• Legalinsight
  • Legaledu
  • 법률신문 법률정보

  • 상시채용
  • 기사제보
  • 태평양

    「개인정보 보호법」, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」 및 「신용정보의 이용 및 보호에 관한 법률」 개정 법률안들 발의

    입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • [ 2018.12.03 ] 


    개인정보 ·가명정보의 정의, 가명정보의 이용 및 데이터 결합, 개인정보처리자의 책임성 강화, 개인정보 보호 감독기능 체계 정비 및 개인정보 관련 법률의 일원화를 내용으로 하는 「개인정보 보호법」(이하 “개인정보보호법”) 개정 법률안 및 개인정보 관련 유사·중복 조항을 정비한 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”)의 개정 법률안이 2018. 11. 15. 발의되었습니다. 또한, 개인정보보호법 개정 법률안의 취지를 반영하여 가명정보의 개념을 도입하고, 금융정보 관련 데이터 경제 확장을 위하여 신용정보업 관련 체계를 수정한 「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”) 개정 법률안도 같은 날 발의되었습니다. 개인정보보호법, 정보통신망법 및 신용정보법 개정 법률안들은 상호간 의결을 전제로 하고 있어, 하나의 개정 법률안이 의결되지 아니하거나 수정 의결되는 경우에는 다른 법률안이 이에 맞추어 조정될 것으로 예상되고 있습니다.


    개정 법률안들은 사전 정부 부처 및 4차산업혁명 특별위원회 등의 논의를 거쳐 작성된 내용을 반영하고 있는 바, 저희 법무법인은 위 개정 법률안들의 주요 내용과 향후 대응방안을 정리하여 아래와 같이 보내드리니 업무에 참고하시기 바랍니다.

     


    1. 개인정보보호법 개정 법률안 주요 내용

    (1) 가명정보 도입에 따른 개인정보 정의 규정 체계화

    개인정보보호법 개정 법률안은 개인정보를 ① 개인을 알아볼 수 있는 정보인 ‘개인정보’와 ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 ‘다른 정보와 쉽게 결합하여 알아볼 수 있는 정보인 개인정보’, ③ 개인정보를 가명처리함으로써 원상태로 복원하기 위한 추가 정보의 사용 · 결합 없이는 특정 개인을 알아볼 수 없는 ‘가명정보’로 구분하였습니다.


    위 항목들 중 ② ‘다른 정보와 쉽게 결합하여 알아볼 수 있는 정보인 개인정보’의 경우 다른 정보와 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 하는 것으로 규정하여 개인정보의 범위가 무제한적으로 확대되는 것을 방지하였습니다. ③번 항목인 가명정보는 통계작성, 과학적 연구, 공익적 기록보존의 목적으로 처리할 수 있도록 하며, 서로 다른 기업이 보유하고 있는 정보집합물은 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해 결합하고, 전문기관의 승인을 거쳐 반출을 허용하도록 하였습니다(개정 법률안 제2조 제1호, 제15조, 제17조, 제28조의2, 제28조의3, 제58조의2 신설).


    (2) 개인정보의 수집 · 이용 관련 정비

    개인정보보호법 개정 법률안은 기존 개인정보보호법에 따른 개인정보 수집·이용 규정에 추가하여 개인정보처리자가 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부를 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있도록 하였습니다(개정 법률안 제15조 제3항). 위 조항은 GDPR 제5조 제1항 (b)호와 제6조 제1항 (f)호를 차용하여 개인정보의 동의 없는 이용 범위를 넓힌 것으로 볼 수 있으나, 구체적인 이용 범위는 대통령령에 위임되어 있어, 추후 대통령령에서 정해지는 이용 범위에 대한 지속적인 검토가 필요합니다.


    (3) 가명정보 처리를 통한 개인정보 활용 가능성 확대 등

    개인정보보호법 개정 법률안은 가명정보의 경우에는 통계작성(상업적 목적 포함), 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의가 없더라도 처리할 수 있도록 정하고 있으며, 가명정보를 처리하거나 정보집합물을 결합하는 경우에는 관련 기록을 작성 · 보관하는 등 대통령령으로 정하는 안전성 확보 조치를 하도록 하고, 특정 개인을 알아보는 행위를 금지하는 한편 이를 위반하는 경우 형사벌, 과징금 및 과태료 등의 벌칙을 부과하도록 하였습니다(개정 법률안 제28조의2, 제28조의4, 제28조의5, 제28조의6, 제71조, 제73조, 제75조 등).


    (4) 개인정보보호위원회 업무 권한 범위 확대

    개인정보보호법 개정 법률안은 개인정보보호위원회를 국무총리 소속의 정부조직법상 중앙행정기관으로 격상시키는 한편, 현행법상 자료제출 요구, 표준지침의 작성, 자율규제의 촉진 및 지원, 개인정보파일의 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가, 개인정보 유출 통지, 과태료의 부과, 열람청구, 고발 및 징계권고, 결과의 공표 등을 포함한 행정안전부의 기능을 개인정보보호위원회로 이관하고, 개인정보보호위원회에게 관계 중앙 행정기관의 장에 대한 공동조사 및 처분 등에 관하여 의견제시권을 부여하여 개인정보보호 컨트롤타워 기능을 강화하였습니다(개정법률안 제7조, 제7조의2부터 제7조의 14까지, 제63조).


    (5) 개인정보보호법과 다른 취지의 정보통신망법 내용 반영

    개인정보보호법 개정 법률안은 정보통신망법의 개인정보보호 규정을 삭제하면서, 개인정보의 수집 · 이용 동의, 개인정보의 처리위탁, 개인정보에 관한 보호조치, 개인정보의 파기, 개인정보 유출 등의 통지·신고, 이용자의 권리, 개인정보의 이용내역의 통지, 노출된 개인정보의 삭제, 국외 이전 시 보호조치, 국외 재이전, 국내대리인, 손해배상 보험, 상호주의 등을 포함하여 현행 정보통신망법이 개인정보보호법과 다르게 규정한 사항들을 특례로 규정하며 해당 규정들을 반영하였습니다(개정법률안 제17조, 제18조, 제30조 개정 및 제39조의3부터 제39조의 16까지 신설).


     

    2. 정보통신망법 개정안 주요 내용

    정보통신망법 개정 법률안은 개인정보의 개념, 정보통신서비스 제공자 및 이용자의 책무, 정보통신이용촉진 및 정보보호등에 관한 시책의 마련, 개인정보의 수집·이용 동의, 개인정보의 수집 제한, 개인정보 제공, 개인정보 처리위탁, 영업의 양수 등에 따른 개인정보의 이전, 동의를 받는 방법, 개인정보처리방침의 공개, 개인정보 유출 등의 통지 · 신고, 개인정보의 보호조치, 개인정보의 누설금지, 개인정보의 파기, 이용자의 권리, 법정대리인의 권리, 손해배상, 법정손해배상의 청구, 노출된 개인정보의 삭제, 국외 이전시 보호조치, 국외 재이전, 국내대리인, 손해배상 보험, 상호주의 등을 포함한 다수의 규정을 삭제하면서, 위 사항들을 개인정보보호법 개정 법률안으로 이관하였습니다.


     

    3. 신용정보법 개정안 주요 내용

    (1) 개인신용정보 정의 규정 등 개정

    신용정보법 개정 법률안은 개인신용정보를 ① 특정 신용정보주체를 식별할 수 있는 정보(다른 신용정보와 결합하는 경우에만 신용정보에 해당함)와 ② 신용정보주체의 거래내용과 신용도 등을 판단할 수 있는 정보로 나누고(현행 체계와 동일함), 특정 신용정보주체를 식별할 수 있는 정보를 개인정보보호법 개정 법률안과 동일한 형태로 세 가지 카테고리로 나누어 정의하고 있습니다. 또한, 기존에는 위 ②번 정보의 구체적인 항목들을 시행령에 위임하여 규정하였으나, 이를 법률에서 규정하는 방식으로 변경하였습니다(신용정보법 개정 법률안 제2조 제1호 내지 제2호).


    한편, 신용정보법 개정 법률안은 개인정보 관련 법률 중 가장 먼저 “자동화 평가”와 “전송요구권”을 도입하였고, 자동화 평가에 대한 이의제기권 등을 신설하고 있습니다(신용정보법 개정 법률안 제2조 제14호, 제33조의2, 제36조의3).


    (2) 개인신용정보의 수집 · 이용 관련 정비

    현행 신용정보법은 개인신용정보의 처리에 관하여 개인정보보호법과 다른 체계를 가지고 있어, 그 해석에 있어 상당한 혼란을 초래하였으나, 신용정보법 개정 법률안은 개인정보보호법과 유사한 체계로 개인신용정보의 처리에 관한 규정들을 정비하면서 그 예외 사항들을 명확히 하고 있다는 특징이 있습니다(신용정보법 개정 법률안 제15조, 제17조, 제32조 등 참조). 예를 들어 신용정보법 개정 법률안은 개인신용정보를 수집·이용하기 위하여 원칙적으로 신용정보주체의 동의를 받도록 한 신용정보법을 유지하면서, 개인정보보호법 등을 반영하여 신용정보주체의 동의 없이 개인신용정보를 수집·이용할 수 있는 범위를 정비하고, 공개된 개인신용정보의 경우에는 신용정보주체의 동의 없이 이를 수집·이용할 수 있도록 정하는 등 개인정보보호법에 비하여 정보주체의 동의 없이 개인신용정보를 수집·이용할 수 있는 범위를 확대하고 있으며(신용정보법 개정 법률안 제15조). 기존 신용정보법은 개인신용정보의 위탁 처리에 관하여 신용정보주체의 동의가 필요한지 여부에 관하여 명확한 규정을 두지 아니하였으나, 신용정보법 개정 법률안은 개인정보보호법과 동일하게 개인신용정보의 위탁 처리에 관하여 동의가 필요 없다는 점을 명확히 하고 있다는 점에 대해서도 의의가 있다고 할 것입니다(신용정보법 개정 법률안 제17조).


    (3) 가명정보 처리를 통한 개인신용정보 활용 가능성 확대 등

    신용정보법 개정 법률안은 개인정보보호법 개정 법률안과 유사하게 가명정보의 경우에는 통계작성(상업적 목적 포함), 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의가 없더라도 처리할 수 있도록 정하고 있으며, 가명정보를 처리하거나 정보집합물을 결합하는 경우에는 관련 기록을 작성 · 보관하는 등 대통령령으로 정하는 안전성 확보 조치를 하도록 하고, 특정 개인을 알아보는 행위를 금지하는 한편 이를 위반하는 경우 형사벌, 과징금 및 과태료 등의 벌칙을 부과하도록 하였습니다(개정 법률안 제32조, 제33조, 제40조의2, 제42조의2 등).

     

    (4) 개인정보보호위원회 업무 권한 범위 확대

    신용정보법 개정 법률안은 기존 금융위원회에서 담당하던 개인신용정보에 대한 집행권한을 개인정보보호위원회에게 일부 이관하도록 정하고 있습니다. 신용정보법 개정 법률안은 금융회사 등을 제외한 신용정보제공·이용자인상거래 기업 및법인에 대해서는 금융위원회의감독, 검사 등을대신하여 개인정보보호위원회가 자료제출요구·검사권·출입권·질문권 및 시정명령, 과징금 및 과태료 부과 등의 권한을 행사할 수 있도록 정하고 있습니다(신용정보법 개정 법률안 제38조, 제39조의4, 제42조의2 등).


    (5) 신용정보 관련 산업의 규제체계 개정

    신용정보법 개정 법률안은 포괄적으로 규정되어 있던 현행 신용조회업의 업무 범위를 개인신용평가업, 개인사업자신용평가업, 기업신용조회업으로 구분하고, 개인신용평가업의 한 종류로 금융거래에 관한 개인신용정보 외의 개인신용정보만을 활용하여 개인인 신용정보주체의 신용상태를 평가하는 전문개인신용평가업을 추가로 도입하면서, 그 자본금 기준을 낮추는 등 신용정보 관련 산업을 새로이 정비하고 있습니다(신용정보법 개정 법률안 제5조, 제6조 등).


    또한, 신용정보법 개정 법률안은 개인인 신용정보주체의 신용관리를 지원하기 위하여 본인의 신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 행위를 영업으로 하는 본인신용정보관리업을 도입하고 있고, 특히, 그 본인신용정보관리업자가 현재 많이 이용하고 있는 스크린 스크레이핑 방식을 금지시키면서, API 방식 등의 안전한 방식을 이용하여 정보를 제공받도록 정하고 있습니다(신용정보법 개정 법률안 제2조, 제4조, 제11조, 제11조의2, 제22조의8, 제33조의 2 등).



    4. 향후 대응방안

    개인정보보호법 개정 법률안은 EU GDPR에서 정하고 있는 목적 범위의 양립 가능성(compatibility) 개념을 차용하여, 개인정보처리자는 당초 수집한 목적과 합리적으로 관련된 범위 내에서는 일정한 조치를 취한 경우 정보주체의 동의 없이 개인정보를 이용할 수 있도록 하였습니다. 또한 GDPR의 가명화 처리(pseudonymisation)와 유사한 가명조치에 대한 개념을 신설하였고, 가명정보의 이용가능성을 확대하였습니다. 나아가, 신용정보법 개정 법률안은 자동화 처리 및 신용정보주체의 전송요구권을 신설하고 있어, 향후 신용정보법 이외에 다른 개인정보 관련 법률에 영향을 줄 것으로 생각됩니다. 또한 개인정보보호법 및 신용정보법 개정 법률안들은 데이터 결합에 대해서도 법률적 근거를 마련하고 있어, 기업이 4차 산업혁명 시대에 핵심 자원인 데이터를 이용할 수 있는 근거가 될 것으로 보입니다. 이에 따라 기업은 향후 신산업인 인공지능과 클라우드, 빅데이터, 사물인터넷(IoT) 등의 분야에서 목적 범위 내의 개인(신용)정보 이용, 가명정보 및 데이터 결합 등을 통하여 새로운 기술 · 제품 · 서비스의 개발 등 산업적 목적을 포함한 과학적 연구, 시장조사 등 상업적 목적의 통계작성으로 데이터를 사용할 수 있게 될 것으로 예상됩니다.


    한편, 개정 법률안들에 따르면 기업의 책임성도 증가하였습니다. 개정 법률안들은 가명화 및 데이터 결합시 금지행위를 규정하고 위반시 형사처벌을 포함한 강력한 처벌 규정을 두고 있는 바, 기업은 우선 이용 가능한 데이터가 무엇인지 정의하고, 가명처리 또는 데이터 결합을 통해 적법하게 목적이 달성 가능한 지 여부, 암호화 등 안전성 확보조치 준수 여부 및 수집 · 이용 · 제공 · 파기의 프로세스에 관한 지속적인 관리를 통하여 정보주체 보호 및 기업의 책임성 의무를 준수하는 것을 고려해야 할 것으로 생각됩니다. 또한 향후에는 정보주체의 권리를 보호와 관련하여 신용정보법 개정 법률안에서 도입된 자동화 처리 및 아직 도입되지 아니한 프로파일링에 대한 논의가 확산될 것으로 예상되므로, 기업 정보주체의 데이터를 이용할 때 투명성의 확보 및 이용자의 선택권 보장을 염두에 둘 필요가 있어 보입니다.


    신용정보법에서는 개인인 신용정보주체의 신용관리를 지원하기 위하여 본인의 신용정보를 일정한 방식으로 통합하여 그 본인에게 제공하는 본인신용관리업의 법률적인 근거가 마련되었습니다만,  금융위원회의 본인신용정보관리업에 관한 허가제도 정비, 신용정보주체의 전송권 행사시 금융기관의 전송내역의 표준화, 금융기관의 시스템 구축 비용 및 수수료 문제 등 다양한 이슈가 발생할 것으로 예상됩니다.


    다음으로, 개인정보보호법과 정보통신망법의 통합 및 신용정보법 개정 법률안에서의 금융위원회의 개인정보보호위원회로의 일부 권한 이관을 통해 개인정보보호위원회의 위상을 강화하였습니다. 한편, 기존 법체계에 개인정보호법, 정보통신망법의 유사 · 중복된 규정으로 인해 기업에서는 적용 법규 및 해석에 대한 이슈가 있고, 신용정보법은 개인정보보호법과 다른 형식으로 개인(신용)정보의 수집·이용 등에 관한 사항을 규정하고 있었으나, 개정 법률안들에 따르면 정보통신망법의 규정이 개인정보보호법으로 통합되고, 개인정보보호법의 규정 체계가 신용정보법에 반영되게 되었는바, 개인정보 관련 법령의 조화로운 해석 및 거버넌스 체계 구축이 개선될 것으로 생각됩니다.


    또한, 개정 법률안들에 따르면 개인정보보호위원회가 컨트롤타워로 운영되게 됩니다. 이에 따라 향후 개인정보보호위원회의 중립적이고 독자적인 컨트롤로 인해 규제기관의 독립성이 인정된다면, 한 ·EU 간의 개인정보 국외전송에 대한 EU 집행위원회의 적정성 결정(adequacy decision)을 통해 한국과 EU사이에 자유로운 개인정보의 국외전송 체계가 마련될 여지가 있어 보입니다.


    저희 법무법인에서는 정보보호와 관련된 다수의 자문 및 소송 업무를 수행하여 왔고, 이와 관련한 주요 컴플라이언스 시스템의 사전 수립 및 점검 등의 실무 업무 수행 경험도 다수 보유하고 있습니다. 정보통신망법 개정에 따른 다양한 법률 이슈에 대한 자문 및 시스템 점검 등에 대하여 문의사항이 있으시면 언제든지 저희 법무법인에 연락 주시기 바랍니다.



    류광현 변호사 (kh.ryoo@bkl.co.kr)

    강태욱 변호사 (taeuk.kang@bkl.co.kr)

    윤주호 변호사 (juho.yoon@bkl.co.kr)

    김도엽 변호사 (doyeup.kim@bkl.co.kr)