'정보결합' 전담기관 두고 GDPR평가 상반기 완료

정부 데이터3법 후속조치 속도
4월까지 시행령·규칙 입법예고
"분야별 구체 가이드라인 마련"


가명 처리되는 개인정보의 보안을 강화하기 위해 데이터 결합을 전담하는 공공기관을 둔다. 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성평가 절차는 상반기 중 마무리해 유럽 진출 기업들의 부담을 던다.

행정안전부와 방송통신위원회, 금융위원회, 개인정보보호위원회 등 관계부처가 오는 8월 초 시행되는 개인정보법·신용정보법·정보통신망법 등 데이터 3법 개정안에 발맞춰 이 같은 후속조치 계획을 21일 발표했다.

정부는 시행령과 고시 등 행정규칙 개정을 서둘러 가명정보의 활용 범위와 데이터 결합 방법, 절차 등을 구체적으로 마련한다. 가명정보는 개인정보 일부를 삭제하거나 대체해 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리한 정보로 개인 식별이 가능한 ‘개인정보’와 식별이 불가능한 ‘익명정보’의 중간단계에 해당한다.


가명정보 여러 개를 결합하면 개인을 특정하는 ‘재식별’ 가능성이 커지는데, 정부는 이를 방지하기 위해 데이터 결합은 국가가 지정한 전문기관에서 맡고, 결합한 데이터를 외부로 반출할 때 익명처리를 우선하는 등의 원칙을 정해 시행령에 담을 계획이다.

시행령과 시행규칙 개정안은 2~3월 중에 마련하고 3~4월에 입법예고 할 예정이다. 후속 입법 절차가 통상 4~5개월 걸리지만 이를 훨씬 앞당긴다는 방침이다.

가명정보를 정보 주인(정보주체) 동의 없이 제 3자에게 제공할 수 있는 범위 등은 가이드라인과 법령해설서로 알린다. 의료정보·신용정보 등 분야별 특성을 반영해 구체적 사례를 중심으로 4월 중 초안을 만들고 데이터 3법이 시행에 발맞춰 최종안을 마련한다.

EU의 GDPR 적정성평가 결정은 상반기 중 마무리해 법 시행에 맞춰 발효되도록 할 방침이다. 정부는 이를 위해 다음 달 초 EU 집행위원회와 유럽의회를 방문해 적정성 결정을 조속히 추진한다는 내용의 공동성명을 준비 중이다. 적정성평가는 EU가 GDPR을 기준으로 상대국의 개인정보보호 수준을 평가하는 제도다. 평가를 통과해 적정성 결정이 내려지면 해당국 기업은 EU 국가에서 수집한 개인정보를 역외로 이전할 수 있다. 현재 우리나라는 적정성 결정을 받지 못해 유럽 진출 기업들이 개별적으로 표준 계약을 체결하는 등 행정 부담을 지고 있어 경쟁력 약화 요인으로 꼽힌다.

윤종인 행안부 차관은 “데이터3법을 통해 4차 혁명에 대비할 수 있는 제도적 기반이 마련됐지만 명확한 기준 제시와 해석이 중요하다”며 “개인정보 보호와 데이터 활용 간의 균형을 맞출 수 있는 구체적 가이드라인을 제시하겠다”고 말했다.
/임진혁·변재현기자 liberal@sedaily.com


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>