IT용어위키



가명정보

개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보

  • 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것[1]
  • 2020년 8월 5일부터 시행되는 개정 데이터3법에 따라 아래 내용대로 처리 가능

가명정보라 개념의 출현 배경

  • 빅데이터 기반 서비스 활성화
    • 데이터3법 등의 개인정보 관련 규제로 개인에 관련된 정보는 활용이 매우 어려움
      • 빅데이터 분석을 기반으로한 개인화 서비스, 데이터 유통 등이 사실상 불가능
    • 기존 개인정보 보호법에 통계적 목적으로는 수집 목적 외 활용 가능한 예외가 있었으나, 그 기준이 부재
  • 개인정보 비식별조치 가이드라인
    • 개인정보의 목적 외 활용에 관련된 기준을 제시하기 위한 관련 부처 합동 가이드라인
    • 가이드라인에 근거하여 개인정보 비식별조치 및 결합이 일부 이루어졌으나, 비식별의 기준이 까다로워 데이터의 활용도를 크게 저해
    • 법률적인 명확한 근거가 없어 시민단체로부터 고발당하는 사건 발생, 승소하였으나 가이드라인의 활용이 크게 줄어듦
  • GDPR
    • 비식별 정보를 '가명정보'와 '익명정보'로 구분하여 처리
    • 익명정보를 완전히 통계화된 정보로, 법률적 제약을 받지 않고, 가명정보는 목적외로 사용 가능하지만 일부 제약사항 유지
    • 일본의 개인정보 보호법 및 한국의 데이터3법 개정 시 참고

가명정보의 특례

  • 당초 수집 목적 외 제공·활용 가능
    • 단, 통계작성, 과학적 연구, 공익적 기록보존 등으로 목적 제한
    • 통계작성에는 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함[2]
  • 개인정보 보호법 중 일부 조항 적용 제외[3]
    • 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
    • 제21조(개인정보의 파기)
    • 제27조(영업양도 등에 따른 개인정보의 이전 제한)
    • 제34조(개인정보 유출 통지 등)
      • ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
    • 제35조(개인정보의 열람)
    • 제36조(개인정보의 정정ㆍ삭제)
    • 제37조(개인정보의 처리정지 등)
    • 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
    • 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
    • 제39조의6(개인정보의 파기에 대한 특례)
    • 제39조의7(이용자의 권리 등에 대한 특례)
    • 제39조의8(개인정보 이용내역의 통지)
  • 신용정보법 중 일부 조항 적용 제외[4]
    • 제32조(개인신용정보의 제공·활용에 대한 동의)
      • ⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
    • 제33조의2(개인신용정보의 전송요구)
    • 제35조(신용정보 이용 및 제공사실의 조회)
    • 제35조의2(개인신용평점 하락 가능성 등에 대한 설명의무)
    • 제35조의3(신용정보제공·이용자의 사전통지)
    • 제36조(상거래 거절 근거 신용정보의 고지 등)
    • 제36조의2(자동화평가 결과에 대한 설명 및 이의제기 등)
    • 제37조(개인신용정보 제공 동의 철회권 등)
    • 제38조(신용정보의 열람 및 정정청구 등)
    • 제38조의2(신용조회사실의 통지 요청)
    • 제38조의3(개인신용정보의 삭제 요구)
    • 제39조(무료 열람권)
    • 제39조의2(채권자변동정보의 열람 등)
    • 제39조의3(신용정보주체의 권리행사 방법 및 절차)
    • 제39조의4(개인신용정보 누설통지 등)

가명정보 목적 외 활용

통계작성, 과학적 연구, 공익적 기록 보존 등을 위하여 정보주체의 동의 없이 가명정보 처리 가능

통계작성

  • 통계란 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미
  • 시장조사와 같은 상업적 목적의 통계 처리도 포함
  • 직접(1:1) 마케팅 등을 하기 위해 특정 개인을 식별할 수 있는 형태의 통계는 해당하지 않음

공익적 기록보존

  • 공공의 이익을 위하여 지속적인 열람 가치가 있는 정보를 기록 보존하는 것
  • 처리 주제가 공공기관인 경우에만 공익적 목적이 인정되는 것은 아니며, 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정 가능

과학적 연구

  • 기술개발, 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구
  • 과학적 연구에는 자연과학적인 연구뿐만 아니라 과학적 방법을 적용하는 역사적 연구, 공중보건 분야에서 공익을 위해 시행되는 연구 등은 물론, 새로운 기술ㆍ제품ㆍ서비스의

연구개발 및 개선 등 산업적 목적의 연구 포함

가명정보 결합

서로 다른 개인정보처리자 간의 가명정보 결합은 지정된 전문기관에 한해서 수행가능

  • 개인정보 보호법상의 결합전문기관은 개인정보보호위원회 또는 관계 중앙행정에서 지정
  • 신용정보법상의 데이터전문기관은 금융위원회에서 지정

가명정보의 보호조치

  • 가명정보의 결합 제한
    • 가명정보를 보유하고 있더라도, 타사가 가진 가명정보와의 결합은 자체적으로 진행할 수 없다.
    • 가명정보 결합 시 중앙행정기관의 장이 지정하는 데이터전문기관결합전문기관이 수행한다.
  • 안전조치의무
    • 가명정보를 원래 상태로 복원하기 위한 추가정보(맵핑 테이블 등)은 별도로 분리 보관
    • 법령에서 정하는 추가적인 안전 조치 필요
    • 가명정보의 처리 목적 등 가명정보 처리 내용 기록 보관
  • 재식별 금지
    • 개인을 알아보기 위한 목적의 가명정보 처리 금지(위반 시 전체 매출액의 3% 과징금[5])
    • 개인을 알아볼 수 있게 된 경우 즉시 처리를 중단하고 지체없이 회수 및 파기

참고 문헌

  • 보건의료 데이터 활용 가이드라인 마련
  1. 개인정보 보호법상의 정의
  2. 신용정보법에만 정의된 내용
  3. 개인정보 보호법 제28조의7(적용범위)
  4. t신용정보법 제40조의3(가명정보에 대한 적용 제외)
  5. 제28조의6(가명정보 처리에 대한 과징금 부과 등)

  출처: 공대위키(공대위키에서 최신 문서 보기)
  * 본 페이지는 공대위키에서 미러링된 페이지입니다. 일부 오류나 표현의 누락이 있을 수 있습니다. 원본 문서는 공대위키에서 확인하세요!