'생체 정보' 별도 관리…데이터3법 시행령 개정안 입법예고

오는 8월5일부터 공포·시행…정보 활용내역 고지 의무화

염재인 기자 | yji2@newsprime.co.kr | 2020.03.30 16:15:37

[프라임경제] 앞으로 지문이나 홍채, 안면 등 생체 인식 정보는 별도 관리된다. 또 개인정보 수집 목적과 관련이 있는 경우 수집한 개인정보를 정보 주체 동의 없이 추가로 이용·제공할 수 있게 된다.

정부가 생체 인식 정보 별도 관리, 정보주체 동의 없이 개인정보 추가 이용·제공 등의 내용을 담은 '데이터3법 시행령 개정안'을 30일 입법예고했다. ⓒ 금융위원회

정부는 30일 이 같은 내용을 담은 데이터3법(개인정보법·신용정보법·정보통신망법) 시행령 개정안을 입법예고했다.

'개인정보보호법 시행령 개정안'에서는 개인정보처리자가 정보주체나 제3자의 이익을 부당하게 침해하지 않는 등 요건을 갖춘 경우 개인정보를 정보주체 동의없이 추가로 이용·할 수 있다. 또 가명정보를 결합하려는 개인정보처리자는 지정된 전문기관에 결합신청서를 제출할 수 있다.

전문기관은 일정한 인력·조직, 시설·장비, 재정 능력을 갖춰 지정될 수 있으며 3년간 지정 효력이 인정된다.

가명정보를 처리하는 개인정보처리자는 △내부관리 계획 수립 △개인을 알아볼 수 있는 추가정보 분리·보관 △접근 권한 분리 등 물리적·기술적인 안전 조치를 실시해야 한다. 또 가명정보 처리 목적과 보유기간, 파기 등 사항을 기록으로 작성해 보관하게 함으로써 안전성을 확보할 수 있도록 했다.

생체인식정보와 인종·민족정보를 '민감정보'에 포함해 별도로 정보 주체 동의를 받아 처리하도록 했다.

개인을 알아 볼 목적으로 사용하는 지문, 홍채, 안면 등 생체 인식 정보는 개인 고유 정보로써 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커져 이를 별도로 규율할 필요가 있다는 게 정부 설명이다. 아울러 인종민족정보는 우리 사회가 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는 데 사용되지 않도록 보호할 필요성이 높아졌다는 분석이다.

정부는 개인정보보호 업무의 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시·도 개인정보보호 협의회를 설치하고 운영하는 근거를 마련했다. 또 전문위원회 효율성과 전문성 제고를 위해 위원 정수를 기존 10명에서 20명으로 확대했다.

아울러 3년마다 수립하는 '개인정보보호 기본계획' 수립부터 시행까지 최대 2년의 시차가 발생하던 문제를 해소하기 위해 시행 시점에 더 근접해 수립하도록 했다.

그간 정보통신망법 시행령에 규정됐던 △개인정보 이용내역 통지 △손해배상책임 보장 △해외사업자의 국내대리인 지정 등 개인정보보호 관련 조항을 개정안에 통합·반영했다.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률' 시행령 개정안에서는 데이터3법 개정으로 온라인 상 개인정보보호를 규율했던 정보통신망법의 개인정보보호 규정이 개인정보보호법으로 통함됨에 따라 정보통신망법 시행령 규정 중 위임 근거가 사라진 조항들을 삭제했다.

이와 함께 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근 권한 등 업무와 관련한 조문 체계 정비도 개정안에 반영했다.

'신용정보의 이용 및 보호에 관한 법률' 시행령 개정안에서는 금융회사가 데이터를 결합하고자 하는 경우 금융위원회가 지정한 전문기관에 결합을 신청하도록 했다. 아울러 전문기관은 해당 데이터를 결합한 뒤 가명·익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공하도록 했다.

또 정보주체의 개인신용정보 전송요구권에 따라 △개금융회사와 상거래기업 △개공공기관이 보유한 금융거래정보 △개국세·지방세 등 공공정보 △보험료 납부 정보 △기타 주요 거래내역 정보를 정보주체 본인, 금융회사, 개인신용평가회사, 마이데이터 사업자에게 제공할 수 있도록 했다.

더불어 개인신용정보 전송요구권을 근거로 마이데이터 산업을 도입했으며, 전자금융업과 대출 중개·주선 업무, 로보어드바이저(robo-advisor)를 이용한 투자자문·일임업을 다른 법령 등에 따른 허가 등을 받아 겸업할 수 있도록 했다.

신용정보업자는 안전한 데이터 처리를 위한 시스템 및 설비 요건과 허가단위별 자본금 요건(5억원~50억원)에 따라 정해진 전문인력요건(2명~10명)을 갖추도록 했다. 건전한 신용질서를 훼손할 수 있는 행위를 금지해 신용정보업의 영업행위 건전성도 제고했다.

금융회사 및 신용정보업자들은 연 1회 이상 '신용정보법' 준수 현황을 점검하고 그 결과를 자율규제기구에 제출해야 하며, 금융당국은 제출된 결과를 바탕으로 필요 시 현장 점검, 테마 검사 등을 실시하고 취약 부문 보완 조치 등을 요구할 계획이다.

이에 따라 금융위는 금융회사 등의 개인정보 활용·제공 동의에 따른 위험 및 혜택, 가독성 등을 고려해 정보활용 동의등급을 산정할 수 있도록 했다. 금융회사 등은 정보활용 동의등급과 함께 개인정보 수집·이용·제공 목적, 수집·제공대상 정보, 정보 보유 및 제공기간 등을 필수적으로 알리도록 해 '알고하는 동의'가 이루어질 수 있도록 했다.

금융위는 "개인정보보호법 시행령에 포함되지 않은 가명정보 결합 관련 구체적 절차와 전문기관 지정 요건 등 세부사항은 신설 고시에 반영해 5월 중 행정예고할 예정"이라며 "산업적 연구를 위한 가명정보 활용, 적절한 가명처리 방법 등은 산업계 의견 수렴을 거쳐 주요 사례를 이유와 함께 법 시행 시 법령 해설서에서 설명할 계획"이라고 말했다.

한편 개정안은 관계기관 협의, 규제 및 법제처 심사, 국무회의 등을 거쳐 오는 8월5일 공포·시행된다. 또 입법예고 기간 중 관계부처 합동 공청회를 개최해 각계 의견을 반영할 예정이다.