[법무법인 화우 이근우 파트너변호사] 개인정보의 중요성은 지금에 와서는 더이상 강조할 필요가 없다. 모든 사업자의 사업활동에는 개인정보가 관련돼 있으며, AI(인공지능) 역시 개인정보 규율이 큰 축을 차지한다.

공공기관의 활동과 관련된 개인정보의 규율 역시 중요한데, 현행 개인정보 보호법에서는 일정규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축·운영 또는 변경하려는 공공기관이 개인정보파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시 그 시스템의 구축·운영으로 개인정보에 어떠한 영향을 미칠지 미리 조사·분석·평가하는 개인정보 영향평가를 실시하도록 하고 있다(동법 제33조).

이처럼 중요한 개인정보를 규율하는 법규가 다양한데, 이러한 법규를 잘 알고 있는 사업자도 있겠지만 새로운 법규의 제정 및 개정으로 이를 파악하는데 어려움이 있을 수 있기에 본 기고에서는 개인정보처리자인 사업자가 알아야 하는 개인정보 보호 관련 주요 법규를 소개하고자 한다. 

우선 개인정보 보호법과 신용정보의 이용 및 보호에 관한 법률(‘신용정보법’)이 있다. 개인정보 보호법은 개인정보 처리 과정상의 정보주체와 개인정보처리자의 권리·의무 등에 대해 규정하는 기본법으로서 공공·민간 구분 없이 모든 개인정보처리자에게 적용된다.

신용정보법은 일반법인 개인정보 보호법보다 더 특화된 규율대상과 수범자를 대상으로 하는데 객관적인 규율대상은 신용정보로서 신용정보의 취급 단계별 보호조치 및 의무사항에 관해 규정하며, 주관적인 규율대상은 신용정보를 취급하는 은행, 보험, 카드 등의 금융회사다.

따라서 신용정보가 아니거나 금융회사가 아니라면 기본적으로 개인정보 보호법의 적용대상이라고 생각하면 된다.

그 외 정보통신서비스제공자를 규율하는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(‘정보통신망법’)이 있는데, 지난 2020년 법 개정 이후 개인정보와 관련해서는 정보통신망법이 규율하는 사항은 거의 없고, 소위 스펨 메일에 대한 규율(동법 제50조) 및 해킹 등 침해사고에 대한 신고(동법 제48조의3 등) 2가지 정도에 대해서만 주의하면 된다. 

그리고 많은 사업자들이 별로 신경을 쓰지 않지만 의외로 상당한 규율내용을 갖고 빈번하게 적용되는 것이 바로 위치정보의 보호 및 이용 등에 관한 법률(‘위치정보법’)이다. 위치정보법은 개인위치정보 수집, 이용·제공 파기 및 정보주체의 권리 등에 대해 규율하는데, 위치정보사업자의 경우 개인위치정보를 대상으로 사업하는지에 따라 등록 또는 신고의무를 부담하고, 위치기반서비스사업자는 신고의무를 부담하면서 개인위치정보주체로부터 동의를 받아야 하는 사항도 사업자 별로 다르고 수행할 수 있는 사업도 다르다. 의외로 상당한 사업자들이 개인정보 보호법에 대한 사항은 잘 준수하면서 위치정보법과 관련된 규율사항은 잘 모르거나 제대로 준수하지 않는 경우가 많다. 현재 개인정보 보호법은 개인정보보호위원회가, 위치정보법은 방송통신위원회가 규제기관으로서 활동하면서 규율영역이 달라 위치정보법에 대한 준수도 신경써야 한다.

개인정보 보호법의 하위 규정으로서 중요한 것들도 상당히 많은데, 표준 개인정보 보호지침, 개인정보의 안전성 확보조치 기준, 가명정보의 결합 및 반출 등에 관한 고시, 개인정보 처리방침 평가에 관한 고시, 개인정보 국외 이전 운영 등에 관한 규정, 생체정보 보호 가이드라인, 가명정보 처리 가이드라인 등이 그 대표적이다. 

표준 개인정보 보호지침은 개인정보보호위원회가 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준지침을 정해 개인정보처리자에게 그 준수를 권장하는 것으로서 개인정보 보호법 관련 세부적인 사항들이 규정돼 있다. 개인정보의 안전성 확보조치 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·변조·훼손되지 아니하도록 안전성을 확보하기 위해 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 규정하고 있다.

가명정보의 결합 및 반출 등에 관한 고시는 가명정보의 결합전문기관 지정 및 가명정보의 결합·반출에 관한 기준·절차 등을 규정하고 있다. 개인정보 국외 이전 운영 등에 관한 규정은 개인정보 보호법 및 동법 시행령에서 규정하는 바에 따라 개인정보를 국외 이전함에 있어 이를 판단하는 전문위원회, 국외 이전 인증, 국외 이전에 대한 보호수준 인정, 국외 이전 중지 명령 및 해당 명령에 대한 이의제기 등 관해 필요한 사항을 규정하고 있다.

개인정보 처리방침 평가에 관한 고시는 개인정보 보호법 제30조의2와 동법 시행령 제31조의2에 따라 개인정보보호위원회가 개인정보처리자의 처리방침이 법 제30조의2제1항 각 호의 기준에 부합하는지 여부를 평가함에 있어 개인정보 처리방침 평가대상 선정과 평가절차 등에 관한 세부기준을 정하고 있다. 

생체정보 보호 가이드라인은 지문, 홍채 등 생체정보를 활용한 인증식별 서비스 과정에서의 생체인식정보 수집·이용시 정보 보호를 위한 기본원칙과 처리 단계별 보호 조치 등을 구체적으로 제시해 생체인식정보의 안전한 활용기반을 조성하기 위해 마련된 가이드라인으로서 바이오정보 보호 가이드라인이 수정보완된 것이다. 

가명정보 처리 가이드라인은 개인정보 보호법에 의해 도입된 ‘가명정보 처리에 관한 특례’(보호법 제3장 제3절)에 관한 설명과 구체적 사례를 제공함으로써 가명정보의 처리에 대한 이해를 돕고, 처리 과정에서 발생할 수 있는 개인정보 오·남용을 방지해 안전한 가명정보 활용 방안을 안내하기 위해 작성된 것으로서 비정형데이터의 가명처리까지 규정하고 있다. 만일 개인정보의 가명처리에 관한 분야별 특별 가이드라인이 존재한다면 해당 가이드라인이 우선 적용된다.

예를 들어 보건의료 데이터 활용 가이드라인(보건복지부), 교육분야 가명·익명정보 처리 가이드라인(교육부), 공공분야 가명정보 제공 실무안내서(행정안전부) 등이 있다.

그 외에도 위치정보법상 위치정보의 관리적·기술적 보호조치 기준이 있는데, 이는 위치정보 수집 및 이용 시 취해야 하는 보호 조치에 관한 사항을 규정하고 있다. 

이처럼 개인정보와 관련된 다양한 법규들이 존재하는 바, 개인정보처리자인 사업자들은 그 사업영역에 적용 가능한 법규가 무엇인지 확인하고 관련 법규의 준수여부를 제대로 점검하는 것이 중요하다. 

<이근우 변호사 약력>

(현)법무법인(유) 화우 파트너변호사

(현)개인정보보호위원회 자문변호사

(현)대한변호사협회 ESG 특별위원회 위원

(현)산업통상자원부 산업기술분쟁조정위원회 위원

(현)한국정보법학회 회원

(현)산업기술보호협회 영업비밀보호 전문위원(강사)

(현)법무부 해외진출 중소기업 법률자문단 자문위원