통합 개인정보보호위원회(이하 개보위)가 5일 공식 출범하면서 개인정보보호법 고시와 가이드라인 마련에 속도가 붙었다. 개보위는 당초 개인정보보호법이 시행되는 5일 이 법 고시와 가이드라인을 공표할 예정이었지만 행정 절차상 일정이 다소 연기됐다.
앞서 행정안전부와 방송통신위원회 등 관계부처는 개인정보보호법과 시행령 개정안을 발표하면서 개인정보 활용 기준, 데이터 결합 절차 등을 밝혔다. 개인정보 수집 목적과 합리적 관련성이 있는 경우 개인정보 처리자가 정보주체 동의 없이 개인정보를 추가 이용하거나 제공할 수 있도록 하는 내용 등이 포함됐다.
업계 이목은 가명정보 결합 절차에 쏠렸다.
법은 가명정보를 결합하려는 개인정보 처리자는 개보위 위원장 등이 지정하는 전문기관에 결합 신청서를 제출할 수 있다고 규정했다. 결합전문기관이 가명정보를 결합하면 개인정보 처리자는 전문기관 내에서 결합 정보를 분석할 수 있고 전문기관 안전성 평가와 승인을 거쳐 외부로 반출할 수 있다고 했다. 가명정보 안전성 확보 조치도 규정됐다. 개인정보 처리자에게 내부 관리 계획을 수립하도록 하고 개인을 알아볼 수 있는 추가 정보는 분리 보관하도록 조치했다.
이 같은 규정이 공개됐지만 업계에서 가장 기다리는 항목인 이 법 고시와 가이드라인은 아직 나오지 않았다. 어떤 곳이 가명정보 결합전문기관이 될 것인지, 가명정보 처리 수준을 어디까지 할 것인지, 안전성을 어떤 방식으로 증명할 것인지 등이 기업에 필요한 핵심 내용이기 때문이다.
개인정보보호법 시행령 개정안은 결합전문기관을 일정 인력과 조직, 시설, 장비, 재정 능력을 갖춘 곳으로 규정했을 뿐 세부사항은 고시에서 규정하겠다고 했다.
심동욱 한국인터넷진흥원(KISA) 데이터안전활용단장은 “개인정보보호법 고시는 현재 법제처 심사 마무리 단계인 것으로 안다”면서 “가이드라인 역시 전문가 의견수렴을 마친 후 일부 마무리된 상태로 내부 검토 중”이라고 말했다.
고시가 확정되면 새로 출범한 개보위에서 공표할 예정이다.
윤덕상 파수 전무는 “통합 개보위 출범 이후 고시와 가이드라인을 공지한다고 전했다”면서 “결합전문기관, 데이터 반출 관련 가이드라인이 나오기를 기다리고 있다”고 말했다.
윤 전무는 “가장 중요한 건 가명정보 처리 수준을 어디까지 할 것인지에 대한 것”이라면서 “데이터를 제공하는 측에서 가명화를 어느 정도까지 해야 법적, 안전성 측면에서 문제가 없는지 명확히 나와야 한다”고 강조했다. 그러면서 “가명화된 정보가 안전하다는 사실을 기술적 측면에서 어떻게 증명할 것인지, 이를 제3자 등 어느 곳에서 확인할 것인지도 규정돼야 한다”고 덧붙였다.
결합전문기관 신청에 관한 공지도 업계가 기다리는 소식이다. 데이터 결합과 반출을 위한 전문기관 지정을 준비하는 기관과 기업에서 어떤 기준으로 준비해야 하는지 아직 공개되지 않았다. 데이터 결합을 신청하는 측에서 어떤 절차와 방법을 통해야 하는지도 가이드라인에서 기준이 담길 전망이다.
오다인기자 ohdain@etnews.com