A Legislative Study on the Concept of Pseudonymised Information and Processing Conditions

Abstract

개인정보의 보호와 이용은 서로 충돌될 가능성이 많다는 점에서 동시에 모색하기 어려운 것으로 보이기도 한다. 물론 개인정보의 ‘보호’는 정보주체의 여러 기본권을 보장할 수 있으므로 중요한 의미를 지닌다고 할 수 있다. 그런 점에서 개인정보보호법도 ‘보호’를 우선적으로 고려하는 것으로 이해할 수 있다. 그러나 보호와 이용은 어떤 가치가 더 우선한다고 단정하기는 어려우므로 하나의 가치만을 선택하고 다른 가치를 배제해야 되는 것은 아니다. 다양한 사회적 요구 속에서 보호와 이용의 양자 간에 생성되는 긴장관계를 적절히 조정하는 것은 결국 입법자의 역할이다. 입법자는 구체적인 경우에 보호와 이용 중에서 어 떤 것이 우선할 것인지를 결정해야 하나, 보호와 이용은 동 가치적 기본권 또는 법익을 갖는 것으로 판단할 수 있으므로 입법자에게 폭넓은 재량권이 인정될 수 있다고 판단된다. 현행 개인정보보호법은 모든 개인정보를 보호의 대상으로 설정하면서, 민감한 개인정보에 대해서는 별도의 규정을 두어 보호하고 있다. 동법에 따라 보호되는 개인정보는 살아 있는 개인에 ‘관한’ 정보일 것이 요구된다. 그런데 최근 사물인터넷, 빅데이터, 클라우드 컴퓨팅등의 환경에서 개인정보의 이용이 활성화됨에 따라 동법상 개인정보의 범위가 적절한가에 대한 의문이 제기되고 있다. 이에 따라서 이 논문에서는 현행법에 규정된 개인정보의 개념에 대한 검토를 바탕으로 개인정보의 보호와 활용의 조화를 위하여 가명정보의 도입 및 그 법제정비방안에 대하여 검토하였다. 먼저 개인정보보호법 제2조의 정의 조항에서 개인 정보를 더 이상 특정 개인을 알아볼 수 없도록 처리한 정보를 의미하는 ‘익명정보’와 구별되는 개념으로 ‘가명정보’를 “개인정보 중에서 추가적 정보를 사용하지 않으면 더 이상 특정 개인을 알아볼 수 없도록 가명처리한 정보”로 정의할 필요가 있다. 다음으로, 개인정보보호법 제18조 제2항 제4호를 “추가적 정보를 사용하지 않으면 더 이상 특정 개인을 알아볼 수 없도록 처리된 가명정보를 제공하는 경우”로 개정하되, “이 경우 가명정보는 그 제공의 목적과 관련성이 있다고 합리적으로 인정되는 범위에서 이용할 수 있다.”는 내용을 부기할 필요가 있다. 그 밖에도 개인정보보호법 제29조에서 제2항을 신설하여 “개인정보처리자는 가명정보가 추가적 정보와 결합하여 다시 특정 개인을 알아볼 수 없도록 추가적 정보를 별도로 보관하는 등 가명정보의 안전한 관리를 위하여 필요한 기술적 관리적 물리적 조치를 하여야 한다.”는 규정을 추가할 필요가 있다.The current PERSONAL INFORMATION PROTECTION ACT establishes all personal information as a subject of protection, and then has separate protection for sensitive personal information. Personal information protected under this Act is required to be information ‘about living individuals.’ However, the recent development of the Internet of things, the activation of personal information by the entry into the big data society is required. As a result, criticism has been raised that the scope of personal information in Article 2 (1) of the Act is too wide. Therefore, in this paper, in order to harmonize the protection and utilization of personal information based on the review of the concept of personal information provided in the current law, the introduction of pseudonymised information and its legal system are reviewed. First, in the definition clause of Article 2 of the Personal Information Protection Act , “pseudonymised information” is used as a concept distinguishing from “anonymous information” which means information that personal information is no longer recognized by a specific individual. It is necessary to define it as “pseudonymised information” so that it can no longer recognize a specific individual. Next, Article 18, Paragraph 2, Item 4 of the Personal Information Protection Act shall be amended to “Provide pseudonymised information processed so as not to be able to recognize a specific individual unless additional information is used, in which case, It may be used within a range that is reasonably recognized to be relevant to the purpose of the provision.” In addition, Article 29 to Clause 2 of the Personal Information Protection Act was newly added, and “the personal information processor is required to keep the additional information so that pseudonymised information combined with the additional information can not be recognized again. Technical, managerial, and physical measures must be taken.”