• Legalinsight
  • Legaledu
  • 법률신문 법률정보

    연구논단

    목적합치의 원칙과 가명정보의 특례

    - 개정 개인정보 보호법 小考 -

    이동진 교수(서울대 로스쿨) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 160338.jpg

    1. 들어가며

    개정 개인정보 보호법이 올해 2월 4일 공포되어 8월 그 시행을 앞두고 있다. 개정법은 크게 두 부분을 바꾸었다. 첫째, 집행권한·조직을 개인정보보호위원회로 최대한 일원화하였다. 둘째, 실체적 측면에서 종래의 목적구속의 원칙을 버리고 목적합치의 원칙을 채택하였고, 가명정보에 관한 일련의 특례를 도입하였다. 위 두 변화 중 집행권한·조직 측면의 변화는 EU적정성 평가와도 관련되어 있는 중요한 변화이다. 그러나 수범자에게 어떤 영향을 미칠지 분명한 것은 아니고, 종래 주목받은 측면도 아니다. 반면 실체적 측면은 서로 다른 진영에서 첨예하게 다툰 쟁점인데, 실제로 바뀐 부분은 다소간 미묘하고 어느 정도 법 기술적이다. 그런 만큼 그 내용이 제대로 이해되고 논쟁이 이루어진 것인지, 그리고 지금은 제대로 이해되고 있는지도 의문이다. 이 글에서는 뒷부분에 한하여 살펴보기로 한다.

      


    2. GDRP에서 목적합치의 원칙과 가명정보의 위상

    GDPR은 유럽연합의 개인정보 보호에 관한 일반규정이다. 국경 간 개인정보의 이전이 수시로 일어나는 세계화·정보화된 사회에서 여러 나라의 개인정보 보호법에 영향을 주고 있고, 우리나라에 대하여도 마찬가지이다. 개인정보 보호법령의 국제적 동조화(同調化)가 불가피하다는 점에 비추어 이해될 수 있다. 위 실체적 측면의 개정에 대하여도 같은 말을 할 수 있다.

     

    그런데 이 점에서 GDPR은 현행법과 여러 점에서 다르게 규정하고 있었다. 먼저 GDPR Art. 5(1) b) 전문은 개인정보를 '특정된 목적을 위해 수집'되어야 한다면서도 '이 목적과 양립가능하지 아니한 방향으로 계속처리해서는 안 된다'고 정하여, 특정된 목적과 다르지만 그와 양립가능한 목적으로 계속처리하는 것을 허용한다. 이를 목적합치의 원칙이라고 할 수 있다. 이어 GDPR Art. 5(1) b) 후문은 '공익적 기록보존, 과학적 또는 역사적 연구 또는 통계목적을 위한 계속처리는 art. 89(1)에 따르는 한 당초 목적과 양립가능한 것으로 본다'고 정한다. 추정하지 아니하고 간주한다는 점에서 GDPR의 전신(前身)인 DPD보다 강화된 것으로, 기록·연구 및 통계목적의 제2차적 처리 일체를 허용한다. 그리고 GDPR Art. 9 (1), (2) j)는 민감정보에서 이를 재확인한다. 민감정보 처리의 예외로, 공동체법 또는 가입국법에 따라 공익적 기록보존, 과학적 또는 역사적 연구 또는 통계목적을 위한 처리로서 당초의 목적과 상당한 관계에 있고 정보주체의 권리를 보호하기 위한 적절한 조치를 취하였으며, art. 89(1)을 따른 경우를 들고 있다. 이들 규정이 준수를 요구하는 GDPR Art. 89(1)은 정보주체의 권리와 자유의 보장을 위한 적절한 조치, 즉 기술적 및 관리적 조치(TOM)를 정하는데, 가명처리{Art. 1(5)}는 그 전형적인 예로 규정되어 있다.

     

    다른 한편 GDPR은 위와 같은 점만을 규정한다. 당초의 목적과 다르나 그와 양립 가능한지 여부는 당초 목적과의 관계, 수집의 맥락, 정보주체가 가질 기대, 데이터의 종류, 계속처리의 영향 등을 형량하여 정하는 수밖에 없고{Art. 6(4); WP 203}, 과학적·역사적 연구의 의미도 넓게 해석하여야 하고 기술개발이나 응용연구, 민간 재정지원을 받은 연구도 포함한다고 할 뿐(Recital 159), 더 구체화하지 아니한다.

     


    3. 목적합치의 원칙

    2020년 개정법은 목적합치의 원칙을 도입하였다. 현행법 제15조 제1항과 제17조 제1항 제2호는 수집 목적의 범위에서 이용하거나 제공하는 것만을 허용하고, 제18조 제1항에서 이를 넘는 이용과 제공을 금지하면서 같은 조 제2항에서 개별적 예외사유를 열거하였다. 그러나 개정법 제15조 제3항, 제17조 제3항은, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용·제공할 수 있게 한다.

     

    이러한 전환은 합리적이고 적절하다고 평가된다. 첫째, 목적의 특정성을 요구하면서 목적구속을 엄격하게 관철하면 목적특정과 관련하여 여러 문제가 생긴다. 거래를 위하여 수집한 고객정보를 내부감사에 쓸 수 없다면 합리적이라고 할 수 없다. 사실상 법위반이 빈발하거나 과도하게 장황하고 일반적인 목적나열로 정보주체의 동의를 형해화할 위험이 있다. 목적합치로 이를 완화할 때 오히려 목적의 특정성을 좀 더 엄격히 관철하고 위험형량을 요구·관철하기가 수월해진다. 둘째, 목적합치로의 완화는 공적 영역과 민간영역의 규제비대칭을 해소한다. 현행법상 개별적 예외사유는 대부분 법령에 터 잡은 것으로 공적 영역에만 적용된다. 그러나 목적이 합치한다 하더라도 공적 영역에서는 여전히 수집 목적 외의 처리에 대하여 법적 근거를 요하는 경우가 많다. 목적합치는 주로 민간영역에서 그 기능을 발휘하는 일반적 예외사유로서, 현행법의 불균형을 보정한다.

     

    목적합치 여부의 판단은 개별적 이익형량에 의할 수밖에 없다. 대통령령에 구체화를 위임한다 하더라도 마찬가지이다. 이 규정의 영향력은 구체적인 형량기준을 넓게 파악할 것인가, 좁게 파악할 것인가에 달려 있는데, GDPR의 예에서도 보듯 이는 향후 해석·운용에 맡겨질 수밖에 없다. 다만 DPD와 GDPR가 시사하듯, 기록·연구·통계작성 등 수집목적과 관련이 없는 목적의 처리도, 다른 사정과 결합하여, 허용되는 경우가 있을 것이다.


    4. 가명정보의 특례

    2020년 개정법에서 두드러지는 부분은 가명정보의 특례이다. 현행법 제18조 제2항 제4호는 '통계작성 및 학술연구 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우'를 목적 외 이용·제공의 예외로 규정하고 있었고, 제3조 제7항은 일반적으로 '익명처리가 가능한 경우에는'익명처리하여야 한다는 원칙을 수립하고 있었다. 그러나 개정법은 제3조 제7항의 익명처리를 익명 또는 가명처리로 바꾸고 제18조 제2항 제4호를 삭제하는 대신 제28조의2 제1항에서 '통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다'고 규정하는 등 이하의 규정에서 가명처리의 특례를 정하였으며, 제2조 제8호에서 과학적 연구를 '기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구'로 규정하였다.

     

    이미 본 바와 같이 현행법도 통계작성 또는 학술목적의 가명제공을 허용한다. 그렇다면 무엇이 바뀌었는가. 첫째, 행위태양을 제공에서 처리 일반으로 확대하였고, 둘째, 목적에 공익적 기록보존을 명시하고 학술연구를 좀 더 넓게 정의된 과학적 연구로 바꾸었다. 좀 더 중요한 점은 마지막 변화인데, 현행법이 민감정보와 고유식별정보 등의 특례 앞에 규정을 두어 민감정보 등에 대하여는 위 예외가 적용되지 아니하는 것으로 해석될 소지를 남겼던 반면, 개정법은 그 뒤인 제28조의2 이하에 규정을 두어 GDPR처럼 민감정보 등에 대하여도 적용 가능성을 확보하였다. 그밖에 개정법 제28조의3은 가명정보의 결합은 지정된 제3자(TTP)를 통하여만 할 수 있다고 규정한다.

     

    이들은 모두 합리적이고 대체로 자명한 개정이다. 다만, 그런 만큼 다분히 법 기술적인 성격을 갖고 있어, 현행법도 결국 위와 같이 해석되었어야 했던 것을 명확히 정비한 측면이 있다. 다만, 개정법의 규정에는 GDPR과 차이도 있다. 대표적으로 GDRP은 가명처리를 의무화하지 아니하고 위험감소를 위한 하나의 수단으로 들 뿐이나, 개정법은 이를 의무화한다. 물론, 그 취지에 비추어볼 때 가명처리의 최소한의 기준을 운위하기는 어렵다. 개개의 정보주체를 그 정보만으로 식별해낼 수 없는 한, 즉 말 그대로 가명화한 이상, 가명처리를 안했다고 할 수는 없고, 나머지는 모두 위험과 이익의 형량에 맡겨져야 한다. 그러나 완전한 실명처리는 예외적으로도 허용되지 아니한다. 개정법이 가명정보의 결합을 지정된 TTP를 통하여 하도록 강제한 점도 GDPR과 다르다.



    5. 평가와 전망

    개정이 이루어진 부분에 한하여 본다. 가명처리의 특례는 입법적 과오를 시정한 것으로, 규범적 변화가 반드시 크다고 할 수는 없다. 결과적으로 현행법도 그와 같이 운용되었어야 했을 것이다. 또한 현행법 하에서나 개정법 하에서나 개인정보, 가명정보, 익명정보의 이용이 서로 다른 목적과 TTP 하에서 허용되고 그들 사이의 경계가 다소간 유동적인 형태에 있어 복합적 위험평가를 거쳐야 이용이 가능하다. 규범적 관점에서 잠재력이 있는 것은 오히려 목적합치의 원칙의 수용인데, GDPR과 달리 이 일반원칙과 개별 예외 사이의 관계가 정리되지 아니한 채 수용되었고, 구체적 기준은 여전히 모호할 수밖에 없다. 개정이 법 규범적·실천적 수준보다는 이념적 수준에서 더 큰 의미를 갖고 있고, 많은 부분이 현행법과 마찬가지로 향후 해석·운용에 달려 있다고 보는 까닭이 여기에 있다.

     

     

    이동진 교수(서울대 로스쿨)

     


    최근 많이 본 기사