[세종=뉴시스] 변해정 기자 = 국가가 지정한 전문기관에서만 기업간 가명정보 결합을 할 수 있게 된다. 결합 데이터를 외부로 반출할 때 다른 정보와 결합해도 특정인을 알아낼 수 없는 익명 처리를 해야 한다.

'민감정보'로는 개인을 알아볼 목적으로 사용하는 지문·홍채·안면 등 생체인식정보와 인종·민족정보를 추가한다.

유럽진출 기업들의 부담을 덜기 위한 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성 결정은 신종 코로나바이러스 감염증(코로나19) 여파로 진척이 더뎌 하반기로 미뤄질 가능성이 커졌다.

행정안전부와 금융위원회, 방송통신위원회는 오는 31일 '데이터 3법'(개인정보보호법, 정보통신망법, 신용정보법)시행령 개정안을 입법예고 한다고 30일 밝혔다.

시행령 개정안에는 상위법 시행에 필요한 위임 사항이 담겼으며, 5월 11일까지 의견 수렴 후 관계기관 협의와 법제처 심사, 국무회의 등을 거쳐 8월 5일 공포·시행한다.

법 시행에 맞춰 국민 우려 분야별 가이드라인과 법령 해설서도 만든다.

데이터 3법에 대한 높은 관심을 고려해 입법예고 기간 관계부처 합동 공청회를 갖는다. 단 공청회는 코로나19로 인해 온라인으로 진행할 예정이다.

◇시행령에 뭘 담았나

가명정보는 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리한 개인정보를 뜻한다. 이런 가명정보가 여러 개 결합할수록 개인을 특정할 수 있는 가능성이 커진다.

때문에 개인정보보호법 시행령 개정안에서는 가명정보 결합을 국가가 지정한 전문기관에서만 할 수 있도록 했다. 기관은 3년마다 재지정할 수 있고, 거짓이나 부정한 방법으로 지정받았을 때는 지정 취소가 된다. 시설·장비·인력·조직·재정능력 등의 지정 요건은 5월중 고시에 반영한다.  

결합한 데이터를 외부로 내보낼 때에는 다른 정보와 결합해도 특정인을 알아낼 수 없는 익명정보로만 하되, 개인을 알아볼 수 있는 추가 정보는 보관 및 접근 권한을 분리하도록 했다. 위반 시 3000만원 이하의 과태료가 부과된다.

가명정보의 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성·보관하도록 했다. 어기면 최고 1000만원의 과태료를 내야 한다.

민감정보에는 생체인식정보와 인종·민족정보를 추가했다. 생체인식정보는 지문·홍채·안면 등 개인 고유의 정보로서 유출 시 되돌릴 수 없는 피해가 발생할 크고, 인종·민족정보는 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는데 사용되지 않도록 보호할 필요성이 높아진 데 따른 것이다. 

재식별을 목적으로 가명정보를 처리했다가 적발되면 5년 이하 징역 또는 5000만원 이하 벌금에 처해진다. 연 매출액의 3% 이내 과징금도 부과한다.

또 체계적 개인정보 보호를 위해 전문위원회의 위원 정수를 당초 10명에서 20명으로 확대했다. 범정부 차원의 업무 추진을 위해 중앙행정기관이 참여하는 '개인정보보호 정책협의회'와 지방자치단체가 참여하는 '시·도 개인정보보호 협의회'를 설치·운영할 수 있는 근거도 담았다.
정보통신망법 시행령 개정안에 의거해서는 정보통신서비스 제공자도 개인정보보호법을 적용받게 되며, 이관된 업무는 대통령 직속 개인정보보호위원회에서 수행하게 된다.

신용정보법 시행령 개정안에 따라 개인신용정보 전송요구권과 마이데이터(MyData) 산업이 도입된다.

 정보 주체의 개인신용정보 전송요구권에 따라 금융회사, 상거래기업, 공공기관이 보유한 정보를 정보주체 본인, 금융회사, 개인신용평가회사 및 마이데이터 사업자에게 제공할 수 있다.

 개인신용정보 전송요구권을 근거로 전자금융업, 대출 중개·주선업, 로보어드바이저(robo-advisor)를 이용한 투자자문·일임업을 다른 법령 등에 따른 허가를 받아 겸업할 수 있게 된다.

또 신용정보업자는 허가 단위별 자본금 요건(5억~50억원)에 따라 2~10명의 전문인력을 갖춰야 하며, 신용정보업자의 수행 가능한 데이터 관련 업무를 다른 법령 등에 따른 허가를 받아 겸업할 수 있다. 정보활용 동의 등급은 금융위가 산정할 수 있도록 했다.
 
◇코로나19에 EU의 GDPR 적정성 결정도 차질

EU의 GDPR 적정성평가 결정은 코로나19 여파로 하반기께나 가능할 것으로 보인다. 정부는 당초 상반기 중 마무리해 법 시행에 맞춰 발효되도록 할 계획이었다.

적정성 평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다. 평가를 통해 적정성 결정이 내려지면 별도의 요건 없이 한국 기업이 EU에서 수집한 개인정보를 한국에 있는 데이터센터로 이전할 수 있게 된다.

그간 두 번의 적정성 결정 추진이 독립성 요건 미충족과 개인정보보호법 미개정 등을 이유로 중단됐지만 지난해 3월부터 행안부 주도로 재추진해왔다.

윤종인 행안부 차관은 이날 정부 영상회의 시스템인 '온-나라 PC영상회의'를 활용한 브리핑에서 "쟁점은 거의 다 해소됐지만 코로나19로 인해 진척이 안되고 있다"며 "상반기중 처리를 목표로 노력하고 있지만 코로나19로 약간 지연될 수는 있다"고 전했다. 

박상희 행안부 정보기반보호정책관은 "코로나19 사정으로 오프라인이 아닌 화상회의로 진행하고 있다. 어떻게든 상반기 중에는 (완료)하려고 한다"고 보탰다.


◎공감언론 뉴시스 hjpyun@newsis.com