행안부·방통위·금융위, 데이터 3법 시행령 개정안 입법예고…31일부터 40일간

 

[아이티데일리] 행정안전부(장관 진영), 방송통신위원회(위원장 한상혁), 금융위원회(위원장 은성수)가 데이터 3법 개정안을 위한 시행령 개정안을 30일 발표했다.

데이터 3법이란 ▲개인정보 보호법(법률 제16930호) ▲정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제16955호) ▲신용정보의 이용 및 보호에 관한 법률(법률 제16957호) 등을 말한다. 지난 2월 4일 공포된 개정안에서는 ▲가명정보 도입 ▲개인정보 보호체계 일원화 ▲금융 분야 데이터 신산업 도입 ▲전문기관을 통한 데이터 결합 지원 등이 포함돼 국내 데이터 경제 활성화의 기반을 마련했다는 평가다.

이번 시행령 개정안의 입법예고 기간은 3월 31일부터 5월 11일까지(40일 간)이며, 관계기관 협의, 규제 및 법제처 심사, 국무회의 등을 거쳐 8월 5일 공포·시행된다. 특히 데이터 3법에 대한 국민의 관심이 크다는 점을 고려해, 입법예고 기간 중 별도로 관계부처 합동 공청회를 개최해 각계의 의견을 수렴하고 시행령 및 고시에 적극적으로 반영할 예정이다.
 

개인정보 보호법 : 위임·이관된 규정 체계화, ‘민감정보’ 범위 확대

첫째, 개정된 개인정보 보호법이 위임한 사항을 구체적으로 규정
‘개인정보의 추가적인 이용·제공(안 제14조의2)’에 따르면, 개인정보 처리자는 ▲당초 개인정보를 수집했던 목적과의 상당한 관련성 ▲수집한 정황과 처리 관행에 비춘 예측 가능성 ▲추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의없이 추가로 이용·제공할 수 있게 된다. 이는 EU 개인정보보호법(GDPR)에서 ‘수집 목적과 양립 가능한 범위 내에서 추가 처리를 허용’하는 요건과 유사한 내용으로, 개인정보를 추가로 이용할 경우 일일이 동의를 받아야 했던 경직성을 완화했다.

‘가명정보 결합 절차 및 전문기관 지정(안 제29조의2, 제29조의3)’에서는 가명정보의 결합 절차를 정의했다. 개인정보 처리자는 가명정보 결합 전문기관에 결합 신청서를 제출하면 된다. 전문기관이 가명정보를 결합해 주면, 전문기관 내에 마련된 안전한 분석 공간에서 해당 정보를 분석할 수 있다. 또한 필요할 경우 전문기관의 안전성 평가 및 승인을 거쳐 결합된 가명정보를 외부로 반출하는 것도 가능하다.

이때 가명정보 결합 전문기관은 보호위원장 또는 관계 중앙행정기관의 장이 지정한다. 일정한 인력 및 조직, 시설, 장비, 재정능력 등을 고려해 전문성과 신뢰성을 갖춘 기관이 지정되며, 한 번 지정되면 3년 간 효력이 유지된다.

‘가명정보의 안전성 확보조치(안 제29조의5)’은 가명정보를 처리하는 담당자의 물리적·기술적 안전조치를 담았다. 담당자는 내부관리계획을 수립하는 것은 물론, 개인을 알아볼 수 있는 추가 정보를 분리 보관하고 접근 권한도 분할하는 등 복합적인 안전조치를 실시해야 한다. 또한 가명정보 처리 목적, 보유기간, 파기 등을 기록으로 작성해 안전성을 더욱 강화할 필요가 있다.

둘째, ‘민감정보’에 생체인식정보와 인종·민족정보 포함(안 제18조)해 보호 강화
지문·홍채·안면 등 생체인식정보는 개인 고유의 정보로, 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 크므로, 이를 별도로 규율 및 보호할 필요가 있다. 또한 인종·민족정보는 우리 사회가 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는 데 사용되지 않도록 해야 한다. 이에 따라 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가해 정보주체의 동의를 받아서 처리하도록 했다.

셋째, 체계적 개인정보 보호 위해 위원회 운영 제도 개선
전문위원회의 효율성과 전문성 제고를 위해 위원 정수를 당초 10명에서 20명으로 확대했다(안 제5조). 또한 개인정보보호 업무의 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시·도 개인정보보호 협의회를 설치 및 운영하는 근거를 마련했다(안 제5조의2, 제5조의3). 아울러 3년마다 수립하는 ‘개인정보보호 기본계획’이 수립부터 시행까지 최대 2년의 시차가 발생하던 문제를 해소하기 위해, 시행 시점에 더 근접해서 수립하도록 했다(안 제11조, 제12조).

넷째, 정보통신망법 시행령의 관련 규정을 이관
정보통신망법의 개인정보 보호 규정이 개인정보 보호법으로 이관됨에 따라, 그간 정보통신망법 시행령이 규정했던 ▲개인정보 이용내역 통지 ▲손해배상책임 보장 ▲해외사업자의 국내대리인 지정 등 개인정보 보호 관련 조항을 개정안에 통합 반영했다(안 제30조제2항, 제48조의2부터 제48조의12까지).
 

정보통신망법 : 이관된 개인정보 보호 관련 조항 삭제

데이터 3법 개정으로 온라인 상의 개인정보 보호를 규율하던 정보통신망법의 개인정보 보호 규정이 개인정보 보호법으로 통합됐다. 이에 정보통신망법 시행령 규정 중 위임근거가 사라진 조항들을 삭제했다. 개인정보 보호법 시행 이후에는 정보통신서비스 제공자도 개인정보 보호법을 적용받게 되며, 이관된 업무는 보호위에서 수행하게 된다.

이와 함께 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근권한 등의 업무와 관련한 조문 체계 정비도 개정안에 반영했다.
 

신용정보법 : 마이데이터 도입, 규제 선진화 등 활용성·안전성 모두 잡는다

첫째, 데이터 결합 절차 및 전문기관 지정(안 제22조의4, 제14조의2)
금융회사가 데이터를 결합하고자 하는 경우 금융위원회가 지정한 전문기관에 결합을 신청하도록 하고, 전문기관은 해당 데이터를 결합한 뒤 가명·익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공한다. 전문기관은 데이터 전문기관 업무 수행직원과 그 외의 인력을, 데이터 결합서버와 그 외의 서버를 분리하는 등 안전한 데이터 결합을 위한 위험관리체계를 갖춰야 한다.

둘째, 개인신용정보 전송요구권 도입(안 제18조의6, 제28조의3)
정보주체의 개인신용정보 전송요구권에 따라 금융회사, 상거래기업, 공공기관 등은 ▲금융거래정보 ▲국세·지방세 등 공공정보 ▲보험료 납부정보 ▲기타 주요 거래내역 정보 등을 정보주체 본인과 금융회사, 개인신용평가회사 및 마이데이터 사업자에게 제공할 수 있다.

셋째, 마이데이터 산업 도입(안 제6조, 제11조, 제11조의2, 제18조의6)
마이데이터 산업의 도입 근거는 앞서 설명한 개인신용정보 전송요구권이다. 전자금융업, 대출 중개·주선 업무, 로보어드바이저(robo-advisor)를 이용한 투자자문·일임업을 다른 법령 등에 따른 허가 등을 받아 겸업할 수 있다. 또한 개인신용정보 전송요구권 행사 범위 이상의 개인신용정보 수집 등 정보주체의 정당한 정보주권을 보장하지 않는 행위를 금지해 신뢰받는 마이데이터 산업의 근간을 마련했다.

넷째, 신용정보업 규제체계 선진화(안 제6조, 제9조, 제11조, 제11조의2, 제18조의3부터 제18조의5)
신용정보업자는 안전한 데이터 처리를 위한 시스템 및 설비요건을 갖추도록 하고, 허가단위별 자본금 요건(5~50억 원)에 따라 정해진 전문인력요건(2명~10명)을 갖추도록 했다. 또한 전문인력들은 신용정보업자가 수행 가능한 다양한 데이터 관련 업무를 다른 법령 등에 따른 허가를 받아 겸업할 수 있도록 했다.

이외에도 자사·계열사에 대한 신용평점 우대 등 불공정한 신용평가 행위, 신용정보업자가 제공하는 서비스 계약 체결을 위해 신용등급 상향을 약속하는 행위 등 건전한 신용질서를 훼손하는 행위를 금지해 신용정보업의 영업행위 건전성을 제고했다.

다섯째, 금융권 정보보호 상시평가제(안 제16조의2) 실시
금융회사 및 신용정보업자들은 연 1회 이상 신용정보법 준수 현황을 점검하고 그 결과를 자율규제기구에 제출하도록 했다. 금융당국은 필요할 경우 제출된 결과를 바탕으로 현장점검, 테마 검사 등을 실시하고 취약부문 보완조치 등을 요구한다.

여섯째, 금융권 정보활용·제공 동의서 개편(안 제29조의2, 제29조의3)
금융위원회가 금융회사 등의 개인정보 활용·제공 동의에 따른 위험 및 혜택, 가독성 등을 고려해 정보활용 동의등급을 산정할 수 있도록 했다. 금융회사 등은 정보주체에게 요약된 정보활용·제공동의서를 통해 동의를 받을 경우, 금융위원회가 산정한 정보활용 동의등급과 함께 ▲개인정보 수집·이용·제공 목적 ▲수집·제공대상 정보 ▲정보 보유 및 제공기간 등을 필수적으로 고지하도록 해 ‘알고하는 동의’가 이뤄질 수 있도록 했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지