제28조의3(가명정보의 결합 제한) ③항에는 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리·감독, 제2항에 따른 반출 및 승인 기준·절차 등 필요한 사항은 대통령령으로 정한다.
가명정보 결합에 대한 상위법인 개인정보보호법에는 데이터전문기관에 대한 언급이 없었다.
그저 전문기관의 지정과 지정 취소 등에 대한 사항은 대통령령인 ‘개인정보보호법 시행령’으로 정한다고 되어있을 뿐이었다.
이제 시행령에 데이터전문기관 명칭이 있는지 확인해봐야겠다
[개인정보보호법 시행령]
제29조의2(결합전문기관의 지정 및 지정 취소) ① 법 제28조의3제1항에 따른 전문기관(이하 “결합전문기관”이라 한다)의 지정 기준은 다음 각 호와 같다.
1. 보호위원회가 정하여 고시하는 바에 따라 가명정보의 결합ㆍ반출 업무를 담당하는 조직을 구성하고, 개인정보 보호와 관련된 자격이나 경력을 갖춘 사람을 3명 이상 상시 고용할 것
2. 보호위원회가 정하여 고시하는 바에 따라 가명정보를 안전하게 결합하기 위하여 필요한 공간, 시설 및 장비를 구축하고 가명정보의 결합ㆍ반출 관련 정책 및 절차 등을 마련할 것
3. 보호위원회가 정하여 고시하는 기준에 따른 재정 능력을 갖출 것
아니나 다를까...
개인정보보호법 시행령에도 데이터전문기관에 대한 문구는 단 하나도 찾을 수 없었다.
결국 데이터전문기관에 대한 명칭에 대한 첫 언급은 개인정보호위원회가 정하여 고시한 ‘가명정보의 결합 및 반출 등에 관한 고시’ 내 제5조①항에 단서 조항에 언급된 것이 전부였다.
[가명정보의 결합 및 반출 등에 관한 고시]
제3장 결합전문기관의 지정 등
제5조(결합전문기관의 지정 절차) ①결합전문기관으로 지정받으려는 법인, 단체 또는 기관(이하 "지정신청자"라 한다)은 다음 각 호의 서류를 보호위원회등에게 제출하여야 한다. 다만, 「신용정보의 이용 및 보호에 관한 법률」 제26조의4에 따라 데이터전문기관으로 지정받은 기관인 경우 제3호 서류 중 일부를 생략할 수 있다.
이제 데이터전문기관에 대한 단서는...
‘신용정보의 이용 및 보호에 관한 법률’뿐이었다.
'여기서 데이터전문기관에 대한 힌트를 찾아보는 수밖에 없겠구나....'
국가법령정보센터에서 ‘신용정보의 이용 및 보호에 관한 법률’을 찾다가 반가운 단어가 보였다.
바로 ‘제26조의4(데이터전문기관)’!!!! 두둥!!!!
[신용정보의 이용 및 보호에 관한 법률]
제4절 신용정보집중기관 및 데이터전문기관 등
제26조의4(데이터전문기관) ① 금융위원회는 제17조의2에 따른 정보집합물의 결합 및 제40조의2에 따른 익명처리의 적정성 평가를 전문적으로 수행하는 법인 또는 기관(이하 “데이터전문기관”이라 한다)을 지정할 수 있다.
② 데이터전문기관은 다음 각 호의 업무를 수행한다. 1. 신용정보회사 등이 보유하는 정보집합물과 제3자가 보유하는 정보집합물 간의 결합 및 전달 2. 신용정보회사 등의 익명처리에 대한 적정성 평가 3. 제1호 및 제2호와 유사한 업무로서 대통령령으로 정하는 업무
③ 데이터전문기관은 제2항제1호 및 제2호의 업무를 전문적으로 수행하기 위하여 필요하면 대통령령으로 정하는 바에 따라 적정성평가위원회를 둘 수 있다.
④ 데이터전문기관은 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 위험관리체계를 마련하여야 한다. 1. 제2항제1호의 업무와 같은 항 제2호의 업무를 함께 수행하는 경우 2. 제2항 각 호의 업무와 이 법 또는 다른 법령에 따른 업무를 함께 수행하는 경우
⑤ 제1항에 따른 지정의 기준 및 취소, 제3항에 따른 적정성평가위원회의 구성ㆍ운영에 관하여 필요한 사항은 대통령령으로 정한다. [본조신설 2020. 2. 4.]
데이터를 결합할 수 있는 권한이 어찌 된 이유에서인지는 알 수 없으나...
개인정보보호법과 신용정보의 이용 및 보호에 관한 법률로 나뉘어서 규정돼 있었다.
법률의 나뉘어서 되어 있다 보니 결합할 수 있는 데이터에 대한 구분도 불가피해진 셈이었으리라 짐작했다.
이에 근거하여 현재 실무적으로는 ‘비금융 데이터 간 결합 업무 수행은 개인정보보호법 상 결합전문기관이’, ‘금융 데이터가 하나라도 포함됐다면 신용정보의 이용 및 보호에 관한 법률 상 데이터전문기관이’ 데이터 결합 업무를 수행하는 것으로 진행하고 있다.
당연히 개인정보보호법 상 결합전문기관은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 것이고, 신용정보의 이용 및 보호에 관한 법률 상 데이터전문기관은 금융위원회가 지정하게 된다.
[개인정보보호법]
제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
[신용정보의 이용 및 보호에 관한 법률]
제26조의4(데이터전문기관) ① 금융위원회는 제17조의2에 따른 정보집합물의 결합 및 제40조의2에 따른 익명처리의 적정성 평가를 전문적으로 수행하는 법인 또는 기관(이하 “데이터전문기관”이라 한다)을 지정할 수 있다.
아아아아아아아아아아아아..... 멘탈아 돌아오너라.... 나의 멘탈아..... 도대체 차이가 뭐야? 으아아아아아아아아아아아아.....
또다시 혼돈 속으로 빠져버렸다. 그렇다면 개인정보보호법 상 지정받은 ‘결합전문기관’과 신용정보의 이용 및 보호에 관한 법률 상 지정받은 ‘데이터전문기관’의 차이는 뭐란 말인가...
찾고 또 찾고 내게 주어진 수수께끼 같은 질문의 답을 찾아야 했다.
‘찾아야 한다. 찾아야 한다. 찾아야 하느니라...’
실마리는 신용정보법 제17조의2①에 있었다. 또박또박 글자를 음미하면서 읽어야 한다. 그래야 보인다.
[신용정보의 이용 및 보호에 관한 법률]
제17조의2(정보집합물의 결합 등) ① 신용정보회사 등(대통령령으로 정하는 자는 제외한다. 이하 이 조 및 제40조의2에서 같다)은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 제26조의4에 따라 지정된 데이터전문기관을 통하여 결합하여야 한다.
찾았다 요놈!!! ‘신용정보회사 등이 자기가 보유한 정보집합물’
이 문구가 있어서 금융 데이터를 보유하고 있는 신용정보회사 등이 자신이 보유한 정보집합물, 즉 금융 데이터를 제3자가 보유한 데이터와 결합하고자 할 때 ‘데이터전문기관’에 가서 데이터 결합을 해야 하는 것이었다.
쉽게 말하면 금융 데이터를 보유하고 있는 기업이 자신이 보유한 데이터를 다른 데이터와 결합하고자 할 때에는 무조건 신용정보법의 지배를 받게 된다는 얘기였다.
‘이건 무슨 스무고개도 아니고 하.... 정말 법이 복잡하게 얽혀있구나.... 데이터3법.... 으아아아아아아아아악!!!!’
사실 우리는 다양하고 수많은 이해관계가 얽혀있는 세상 속에서 살아가고 있다.
데이터를 금융과 비금융으로 나누고, 굳이 관계법을 ‘개인정보보호법’과 ‘신용정보의 이용 및 보호에 관한 법률’로 나눈 것도 어쩌면 이해관계의 결과물일지도 모르겠다.
‘개인정보보호법’에서 개인정보보호위원회가 단독으로 결합 전문기관을 지정하는 것이 아니라 ‘관계 중앙행정기관의 장’도 지정할 수 있도록 한 것 역시 이해관계가 얽혀있는 세상이라는 방증 아닐까.