2020년 1월 9일 국회 본회의를 통과한 데이터3법 개정안은 2월 4일 행정부에 의해 공포되어 6개월의 공포 기간을 거쳐 2020년 8월 5일부터 시행에 들어갈 준비를 하고 있다.
이에 따라 행정안전부(장관 진영)와 방송통신위원회(위원장 한상혁), 금융위원회(위원장 은성수)는 △가명정보 도입을 통한 데이터 이용 활성화 △개인정보 보호체계 일원화 △마이데이터 등 금융 분야 데이터 신산업 도입 △전문기관을 통한 데이터 결합 지원 등을 위해 데이터3법이 개정됨에 따라, 법 시행에 필요한 위임 사항 등을 규정하기 위해 각 법률 시행령 개정안을 마련하고 3월 31일 동시에 입법예고(40일간)를 실시한다고 밝혔다.
[box type=”info”]
‘데이터3법’이란? (괄호는 개정법률 공포일)
- ‘개인정보보호법’[footnote](법률 제16930호, 2020.2.4 공포)[/footnote]
- ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법‘)[footnote](법률 제16955호, 2020.2.4. 공포)[/footnote]
- ‘신용정보의 이용 및 보호에 관한 법률’(이하 ‘신용정보법’)[footnote](법률 제16957호, 2020.2.4. 공포)[/footnote]
[/box]
이 글에서는 데이터3법 개정에 따라 입법 예고된 시행령 개정안의 주요 내용을 크게 다음 네 가지로 나누어서 살펴보고자 한다.
- 개인정보 보호 주체의 통일
- 가명정보 개념의 도입을 포함한 민감 정보 활용의 확대
- 개인신용정보 전송요구권의 도입
- 신용정보업의 규제체계 선진화
1. 개인정보보호 주체의 통일
각 법률에 따라 행정안전부와 방송통신위원회, 금융위원회에서 담당하던 개인정보 보호에 관한 업무를 중앙행정기관으로 신설하는 개인정보보호위원회로 통일하였고, 이를 법률적으로 뒷받침하기 위하여 정보통신망법에 있었던 개인정보보호에 관한 규정들을 개인정보보호법으로 이관하였으며, 신용정보법에서 규정하고 있었던 일반 상거래 기업에 대한 조사·처분권을 개인정보보호위원회로 이관하였다.
개인정보보호위원회는 국무총리 제청에 의한 위원장과 부위원장, 위원장 제청에 의한 위원 2인, 여당 추천에 의한 위원 2인, 그리고 야당 추천에 의한 위원 3인으로 총 9명으로 구성하도록 하였다.
개인정보보호위원회는 없던 조직을 신설하는 것이 아니라 개정 전 개인정보보호법에 따라 대통령 소속으로 존재하던 조직을 중앙행정기관으로 격상시키는 개념이기 때문에, 입법 예고된 개인정보보호법 시행령에서는 기존 뼈대를 유지하면서 확대된 역할에 걸맞게 조직을 확대하였다.
10명으로 제한되었던 전문위원회의 규모를 20명으로 확대하였고, 개인정보 보호 정책의 일관성 있는 추진 및 개인정보 보호 관련 사안에 관한 관계 중앙행정기관 간 협의를 위해 개인정보보호위원회의 부위원장을 의장으로 하는 관계 중앙행정기관의 개인정보 보호책임자로 구성되는 개인정보 보호 정책협의회와 특별시, 광역시, 특별자치시, 도, 특별자치도에는 부지사 혹은 부시장을 의장으로 하는 지방자치단체의 개인정보 보호 관련 업무를 담당하는 4급 이상 지방공무원으로 구성되는 시?도 개인정보보호 관계기관 협의회를 신설하였다.
2. 민감 정보 활용의 확대
개정된 개인정보보호법에서는 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나 제3자에게 제공할 수 있도록 하는 조항(개인정보보호법 제15조 제3항, 제17조 제4항)을 신설하였다.
입법 예고된 개인정보보호법 시행령에서는 다음 각호의 사항을 모두 충족하는 경우에 한해서 정보주체의 동의 없이 개인정보를 이용하거나 제3자에게 제공할 수 있도록 하였다.
- 개인정보를 추가적으로 이용하려는 목적이 당초 수집 목적과 상당한 관련성이 있을 것
- 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능할 것
- 개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 아니할 것
- 가명처리를 하여도 추가적 이용 목적을 달성할 수 있는 경우에는 가명 처리하여 이용할 것
또한, 지문이나 홍체와 같이 “개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보”와 “인종이나 민족에 관한 정보로서 해당 정보의 처리 목적이나 상황에 비추어 개인을 부당하게 차별할 우려가 있는 정보”를 민감 정보의 범위에 포함함으로써 개인정보처리자의 편의보다는 개인정보보호에 중점을 두고 있음을 알 수 있다.
이와는 별도로, 개정된 개인정보보호법에서는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하였고, 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하도록 하였다. 이에 따라 신설된 전문기관의 지정기준 등에 관심이 집중되었으나, 입법 예고된 개인정보보호법 시행령에서는 ‘아래 그림’에서 보이는 가명정보의 결합·분석·반출에 대한 절차를 규정하는 데 그치고 있다.
결합전문기관의 1) 지정 절차, 세부 지정기준, 심사방법, 재지정 등에 관하여 필요한 사항과 2) 업무 수행능력 및 기술·시설 유지 여부 등에 대한 관리·감독에 관한 사항 등 구체적인 사항은 개인정보보호위원회에서 정하도록 위임하고 있어 시행령이 발효된 후에 시행령에 따라 개인정보보호위원회가 구성되고 정해질 것으로 보인다. 다만, 시행령에서 결합전문기관이 특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무를 한국인터넷진흥원이 수행하도록 할 수 있다고 규정하고 있어 한국인터넷진흥원에서 결합전문기관과 관련된 업무를 위탁 수행할 가능성도 있다.
또한, 결합된 정보의 분석이 보호위원회가 정하여 고시하는 바에 따라 결합전문기관에 설치된 안전성 확보에 필요한 기술적·관리적·물리적 조치가 된 공간에서만 이루어질 수 있도록 한 점이나, 분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우 결합된 정보를 반출할 수 있도록 하는 점은 국내 클라우드 사업자에게 유리하게 작용할 수 있을 것으로 판단된다.
3. 개인신용정보 전송요구권의 도입
개정된 신용정보법에서는 개인신용정보의 전송요구권을 신설하여 개인인 신용정보주체는 신용정보제공ㆍ이용자등에 대하여 그가 보유하고 있는 본인에 관한 개인신용정보를 다음 네 곳에 전송해 줄 것을 요구할 수 있도록 하였다.
- 신용정보주체 본인
- 본인신용정보관리회사
- 개인신용평가회사
- 대통령령으로 정하는 자
입법 예고된 신용정보법 시행령 금융위원회, 신용정보의 이용 및 보호에 관한 법률 시행령 일부 개정법령안 입법예고에서는 개인신용정보의 전송 요구에 따라 전송해야 하는 정보의 범위를 규정하고 있는데, ‘아래 그림’과 같이 본인신용정보관리회사가 서비스하기에 충분한 정보를 포함하고 있으나, 이 글에서 명기하기에는 너무 방대하니 궁금한 독자는 직접 ‘시행령’을 참고하기 바란다.
4. 신용정보업의 규제체계 선진화
개정된 신용정보법에는 ‘아래 그림’과 같이 신용정보업을 개인신용평가업, 개인사업자신용평가업, 기업신용조회업, 신용조사업, 본인신용관리업으로 세분화하고, 기업신용조회업을 다시 기업정보조회업무, 기업신용등급제공업무, 기술신용평가업무로 세분화하였다. 이는 관련 업종의 진입장벽을 낮추어 경쟁을 증진 시키기 위함이다.
특히 기업정보조회업무와 본인신용정보관리업의 경우는 최소 자본금을 5억 원으로 낮추었고, 신설되는 본인신용정보관리업의 경우 관련 자격이 있는 최소 직원 규정도 없어, 유관 기업이나 단체들의 진출을 장려하는 모습이다. 대신 신용정보업의 대주주나 임원의 자격 요건을 금융회사의 지배구조에 관한 법률의 규정을 준용하여 강화하였다.
또한, 입법 예고된 신용정보법 시행령에는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사가 겸업할 수 있는 업무에 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」에 따른 클라우드컴퓨팅서비스 제공자의 업무를 포함하고 있어, 클라우드 사업자의 진출이 가능할 것으로 판단된다.
결론
2020년 1월 9일 국회 본회의를 통과하여 8월 5일 시행을 앞둔 데이터3법의 시행령이 입법 예고되었다. 정보통신 업계에서 관심을 두었던 가명정보와 가명정보의 결합을 위한 결합전문기관에 대한 구체적인 사항은 개인정보보호위원회에서 정하도록 하여 이번 입법 예고된 시행령에서는 구체적인 사항을 아직 확인할 수는 없었다.
다만, 개인정보보호법 시행령 개정안에서 개인정보 결합에 대한 지원을 현재 클라우드 보안 인증 업무를 담당하고 있는 한국인터넷진흥원에서 수행하도록 하고 있어, 결합된 정보의 분석이 이루어지는 결합전문기관 내의 공간의 기준이 클라우드 보안 인증의 기준을 준용할 가능성이 높고, 이미 클라우드 보안 인증으로 받은 공간은 그 인증을 인정받을 수 있을 가능성이 높아 보인다.
또한, 신용정보법 시행령 개정안에서는 신설된 신용평가업 중 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사가 클라우드 컴퓨팅 서비스 제공 업무를 겸업할 수 있도록 하고 있어서 국내 클라우드 사업자들에게는 새로운 기회가 될 것으로 판단된다.
[divide style=”2″]
[box type=”note”]
본 글은 한국정보화진흥원의 지원을 받아 작성되었으며, 클라우드스토어 씨앗 이슈리포트에 동시 게재합니다.
[/box]