안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 ‘데이터융합포럼’은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 이번 기고는 법무법인 광장 채성희 변호사의 ‘가명정보 규정’과 관련 첫번째 글이다.
<편집자 주>

---

2020년 8월 5일부터 개정 개인정보 보호법(이하 “보호법”)이 시행되었고, 개정법의 핵심은 바로 가명처리 및 가명정보 개념의 도입에 있다고 평가되고 있다. 즉, 개인정보를 가명처리하여 가명정보를 작성할 경우, 정보주체의 동의 없이도 통계작성, 과학적 연구, 공익적 기록보존 등(이하 “연구등목적”)을 위하여 정보주체의 동의 없이 그러한 가명정보를 처리할 수 있다(보호법 제28조의2 제1항). 이러한 가명정보 개념의 도입에 관하여 산업계는 대체로 환영하는 분위기이지만, 정보주체의 기본권 침해라는 주장도 만만치 않아 보인다.

이번 기고는 과연 우리 법상 가명정보 규정이 개인의 기본권을 침해하는지를 비교법적 관점에서 검토해 보는 것을 목표로 한다. 단, 지면 관계상 본고에서는, 가명정보의 처리와 관련 있는 여러 외국의 법제 중 GDPR만을 비교의 대상으로 한다. GDPR이 개인정보 보호에 관한 글로벌 스탠다드로 자리매김하고 있기도 하고, 가명정보 개념에 관한 옹호도, 비판도 모두 GDPR과의 비교 속에서 논의되고 있기 때문이다. 결론적으로, 우리 가명처리•가명정보 개념의 법률적 의미가 GDPR의 가명처리(pseudonymization) 개념의 그것과 상당한 차이가 있는 것은 사실이나, 가명처리와 관련하여 개인정보 보호법의 보호수준이 GDPR보다 떨어진다고 단정할 수 없다는 것이 필자의 견해이다.

---

◇우리 법상 가명정보 관련 규정은 GDPR의 규정과 같은 것인가?

우선 보호법의 가명정보 개념은 GDPR의 영향 하에 도입된 것이 분명해 보인다. 우선 GDPR의 “가명처리” 개념과 보호법의 “가명처리” 개념은 매우 유사하다. 즉, GDPR은 가명처리 개념에 관하여 “추가 정보(additional information)의 사용 없이는 개인정보가 더 이상 특정 정보주체에게 귀속되지 않는 방법으로 개인정보를 처리하는 것. 이 때 개인정보가 식별된 또는 식별 가능한 정보주체에게 귀속되지 않도록 그러한 추가 정보는 분리 보관되며 기술적 관리적 보호조치의 적용을 받아야 한다는 점이 전제되어야 한다.”(Article 4(5))라는 두 문장으로 정의하고 있다. 우리 법상 “가명처리”란 “개인정보를 삭제하거나 일부 또는 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”(보호법 제2조 제1의2호)을 말한다.

이는 GDPR상 가명처리 개념 정의의 첫번째 문장에 해당하는 것이다. 보호법은 더 나아가 “개인정보는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가정보를 별도로 분리하여 보관•관리하는 등 (중략) 안전성 확보에 필요한 기술적•관리적•물리적 조치를 하여야 한다”고 규정하고 있는데(제28조의4 제1항), 이는 GDPR상 정의의 두번째 문장과 상응한다. 이처럼 GDPR의 가명처리 개념과 보호법상 가명처리 개념은 상당한 수준에서 일치를 보이고 있다.

그러나 GDPR과 보호법에서 가명처리의 법률효과 및 체계적 지위는 상당히 다르다. 우선 앞서 언급한 바와 같이 우리 법상으로는 가명처리한 개인정보, 즉 가명정보에 대하여는 연구 등 목적이 존재하는 한 개인정보 처리를 위한 동의 요건이 면제된다. 그러나 GDPR에서는 가명처리에 대하여 그러한 효과가 부여되지 않는다. 우리나라에서 간혹 GDPR 제89조 제1항이 가명처리된 정보를 연구 등 목적으로 동의 없이 이용하는 근거 규정이라고 생각하는 경우가 있는데, 그 타당성에 대하여 의문이 있다.

GDPR은 기본적으로 개인정보 처리에 관하여 법률적 근거를 요구하고, 그러한 근거는 GDPR 제6조 제1항(일반 개인정보) 등에 규정되어 있다. 정보주체의 동의, 개인정보처리자의 정당한 이익 등 (Article 6(1)(a) ~(f)) 등이 그것이다. 나아가, 이와 같이 법률적 근거를 갖추고 처리되고 있는 개인정보는 다시 정보주체의 동의나 법률상 근거 없이는 최초에 정해진 처리 목적과 양립불가능한(incompatible) 목적으로 추가적으로 처리(further processing)되어서는 아니된다(Article 5(1)(b), 6(4)). 즉, 이미 수집하여 처리하고 있는 개인정보의 목적 외 이용이 제한되는 것이다.

다만 공익을 위한 기록 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적(이하 편의상 여기서도 “연구 등 목적”이라 한다)의 처리는 제89조 제1항을 준수하는 경우에 한하여 양립불가능하지 않은 것으로서 허용된다(Article 5(1)(b)). 여기서 언급된 GDPR 제89조 제1항은, 연구 등 목적에서의 “연구는, 본 규칙(GDPR을 지칭, 필자 주)에 따라 정보주체의 권리와 자유를 위하여 적절한 보호조치의 대상이 되어야 한다.

이러한 보호조치는 특히 정보 최소화(data minimization)의 원칙을 존중하도록 하는 기술적 관리적 조치가 취하여지도록 하여야 한다. 이러한 조치들은, 만일 가명처리로 그 목적을 달성할 수 있다면 가명처리를 포함할 수 있다. 이러한 목적이 정보주체의 식별을 허용하지 않거나, 더 이상 허용하지 않는 방법에 의하여 달성될 수 있다면, 그러한 목적은 그러한 방법으로 달성되어야 한다”고 규정하고 있다.

이러한 규정들을 종합하면 다음과 같다:

① 우선 GDPR상으로는 연구 등 목적의 개인정보 처리라 할지라도 우선 GDPR 제6조 제1항등에 규정된 법률적 근거, 즉 정보주체의 동의를 받거나, 개인정보처리자의 정당한 이익 등의 근거가 있어야 한다는 것이다. 이러한 조건이 충족되면, GDPR 제89조 제1항의 의무, 즉 개인식별이 필요 없다면 개인이 식별되지 않도록 익명조치를 하거나 가명조치를 취하는 등 필요한 보호조치를 취하라는 것이다. 이렇게 본다면 GDPR 제89조 제1항의 규정은 우리 법과는 다른 취지의 것임을 알 수 있다.

② 다음으로, 이미 동의 등 법률적 근거를 가지고 정당하게 처리되고 있는 개인정보를 애초 정의된(동의받은) 목적 이외의 다른 목적으로 추가적으로 처리하고자 할 경우, 앞서 살펴본 바와 같이 원칙적으로 정보주체의 동의 등 추가적인 법률적 근거가 필요하다(Article 6(4)). 그런데 그러한 다른 목적이 연구 등 목적이라면 동의 등 추가적인 법률적 근거 없이 그러한 활용을 할 수 있는데, 이 경우 제89조 제1항과 같은 보호조치를 취하여야 한다(Article 5(1)(b)).

이러한 규정은 연구 등 목적이 존재하고 가명처리를 포함한 보호조치를 취한다면 동의가 없어도 개인정보 처리를 할 수 있다는 점에서 보호법 제28조의2 제1항과 어느 정도 비슷하다고 볼 수 있다. 그러나 GDPR의 위 규정들에서는 동의 없이도 개인정보를 처리할 수 있다는 법률효과가 “가명처리”로 인하여 발생한 것이 아니라 “연구 등 목적”에서 발생한 것이라는 점, 더 나아가 ‘처리 일반’이 아니고 ‘추가적 처리’ 즉 ‘목적 외 이용’에 대해서만 적용된다는 점에서 우리 법과 뚜렷한 차이가 있다.

---

종합하자면, GDPR에는 개인정보를 가명처리한다고 하여 바로 동의 없이 처리하게 하는 규정은 존재하지 아니한다. 흔히 우리나라에서 가명처리를 하면 연구 등 목적으로 개인정보를 활용할 수 있게 하는 근거규정처럼 인식되고 있는 GDPR 제89조 제1항은 그러한 허용규정이 아니다. 오히려 연구 등 목적으로 개인정보를 활용할 때 그 목적의 달성을 위하여 필요한 최소한만 개인정보가 처리되도록 최대한 개인식별이 안되는 형태로 개인정보를 처리하는 등 보호조치를 취할 의무를 부과하는 규정인 것이다.

GDPR 제89조 제1항에 의하여 요구되고 있는 조치의 내용도 가명처리에 국한되지 않는다. 가명처리로 연구 등 목적 및 개인정보의 보호라는 목적을 달성할 수 있다면 가명처리를 해야 하지만, 개별 상황에 따라 익명처리가 적절한 경우에는 익명처리를 하여야 하고, 개인을 식별할 수 있는 형태로 처리하여야 한다면 그러한 형태로 처리할 수도 있는 것이다. 그러나 이러한 GDPR의 규정이 보호법에서 “개인정보를 가명처리하여 가명정보로 만들면 연구등목적으로 활용하는 경우에 한하여 정보주체의 동의가 없어도 된다”고 (보호법이 GDPR을 참고하여 만든 것이라면) 변형된 것이다.

---

이상에서 살펴본 바와 같이, GDPR상 가명처리는 개인을 식별할 필요가 없다면 식별되지 않게 하여 개인을 보호하라는 의미에서 도입된 개념이지만, 보호법상 가명처리는 개인정보를 활용할 수 있게 하기 위한 요건이므로, 외견상 가명처리에 관하여 보호법이 GDPR에 비하여 개인의 보호보다 정보 활용에 치중한 것처럼 보인다.

그러나 앞서 살펴본 바와 같이 보호법의 가명정보에 관한 규율은 실은 GDPR의 가명처리 관련 규율과 다른 독자적인 것이므로, 관련된 보호 수준을 위와 같이 단순히 비교할 수 없다. 보호 수준의 고저는 가명정보의 처리가 허용되는 정도에 관한 실질적•종합적인 비교를 통하여 평가되어야 하며, 이러한 관점에서 GDPR 및 보호법의 규정을 검토해 본다면 결코 개인정보 보호법의 보호수준이 낮지 않다는 것이 필자의 견해이다. 다음 편에서 자세히 살펴보기로 한다. (다음 편에 계속)

[글. 채성희 변호사 (법무법인(유) 광장)]

# ’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.

★정보보안 대표 미디어 데일리시큐!★