변호사 김무한|[email protected]
최근 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 즉 속칭 ‘데이터 3법’에 대한 개정이 추진되어 왔으며, 주된 개정 취지는 (1) 개인정보보호에 관한 규율이 각 소관부처별로 분산되어 불필요한 중복규제가 발생하는 현상을 없애고, (2) 기업의 개인정보 활용과 정보주체의 개인정보 보호가 균형을 이룰 수 있도록 하기 위한 것으로 이해되고 있습니다.
개인정보보호에 관한 기본법이라 할 수 있는 개인정보보호법 개정안은 2020. 1. 9. 국회 본회의를 통과하여 2020. 8. 5.부터 시행되고 있으며, 핵심 개정사항으로는 ‘가명정보’의 이용에 관한 제3절이 추가된 것이라고 볼 수 있습니다.
원칙적으로 개인정보처리자는 개인정보를 수집할 때부터 수집 및 이용의 목적, 이용기간, 제3자에게 제공할 경우 제공받는 제3자와 그 이용목적 등을 정보주체에게 설명하고 이에 대한 동의를 받아야 하며 이를 위반할 경우 민/형사상의 책임을 져야 합니다. 따라서 개인정보처리자가 그동안 축적해온 개인정보를 활용하여 과학기술을 연구하거나 개발하려면 수집 당시 예상하지 못했던 활용목적 등에 대하여 정보주체로부터 추가적인 동의를 받아야 하는데, 이 과정에서 막대한 업무부담이 발생하고 정보주체가 부동의할 가능성도 있으므로 현실적으로 매우 어려웠습니다.
즉, 기업의 입장에서는 축적된 빅데이터를 활용한 기술개발(예를 들어, 빅데이터를 활용한 AI 개발, 의약품 및 의료기기 개발연구 등)을 진행할 경우 관련법령에 위반될 소지가 높았던 것입니다.
이번에 개정된 개인정보보호법은 ‘가명정보’라는 개념을 사용하여, 개인정보처리자가 정보주체의 동의를 받지 않고도 개인정보를 연구에 활용할 수 있는 절차를 도입하였는바(제3절 가명정보의 처리에 관한 특례), “정보주체의 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등의 목적으로 가명정보를 이용할 수 있는 근거”를 마련한 것이며, 이 “과학적 연구”의 개념에 “기술의 개발과 실증, 기초연구, 응용연구 및 민간투자 연구 등 과학적 방법을 적용하는 연구”를 포함시킴으로써(개정 개인정보보호법 제2조는 제8호), 산업기술 개발, 특히 보건의료산업 분야의 연구개발에 가명정보를 활용할 수 있는 근거를 마련하였다고 평가할 수 있습니다.
“가명정보”란, “가명처리”된 개인정보를 말하며, “가명처리”란 개인정보의 일부를 삭제하거나 대체하여 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다. 가명정보는 추가정보와 결합시켜 다시 특정 개인을 알아볼 수 있는 가능성이 남아 있다는 점에서, 더 이상 개인을 알아볼 수 없게 처리된 “익명정보”와 구별될 수 있습니다.
예를 들어, 특정 알고리즘을 사용하여 개인정보에 드러난 식별자(성명, 주민등록번호, 전화번호 기타 등등)를 가명 또는 가상의 번호로 대체하거나, 마스킹(masking)처리한 것은 가명정보에 해당할 수 있으며, 아예 식별요소를 삭제하여 복구 불가능하도록 처리한 정보는 익명정보에 해당할 수 있는 것입니다.
개인정보처리자가 개정 개인정보보호법에 따라 가명정보를 활용하기 위해서는, 내부 심의위원회의 적정성 검토를 거쳐야 하며(만약 활용목적이 인간대상연구에 해당하는 경우라면 구체적 사안에 따라 기관생명윤리위원회의 심의/승인 절차를 추가로 거쳐야 할 가능성이 있음), 심의위원회는 데이터 활용의 목적과 범위, 가명처리 방법과 활용환경의 적정성 검토, 가명처리 과정과 결과의 적정성 검토 등의 업무를 수행하여야 합니다.
개정 개인정보보호법에 따른 가명정보 활용은 아직 그 사례가 많지 않아서 각 분야별 감독기관의 유권해석과 법원의 판단 등에 따라 향후 구체화될 것으로 보이며, 기업의 입장에서는 개정법의 취지와 현재 정부부처에서 각 분야별로 발표하고 있는 데이터 활용 가이드라인을 꼼꼼히 검토하여 합법적인 범위 내에서 업무에 활용하는 것이 바람직할 것으로 보입니다.
