불과 몇 년 전만 하더라도 회사들이 서비스를 고민할 때 개인정보 이슈는 그다지 중요한 사항은 아니었습니다. 회사는 물론이고 고객들도 개인정보에 대한 경각심을 크게 갖지 않았었죠.
지금은 상황이 많이 달라졌습니다. 대부분의 회사들은 기본적으로 고객 데이터를 가장 중요한 자산으로 생각하고 있습니다. 저희 최앤리와 등기맨 서비스만 하더라도 고객들의 개인 또는 기업 정보를 기반으로 하고 있거든요. 정부는 최근 코로나 19 사태와 4차 산업혁명이라는 흐름을 맞이하여 ‘디지털 뉴딜 정책’을 추진하고 있습니다. 그 일환으로 데이터 활용을 통해 신산업 육성 일자리 창출을 기대하고 있습니다.
최근 이슈되고 있는 개인정보와 관련한 큰 이슈는 드디어 “가명정보”를 법제화했다는 것입니다.
1. 가명정보는 ‘동의’ 없이 사용할 수 있을까?
가명 정보는 말 그대로 누구의 정보인지 모르게 만들어낸 개인정보입니다. 보다 전문적으로 설명하면, 가명 정보란 “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 “추가 정보”의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보를 의미하고, 이 경우 “가명처리”란 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼수 없도록 처리하는 것’을 의미”합니다. 이를 개인정보보호법 제2조 제1호 다목에 신설하였습니다. 따라서 정보처리자 즉, 서비스 주체가 보유한 개인의 다른 정보를 통해 그 ‘개인’을 식별 가능한 경우에는 가명처리가 된 것이라고 볼 수 없습니다.
개인정보보호법에서는 처리자(서비스 주체)가 통계작성, 과학적 연구, 공익적 기록 보존 등을 위해서라면 정보 주체의 “동의” 없이 가명처리를 할 수 있도록 제도화하였습니다. 개인정보를 이용하기 위해서는 반드시 “동의”를 받아야 하는데 이를 면책한 것이죠.
2. 민감정보의 경우에도 ‘동의’가 필요 없을까?
개인정보 중에서도 특히 외부에 알려지면 그 개인에게 민감할 수 있는 정보가 있습니다. 개인정보호보법에서는 “사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보 주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 “민감 정보”로 정의하고 있습니다.
민감 정보를 이용 및 수집하기 위해서는 일반적인 개인정보와 구분하여 별도 “동의”를 또 받도록 하고 있습니다. 법이 이중적 보호를 하고 있는 것이죠. 그런데 이 민감 정보도 가명 처리를 하게 되면 “동의”를 받지 않고 활용할 수 있을까요?
최앤리의 김지형 연구원의 조사에 따르면 헌법재판소는 민감 정보의 경우 일반 개인정보보다 개인의 인격 및 사생활의 보호를 위해 더 높은 수준의 보호가 필요하므로 부득이 개인정보자기결정권 침해가 이루어질 경우에도 그 정도는 최소화해야 한다고 했습니다. 아직 민감 정보의 가명처리에 대한 직접적인 판례가 형성되어 있지 않지만, 병원에게 환자들의 민감 정보를 수사기관에 제공하여 문제된 적이 있었습니다. 헌재는 이 경우에도 법적 근거(범죄의 수사와 공소의 제기 및 유지를 위함)에 의해 제공한 것이므로 위법이 아니라고 하였습니다.
민감 정보도 가명처리를 할 경우 누구의 민감 정보인지 식별이 불가능하므로 오히려 위의 실제 사건보다 더 문제 될 소지가 낮습니다. “가명처리된 민감 정보”도 결국 법에서 ‘동의’ 예외 사유인 “가명 정보”일 뿐이므로 정보 주체의 별도 “동의”를 받지 않고도 활용할 수 있습니다.
저자소개 : 최철민 최앤리 법률사무소 대표변호사
저자 브런치 : 변변찮은 최변 [스타트업 × 법]
관련 기사
