개인정보보호법, 신용정보법, 정보통신망법 등 이른바 데이터 3법 통과 90일 만에 관련 시행령 개정안이 마련됐다. 앞으로 일정한 요건을 갖춘 경우 수집한 개인정보를 정보주체 동의 없이 활용할 수 있게 된다.
행정안전부와 방송통신위원회, 금융위원회는 데이터 3법에 대한 시행령 개정안을 마련하고 31일부터 40일간 입법예고를 진행한다고 30일 밝혔다.
지난 1월 국회 통과된 데이터 3법 하위 법령의 후속 작업으로, 개정안은 8월 5일부터 시행된다.
우서 개인정보보호법 시행령 개정안은 개인정보 주인의 동의 없이 개인정보를 활용할 때 갖춰야 할 요건을 담았다. ▲ 당초 개인정보를 수집했던 목적과의 관련성 ▲ 수집한 정황과 처리 관행에 비춘 예측 가능성 ▲ 추가 처리가 정보주체나 제3 자의 이익을 부당하게 침해하지 않을 경우다.
이에 부합하면 정보주체의 동의 없이도 개인정보를 추가 이용하거나 제공할 수 있다. 예를 들어 인터넷 쇼핑몰 사업자의 경우 수집한 고객의 주소를 별도 동의 없이 택배 업체에 제공할 수 있게 된다. 개인정보 추가제공 목적(물품 배송)과 당초 정보수집 목적(온라인 물품 판매)사이에 관련성이 있고, 정보주체나 제3자 이익을 부당하게 침해하지 않기 때문이다.
다만 생체인식정보와 인종 및 민족 정보는 민감정보에 포함했다. 민감정보는 개인정보주체의 별도 동의를 받아야 추가 활용이 가능하다.
생체인식정보는 변하지 않는 개인 고유 정보로 유출될 경우 되돌릴 수 없는 피해가 발생할 가능성이 크다는 판단이다. 또 인종 및 민족 정보는 다문화 사회로 변화하는 과정에서 개인을 차별하는데 사용되지 않도록 보호할 필요성이 높아졌다는 설명이다.
이번 개정안에서는 '가명정보' 처리 전담기관과 절차 등도 규정했다. 가명정보는 특정 개인을 식별할 수 없도록 가공한 정보를 말한다. 개인정보는 활용 측면에서 엄격하게 제한한 경우가 많아 개정안에는 가명정보를 사용할 수 있다는 조항을 추가했다. 가명정보 처리는 개인정보보호위원회나 관계 중앙행정기관에서 지정한 전문기관에서 결합처리를 담당하도록 했다.
아울러 체계적 개인정보 보호를 위해 위원회 운영 제도를 개선한다. 위원 정수는 당초 10명에서 20명으로 확대했다.
한편 개정안은 중앙행정기관이 참여하는 ▲ 개인정보보호 정책협의회와 지방자치단체가 참여하는 ▲ 시·도 개인정보보호 협의회를 설치하는 근거도 마련했다.
여기에 정보통신망법 시행령의 관련 규정을 개인정보보호법 세부 규정으로 이관한다. 그간 정보통신망법 시행령에 규정됐던 ▲ 개인정보 이용내역 통지 ▲ 손해배상책임 보장 ▲ 해외사업자의 국내대리인 지정 등 개인정보 보호 관련 조항을 개정안에 반영했다.
이날 입법예고된 시행령 개정안 전문은 행정안전부, 방송통신위원회, 금융위원회 홈페이지에서 확인할 수 있다.