안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 ‘데이터융합포럼’은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 이번 기고는 법무법인 광장 채성희 변호사의 ‘가명정보 규정’과 관련 지난 1편에 이은 두번째 글이다. <편집자 주>

# 2편으로 들어가기에 앞서, 전체 맥락을 제대로 이해하기 위해서는 지난 1편 내용을 다시 한번 읽어 볼 필요가 있다. (1편 기고 다시 읽기)

---

◇연구 목적 개인정보 처리와 가명정보의 활용에 관한 GDPR 및 개인정보 보호법의 비교

본고의 1편에서 통계작성, 과학적 연구, 공익적 기록보존 등 목적(이하 “연구등목적”)으로 가명정보를 활용하는 것에 관한 GDPR과 우리 개인정보 보호법 규정 내용은 실은 완전히 다른 것임을 살펴본 바 있다. 개인정보 보호법과 달리, GDPR에는 개인정보를 가명처리하면 바로 연구등목적으로 동의 없이 활용할 수 있게 하는 조항이 존재하지 않으며, 연구등목적과 관련한 가명처리를 언급한 GDPR 제89조 제1항은 가명정보의 활용을 허용하는 규정이 아니라 연구등목적으로 개인정보를 처리할 경우 가명처리 등의 안전조치를 취하라는 의무규정이라는 것이다. 그러므로 개인정보 보호법상 가명정보에 관한 규정이 GDPR을 모방하였다고 본다면 이는 오해일 것이다.

그러나 그렇다고 하여, 연구등목적의 개인정보 처리와 관련하여 개인정보 보호법의 보호수준이 GDPR보다 낮다고 단정할 수 없다. 이번 편에서는 왜 그러한지, 그 이유를 살펴보기로 한다.

---

(1) 가명처리여부와 무관하게, GDPR에서는 애초에 동의 없이 연구등목적으로 개인정보를 수집•이용•제공하는 것이 가능하나, 개인정보 보호법에서는 그렇지 않다.

가) 개인정보 보호법의 경우

먼저, 개인정보 보호법에 관하여 본다. 개인정보 보호법상 개인정보 처리자는 정보주체의 동의를 받았거나, 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 등의 사유가 있는 경우 개인정보를 수집•이용할 수 있다(제15조 제1항 제1호, 제6호). 개인정보의 제공은 정보주체의 동의를 받은 경우(제1호) 등의 사유가 있으면 가능하나, 개인정보처리자의 정당한 이익을 달성하기 위하여 필요하다는 이유로는 불가능하다(제17조 제1항). 개인정보의 목적외 이용도 정보주체의 동의를 받은 경우(제18조 제2항 제1호) 등 극히 제한적인 경우에만 허용된다.

따라서, 정보주체의 동의가 없다면 법령에 근거가 있다는 등의 매우 특별한 사유가 없는 한 동의 없이 연구등목적으로 개인정보를 수집•이용•제공하는 것이 거의 불가능하다. 특히, 수집•이용을 가능하게 하는 사유인 “개인정보처리자의 정당한 이익”은 개인정보처리자의 정당한 이익이 “명백하게 정보주체의 권리보다 우선하는 경우”에 한하여 인정되므로(개인정보 보호법 제15조 제1항 제6호), 극히 제한적으로 해석되고 있는 것이 현실이다.

(나) GDPR의 경우 – 개인정보의 수집•이용•제공

이제 GDPR에 관하여 살펴보자. 먼저 GDPR 제6조 제1항은 개인정보 보호법 제15조와 제17조에 해당하는 규정으로, 정보주체의 동의를 받은 경우((a)호) 또는 “처리가 개인정보처리자 또는 제3자의 정당한 이익을 위하여 필요한 경우로서 (…) 정보주체의 이익과 기본권이 그러한 이익에 우선하는 경우를 제외”((f)호)하면 개인정보를 처리 즉 수집•이용•제공하는 것이 가능하다. 이 중 정당한 이익에 관한 GDPR 제6조 제1항 (f)호의 규정은 일견 개인정보 보호법 제15조 제1항 제6호의 규정과 유사해 보이지만, 다음의 점에서 명확한 차이를 보이고 있다.

• GDPR 제6조 제1항 (f)호의 정당한 이익은 개인정보 처리자 뿐 아니라 제3자의 정당한 이익도 포함한다.

• 개인정보 보호법과 달리 GDPR은 개인정보 처리자의 이익이 “명백하게” 우선하여야 한다는 제한이 없다.

따라서, 연구등목적의 개인정보 수집•이용•제공이 GDPR 제6조 제1항 (f)호에 의하여 정당화될 가능성이 많다. 실제로 GDPR 이전 Data Protection Directive 체계 하에서 Article 29 Working Party가 이 점을 확인한 바 있으며, 현재까지도 EU의 규제기관들은 시장 조사(market research) 목적을 포함한 연구등목적의 개인정보 수집•이용•제공이 GDPR 제6조 제1항 (f)호에 의하여 정당화될 수 있는 것으로 보고 있다. 즉, GDPR 하에서는 애초에 정보주체의 동의가 없이도, 개인정보처리자 또는 제3자의 정당한 이익을 이유로 연구등목적의 개인정보 수집•이용•제공이 가능한 것이다. 물론 이러한 경우에도 지난 편에서 살펴본 제89조 제1항에 따라 가명처리 등 개인정보의 보호를 위한 조치를 취하여야 한다.

(다) GDPR의 경우 – 목적외 이용•제공

다음으로, 목적외 이용에 관한 우리 개인정보 보호법 제18조에 해당하는 GDPR 제5조 제1항 (b)호에 관하여 본다. (GDPR 제6조 제4항도 관련 있는 조항이나 분량상 본고에서는 생략하기로 한다.) GDPR 제5조 제1항 (b)호는 당초 수집된 목적과 양립불가능한 목적으로 개인정보를 처리하는 것을 금지하면서, 연구등목적으로 개인정보를 처리하는 경우에는 제89조 제1항을 준수하는 한 가능하다고 규정하고 있다. 지난 편에서 살펴본 바와 같이, 제89조 제1항은 연구등목적의 개인정보 처리에서 당연히 준수하여야 하는 조항이므로, GDPR 하에서 연구등목적으로 개인정보를 목적외 이용•제공하는 것은 원칙적으로 가능하다고도 볼 수 있다. 이는 동의가 있어야만 그러한 처리가 가능한 개인정보 보호법과 다른 부분이다.

(라) 소결론

이상에서 살펴본 바와 같이, GDPR 하에서는 일반적으로 연구등목적이 있다면, GDPR 제89조 제1항을 준수할 경우, 동의가 없어도 수집•이용•제공•목적외 이용•제공이 가능하다. 반면 우리 개인정보 보호법에서는 연구등목적이 있다 하더라도 동의가 있어야만 개인정보의 수집•이용•제공•목적외 이용•제공이 가능하다.

이와 같이 본다면, 개인정보 보호법보다 GDPR이 연구등목적의 개인정보 활용 범위가 훨씬 넓다고 볼 수 있다.

---

(2) 제89조 제1항의 ‘보호조치’는 가명처리 없이 개인식별이 가능한 상태로 개인정보를 처리하는 것을 포함한다.

GDPR 하에서 연구등목적으로 개인정보를 수집•이용•제공•목적외 이용•제공하고자 하는 개인정보처리자는 GDPR 제89조 제1항을 준수하여야 한다. 지난 편에서 살펴보았지만, GDPR 제89조 제1항은 연구등목적에서의 “연구는, 본 규칙(GDPR을 지칭, 필자 주)에 따라 정보주체의 권리와 자유를 위하여 적절한 보호조치의 대상이 되어야 한다. 이러한 보호조치는 특히 정보 최소화(data minimization)의 원칙을 존중하도록 하는 기술적 관리적 조치가 취하여지도록 하여야 한다. 이러한 조치들은, 만일 가명처리로 그 목적을 달성할 수 있다면 가명처리를 포함할 수 있다. 이러한 목적이 정보주체의 식별을 허용하지 않거나, 더 이상 허용하지 않는 방법에 의하여 달성될 수 있다면, 그러한 목적은 그러한 방법으로 달성되어야 한다”고 규정하고 있다.

즉, 연구등목적으로 개인정보를 처리하는 경우 정보주체의 권리와 자유를 보호하기 위한 적절한 조치를 취하여야 하고, 그러한 조치는 개별 상황에 따라 여러 가지가 있을 수 있다. 가명처리가 적절한 경우에는 가명처리가 될 수 있고, 익명처리된 정보로 목적을 달성할 수 있다면 익명처리가 될 수 있겠지만, 경우에 따라 개인식별이 필요한 경우 개인식별이 가능한 상태로 개인정보를 처리하는 것을 배제하지 않는다.

이를 개인정보 보호법의 경우와 비교해 보자. 개인정보 보호법상으로는 익명처리가 가능한 경우에는 익명처리를 하여야 하고(제3조 제7항), 그 이외의 경우에는 가명처리를 하여야만 연구등목적으로 개인정보를 동의 없이 처리할 수 있다. 따라서 개인식별 가능한 상태로 연구등목적으로 개인정보를 처리하는 것이 가능하다고는 단정하기 어렵다. 개인정보 보호법 제15조 제3항, 제17조 제4항이 당초 수집 목적과 합리적으로 관련된 범위에서 개인정보를 수집•이용•제공하는 것은 정보주체의 동의가 없어도 가능하다고 규정하고 있지만, 연구등목적으로 개인정보를 처리하는 경우가 여기에 해당하는지는 아직 불명확하다.

이러한 점을 고려하면 GDPR에서는 연구등목적으로 정보주체의 동의 없이 개인식별이 가능한 개인정보를 처리하는 것이 가능하나, 개인정보 보호법상으로는 적어도 가명처리를 한 경우에 한하여 연구등목적으로 정보주체의 동의 없이 개인정보를 처리할 수 있다.

---

(3) GDPR과 달리, 우리 법상 가명정보 개념은 재식별이 불가능하다는 것을 전제로 한다.

지난 편에서 살펴보았다시피, GDPR 하에서 가명처리 개념은 개인정보와 추가정보가 적절한 기술적 관리적 보호조치 하에 분리보관되어야 한다는 것을 전제로 한다. 이 점은 우리 개인정보 보호법도 마찬가지이다. 그러나 GDPR의 가명처리는 개인정보와 추가정보가 결합됨으로써 개인이 재식별될 가능성을 배제하지 않으며, EU의 ENISA 또한 GDPR 하에서의 가명정보 개념을 검토하면서 이를 당연한 전제로 보고 있다.

그러나 우리 개인정보 보호법은 그러한 재식별이 불가능하도록 철저히 금지하고 있다. 즉, 개인정보 보호법 제28조의5 제1항은 “누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안된다”라고 하여 가명정보의 재식별을 철저히 금지하고 있으며, 같은 조 제2항은 우발적으로 가명정보로부터 개인이 재식별된 경우 “즉시 해당 정보의 처리를 중지하고, 지체없이 회수•파기하여야 한다”고 규정하고 있다. 이러한 규정을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3에 달하는 과징금이 부과될 수 있고(개인정보 보호법 제28조의6 제1항), 심지어 5년 이하의 징역, 5000만원 이하의 벌금이 부과될 수 있다(개인정보 보호법 제71조 제4의3호). GDPR에는 이러한 규정이 존재하지 아니한다.

따라서, 개인정보 보호법상 가명정보는, 법률적으로 재식별이 엄격히 차단되어 있으므로, 법을 어기지 않고는 개인식별된 상태로 복원•처리할 수 없다는 점에서 익명정보와 크게 다르지 않은 것이라고 볼 수 있다.

---

◇ 결론

이상에서 살펴본 바와 같이, GDPR 하에서는 정보주체의 동의 없이 개인정보를 연구등목적으로 처리하는 것이 일반적으로 가능하며, 이 경우 적절한 보호조치를 취한다는 전제 하에 개인식별이 가능한 형태로 처리하는 것도 가능하다. 개인정보를 가명처리하는 경우에도 개인정보를 재식별하는 것이 언제나 금지되지 않는다.

반면, 우리나라에서는 개인정보를 가명처리하여야 정보주체의 동의 없이 연구등목적으로 처리할 수 있으며, 가명처리된 정보를 재식별하는 것이 엄격히 금지되어 있다. 따라서, 연구등목적의 개인정보처리에 관한 규정만 놓고 본다면, 개인정보 보호법이 오히려 GDPR보다 엄격한 입장을 취하고 있다는 결론도 가능할 수 있다.

물론 본고에서는 지면 관계상 가명정보의 결합, 실제 개인정보처리의 현실적 관행, 민감정보의 처리에 관한 부분을 고려하지 아니하였으나, 이러한 점들을 고려하더라도 개인정보 보호법상 가명정보에 관한 규정들이 반드시 GDPR의 상응하는 규정에 비하여 정보주체의 보호에 소홀하다고 단정할 수 없다. 앞으로 개인정보 보호법과 관련한 논의가 정확한 근거에 기하여 보다 합리적으로 이루어지기를 바라며 이 글을 맺는다.

[글. 채성희 변호사 (법무법인(유) 광장)]

---

# ’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.

★정보보안 대표 미디어 데일리시큐!★