개인정보보호법 해설서 들여다봤더니…주요 내용은

이병남 개인정보보호위원회 개인정보보호정책과장이 14일 열린 개인정보보호법 해설서 온라인 설명회에서 해설서의 주요 내용에 대해 설명하고 있다.(사진=온라인 영상 캡처)

[이데일리 이후섭 기자] 지난 8월 개정된 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 내용을 반영한 개인정보보호법 해설서가 10월 말 발간될 예정이다. 10장으로 구성될 해설서에는 가명정보 도입과 처리를 통한 데이터 활용, 개인정보처리자의 책임 강화 등에 대한 내용이 담긴다.

이병남 개인정보보호위원회 개인정보보호정책과장은 14일 열린 개인정보보호법 해설서 온라인 설명회에서 “국민이 개인정보보호법을 보다 쉽게 이해할 수 있도록 해설서 발간을 준비하고 있다”며 “주요 개정 내용과 단계별로 전반적인 해석 기준을 제시해 개인정보의 안전한 활용을 도모하기 위한 것”이라고 설명했다.

개인정보보호법 해설서는 지난 2011년 3월에 발간된 이후 2016년 1차 개정을 거쳐 이번에 2차 개정 작업이 이뤄지게 된다. 이번 해설서에는 지난 2016년 이후 개인정보와 관련된 판례(38건) 및 보호위원회 결정례(23건) 뿐만 아니라 Q&A도 따로 수록했다.

상거래정보, 보호법? 신정법? 어디 적용…“개보위·금융위 협의 필요”

해설서를 자세하게 살펴보면 제1장은 총칙으로 개인정보의 명확한 개념, 가명정보와 개인정보·익명정보의 개념을 비교해 정리하고 있고, 특례규정으로 포함된 신용정보법과의 관계도 설명하고 있다. 가명정보 사용 목적에 명시된 개인정보보호법 상의 `과학적 연구`와 신용정보법상의 `연구`는 동일한 개념에 해당하는 것이며, 상거래정보는 일반법인 개인정보보호법이 우선 적용되나 신용판단을 위해 이용될 경우에는 신용정보법을 적용 받는다고 명시하고 있다.

다만 상거래정보의 해석에 대해서는 모호한 여지가 있다. 예를 들어 온라인사업자가 수집 보관하는 주문거래내역, 신용카드정보 등이 유출되면 어느 법이 우선 적용되는지에 대한 의문이 생길 수 있다. 이에 대해 김진환 김앤장 변호사는 “상거래정보가 어느 법에 해당되느냐의 문제는 개보위와 금융위가 협의와 조정을 통해 해설을 명확히 할 필요가 있다”면서도 “신용판단을 위해 이용된 주문거래내역은 신용정보법에 따라 통지, 신고를 진행돼야 한다고 해석될 가능성이 높으며, 단순히 수집된 신용카드정보는 보호법의 영역에 있다고 볼 수 있다”고 판단했다.

이병남 개인정보보호위원회 개인정보보호정책과장이 14일 열린 개인정보보호법 해설서 온라인 설명회에서 해설서의 주요 내용에 대해 설명하고 있다.(사진=온라인 영상 캡처)

생체인식정보 동의없이 활용 안돼…가명정보 처리 가능한 기준 제시

개인정보의 처리 부분이 담긴 제3장에는 법 개정으로 정보주체 동의 없이 개인정보의 추가적 이용·제공이 가능한 경우에 대해 사례 및 질의응답을 통해 자세히 설명하고 있다. 특히 민감정보는 추가적 이용·제공 대상에서 제외된다는 것이 명시돼 있고, 시행령 개정으로 생체인식정보, 인종·민족정보도 민감정보에 포함된다. 이에 더해 사진, 얼굴 영상 등은 자체로는 민간정보에 해당되지 않으나, 사진 등으로부터 특정 정보를 생성할 경우 민감정보에 해당돼 정보주체 동의 없이 이용이 불가능함을 안내하고 있다.

가명정보 처리 특례 내용도 반영됐으며, 동의 없이 가명정보 처리가 가능한 경우에 대한 해석기준도 제시하고 있다. 통계작성·과학적 연구·공익적 기록보존 등의 목적으로 사용할 경우 가명정보 처리가 가능하며, 가명정보 결합전문기관 지정 결합 및 반출 절차도 나와 있다. 개인정보보호법은 신용정보법과 달리 결합키관리기관(한국인터넷진흥원) 및 결합전문기관을 별도로 두도록 하고 있다.

제4장(개인정보의 안전한 관리)에서는 개인정보호책임자 지정 관련 소상공인에 대해서는 일반 개인정보처리자보다 완화된 지정 요건을 적용함을 안내하고 있다. 일반 개인정보처리자는 사업주·대표자 등을 지정하도록 의무화하고 있으나, 소상공인은 사업주·대표자를 지정한 것으로 간주한다. 개인정보 유출 신고 관련 오프라인 사업자의 신고 기준이 기존 1만명에서 1000명으로 강화됐고, 5일 이내 신고해야 한다. 온라인에서는 1명이라도 개인정보가 유출되면 24시간 이내에 신고해야 한다.

개인정보 삭제 청구하려면 열람부터 먼저 신청해야…10일 이내 조치

정보주체의 권리를 담은 제5장에는 정보주체의 개인정보 처리 열람권과 삭제 청구권에 대한 설명이 나와 있다. 보호법에는 개인정보 열람한 정보주체가 삭제를 요구할 수 있도록 돼 있어 개인정보 삭제를 청구하려면 먼저 열람부터 순차적으로 신청해야 한다. 다만 개인정보 열람이 무제한으로 허용되지 않고 일부 경우에 대해서는 열람이 거절될 수도 있다. 해설서에는 거절 사유와 이와 관련 개보위의 결정례가 추가됐다.

오병일 진보네트워크센터 대표는 “열람을 요청하면 10일 이내 조치한다고 돼있는데, 이게 영업일 기준인지 모호해 명학히 적시해 줄 필요가 있다”며 “가명정보에 대해서는 권리가 적용되지 않지만, 개인정보를 가명처리하는 부분에 대해서는 열람 요구권과 처리 정지권이 보장된다는 점도 구체적으로 설명해줄 필요가 있다”고 제시했다.

제6장 정보통신서비스 제공자 등 특례는 기업 담당자들의 관심이 제일 쏠린 부분이다. 우선 정보통신서비스 제공자 해당 여부에 대해서는 일반 기업과 금융회사, 비영리법인은 해당되지만, 의료기관과 학교는 해당되지 않는다. 이날 설명회에서 “학원·여행사 같은 경우 홈페이지가 있으면 온라인 사업자인가”라는 질문에 대해서 김도엽 태평양 변호사는 “개정된 법 규정에 따르면 정보통신서비스 제공자와 이용자 관계에 해당될 가능성이 높다”고 답했다.

김도엽 변호사는 “해설서에는 일반 규정인 개인정보보호법과 특례 규정으로 신설된 정보통신망법과의 관계에 대해 전체적으로 어떻게 적용되는지 파악하기 쉽도록 표 형태로 설명하고 있다”고 말했다.