2020. 3. 31. 개인정보 보호법 시행령 개정안(이하 “1차 개정안”)이 입법예고되었고, 의견수렴절차를 거쳐 수정된 개정안(이하 “수정안”)이 2020. 6. 8. 공개되었습니다.  

이번 수정안은 1차 개정안의 내용을 대부분 그대로 따르고 있으나 일부 변경된 부분이 있고, 특히 아래 내용이 유의할 부분이라고 생각됩니다. 향후 규제개혁위원회와 법제처의 심사 등을 통해 어떠한 내용으로 확정되는지 계속 주목할 필요가 있습니다. 

개정 개인정보보호법 시행령 수정안 중 기존안과의 주요 차이점은 아래와 같습니다. 

당초 수집 목적과 합리적으로 관련된 범위 내에서의 개인정보 이용∙제공에 관한 구체적인 기준  

• 1차 개정안에서는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를 이용 또는 제공할 수 있으려면, 다음과 같은 네 가지 사항들을 모두 충족하여야 한다는 취지로 규정하였습니다: 
  (1) 개인정보의 추가적인 이용∙제공 목적이 당초 수집 목적과 상당한 관련성이 있을 것, (2) 개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적인 이용∙제공이 예측 가능할 것, (3) 개인정보의 추가적인 이용·제공이 정보주체 또는 제3자의 이익을 부당하게 침해하지 않을 것, (4) 가명처리를 하여도 추가적인 이용∙제공 목적을 달성할 수 있는 경우에는 가명처리를 할 것

• 수정안은 위와 같은 구체적인 기준을 대부분 그대로 유지하였으나, 첫 번째 관련성 요건에서는 “상당한”이라는 문구를 삭제하였으며, 두 번째 예측가능성 요건에서는 개인정보를 수집한 정황 “또는” 처리 관행을 고려하도록 하였는 바, 그 문언상으로는 1차 개정안보다 좀 더 유연한 측면이 있는 것으로 보입니다.

가명정보 및 추가 정보에 대한 안전성 확보조치 

• 수정안에서는 가명처리 시 기록작성 및 보관의무, 파기의무 등을 더 구체적으로 정하고 있습니다. 개인정보처리자는 가명정보를 처리하는 경우, 다음 사항들에 대한 기록을 작성하여 가명정보를 파기한 후 3년 이상 보관하여야 한다고 규정하고 있습니다(단, 안전성 확보를 위해 가명처리하여 보유하는 경우에는 제외):  
  (1) 가명처리 목적, (2) 가명처리한 개인정보의 항목, (3) 가명정보의 보유기간, (4) 가명정보의 이용내역, (5) 가명정보를 제공받는 자(제공하는 경우에 한함), (6) 가명정보의 파기에 관한 사항, (7) 그 밖에 개인정보 보호위원회가 고시하는 사항 

• 한편, 수정안에 따르면, 개인정보처리자는 위와 같이 작성한 가명정보의 보유기간이 도래한 때에는 그 가명정보를 지체 없이 파기하여야 합니다. 이외에도 수정안에서는 가명정보와 추가 정보를 분리하여 보관(추가 정보가 불필요한 경우에는 추가 정보 파기)하여야 하고, 가명정보와 추가 정보에 대한 접근권한 역시 분리되어야 함을 명확히 하였습니다.

결합된 가명정보의 반출 신청 

• 1차 개정안에서는, 결합전문기관에 설치된 안전성 확보에 필요한 기술적∙관리적∙물리적 조치가 된 공간(이하 “분석공간”)에서는 결합 목적을 달성하기 어렵거나 분석공간의 이용이 어려운 경우로서 결합신청자가 반출을 신청하는 경우 그에 대한 평가 및 승인 여부를 결정하는 것으로 규정하고 있었습니다.

• 수정안에서는 위 밑줄 표시한 문구를 삭제함으로써, 반출 신청에 관한 제약을 줄인 것으로 이해됩니다.

[영문] Revised Amendments to the Enforcement Decree of the Personal Information Protection Act