생체 정보, 동의 안 받고 넘기면 불법

“인터넷 쇼핑몰을 운영 중입니다. 상품 배송을 외부 업체에 맡기려고 하는데 고객 동의를 새로 받아야 하나요?” 앞으로 이 질문에 대한 대답이 “아니오”로 바뀐다. 정보를 수집한 목적이 비슷하다는 전제하에 개인정보를 본인 동의 없이 제3자에게 제공할 수 있도록 관련 법령이 바뀌기 때문이다.

정부는 30일 이 같은 내용을 담은 데이터 3법 시행령 개정안을 입법예고했다. 데이터 3법은 지난 2월 공포된 개인정보보호법·정보통신망법·신용정보법 개정안을 일컫는 말이다. 시행령 입법예고 기간은 5월 11일까지다.

개인정보보호법 시행령 개정안엔 본인 동의 없이 개인정보를 활용할 때 갖춰야 할 요건이 나와 있다. 정보를 수집한 취지가 비슷하고 데이터를 어떻게 처리할지가 예측 가능하며, 제3자의 이익을 부당하게 침해하지 않을 경우 별도의 동의절차를 거치지 않아도 된다. 다만 인종, 민족과 생체인식 관련 정보는 ‘민감정보’로 분류된다. 동의 없이 제3자에게 제공하는 것은 불법이다.

가명정보를 결합하는 방식에 대해서도 명시했다. 가명정보는 개인정보법 개정으로 새로 도입한 개념이다. 신용카드 사용 내역을 떠올리면 이해가 쉽다. ‘홍XX, 1977년생, 남성, 서울 강남구, 2020년 3월 신용카드 사용금액 127만원’은 데이터로서의 가치가 있지만 개인을 특정하기 힘들다. 이름과 생일, 전화번호 등 ‘개인 식별자’의 일부 혹은 전부를 감췄기 때문이다. 가명정보의 가치를 높이려면 여러 기관이 보유한 데이터를 결합해야 한다. 이 업무는 중앙 행정기관이 지정한 전문기관만 할 수 있다. 결합한 가명정보 분석은 전문기관 안에서 이뤄지며 외부 반출이 필요하면 별도 심사를 거쳐야 한다.

구체적인 가명정보 결합 절차와 전문기관 지정 요건 등은 의견 수렴을 거친 뒤 5월 행정예고할 예정이다. 가명정보 결합 과정에서 개인의 특성을 나타내는 데이터를 대거 삭제하거나 순수한 연구 목적 등으로 가명정보 활용범위를 제한하면 데이터 3법 개정의 취지가 사라진다는 게 기업들의 입장이다.

신용정보법 시행령엔 은행 및 기업이 보유한 내 개인정보를 다른 사업자에게 제공할 수 있는 ‘전송요구권’의 개념이 명시됐다. 개인정보를 데이터 전문기관에 제공한 뒤 컨설팅 등의 서비스를 받을 수 있다.

송형석/박진우 기자 click@hankyung.com