1. 개인정보보호법 개정안의 발효를 앞두고 가명정보의 결합‧반출과 결합전문기관의 관리에 관한 사항이 위임된 ‘가명정보의 결합 및 반출 등에 관한 고시(안)’이 예고되었다. 시민사회는 지난 5월 ‘개인정보보호법 및 신용정보보호법 시행령(안)’에 대한 의견서를 통해 가명정보의 결합에 관한 조항이 개선될 필요성이 있다고 짚은 바 있다. 그러나 시민사회의 의견이 최종 시행령에 어떻게 반영되었는지에 대한 답변은 아직 받은 바 없다. 이번에 예고된 고시(안)에 비추어 보건대 시민사회가 우려를 표명한 문제점이 여전히 존재하는 것으로 보인다.
2. 정보가 결합되면 결합될수록 식별 가능성이 높아지는 만큼, 시행령 또는 고시에서라도 명확한 기준을 세워 철저하게 관리할 필요가 있다. 이에 시민사회단체는 ‘가명정보의 결합 및 반출 등에 대한 고시(안)’에 대해 다음과 같은 의견서를 제출한다.
▣ 붙임1. 「가명정보의 결합 및 반출 등에 대한 고시(안)」 행정예고에 대한 의견서 1부. 끝
의견서
「가명정보의 결합 및 반출 등에 대한 고시(안)」 행정예고에 대한 의견서
1. 결합전문기관의 결합 및 반출 실적의 공개
제6조(결합전문기관의 관리・감독) ① 결합전문기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 보호위원회등에게 제출하여야 한다.
1. 가명정보의 결합 및 반출 실적 보고서
2. [별표1]의 결합전문기관 지정 기준을 유지하고 있음을 증명할 수 있는 서류
3. 제13조제1항 및 제2항에 따른 조치의 이행을 증명할 수 있는 서류
② 보호위원회등은 필요한 경우 결합전문기관의 지정기준을 충족하고 있는지 여부를 확인하기 위해 자료를 요청하거나 현장실사를 할 수 있다.
③ 보호위원회등은 영 제29조의3제3항제3호부터 제5호까지에 해당하는 경우 시정・보완을 요구할 수 있다
- ‘가명정보의 결합 및 반출 실적 보고서’를 개인정보보호위원회에 제출하여 관리, 감독을 받도록 하고 있으나, 시민사회가 의견서에서 지적한 바와 같이 결합전문기관의 홈페이지 등에 결합과 관련한 최소한의 정보를 공개하여 과학적 연구 등 해당 목적에 맞게 가명정보 결합이 이루어지고 있는지 등에 대해 사회적인 감독을 받을 수 있도록 해야 함.
2. 가명정보의 결합 신청
제8조(가명정보의 결합 신청 등) ① 결합신청자는 [별지 제3호서식]의 결합 신청서와 첨부 서류를 결합전문기관에 제출하여야 한다.
② 결합전문기관은 제1항에 따른 신청서 및 첨부서류를 확인하고 보완이 필요한 경우 결합신청자에게 보완을 요구하여야 한다.
③ 결합전문기관은 가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다.
④ 결합키관리기관은 결합키 생성에 필요한 사항을 결합신청자와 협의할 수 있다.
- 정보주체 동의 없이 개인정보처리자 간 가명정보를 결합하는 것은 결국 헌법에서 보장하고 있는 정보주체의 개인정보 자기결정권을 제한하는 것이기 때문에 그 목적은 정당하고 수단은 적합하며 침해는 최소한이어야 하고 법익은 균형적이어야 함.
- 법 제28조의3에 따르면 전문기관의 가명정보 결합은 “통계작성, 과학적 연구, 공익적 기록보존 등을 위”한 목적으로 수행되어야 한다고 정하고 있음. 그런데 시행령(안)은 물론 고시(안)에서도 이러한 목적에 의해 가명정보의 결합 신청이 이루어진 것인지 판단하는 절차가 존재하지 않음.
- 해당 고시예고안의 제8조 2항이 형식적인 요건만 심사하는 것인지, 시민사회가 권고한 바와 같이 과학적 연구로서의 가치가 있는지 여부까지 심사하는 것인지 모호함. 그런데 별지 제3호 서식에 따르면, “2. 결합대상 가명정보에 관한 서류, 3. 결합 목적을 증빙할 수 있는 서류”를 첨부하도록 하고 있음. 이 서류에 대한 심사가 결합전문기관 담당자의 판단에만 의존하는 것인지 의문임. 제11조에서 반출심사위원회를 두고 있고 반출심사를 위해서는 연구 제안서에 대한 평가가 필요한 바, 굳이 결합 신청서에 대한 심사를 하지 않을 이유가 있는지 의문임. 이렇게 될 경우 결합신청서의 형식적 요건만 충족하면 모든 신청에 대해서 결합을 허용하는 결과를 초래하며, 결국 법에서 규정한 목적 규정을 형해화할 위험이 있음. 시행령 또는 고시가 이러한 위험을 최소화하고 법률에서 위임한 절차를 충실히 마련하기 위해서는 결합전문기관 내에 (가칭) 연구평가위원회를 구성하여 해당 결합 신청이 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적에 부합하는지, 더불어 결합의 대상이 되는 가명정보가 해당 목적을 달성하기 위한 최소한의 데이터인지 심사하는 절차를 둘 필요가 있음.
| 시민사회가 지난 개보법 시행령안에 대한 의견서를 통해 지적한 바 있지만 시행령에도, 고시안에도 반영되지 않은 요소들은 다음과 같음.
|
3. 가명정보의 결합
제9조(가명정보의 결합) ① 결합신청자는 제8조제3항에 따른 협의 결과에 따라 결합키는 결합키관리기관에게 송부하고, 그 외의 결합대상정보는 결합전문기관에게 송부하여야 한다. 이 경우 결합에 필요한 일련번호를 포함하여 결합키관리기관과 결합전문기관에게 각각 송부하여야 한다.
② 결합키관리기관은 결합신청자로부터 결합키를 제공받아 지체없이 결합키연계정보를 생성하여 결합전문기관에 제공하여야 한다.
③ 결합키관리기관은 결합신청자의 요청이 있는 경우, 제2항에 따른 결합키연계정보 생성과정에서 결합률을 확인하여 결합신청자에게 통보하여야 한다.
④ 결합전문기관은 결합키관리기관으로부터 결합키연계정보를 제공받아 결합대상정보를 결합한 후 결합키연계정보를 파기하여야 한다.
- 개인정보 보유기관, 서로 다른 가명정보의 결합키를 제공하는 기관, 결합된 가명정보를 연구자(결합신청자)에게 제공하는 기관(본 시행령안에서는 결합전문기관)은 서로 분리하는 것이 원칙임(기능분리 원칙 / 개인정보보호위원회 결정 제2017-15-125호). 결합키관리기관과 결합전문기관을 분리하고, 가명정보의 결합 후 결합키연계정보를 파기하도록 한 것은 가명정보의 안정성 측면에서 바람직함.
- 시민사회는 지난 의견서에서 “결합에 필요한 연계정보를 생성하는 ‘신뢰할 수 있는 제3자’ 역할을 한국인터넷진흥원이 수행하는 것으로 되어 있으나 시행령에서는 “특정 개인을 알아볼 수 없도록 하는데 필요한 지원업무”로 표현되어 있어 명확하지 않”다고 지적한 바 있음. 고시에서는 ‘결합키관리기관’을 정의하고 있는데, 시행령에서 이를 규정하는 것이 바람직할 것임.
4. 결합된 정보의 반출
제10조(결합된 정보의 반출 전 처리) 결합신청자는 결합된 정보를 분석공간에서 분석하고 가명정보 또는 법 제58조의2에 해당하는 정보로 처리할 수 있다. 이 경우, 결합전문기관은 자문 등 필요한 지원을 할 수 있다.
제11조(반출승인) ① 결합전문기관은 결합신청자가 반출을 요청하는 경우 반출심사위원회의를 구성하여 반출여부를 심사하여야 한다.
② 결합전문기관은 제1항에 따라 반출심사위원회를 구성하는 경우, 개인정보 보호 또는 데이터 활용에 관하여 학식과 경험이 풍부한 사람으로서 다음 각 호에 해당하는 사람을 고루 포함하여 3인 이상의 위원으로 구성하여야 한다.
1. 데이터 활용에 관한 업무 경력이 있거나 관련 단체로부터 추천을 받은 사람
2. 개인정보 보호와 관련된 단체에서 활동 경력이 있거나 관련 단체로부터 추천을 받은 사람
3. 그 밖에 개인정보 보호 법령이나 기술에 대한 경력과 전문성이 있는 사람
③ 반출심사위원회는 다음 각 호의 사항을 고려하여 반출 심사를 하여야 한다.
1. 결합 목적과 반출 정보와의 관련성이 있을 것
2. 반출 정보만으로는 특정 개인을 알아볼 수 없을 것
3. 반출 정보를 제공받는 자가 특정 개인을 알아보기 위하여 사용할 수 있는 정보가 포함되어 있지 않을 것
4. 반출 정보에 대해 적절한 안전조치 계획을 수립하였을 것
④ 결합신청자는 제2항에 따른 반출심사에 필요한 사항을 설명하여야 한다.
⑤ 결합신청자의 임직원 및 이해관계자는 반출심사위원회 심사위원으로 참여할 수 없다.
- 결합데이터를 ‘분석공간’ 내에서 분석하도록 한 것은 긍정적임. 결합데이터가 반출될 경우 원래의 정보보유자가 가명처리된 데이터를 재식별할 위험이 매우 크기 때문임.
- 안전을 위해 결합데이터 반출이 극히 예외적으로만 허용되기 위해서는 그 기준이 명확해야 함. 그런데 법률에도 그 기준이 나와있지 않고, 시행령(안)에서도 “분석공간에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우”, “개인을 다시 알아볼 가능성 등을 고려”하도록 할 뿐, 다시 ‘고시’로 구체적인 판단 기준을 위임하고 있음. 그러나 이번 고시(안)에서도 반출 심사 과정에서의 고려 사항만 규정하고 있을 뿐 반출을 해야만 하는 불가피한 이유에 대한 판단은 하지 않고 있음.
- 법률에서 “가명정보 또는 제58조의2에 해당하는 정보(익명정보)로 처리한 뒤” 반출하도록 한 바, 어떤 경우가 가명정보 또는 익명정보로 반출이 가능한지 구체적으로 규정해야 함. 결합물이 개인정보에 해당하는 가명정보 상태로 반출될 경우 익명정보 반출보다 국민의 개인정보 자기결정권에 미치는 영향이 심대하므로, 원칙적으로 익명정보로 반출하도록 하되 예외적인 사유에 한해(즉, 익명처리를 하면 연구가 불가능할 경우) 가명정보로 반출하도록 구체적으로 제한해야 함. 그런데 가명 혹은 익명정보로 반출해도 되는지 여부는 결국 연구 목적을 위해 필요한 최소한의 정보는 무엇인지에 대한 판단이 있어야 하므로 연구 목적에 대한 심사를 전제할 수밖에 없음. 따라서 결합전문기관에서 반출심사위원회만 두고 굳이 연구평가위원회를 두지 않을 이유가 무엇인지 의문임.
- 반출 정보가 원 개인정보처리자에게 제공될 수 있을지에 대해서도 모호함. 원 개인정보처리자는 원래의 개인정보를 보유하고 있으므로 반출정보가 가명처리된 것이라 하더라도 재식별이 될 가능성이 큼. 11조 3항 2호에 따라 ‘반출 정보만으로는 특정 개인을 알아볼 수 없다’고 하더라도, 원 개인정보와가 비교하면 재식별이 될 위험이 있는데 11조 3항 3호가 이러한 원 개인정보와의 비교를 통한 재식별 가능성까지 염두에 두고 있는 것인지 모호함. 최소한 익명처리하지 않는 이상, 원래의 개인정보처리자에게는 반출할 수 없도록 규정하는 것이 보다 명확할 것임.
5. 결합데이터 파기 및 정보제공
제13조(안전성 확보 등에 필요한 조치) ① 결합전문기관은 안전한 가명정보의 처리를 위하여 다음 각 호의 사항을 이행하여야 한다.
1. [별표1]에 따른 결합전문기관 지정 기준 준수
2. 법 제29조 및 영 제30조제1항·제2항에 따른 안전조치
3. 비인가 인력·장치·정보의 접근을 제한하기 위한 안전조치
4. 결합된 정보의 유출을 방지하기 위한 안전조치
② 결합전문기관은 가명정보의 분석 또는 반출 이후에는 가명정보의 결합·반출과정에서 제공받거나 생성한 정보를 지체없이 파기하여야 한다. 다만, 다음 각 호의 사항은 보관하여야 한다.
1. 결합·반출신청서 및 첨부 서류
2. 반출심사에 대한 결과 및 심사위원 명단
3. 분석공간 이용 관련 결합신청자의 보안서약서
4. 결합정보 및 심사 대상 정보에 대한 파기 대장
③ 결합전문기관은 보호위원회가 요청할 경우 제2항 각 호의 기록을 제출하여야 한다.
④ 결합키관리기관은 가명정보의 결합이 완료되는 등 결합키생성정보와 결합키가 불필요하게 된 때에는 지체없이 파기하여야 한다.
- 가명정보의 분석 또는 반출 이후 결합전문기관이 관련 정보를 파기해야 할 의무는 규정하고 있지만, 결합된 데이터를 반출한 경우의 해당 데이터를 반출한 기관이 목적 달성 후에 파기하도록 의무화하는 조항이 없음. 결합된 데이터는 목적 달성 후에 파기되어야 하며, 이에 관한 규정이 시행령 혹은 고시에 포함되어야 함. 파기 시점 때문에라도 처리 목적을 반드시 구체적으로 규정하고, 엄격하게 심사해야 할 필요가 있음.
|
