뉴딜코리아 홈페이지
개인정보 보호법 개정안 국회 통과, 데이터 경제 청신호
- 보호체계 일원화로 국민 불편 해소, EU 적정성 평가 통과 기대 -
□ 행정안전부(장관 진영)는 개인정보 보호법 개정안이 제374회 국회(임시회) 제2차 본회의를 통과했다고 밝혔다.
○ 블록체인, 인공지능(AI), 자율주행차, 핀테크 등 4차산업혁명 시대 데이터 기반의 신산업 육성에 청신호가 켜졌다.
□ 이번 개인정보 보호법 개정안의 주요내용은
- 가명정보 도입을 통한 데이터 이용 활성화
- 개인정보처리자의 책임성 강화
- 개인정보 보호체계 일원화 등이다.
□ 먼저 특정 개인을 알아볼 수 없도록 안전하게 처리된 ‘가명정보’ 개념을 도입하고, 통계작성 및 산업적 목적을 포함하는 과학적 연구를 위해 폭넓게 활용할 수 있도록 했다.
○ 보안시설을 갖춘 전문기관에서 기업 간 데이터를 결합할 수 있도록 법적 근거를 마련, 통신·금융·유통 등 서로 다른 분야의 데이터 결합을 통해 빅데이터 분석의 시너지 효과가 발생할 수 있도록 했다.
□ 개인정보처리자는 가명정보 처리 시 안전성 확보를 위한 각종 조치를 해야 한다. 특히 특정 개인을 알아볼 목적으로 가명정보를 처리하면 연 매출액의 3%까지 과징금을 부과할 수 있는 등 책임성을 강화했다.
□ 또한, 행정안전부와 방송통신위원회, 개인정보보호위원회 등으로 분산돼 있던 개인정보 보호 기능을 ‘개인정보보호위원회’로 일원화하고, 개인정보 보호법과 정보통신망법의 유사·중복 규정을 정비해 개인정보 보호법으로 통합했다.
○ 새로 출범하는 개인정보보호위원회는 국무총리 산하의 합의제 중앙행정기관으로 개인정보 보호에 관한 정책 수립은 물론 광범위한 조사·처분권을 보유하는 권익보호기관으로 자리매김하게 된다.
○ 아울러 이중 규제와 분산 감독으로 인해 발생한 국민과 기업의 혼란이 해소될 것으로 기대된다.
□ 한편, 행정안전부는 개정안 통과로 EU 일반개인정보보호법(GDPR)의 적정성 평가 절차에도 청신호가 켜졌다고 설명했다.
○ 적정성 평가를 통과하면 별도의 요건없이 EU시민의 개인정보를 국내로 이전할 수 있어 EU에 진출한 우리 기업들이 데이터를 활용하는데 크게 효과를 얻을 수 있을 것으로 예상된다.
○ EU 측은 우리의 개인정보 보호법이 개정되면 적정성 결정의 초기 결정을 할 수 있다는 의견을 행정안전부에 보내온바 있다.
□ 개인정보 보호법 개정안 국회 통과로 우리나라도 4차 산업혁명 시대에 국가 경쟁력을 확보할 수 있는 제도적 기반을 마련하게 됐다.
[참고 1] 개인정보 보호법 개정 기대효과
□ 데이터 활용을 위한 가명정보 제도화(제2조제1호 개정, 제28조의2 신설)
○ 원상태로 복원하기 위한 추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 가명처리한 정보(가명정보)는 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 동의없이 처리 허용
☞ (기대효과) 개인을 알아볼 수 없도록 안전하게 처리된 데이터를 산업적 목적의 연구를 위해 처리할 수 있도록 하여, 개인정보는 보호하면서 신기술 개발을 위한 실증·응용연구와 스마트시티‧핀테크 등 신산업 육성을 지원
□ 개인정보처리자간 가명정보 결합 (제28조의3 신설)
○ 기업 내부의 가명정보는 자체적으로 결합하도록 하되(제28조의2), 기업간 가명정보의 결합은 전문기관 내에서 수행하고 전문기관의 승인을 거친 후 반출
☞ (기대효과) 통신‧금융‧유통 등 서로 다른 분야의 데이터를 안전하게 결합‧이용할 수 있도록 하여, 개인정보처리자는 데이터 분석의 가치를 제고할 수 있고 개인별 맞춤형 상품·정책 개발에 따라 정보주체의 편익도 향상
※ (데이터 결합 이용 사례)
① 한전의 전력데이터를 행정구역 정보, 기상 데이터와 결합하여 계절별 지역별 에너지 수요 분석 및 전력예비율 부족 대책 마련
② 보험사 보유 운전보험 정보와 통신사 보유 운행 정보를 결합하여 운전스타일별 보험요율을 산출, 보험료에 반영
□ 개인정보 판단기준 명확화(제2조제1호 개정, 제58조의2 신설)
○ 개인정보의 판단 기준을 명시하고, 해석 상 법 적용을 배제하던 익명정보는 법 적용 대상이 아님을 명시
☞ (기대효과) 법 적용대상 정보의 범위를 명확히 하여, 개인정보처리자 및 정보주체가 법 적용대상을 보다 쉽게 이해
□ 수집목적과 합리적 관련 범위 내에서 활용 확대(제15조, 제17조 개정)
○ 당초 수집목적과 합리적으로 관련된 범위 내에서 대통령령*으로 정하는 바에 따라 개인정보의 추가적인 이용‧제공 가능
* 합리적 관련성이 있는지 여부에 대해 개인정보 수집 정황, 개인정보의 민감정도, 정보주체에게 발생할 수 있는 효과, 적절한 안전조치 존재 여부 등을 고려
☞ (기대효과) 수집목적을 지나치게 경직적으로 해석하여 서비스 제공 단계별로 추가 동의를 받아야하는 기업 불편 해소, 정보주체도 불필요한 동의를 해야 하는 부담 경감
□ 개인정보처리자의 책임성 강화(제28조의4 신설)
○ 가명정보 처리 및 결합 시 안전조치 의무, 위반 시 벌칙 등 규정
☞ (기대효과) 데이터(가명정보) 이용을 확대하는데 수반되는 기업의 책임성을 강화하고, 정보주체는 본인의 ‘개인정보’가 제도적으로 안전하게 관리된다는 신뢰를 형성
□ 개인정보보호 추진체계 효율화(제7조 개정 등)
○ 개인정보보호위원회를 중앙행정기관으로 격상하고, 개인정보 보호 관련 기능을 보호위로 일원화
☞ (기대효과) 개인정보보호 기능이 보호위, 행안부, 방통위 등으로 분산되어 초래되는 비효율성과 데이터 규제 완화 후 개인정보 오·남용에 대한 국민의 불안을 해소하여 데이터를 안전하게 활용할 수 있는 감독체계 구축
□ 정보통신망법상 특례 반영(제6장 신설 등)
○ 정보통신망법의 개인정보 관련 규정을 삭제하면서 정보통신망법에만 있는 규정은 개인정보보호법으로 이관
☞ (기대효과) 정보통신망법의 유사·중복 규정을 정비하고 개인정보보호법으로 일원화하여 수범자의 불필요한 혼란을 해소
[참고 2] 개인정보(원본정보), 가명정보, 익명정보 예시
[참고 3] 개인정보(원본정보), 가명정보, 익명정보 예시
□ EU 적정성 결정 개요
○ EU가 상대국 개인정보 보호 수준 적정성을 인정(GDPR* 기준)하는 제도
- EU로부터 적정성을 인정받은 국가의 기업은 표준계약 체결 등 개별 기업의 행정부담 없이 EU주민 개인정보를 자국으로 이전 가능
* General Data Protection Regulation : 유럽 전역에 통합 적용되는 개인정보보호법(‘18.5월 시행)
□ 그간의 경과 및 진행 현황
○ (경과) ‘19.3월, 전체 적정성으로 전환한 후 원활한 협의 진행 중
- ‘16~’18년 중 2차에 걸친 한-EU 적정성 결정 추진 시도가 중단됨에 따라 행안부 개인정보보호법 개정안을 기준으로 하는 전체 적정성으로 전환
* EU의견 : (1차) 행안부는 감독기구 독립성 부족, (2차) 방통위는 정보통신망법 범위 협소
- 전체 적정성 전환 후 매월 화상·대면회의 등 원활한 협의 진행 중
○ (진행현황) EU집행위 초기결정문 초안 작성 등 마지막 단계에 진입
- EU는 그간의 협의 과정을 통해 우리나라의 개인정보 보호 제도에 대한 분석을 거의 마무리한 후 초기결정문 초안 작성 중
- 개인정보보호법 개정 시점(본회의 통과)에 EU집행위 초기결정 및 공포·시행 시점에 한-EU 적정성 결정이 완료될 수 있도록 추진
* 9.17(화), 국회 행안위(전혜숙 위원장 등) EU 방문시 Tiina Astola 법무소비자총국장은 ‘한-EU간 적정성 결정은 거의 마무리 단계에 도달해 있다’고 언급
□ 향후 계획
○ 화상회의 개최 등 한-EU간 긴밀한 협의체계 유지
○ 행정안전부장관 EU 방문 및 한-EU 적정성 결정 합의 도출
컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
