[디지털투데이 신민경 기자] 데이터3법(개인정보보호법·정보통신망법·신용정보법)의 개인정보 관련 규정에 안전장치가 대폭 강화된다. 종교와 노동조합 가입여부 외에도 생체인식과 인종정보가 민감정보에 추가된다. 또 기업이 가명정보를 반출해야 하는 경우엔 데이터 전문기관의 엄격한 심사를 거쳐 익명정보나 가명정보 형태로만 내보낼 수 있고 전문기관은 3년마다 재지정된다.

행정안전부와 방송통신위원회, 금융위원회 등은 30일 이런 내용 등이 담긴 데이터3법 시행령 개정안을 오는 31일부터 40일 동안 입법예고한다고 밝혔다.

금융과 정보통신 등의 산업군에서 개인의 가명정보를 활용하도록 규제를 완화하는 '데이터3법'은 오는 8월 5일 시행된다. 빅데이터 산업 활성화를 위해 기업이 수집·활용할 수 있는 개인정보의 범위를 종전과 달리 크게 넓힌 게 핵심이다. 

이번에 입법예고되는 시행령 개정안에 따르면 가명정보를 결합하고자 하는 기업은 개인정보보호위원장 등이 지정하는 데이터 전문기관에 결합신청서를 낸 뒤 전문기관 안의 별도 분석공간에서 결합정보를 분석할 수 있다. 인공지능 분석 등을 목적으로 데이터의 외부 반출을 원하는 기업이 있을 때에는 전문기관 내 심사위원회(3명 이상)가 반출 여부와 수준을 심사한다. 

공공성격을 갖는 기관이 우선 전문기관으로 지정되며 향후 데이터 결합에 대한 사회적 신뢰가 쌓인 뒤 민간기업까지 자격 범위가 확대될 전망이다. 전문기관은 지정이 있은 후 3년간 효력을 가지며 해마다 1번씩 금융위에 결합 사항을 보고해야 한다.

가명정보의 안전성 확보에도 윤곽이 잡힐 전망이다. 기업은 가명청보 처리 목적과 보유기간, 이용과 파기 등의 내용을 작성해 보관하고 있어야 한다. 가명정보의 처리 목적을 이루거나 보유 기간이 지나면 기업은 해당 정보를 파기해야 한다. 만약 가명처리 관련 기록을 하지 않으면 1000만원 이하의 과태료를 물어야 한다. 또 개인정보를 유실하거나 위조, 훼손할 경우엔 2년 이하의 징역이나 2000만원 이하 벌금에 처한다.

생체인식정보와 인종·민족정보는 '민감정보'로 분류된다. 개인을 알아볼 취지로 사용되는 지문과 홍채 등의 생체인식정보는 유출 시 피해가 크단 점과 인종·민족정보가 개인 차별 용도로 사용될 우려가 큰 점을 반영해 별도로 정보주체의 동의를 받아 처리하도록 했다고 관계 부처는 설명했다.

개인정보 보호 시행계획 수립 시기도 변경된다. 현행 개인정보보호위원회에서는 12월 말 차차년도 시행계획 지침을 발표하고 있어 최대 2년의 시차가 난다. 앞으로는 6월 말 차년도 시행계획 지침을 통보하도록 바꿔 정책과 현장 간 괴리를 줄이게 된다. 

아울러 개인정보 유출사고를 막는 차원에서 개인정보보호 정책협의회가 설치된다. 또 필요할 경우 정보보호 관련 특정 사안을 논의하기 위한 분야별 협의회를 운영할 계획이다. 

데이터3법 시행령 개정안은 예고 기간을 거쳐 오는 7월 중 개정 완료된다. 관계부처는 법 시행에 맞춰 소비자 우려 해소를 위한 분야별 가이드라인과 법령 해설서를 8월 중 배포할 예정이다. 

다음은 주요 내용에 대한 일문일답.

- 가명정보를 산업적 목적으로 활용할 수 있는지 여전히 불명확해 보인다.

"가명정보 활용 목적은 법에서 시행령에 위임한 사항이 아니므로 하위법령에 명시하는 건 행정입법의 범위를 넘게 된다. 법의 취지를 감안해 산업적 연구가 허용됨을 추후 해설서에 명확히 하겠다."

- 가명정보를 결합하면 재식별 가능성이 커지지는 않나.

"기업 간 가명정보 결합은 국가 지정 전문기관에서만 가능하며 반출하는 경우에도 엄격한 심사를 통해 식별 불가능한 정보로만 반출된다. 개인정보보호위원회가 결합과 반출 승인과정에서의 법 위반 여부를 확인할 것. 세부적인 가명정보 결합방법과 절차는 5월 중 고시에 반영할 계획이다."

- 결합 가명정보의 반출승인 기준은 무엇인가.

"기업이 기존 보유정보와 반출정보를 결합해 개인을 알아볼 가능성이 없는지, 안전성 확보 조치계획이 적정한지, 반출목적에 따라 일정 이용기간 뒤에 파기하는지 등을 검토해서 심사한다."

- 법령 개정에 따라 이전과 달라지는 데이터 활용 내용은.

"법적 근거가 마련돼 사업자들 간 다양한 활용이 가능해지는 게 핵심이다. 통계작성과 과학적 연구 목적일 때 서로 다른 개인정보처리자가 가명정보를 결합할 수 있게 된 것이다."

- 금융회사의 마이데이터 산업 진입도 허용할 것인지.

"원칙적으로 역량 있는 사업자에 대해선 마이데이터 산업의 진입을 허용해서 건전한 경쟁을 부추길 계획이다. 다음달 중으로 '금융분야 마이데이터 산업 허가방향'을 내놓고 허가기준 등을 발표하겠다." 

- 개정 법 시행 후 스크래핑(데이터 추출기술)은 금지되는 건가.

"마이데이터 사업자가 마이데이터 서비스 목적으로 개인신용정보를 스크래핑하는 행위만 금지되는 것이지, 일반적인 스크래핑은 금지되지 않는다. 즉 마이데이터 사업자가 아닌 기업은 스크래핑으로 개인신용정보를 수집하는 게 가능하다."