자네, 데이터결합 좀 아나?

뭔가 급박하게 돌아가는 것이...불안한데......

팀장님
마이데이터 보고서입니다

“오호! 신 차장 마이데이터 마스터가 된 거야?”

“마스터라고 하기에는 부끄럽지만, 마이데이터에 대한 개념은 명확하게 잡았습니다”

“그래 좋아! 마침 오늘 아침 데이터 결합 전문기관 면허 신청 준비하라는 지시가 있었어. 올해 우리의 핵심 성과지표인 KPI는 데이터 결합 전문기관 면허 획득으로 정해졌다지 모야. 참고하라구”

KPI(Key Performance Indicator)는 핵심 성과 지표로, 직장인의 경우 연초 사업목표 수립과 함께 KPI를 설정한다. 연말 인사고과 평가할 때 연초에 세운 KPI 달성 여부가 중요한 판단 지표가 된다

“팀장님 그럼 이제 뭘 하면 될까요?”

“신 차장, 아이 이 사람! 데이터 결합 전문기관 면허 신청 준비지! 데이터 결합 전문기관, 개인정보보호법상 ‘결합 전문기관’이라고 명시되어 있을 거야. 시간이 없으니 ‘결합 전문기관’에 대해서 숙지하고 면허 획득할 수 있도록 준비작업 시작하자구”

“넵... 알겠습니다...”

팀장님의 갑작스러운 지시다

보통은 사전에 충분히 설명해주시고 실무자의 의견을 꼼꼼하게 들어보신 후에 일을 하시는 분이신데, 이번엔 뭔가 급박하게 진행되는 듯보였다.

공부를 해야 했다.

‘데이터 결합 전문기관이라... 명칭만 놓고 보면 데이터를 결합하는 권한을 가진 전문기관이라는 말 같은데...

면허를 신청하기 위해서는 법령을 정확히 알아야 했다.

국가법령정보센터에 접속해서 개인정보보호법을 살폈다. 제3절에 가명정보의 처리에 관한 특례가 2020년 2월 4일 신설됐다고 명시돼 있었고, ‘제28조의3 가명정보의 결합 제한’이라는 단어가 눈에 들어왔다.

그리고 제28조3(가명정보의 결합 제한)의 ①항에는 ‘가명정보 결합 지정’에 대한 문구가 적혀있었다.

제28조의3(가명정보의 결합 제한)① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]

법 전공자는 아니지만...

금융정책 업무를 하면서 법과 시행령 고시 또는 감독규칙 등을 꼼꼼하게 살피는 게 일상이 됐다.

법을 해석할 수 있는 능력은 없지만, 법에 명시된 내용을 정확하게 확인해야 일을 그르치는 불상사를 막을 수 있다는 걸 깨달아서다.

정책업무를 살펴보는 실무자는 법전공자가 아니더라도 무조건 법조문과 친해져야 한다. 규제는 법에 근거하여 만들어지기 때문이다.

차근차근 읽어나갔다...

'개인정보보호법에는 ‘통계작성, 과학적 연구, 공익적 기록보존 등’의 목적에 한하여 ‘서로 다른 개인정보처리자 간의 가명정보’를 결합할 수 있게 했다'

'결합을 하는 전문기관은 ‘개인정보보호위원회 또는 관계 중앙행정기관의 장’이 지정하도록 했다. 여기서 관계 중앙행정기관의 장이란 ‘과기정보통신부’, ‘보건복지부’, ‘국토교통부’ 등의 부처가 되겠구나'

나는 태블릿PC를 켜고
메모하기 시작했다

- 결합 목적 : 통계 작성, 과학적 연구. 기록보존 등에 한해
- 결합 대상 : 서로 다른 개인정보처리자 간의 가명정보
- 결합 수행 : 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정한 결합 전문기관

②항에는 결합한 데이터에 대한 반출에 대한 내용이 이어졌고, ③항에는 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 하위 법령 대통령령인 ‘개인정보보호법 시행령’에서 정한다고 적혀있다.

국가법령정보센터가 좋은 것은 하위 법령과 관련 고시나 감독규정은 클릭 한번으로 함께 살펴볼 수 있도록 되어있다는 것이다.

법을 잘 모르는 이들이라도 국가법령정보센터에서 쉽게 법과 법령, 관련 고시 등을 비교해가면서 찾아볼 수 있다.

‘개인정보보호법 시행령’을 살펴보니...

시행령 제29조의2, 3, 4에는 결합전문기관과 관련한 내용이 명시돼 있었다.

제29조의2 결합전문기관의 지정 및 지정 취소
제29조의3 개인정보처리자 간 가명정보의 결합 및 반출 등
제29조의4 결합전문기관의 관리ㆍ감독 등

또한번 찾아온 안개속 어둠이 조금씩 걷히는 느낌이었다.

사실 데이터 결합전문기관 면허 신청서 준비하라는 팀장님의 말씀을 듣고 어디서부터 어떻게 준비해야하는지 몰라 눈앞이 캄캄해지는 느낌이었는데...

차근차근 개인정보보호법 ‘제3절 가명정보의 처리에 관한 특례’에 대한 부분을 정독해나가기 시작했다.

혼잣말이 시작됐다
중얼중얼중얼 얼씨구 지화자 조오타

‘제28조의2 가명정보의 처리 등. 통계작성, 과학적연구, 공익적 기록보존 등의 목적에 한해 정보주체의 동의없이도 가명정보를 처리할 수 있구나'

'당연히 가명화된 정보를 제3자에게 제공할 때에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안 되겠지!'

‘제28조의3 가명정보의 결합 제한! 가명정보 결합은 국가로부터 지정받은 전문기관에서만 수행해야 하고, 결합된 정보 반출은 승인받아야 하겠지. 전문기관 지정과 관련한 부분은 시행령을 봐야하고!’

‘제28조의4는 가명정보에 대한 안전조치의무 다하라는 거고, 제28조의5는 가명정보 처리 시 금지의무 등! 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안되겠지! 특정 개인을 알아보기 위해 가명정보를 처리하는 것 자체가 꼼수이니 당연히 해서는 안되겠지!’

잠시만.. 금지조항이 있다면...
처벌조항도 있을텐데..

그랬다. 이를 어겼을 경우에 그에 상응하는 제재는 어마어마했다.

28조6에는 가명정보 처리에 대한 과징금 부과에 대한 내용이 명시돼 있었다.

‘헉..... 전체 매출액의 3%이 과징금이라니.... 요건 중요하니까 별표해서 따로 적어놔야겠다’

헉헉헉
전체 매출액의 3프로?!?!?!?!

제28조의6(가명정보 처리에 대한 과징금 부과 등) ① 보호위원회는 개인정보처리자가 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있다.

② 과징금의 부과ㆍ징수 등에 필요한 사항은 제34조의2제3항부터 제5항까지의 규정을 준용한다.
[본조신설 2020. 2. 4.]

침이 바짝바짝 마르기 시작했다. 두려움이 몰려왔다. 후회가 들기 시작했다....

'이거 내가 뭔가 잘 못 걸린 것 같은데....'