Home > 전체기사

[데이터3법 핵심 개정사항-2] 새로운 민감정보의 유형과 법적 쟁점

  |  입력 : 2020-12-07 14:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개정안 시행령은 최초로 새로운 민감정보 유형을 도입했다는 점에서 상당한 의미
민감정보를 포함한 법적 개념들이 사회적 합의에 부합하도록 유지돼야


[보안뉴스= 조연수 김·장 법률사무소 변호사] 개인정보 보호 법령에서는 특히 사회적 차별을 야기하거나 현저히 인권을 침해할 우려가 있는 정보 등 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보를 ‘민감정보’로 규정하여, 원칙적으로 그 처리를 금지하면서 예외적으로 정보주체로부터 명시적인 별도의 동의를 받거나 법령에서 민감정보의 처리를 요구 또는 허용하는 경우에만 이를 처리할 수 있도록 하는 등 일반 개인정보에 비해 두텁게 보호하고 있다.

▲인종이나 민족에 관한 정보가 이번 개정안 시행령에 새로운 유형의 민감정보로 도입됐다[이미지=utoimage]


민감정보는 2011년 3월 개인정보 보호법 및 그 시행령이 제정된 이래 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활에 관한 정보, 유전자검사 등의 결과로 얻어진 유전정보, 「형의 실효 등에 관한 법률」 제2조 제5호에 따른 범죄경력자료에 해당하는 정보로만 한정되어 왔으나, 최근(2020년 8월) 개정된 개인정보 보호법 시행령(이하 ‘시행령’)에서 2가지 새로운 유형의 민감정보가 신설되었다.

새로운 민감정보 유형의 도입
개정 시행령 제18조에서는 새로운 민감정보의 유형으로 ‘개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보’(3호)와 ‘인종이나 민족에 관한 정보’(4호)를 신설했다. 개정 이유에 대해 당시 개인정보 보호법의 주무부서였던 행정안전부는 개인을 알아볼 목적으로 사용하는 지문·홍채·안면 등 생체인식 정보는 개인 고유의 정보로서 과거에 비해 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커졌고, 인족·민족정보는 우리 사회가 다문화 사회로 변화해감에 따라 개인의 사생활을 침해할 우려가 높아졌다는 점을 지적하며, 이러한 이유로 이들을 민감정보에 새롭게 추가했다고 밝혔다.

개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
‘개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보’는 그 문언 해석상 본인확인이나 인증을 목적으로 하지 않더라도 해당 개인의 생체적 특징을 알아보기 위한 목적으로 생성된 생체정보(예를 들어, 안면인식을 통해 연령이나 성별을 추정하여 유형에 맞는 광고를 내보내는 서비스 제공 목적으로 생성된 안면 영상 등)를 포함하는지 여부가 명확하지 않다는 점이 문제로 지적되었다.

그러나 2020년 10월 배포된 개인정보 보호법 해설서 개정 초안에서는 사진, 안면 영상 등은 그 자체로는 민감정보가 아니며 특정 개인을 인증 또는 식별하기 위하여 기술적 수단을 통해 특징 정보를 생성한 경우에만 민감정보에 해당한다고 설명하여, 위와 같이 개인의 인증 또는 식별 목적이 아닌 정보는 해당하지 않음을 명확히 했다. 이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 시행령에서 규정하는 ‘바이오정보’의 해석에 관하여 방송통신위원회 및 한국인터넷진흥원(KISA)이 「바이오정보 보호 가이드라인」을 통해 밝힌 기준과도 일관되며, 시행령 개정 취지에도 부합하는 해석으로 보인다. 정보통신망법 시행령 제9조의2 제1항 제1호에 따르면 ‘바이오정보’란 지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 의미한다.

인종이나 민족에 관한 정보
유럽 일반 개인정보 보호법(GDPR) 제9조 제1항은 한국 개인정보 보호법상 민감정보와 유사한 개념으로서 ‘special categories of personal data’를 규정하고 있는데, 이는 인종이나 민족에 관한 정보를 포함하고 있다. 한편, 개정 전 시행령은 인종이나 민족에 관한 정보를 민감정보로 규정하고 있지 않았는데, 이러한 불일치로 인해 글로벌 기업들이 전 세계적으로 적용되는 개인정보 보호 정책을 수립함에 있어 불편함을 겪는 경우들이 종종 있었다. 이번 개정 시행령은 인종이나 민족에 관한 정보도 새로운 유형의 민감정보로 도입했으며, 이를 통해 글로벌 기업들이 전 세계적으로 인종이나 민족에 관한 정보를 취급함에 있어 보다 일관된 기준을 적용할 수 있게 되었다는 점에 의의가 있을 것으로 보이며, 한국이 GDPR에 따른 적정성 결정(Adequacy Decision)을 받는데도 상당 정도 기여할 것으로 기대된다.

개인정보 보호 법령에서는 민감정보의 정의 규정을 별도로 마련하지 않고, 대신 그에 해당하는 유형을 열거하는 방식으로 개념을 정하고 있다. 이러한 규정 방식은 민감정보의 개념을 다의적 해석의 여지없이 비교적 분명하게 구분 짓는다는 장점이 있으나, 한편으로는 민감정보로 보아야 할 필요성이 있음에도 누락된 정보들을 포섭하는 유연성을 발휘하기 어렵다는 단점이 있다. 민감정보의 개념이 사회의 변화에 발맞추어 적절히 해석되기 위해서는 시행령의 개정이 불가피한 바, 이번 개정 시행령은 최초로 새로운 민감정보 유형을 도입했다는 점에서 상당한 의미가 있을 것으로 보인다. 이를 시작으로 향후에도 민감정보를 포함한 법적 개념들이 사회적 합의에 부합하도록 유지될 수 있기를 바란다.
[글_ 조연수 김·장 법률사무소 변호사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)