'지문·홍채' 민감정보 분류..."생체정보 수집, 별도 동의 필요"

정부, 데이터3법 시행령 마련
내일부터 40일 동안 입법예고
비영리법인이나 민간회사도
데이터 결합 전문기관 길 열려

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

지문, 홍채, 안면 등 특정 개인을 알아볼 목적으로 사용하는 생체인식 정보가 민감정보에 포함된다. 비영리법인도 금융회사가 맡긴 데이터를 결합하는 전문 기관에 지정될 길이 열렸다.

행정안전부, 방송통신위원회, 금융위원회는 이 같은 내용을 포함한 데이터3법(개인정보보호법·신용정보법·정보통신망법) 시행령 개정안을 마련하고 31일 동시 입법예고(40일간)를 실시한다.

데이터3법은 △가명정보 도입으로 데이터 이용 활성화 △개인정보 보호체계 일원화 △마이데이터 등 금융 분야 데이터 신산업 도입 △전문 기관을 통한 데이터 결합 지원 등을 골자로 1월 9일 국회 통과 후 2월 4일 공포됐다. 이번에 주요 법안별 세부 시행령을 개정했다.

개인정보보호법 시행령 개정으로 생체인식 정보와 인종·민족 정보가 새롭게 민감정보에 추가됐다. 현행 민감정보 범위는 △사상·신념 △노동조합·정당의 가입·탈퇴 △정치 견해 △건강, 성생활 등에 관한 정보로 규정했다. 정부는 △개인의 신체·생리·행동 특징에 관한 정보로, 특정 개인을 알아볼 목적으로 일정한 기술 수단을 통해 생성한 정보 △인종이나 민족에 관한 정보로, 해당 정보 처리 목적이나 상황에 비춰 개인을 부당하게 차별할 우려가 있는 정보 등 두 가지를 신설했다.

그동안 홍채, 지문 등 생체 정보는 개인정보로 분류돼 관리했다. 기업 또는 기관은 생체 정보 등을 수집할 경우 '민감정보 수집 동의 절차'를 별도로 받아야 한다. 행안부 관계자는 30일 “변화하는 사회·기술 환경과 국제 환경(EU 등)에 맞는 개인정보 보호를 위해 민감정보로 규정했다”면서 “기존 개인정보로 생체 정보를 수집하던 기업은 법 시행 후 정보 주체의 별도 동의 절차를 추가하면 된다”고 설명했다.

게티이미지뱅크
게티이미지뱅크

신용정보법 시행령 개정으로 비영리법인이나 일정 요건을 갖춘 영리법인도 가명정보를 결합하는 데이터 전문 기관으로 지정받을 수 있다.

전문 기관으로 지정되기 위해서는 데이터 전문 기관 업무 수행 직원과 그 외 업무 수행 직원 분리, 전문 기관 업무 수행 서버와 그 외 업무 수행 서버 분리 등 위험관리 체계를 구축해야 한다.

금융위 관계자는 “우선 공공 성격을 띤 신용정보원·금융보안원으로 우선 지정하고, 추후 사회 신뢰가 쌓였을 때 민간 회사까지 확대 지정할 것”이라면서 “민간 회사 지정 범위나 시기에 대해선 추후 논의할 계획”이라고 밝혔다.

신용정보 제공자가 제공하는 신용정보에 금융거래 정보, 보험료 납부 정보뿐만 아니라 국세·지방세 납부 정보가 포함된다. 이에 따라 국세청 등에서 국세·지방세 납부 정보를 마이데이터 사업자에 제공할 수 있다. 금융위 관계자는 “마이데이터 사업자 입장에서 국세·지방세 납부 정보는 소득과 부채 정보를 얻을 수 있다는 것을 의미한다”면서 “금융 사업에서 매우 중요한 정보가 될 것”이라고 설명했다.

이 외에도 시행령 개정으로 △가명정보 결합 절차 △가명정보 안전성 확보 조치 △개인신용 정보 전송요구권 도입 △금융 분야 마이데이터 산업 요건 △신용정보업 허가 단위 개편 등이 신설·조정됐다. 산업 연구를 위한 가명정보 활용, 적절한 가명 처리 방법 등은 산업계의 의견 수렴을 거쳐 주요 사례를 이유와 함께 법 시행(8월 5일) 시 법령 해설서에서 설명할 예정이다.

윤종인 행안부 차관은 “데이터 3법에 대한 국민의 관심이 크다는 점을 고려해 입법예고 기간에 별도로 관계 부처 합동 공청회를 개최, 각계 의견을 수렴해서 시행령과 고시에 반영하겠다”면서 “개인정보 보호법 시행령에 포함되지 않은 가명정보 결합 관련 절차, 전문 기관 지정 요건 등 세부 사항은 신설 고시에 반영해 5월 중 행정예고 하겠다”고 말했다.

김지선기자river@etnews.com, 김지혜기자 jihye@etnews.com, 박종진기자 truth@etnews.com