'상당한 '제3자' 등 모호한 단어 없애고 규제수위 낮춰
행정안전부와 방송통신위원회는 개인정보보호법 시행령 개정안이 국무회의에서 의결됐다고 28일 밝혔다. 개인정보 추가적 이용.제공 기준 등을 다른 제14조 2항 개정안이 눈길을 끈다. 개인정보의 추가적 이용·제공 기준등을 다룬 이 조항은 개인정보의 추가적 이용을 위해서는 ▲개인정보를 추가적으로 이용하기 위해서는 당초 수집 목적과 상당한 관련성이 있고 ▲개인정보를 수집한 정황과 처리 관행에 비추어 볼 때 추가적으로 이용할 수 있을 것으로 예측 가능해야 하며 ▲개인정보의 추가적 이용이 정보주체 또는 제3자의 이익을 부당하게 침해해서는 안 되고 ▲가명처리를 해도 추가적 이용 목적을 달성할 수 있는 경우 가명처리하도록 의무화해야 한다는 네가지 요건을 모두 충족시키라고 규정했다. 입법예고 기간동안 IT·금융업계에서는 "이 조건을 모두 충족시켜야 한다는 것은 실효성이 떨어진다"는 지적이 나왔다. '상당한 관련성', '제3자의 이익침해' 등 모호한 규정 역시 문제로 꼽혔다.
정부는 이번에 의결한 재개정안에서 '모두 충족' 대신 '각 호의 사항을 고려해야 한다'라고 강도를 낮췄다. 또 '상당한', '제3자'라는 모호한 단어를 삭제하고 '수집한 정황과 처리 관행'은 '수집한 정황 또는 처리 관행'으로 규제 수위를 낮췄다.
개인정보보호법 시행령 개정안 제29조 5항 가운데 '처리 목적이 달성되거나 보유 기간이 경과할 경우 가명정보를 파기해야 한다'고 명시한 부분은 삭제됐다. '특정 개인을 알아내기 위한 목적으로 가명정보를 처리할 경우 5년 이하 징역이나 5000만원 이하 벌금' 등 처별규정이 있는데도 공들여 분석한 정보를 없애도록 하는 것은 지나치다는 비판을 받아온 조항이다.
시행령 개정안 제 18조에서는 생체인식정보와 인종·민족정보를 '민감정보'에 포함시켰다. 방통위 관계자는 "인종·민족정보는 우리 사회가 다문화 사회로 변화해감에 따라 개인의 사생활을 침해할 우려가 높아진 점을 반영한 것"이라고 설명했다.
이날 국무회의에서는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 개정안도 의결됐다. 정보통신망법의 개인정보보호 규정이 개인정보보호법으로 이관된데 따른 조치다. 그동안 정보통신망법 시행령에 규정됐던 '개인정보 이용내역 통지' '손해배상책임 보장' '해외사업자의 국내대리인 지정' 등 개인정보 보호 관련 조항을 삭제하고, 개정 개인정보보호법 시행령에 이를 이관했다.
조수영 기자 delinews@hankyung.com