[가명정보 지원 플랫폼] 가명정보 관련 법에 대한 이해

지난 시간 복습

1. 데이터 3법 개정의 주요 목적을 서술하시오.

-> 데이터 산업 활성화와 개인정보보호 강화

답 : 데이터 3법은 데이터 산업 활성화를 위해 개인정보 활용 범위를 확대하면서도 개인정보 보호를 강화하기 위해 개정되었다.

 

2. 가명정보와 익명정보의 차이를 설명하시오.

-> 가명정보는 다른 정보와 결합 시 개인을 식별할 수 있는 정보, 익명정보는 개인을 식별할 수 없는 정보.

답 : 가명정보는 추가 정보를 이용하면 개인을 식별할 수 있는 정보로 개인정보에 해당하며, 특정 목적 하에 동의 없이 활용이 가능하다. 반면 익명정보는 어떠한 추가 정보로도 개인을 식별할 수 없는 정보로 개인정보에 해당하지 않는다.

 

3. 개인정보를 수집할 때 정보주체의 동의 없이도 수집이 가능한 경우는 무엇인가요?

① 마케팅 홍보를 위해 고객의 취향 정보를 수집할 때

② 경품 이벤트 당첨자에게 경품을 배송하기 위해 주소를 수집할 때

③ 법령에 규정된 의무를 이행하기 위해 불가피한 경우

④ 고객의 신용도를 파악하여 내부 통계 자료로 활용할 때

-> 3번? 1번이랑 헷갈리긴 하는데 마케팅 홍보는 서비스 이용에 필수가 아니니까 3번으로 결정!

답 : 3번, 법령상 의무 이행은 동의 예외 사유 중 하나

 

4. 주민등록번호 처리에 대한 설명으로 옳은 것은?

① 정보주체가 강력하게 동의하면 법적 근거 없이도 수집할 수 있다.

② 정보주체의 권리이므로 본인이 원하면 언제든 삭제를 거부할 수 있다.

③ 반드시 법령에 명확한 근거가 있는 경우에만 처리가 가능하다.

④ 비밀번호와 달리 암호화하지 않고 보관해도 된다.

-> 3번, 주민번호는 고유식별정보니까~!

답 : 주민번호는 법적 근거가 필수이며, 일반 동의만으로는 수집 불가.

 

5.  개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 '추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것' 을 법적 용어로 무엇이라고 하는가?

-> 가명처리

답 : 가명처리

---

1. 가명정보 관련 법에 대한 이해

개인정보보호법, 신용정보법 : 가명정보에 대한 내용이 명시적으로 나와있음

생명윤리법 : 가명정보에 대한 내용은 X, '익명화'-> 가명정보 처리에 준하는 처리에 속함

개인정보보호법

- 제 6조(다른법률과의 관계)에 따라 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.

신용정보법

- 제3조의2에 따라 이 법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에서 정하는 바에 따른다

생명윤리법

- 제4조에 따라 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에 따른다.

2. 가명정보 처리 관련 개인정보 보호법/시행령/고시

출처 : 가명정보 지원 플랫폼

공공기관에 한에서 제 3자에게 제공하는 자체결합은 허용되었으나, 현재는 다른 곳에서도 허용됨.

 

개인정보보호법 제28조의2(가명정보의 처리 등)

개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보 주체의 동의 없이 가명정보를 처리할 수 있다.

 

개인정보보호법 제28조의3(가명정보의 결합 제한)

제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다

결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다. 

 

구분		내용
가명정보 처리시 안전조치 등	특정 개인을 알아볼 수 있는데 사용되는 정보 제공 금지	법 제28조의2 제2항
	안전성확보조치	법 제28조의4 제1항, 영 제29조의5 제1항 제1호, 개인정보 안정성확보조치 기준
	추가정보 분리보관	법 제28조의4 제1항, 영 제29조의5 제1항 제2호
	접근권한 분리(관리/통제)	법 제28조의4 제1항, 영 제29조의5 제 1항 제3호
	처리기간 설정(가명정보 파기)	법 제21조, 법 제28조의4 제2항

 

개인정보 보호법 제28조의2(가명정보의 처리 등)

개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

 

개인정보 보호법 제28조의4(가명정보에 대한 안전조치 의무 등)

개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관/관리하는 등 해당 정보가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.

개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.

개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관하여야 한다.

 

구분		내용
가명정보 처리시 안전조치 등	관련 기록 작성/보관	법 제28조의4 제3항
	개인정보 처리방침공개	법 제30조
	개인정보파일 등록	법 제32조
	개인정보 영향평가	법 제33조
	유출신고(보호위, 전문기관)	법 제34조 제3항

개인정보파일 등록,개인정보 영향평가는 공공기관에 해당되는 내용

유출신고->정보주체에게 통지를 하는것이 불가능하기 때문에 보호위원회나 KISA 등에 알려야 함.

구분		내용
금지의무	재식별 금지	법 제28조의5 제1항
	재식별 시 대응	법 제28조의5 제2항
적용제외		법 제28조의7 - 수집출처통지, 이용/제공내역통지, 영업양도통지, 유출시 정보주체에 대한 통지, 열람권, 전송요구권, 정정/삭제, 처리정지

 

개인정보 보호법 제28조의5(가명정보 처리 시 금지의무 등)

제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.

개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수 · 파기하여야 한다.

 

 

3. 신용정보법에서의 가명정보

츨처 : 가명정보 지원 플랫폼

출처: 가명정보 지원 플랫폼

 

개인정보보호법 Vs. 신용정보법

1. 가명정보의 결합

• 결합전문기관, 결합키관리기관을 통한 가명정보 결합 Vs. 데이터전문기관을 통한 가명정보 결합

2. 익명처리된 정보에 대한 평가

• 익명정보에 대한 평가를 지원하지 않음 Vs. 익명처리된 정보에 대한 평가를 지원함

3. 가명정보의 파기

• 가명정보 처리 기간 도과 후 '개인정보처리자'에 의한 가명정보 파기 Vs. 개인신용정보의 삭제 요구 관련 조항의 적용 제외

---

퀴즈

1. 개인정보 보호법 제28조의2에 따라 가명정보를 정보주체의 동의 없이 처리할 수 있는 목적이 아닌 것은 무엇입니까?
① 통계작성 ② 과학적 연구 ③ 공익적 기록보존 ④ 맞춤형 마케팅 및 광고 전송

2. 가명정보의 결합에 관한 설명으로 옳지 않은 것은 무엇입니까?
① 서로 다른 개인정보처리자 간의 가명정보 결합은 지정된 전문기관이 수행한다.
② 결합된 정보를 외부로 반출하려면 전문기관의 장의 승인을 받아야 한다.
③ 신용정보법에서는 '데이터전문기관'을 통해 가명정보 결합이 이루어진다.
④ 결합 전문기관 외부로 정보를 반출할 때는 원본 데이터를 포함하여 반출해야 한다.

3. 개인정보 보호법 제28조의4에 따른 가명정보의 안전조치 의무에 대한 설명으로 옳은 것을 모두 고르세요.
(가) 가명정보와 원래 상태로 복원하기 위한 '추가 정보'는 별도로 분리하여 보관해야 한다.
(나) 가명정보를 파기한 경우, 파기한 날부터 1년 동안 관련 기록을 보관해야 한다.
(다) 가명정보 처리에 관한 기록(목적, 제3자 제공 시 제공받는 자 등)을 작성하여 보관해야 한다.
(라) 가명정보의 처리 기간을 별도로 정할 수 없다.

① (가), (다) ② (가), (나) ③ (나), (라) ④ (다), (라)

4. 가명정보 처리 시 '금지의무'에 대한 설명으로 가장 적절한 것은 무엇입니까?
① 특정 개인을 알아보기 위한 목적으로 가명정보를 처리할 수 있다.
② 가명정보 처리 중 특정 개인을 알아볼 수 있는 정보가 생성되면 즉시 처리를 중지하고 회수·파기해야 한다.
③ 재식별된 정보는 별도의 보안 조치 후 계속해서 처리할 수 있다.
④ 가명정보를 제3자에게 제공할 때는 재식별에 사용될 수 있는 정보를 반드시 함께 제공해야 한다.

5. 개인정보 보호법상 가명정보에 대해 적용이 제외되는 정보주체의 권리가 아닌 것은 무엇입니까?
① 개인정보 열람권
② 개인정보 삭제 및 처리정지 요구권
③ 가명정보의 안전성 확보조치 요구권
④ 개인정보 전송요구권

 

정답 및 해설

 

1. 정답: ④
   1. 해설: 법 제28조의2 제1항에 따라 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해서만 동의 없이 처리가 가능합니다. 마케팅 목적은 포함되지 않습니다.
2. 정답: ④
   1. 해설: 외부 반출 시에는 반드시 가명처리 또는 익명처리를 거친 후 전문기관장의 승인을 받아야 하며, 원본 데이터를 반출하는 것은 금지됩니다.
3. 정답: ①
   1. 해설: (나) 가명정보 파기 기록은 3년 이상 보관해야 하며, (라) 처리 목적 등을 고려하여 처리 기간을 별도로 정할 수 있습니다.
4. 정답: ②
   1. 해설: 법 제28조의5에 따라 재식별 목적의 처리는 엄격히 금지되며, 의도치 않게 재식별 정보가 생성된 경우 즉시 중단 및 파기해야 합니다.
5. 정답: ③
   1. 해설: 제28조의7에 따라 열람권, 정정·삭제권, 처리정지권, 전송요구권 등은 적용이 제외되지만, 개인정보처리자의 안전성 확보조치 의무 자체가 면제되는 것은 아닙니다.