전문기관 내에서만 가명정보 열람…승인 시 반출 가능
지문·홍채 등 생체인식정보와 인종·민족 민감정보 분류
개인정보처리자는 결합전문기관 내 마련된 공간에서 결합된 정보를 분석할 수 있으며 외부로 반출할 때에는 기관의 승인을 받아야 한다. 지문이나 홍채 등 생체인식정보와 인종·민족정보는 민감정보로 분류해 정보주체의 허락을 받아야 활용이 가능하다.
28일 국무회의에서는 이 같은 내용의 '개인정보보호법 시행령, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(정보통신망법) 개정안이 통과됐다.
우선 개인정보보호법 시행령 개정안은 애초 개인정보를 수집했던 목적과 합리적으로 관련성이 있다면 정보주체 동의 없이 개인정보를 추가로 이용하거나 제공할 수 있게 했다. 이 때 개인정보처리자는 당초 수집목적과의 관련성이 있는지, 개인정보를 수집한 정황 또는 처리 관행에 비춰봤을 때 예측가능성이 있는지, 또 추가 처리가 정보주체의 이익을 부당하게 침해하지 않는지 여부 등을 고려해야 한다.
가명정보를 결합하려는 개인정보처리자는 보호위원장 또는 관계중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 개인정보처리자는 결합전문기관 내 마련된 공간에서 결합된 정보를 분석할 수 있다. 또 안전성 평가와 승인 절차를 거쳐 외부로 반출이 가능하다.
결합전문기관은 일정한 인력과 조직, 시설, 장비, 재정 능력을 갖춰야 지정 가능하다. 한 번 지정되면 3년간 효력이 인정된다.
가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 한다. 개인을 알아볼 수 있는 추가 정보는 분리해 보관하며 접근 권한도 분리해야 한다. 가명정보 처리 목적과 해당 정보 항목 등의 사항도 기록해 보관하도록 했다.
생체인식정보와 인종, 민족정보는 민감정보에 포함해 별도로 정보주체의 동의를 받도록 했다. 지문, 홍채, 안면 등 생체인식 정보는 개인 고유의 정보인데다 인종·민족정보는 다문화 사회에서 사생활 침해 우려가 더 높아졌기 때문이다.
기존 정보통신망법 시행령에 있던 개인정보보호 규정이 개인정보보호법으로 이관됨에 따라 시행령도 바뀐다. 구체적으로 ▲개인정보 이용내역 통지 ▲손해배상책임 보장 ▲해외사업자의 국내대리인 지정 등 개인정보 보호 관련 조항은 개인정보보호법 시행령에 이관했다.
◎공감언론 뉴시스 dyhlee@newsis.com