주 메뉴 바로가기 본문으로 바로가기

전체 메뉴 사이트맵

닫기

본문 바로가기

전문가의 시각에서 바라본 바이오 규제이슈 및 정보들을 제공합니다.

BioINregulation

홈 > 바이오 규제 신문고 > BioINregulation

scrap print facebook twitter naverBand url
BioINregulation 상세보기

[제2021-2호] 개인정보 보호법 개정과 건강정보의 가명처리

저자 이서형 소속 이화여대 생명의료법연구소
발간일 2021-02-08 조회수 576
발행호 제2021-2호
첨부파일

제2021-2호 개인정보 보호법 개정과 건강정보의 가명...(710.85 KB)

평점 평점이 없습니다.

 

제2021-2호 (통권 제6호) 

 

개인정보 보호법 개정과 건강정보의 가명처리 

- 건강정보 처리에 관한 프라이버시 보호 체계의 정립필요성 -

 

 

 

이화여대 생명의료법연구소 이서형 연구교수, 변호사 

 

  

1.개인정보보호법 개정 및 「보건의료 빅데이터 활용 가이드라인」 발표

 

(1) 개인정보보호법1) 개정 이유

 

 

 

(2) 개인정보 처리에 대한 관리·감독체계의 독립성 및 권한·역할 강화

 

개인정보보호법은 우선 개인정보 보호의 측면에서, 개인정보의 처리를 관리·감독하는 감독당국인개인정보보호위원회의 독립성 및 권한·역할을 강화하였다(제7조 내지 제7조의14). 2018년 5월, 유럽연합(EU)에서 제정한 「일반개인정보보호규정(General Data Protection Regulation(이하 ‘GDPR’이라 한다)」의 시행에 따라 EU 역외로 개인정보를 이전하기 위해서는, EU 위원회(EUCommis sion)로부터 개인정보를 이전하려는 제3국, 국제기구 등이 개인정보를 적정한 수준으로 보호한다는 결정을 받아야 한다(적정성 결정에 근거한 이전).6) 이와 같은 결정을 받지 못한 경우에 컨트롤러(controller) 또는 프로세서(processor, 컨트롤러의 위탁을 받아 그 내용에 따라 개인정보를 처리하는 자)는 구속력 있는 기업 규칙(Binding Corporate Rules, BCRs)이나 EU 위원회가 채택·승인한 표준개인정보보호조항, 승인된 행동강령 등 적절한 안전장치를 제공하고 정보주체의 권리를 보장하는 실효성 있는 법적 구체책을 마련하였다는 점이 인정된 경우에 한하여 EU 역외로 개인정보를 이전할 수 있다.7) EU 위원회는 우리나라에 대한 적정성 결정 여부를 검토하면서 감독당국의 불충분한 독립성 및 분산된 권한·역할에 대해 문제를 제기하였고, 이에 따라 개인정보보호법은 개인정보보호위원회의 독립성을 확보하기 위한 조치로서 그 소속을 대통령 소속에서 국무총리 소속으로 변경하고 중앙행정기관으로서의 지위를 확고히 하는 규정을 마련하였다. 또한 행정안전부와 방송통신위원회의 개인정보 관련 사무까지 개인정보보호위원회로 이관함으로써 그 권한 및 역할을 강화하였다. 이와 같은 일련의 변화는 전술한 EU GDPR에 따른 적정성 결정을 받기 위한 것으로 봄이 적절하다.


2013년 발표된 「OECD 프라이버시 프레임워크(The OECD Privacy Framework)」는 정보통신(IT) 기술의 급속한 발달에 따라 데이터가 자유롭게 이동하며 프라이버시에 대한 위험성이 증대하는 현실을 반영하여 1980년에 수립한 프라이버시 8원칙(8 Privacy Principles)8) 중 책임의 원칙(Accountability Principle)을 강화하는 방향으로 새로운 규제의 틀을 제시하였다. 정보주체로부터 사전 동의를 획득하는 방식으로는새롭게 부상하는 인공지능, 클라우드, 사물인터넷 등의 기술을 활용하여 광범위하게 데이터를 처리하는 것이 어렵게 됨에 따라, 개인정보 처리에 따른 위험성을 관리하는 방향으로(risk-based) 개인정보보호 규제의 틀을 변화시킨 것이다.


새로운 규제의 틀은 책임의 원칙을 구현하기 위해 구체적으로 개인정보 처리에 대한 개인정보처리자의 의무를 강화하고, 국가에 대해서는 프라이버시를 보호하기 위한 법·제도를 시행할 것을 주문한다. 국가의 이행 사항 중 하나로서, 국가는 거버넌스(governance), 자원 및 기술적 전문성을 갖추고 외부로부터의 부당한 영향 없이 공정하게 프라이버시 보호에 관한 법을 집행할 수 있는 감독당국을 설립 및 유지하여야 한다.9) EU의 GDPR도 이를 반영하여, 개인정보 처리에 따라 발생하는 위험성을 관리하는 감독당국의 독립성 및 권한·역할을 이전 「개인정보보호지침(Data Protection Directive 95/46/EC)」에 비해 강화하였다.10) 비록 EU 위원회가 적정성 결정을 검토하면서 지적하여 개정된 사항에 해당하나, 근본적으로는 우리나라의 개인정보보호법도 이와 같은 규제 변화의 틀 위에서 개인정보보호위원회의 조직·기능 등에 관한 규정을 재정비하게 되었다. 건강정보의 처리에 대해서도 이를 관리·감독하는 체계를 정립할 필요가 있다. 이에 관해서는 후술하기로 한다.

    

...................(계속)

 

관련기사
국내뉴스 EU “개인정보, 가명처리해 활용” … 한국은 기준도 없다 2018-05-18