 △손해배상책임 보장 △해외사업자의 국내대리인 지정 등 개인정보 보호 관련 조항을 삭제하고, 개정 개인정보 보호법 시행령에 이관했다.
윤종인 행안부 차관은 “이번 시행령 개정으로 데이터를 안전하게 활용할 수 있는 법적 기반이 마련됐다”며 “8월 5일 개인정보 보호법과 시행령 등 하위법령이 차질 없이 시행되고, 개인정보보호위원회가 성공적으로 출범할 수 있도록 최선을 다하겠다”고 강조했다.