개정 개인정보보호법은 가명정보의 처리 특례를 제3절에서 규정하고 있는바 각각의 내용을 살펴보고자 한다.
1. 무동의 처리 원칙
개인정보를 처리하기 위해서는 동의 등 절차를 거쳐야 하지만, 가명정보의 경우는 통계작성, 과학적연구, 공익적 기록보존 등을 위해서는 동의 없이 처리할 수 있다.
처리는 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 의미하므로, 가명정보를 수집할 때도 동의 없이 할 수 있고, 이용도 동의 없이 할 수 있다. 또한 개인정보를 동의 등의 절차를 거쳐 수집했다면, 동의 없이 가명정보로 변환할 수 있고, 변환된 가명정보도 동의 없이 처리할 수 있다. 다만 통계작성, 과학적연구, 공익적 기록보존 등에 한할 때 그렇다는 것이다.
따라서 가명정보라도 통계작성, 과학적연구, 공익적 기록보존 등의 범위를 벗어날 때는 그러하지 아니하다.
여기서 통계작성이란, 통계 조사 및 통계 결과를 위하여 필요한 개인정보의 처리 작업 일체를 의미하며(EU에서는 웹사이트의 애널리틱 분석이나 시장조사 목적의 빅데이터 분석기술도 포함함), 과학적연구란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 작용하는 연구를 의미하고, 공익적 기록 보존이란 공익적 가치를 지난 기록물의 획득, 보존, 평가, 편찬, 기술, 교환, 홍보, 배포, 제공을 의미한다.
2. 예외 1
통계작성, 과학적연구, 공익적 기록보전 등의 목적이 있다면 동의 없이 가명정보를 제3자에게 제공할 수 있다. 다만 제3자에게 제공할 때 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함하여 제공하는 경우는 허용되지 않는다.
'특정 개인을 알아보기 위하여 사용될 수 있는 정보'란 가명정보를 원래의 상태로 복원하기 위한 추가정보나 특정 개인을 알아볼 수 있는 부가정보도 포함한다고 보아야 한다.
3. 예외 2
통계작성, 과학적연구, 공익적 기록보전 등의 목적이 있더라도 개인정보처리자 사이의 가명정보 결합은 오로지 보호위원회 또는 전문기관 만이 수행할 수 있다.
여기서 결합이란 예컨대 통신 가명정보와 의료 가명정보를 합치는 경우를 의미한다. 결합은 허용되지만 개인정보처리자 스스로 할 수 없고 반드시 보호위원회 또는 전문기관이 수행해야 한다.
4. 예외 3
누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다. 통계작성, 과학적연구, 공익적 기록보존 등의 목적이 있어도 이는 허용되지 않는다.
가명정보란 추가정보를 통해서 원래의 상태로 복원될 수 있는 정보이다. 그렇다고 하더라도 가명처리를 한 이후에는 그 가명정보에 대하여 특정 개인을 알아보기 위한 목적의 처리는 허용되지 않으므로, 다시 추가정보를 사용할 수도 없고 가명정보에 부가정보를 결합해서 알아보기 위한 노력도 기울여서는 아니 된다.
개인적으로는, 가명정보를 추가정보를 통해서 원래의 상태로 복원할 수 있는 정보로 개념정의했다면, 굳이 이러한 예외를 만들 필요가 있는지 의문이 든다. 더불어 가명정보라도 경우에 따라서는 복원을 해야 할 필요성이 큰 경우가 발생한다. 예컨대 가명정보를 통해서 전염병이 있음을 발견한 경우 다시 복원을 통해서 그 사람이 누구인지 특정해야만 공익적 목적을 달성되는 경우가 있다. 그런데 이런 공익적 목적 하에서도 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것은 허용되지 않는다는 것은 적절치 못하다. 공익적 목적이 큰 경우에는 (필요하면 일정한 절차를 거쳐서) 복원 등의 방법을 통해서 특정 개인을 알아볼 수 있도록 하는 게 나을 것으로 보인다.
5. 안전조치의무
가명정보도 개인정보이므로 보관시 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 한다. 더불어 가명정보 처리에 대하여 기록을 작성하여 보관하여야 한다.
6. 개인정보와의 차이점
가명정보는 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출저등 고지), 제21조(개인정보의 파기), 제27조(영업양도 등에 따른 개인정보의 이전 제한), 제34조 제1항(개인정보의 유출통지), 제35조(개인정보의 열람), 제36조(개인정보의 정정, 삭제), 제37조(개인정보의 처리정지 등) 등이 적용되지 않는다.
이는 가명정보의 성질과 개인정보의 그것이 달라서 생긴 현상이며, 다만 제21조가 적용되지 않는다면 개인정보의파기 대신에 가명처리를 한 이후 영원히 보관하는 것이 허용되는 것으로 해석이 되는 점을 잘 황용하면 될 것으로 보인다.
* 법무법인 민후 김경환 변호사 작성, 블로그(2020. 4. 30.) 기고.
