개인정보 가명정보 처리 특례


개정 개인정보보호법은 가명정보의 처리 특례를 제3절에서 규정하고 있는바 각각의 내용을 살펴보고자 한다.​

1. 무동의 처리 원칙 ​

개인정보를 처리하기 위해서는 동의 등 절차를 거쳐야 하지만, 가명정보의 경우는 통계작성, 과학적연구, 공익적 기록보존 등을 위해서는 동의 없이 처리할 수 있다.

처리는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 의미하므로, 가명정보를 수집할 때도 동의 없이 할 수 있고, 이용도 동의 없이 할 수 있다. 또한 개인정보를 동의 등의 절차를 거쳐 수집했다면, 동의 없이 가명정보로 변환할 수 있고, 변환된 가명정보도 동의 없이 처리할 수 있다. 다만 통계작성, 과학적연구, 공익적 기록보존 등에 한할 때 그렇다는 것이다. ​

따라서 가명정보라도 통계작성, 과학적연구, 공익적 기록보존 등의 범위를 벗어날 때는 그러하지 아니하다.

여기서 통계작성이란, 통계 조사 및 통계 결과를 위하여 필요한 개인정보의 처리 작업 일체를 의미하며(EU에서는 웹사이트의 애널리틱 분석이나 시장조사 목적의 빅데이터 분석기술도 포함함), 과학적연구란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 작용하는 연구를 의미하고, 공익적 기록 보존이란 공익적 가치를 지난 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공을 의미한다. ​

2. 예외 1 ​

통계작성, 과학적연구, 공익적 기록보전 등의 목적이 있다면 동의 없이 가명정보를 제3자에게 제공할 수 있다. 다만 제3자에게 제공할 때 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여 제공하는 경우는 허용되지 않는다. ​

'특정 개인을 알아보기 위하여 사용될 수 있는 정보'란 가명정보를 원래의 상태로 복원하기 위한 추가정보나 특정 개인을 알아볼 수 있는 부가정보도 포함한다고 보아야 한다. ​

3. 예외 2 ​

통계작성, 과학적연구, 공익적 기록보전 등의 목적이 있더라도 개인정보처리자 사이의 가명정보 결합은 오로지 보호위원회 또는 전문기관 만이 수행할 수 있다.

여기서 결합이란 예컨대 통신 가명정보와 의료 가명정보를 합치는 경우를 의미한다. 결합은 허용되지만 개인정보처리자 스스로 할 수 없고 반드시 보호위원회 또는 전문기관이 수행해야 한다.

4. 예외 3 ​

누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다. 통계작성, 과학적연구, 공익적 기록보존 등의 목적이 있어도 이는 허용되지 않는다.

가명정보란 추가정보를 통해서 원래의 상태로 복원될 수 있는 정보이다. 그렇다고 하더라도 가명처리를 한 이후에는 그 가명정보에 대하여 특정 개인을 알아보기 위한 목적의 처리는 허용되지 않으므로, 다시 추가정보를 사용할 수도 없고 가명정보에 부가정보를 결합해서 알아보기 위한 노력도 기울여서는 아니 된다. ​

개인적으로는, 가명정보를 추가정보를 통해서 원래의 상태로 복원할 수 있는 정보로 개념정의했다면, 굳이 이러한 예외를 만들 필요가 있는지 의문이 든다. 더불어 가명정보라도 경우에 따라서는 복원을 해야 할 필요성이 큰 경우가 발생한다. 예컨대 가명정보를 통해서 전염병이 있음을 발견한 경우 다시 복원을 통해서 그 사람이 누구인지 특정해야만 공익적 목적을 달성되는 경우가 있다. 그런데 이런 공익적 목적 하에서도 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것은 허용되지 않는다는 것은 적절치 못하다. 공익적 목적이 큰 경우에는 (필요하면 일정한 절차를 거쳐서) 복원 등의 방법을 통해서 특정 개인을 알아볼 수 있도록 하는 게 나을 것으로 보인다.

5. 안전조치의무 ​

가명정보도 개인정보이므로 보관시 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 한다. 더불어 가명정보 처리에 대하여 기록을 작성하여 보관하여야 한다.

6. 개인정보와의 차이점 ​

가명정보는 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출저등 고지), 제21조(개인정보의 파기), 제27조(영업양도 등에 따른 개인정보의 이전 제한), 제34조 제1항(개인정보의 유출통지), 제35조(개인정보의 열람), 제36조(개인정보의 정정, 삭제), 제37조(개인정보의 처리정지 등) 등이 적용되지 않는다. ​

이는 가명정보의 성질과 개인정보의 그것이 달라서 생긴 현상이며, 다만 제21조가 적용되지 않는다면 개인정보의파기 대신에 가명처리를 한 이후 영원히 보관하는 것이 허용되는 것으로 해석이 되는 점을 잘 황용하면 될 것으로 보인다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2020. 4. 30.) 기고.

HOT 게시물