"개인정보, 수집 목적·이익 침해 여부 '고려'해 사용토록 기준 완화"

개인정보보호법 시행령 개정안 국무회의 의결

[사진=게티이미지뱅크]

다음 달 5일 '데이터3법(개인정보보호법·정보통신망법·신용정보법)' 시행을 앞두고, 개인정보보호법 시행령 개정안 일부 조항이 수정됐다. 개인정보 보호에 무게중심이 쏠려 '독소조항'이라는 비판까지 받았던 조항이다.

행정안전부와 방송통신위원회는 '개인정보보호법 시행령 개정안'이 국무회의에서 의결됐다고 28일 밝혔다. 기업이 수집한 개인정보를 동의 없이 사용하는 데 있어 직전 개정안보다 기준이 완화됐다.

시행령은 개인정보 사용이 당초 개인정보 수집 목적과 상당한 관련성이 있어야 하고, 수집한 정황과 처리 관행에 비추어 볼 때 예측 가능해야 한다고 규정하고 있다. 제3자의 이익을 부당하게 침해하지 않아야 하고, 가명처리 의무도 부여된다.

정부는 이번 개정안에서 4가지 요건을 모두 충족해야 한다는 표현을 고려해야 한다로 수위를 낮췄다. 또 '상당한, '제3자'라는 모호한 단어를 삭제하고 '수집한 정황과 처리 관행'은 '수집한 정황 또는 처리 관행'으로 고쳤다.

제29조 5항에 '처리 목적이 달성되거나 보유 기간이 경과할 경우 가명정보를 파기해야 한다'는 부분은 삭제됐다. 이는 '특정 개인을 알아내기 위한 목적으로 가명정보를 처리할 경우 5년 이하 징역이나 5000만원 이하 벌금'과 같은 처벌 규정이 있는데, 공들여 분석한 정보를 없애도록 하는 것은 지나치다는 비판에 따른 것이다.

가명정보 결합 절차 규정도 마련됐다. 가명정보를 결합하려는 개인정보 처리자는 보호위원장이나 관계 중앙행정기관장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 결합전문기관이 가명정보를 결합하면, 개인정보처리자는 전문기관 내에 마련된 안전한 공간에서 결합된 정보를 분석할 수 있고, 안전성 평가 및 승인을 거쳐서 전문기관 외부로 반출할 수 있다. 전문기관은 일정한 인력·조직, 시설·장비, 재정 능력을 갖춰야 하며, 3년간 지정 효력이 인정된다.

이날 국무회의에서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안'도 의결됐다. 그동안 정보통신망법 시행령에 규정됐던 '개인정보 이용내역 통지', '손해배상책임 보장', '해외사업자의 국내대리인 지정' 등 개인정보 보호 관련 조항을 삭제하고, 개정안에 이를 이관했다.

또한 위임 근거가 사라진 개인정보보호 관련 조항들을 개정안에서 삭제하고, 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근 권한 등의 업무와 관련한 시행령의 조문 체계를 정비했다.

윤종인 행안부 차관은 "이번 시행령 개정으로 데이터를 안전하게 활용할 수 있는 법적 기반이 마련됐다"며 "다음 달 5일 개인정보 보호법과 시행령 등 하위법령이 차질 없이 시행되고, 개인정보보호위원회가 성공적으로 출범할 수 있도록 최선을 다하겠다"고 말했다.