처리 : 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. 즉, 개인정보의 수집 부터 파기까지의 모든 행위를 처리라고 할 수 있습니다.
그 다음 "가명처리"와 "가명정보 처리"에 대해 구분해서 이해해야 합니다.
가명처리 : 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 과정
※ 가명처리의 목적은 크게 2가지라고 볼 수 있습니다.
1. 안전성 확보 조치를 위한 가명처리
2. 가명정보 특례에 의해 가명정보를 활용하기 위한 가명처리
가명정보 처리: 가명처리를 통해 생성된 가명정보를 이용·제공 등 활용하는 행위
개념을 이해했으니 이제 법령을 확인해보겠습니다.
개인정보를 가명처리해 보관 및 활용하기 위한 법률적 근거는 다음 같습니다.
1. 개인정보 보호법 제3조(개인정보 보호의 원칙) - 가명처리의 근거
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 제30조에 따른 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
2. 개인정보 보호법 제15조(개인정보의 수집·이용) - 가명처리의 근거
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
3. 개인정보 보호법 제17조(개인정보의 제공) - 가명처리의 근거
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
2.제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 삭제
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.
<대통령령> 개인정보 보호법 시행령 제14조의2(개인정보의 추가적인 이용·제공의 기준 등) ① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다. 1. 당초 수집 목적과 관련성이 있는지 여부 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부 3. 정보주체의 이익을 부당하게 침해하는지 여부 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 ② 개인정보처리자는 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우에는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.
※ 참고로 개인정보 보호법 제15조제3항과 제17조제4항을 통해 가명처리하려는 경우는 개인정보 보호법 시행령 제14조의2제1항제1호 부터 제3호까지의 사항을 고려하여 매우 제한적으로 활용할 수 있습니다. 다만 기관 IRB나 적정성 검토에서 해당 조항을 근거로 제공한다고하면 통과되기 매우 어렵습니다.
가명정보의 처리에 관한 특례 ※ 특례조항은 법률 안에서도 우선 적용이 되는 조항입니다.
4. 개인정보 보호법 제28조의2(가명정보의 처리 등) - 가명처리 및 가명정보 처리의 근거
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
5. 개인정보 보호법 제28조의3(가명정보의 결합 제한) - 가명처리 및 가명정보 처리의 근거
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
6. 개인정보 보호법 제28조의4(가명정보에 대한 안전조치의무 등) - 가명처리 및 가명정보 처리의 근거
① 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.
③ 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관하여야 한다.
7. 개인정보 보호법 제28조의5(가명정보 처리 시 금지의무 등) - 가명처리 및 가명정보 처리의 근거
① 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
<가명정보의 적용 예외 조항> 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지) 제20조의2(개인정보 이용·제공 내역의 통지) 제27조(영업양도 등에 따른 개인정보의 이전 제한) 제34조제1항(개인정보 유출 등의 통지·신고) 제35조(개인정보의 열람) 제35조의2(개인정보의 전송 요구) 제36조(개인정보의 정정·삭제) 제37조(개인정보의 처리정지 등)
※ 가명정보는 개인정보에서 개인식별정보를 처리해 누구인지 알 수 없는 상태의 정보이므로, 예외 조항에 해당하는 행위를 개인정보처리자가 할 수 없습니다. 만약 해당 행위를 하게 되면 개인정보처리자는 가명정보 처리 시 금지의무 조항인 개인정보 보호법 제28조의5제1항을 위반한 것으로 처벌 받게 됩니다. 해당 금지 조항을 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있으며, 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과 받을 수 있다.
가명정보를 활용하기 위해서는 용어는 물론 이런 법률적 근거들을 이해하신 후 시작하셔야 합니다.
가명정보 제도는 개인정보를 안전하게 활용하기 위한 제도로 그 취지에 맞게 기관/기업 내부적으로 관련 체계를 구축해 운영하셔야 합니다.
사실상 대부분이 처음 접하는 제도라 시작이 힘들 수 있으나 한번 하고 보면 별거 아니란 것을 알 수 있을 것입니다.
다만 개인정보를 활용하는 거라 관리에 있어 조금은 힘들다고 느낄 수 있습니다. 하지만 익숙해지면 그 또한 편안해집니다. ^^
