[데이터 3법 시행령/가이드라인 해설] 1강 황혜진 변호사 ‘데이터 3법 3시간 완성’ 온라인 세미나 개최 법무법인 디라이트는 10월 6일, 서울시 서초구 드림플러스에서 ‘데이터 3법 3시간 완성’ 온라인 세미나(웨비나)를 개최하였습니다. 저희 법인이 주최하고 한화 드림플러스가 후원하여 코로나 시대의 흐름에 맞춰 비대면 온라인 세미나인 웨비나(Webinar)로 진행되었으며, 데이터 3법 시행에 따른 동향과 변화, 발전 상황을 살펴보고, 비즈니스의 핵심으로 떠오른 데이터 활용과 그에 따른 개인 정보의 법적 이슈에 대해 중점적으로 논의하는 자리였습니다. 이번 세미나는 법무법인 디라이트의 황혜진 변호사가 ‘데이터 3법 시행령/가이드라인 해설’의 주제로 발표를 하고, 박경희 변호사가 ‘가명/익명정보 활용 Best Practice’의 주제 발표를, 김동환 변호사가 ‘마이 데이터 사업의 이슈 파헤치기’, 이시항 변호사가 ‘바이오 데이터 활용의 달인되기’, 안희철 변호사가 ‘개인정보 분쟁사례 완전 정복’의 주제로 발표를 하였습니다. 마지막으로, 조원희 변호사가 Q&A 세션을 통해 데이터 3법에 대한 전반적인 궁금증을 해결하는 시간을 마련하였습니다. [세미나 세션] 1강. 데이터 3법 시행령/가이드라인 해설 - 황혜진 변호사 2강. 가명/익명정보 활용 Best Practice - 박경희 변호사 3강. 마이 데이터 사업의 이슈 파헤치기 - 김동환 변호사 4강. 바이오 데이터 활용의 달인되기 - 이시항 변호사 5강. 개인정보 분쟁사례 완전 정복 - 안희철 변호사 법무법인 디라이트 : http://dlightlaw.com

1. 1강 일타강사
황혜진 변호사
데이터 3법 시행령/가이드라인 해설
현) 법무법인 디라이트, 변호사/변리사
현) 대한상사중재원 조정인
서울대학교 인문대학 불어불문학과/정보문화학과 졸업
연세대학교 법학전문대학원 졸업 (변시 2회)
한국콘텐츠진흥원(콘텐츠분쟁조정위원회 사무국) 변호사
대한상사중재원 조정인
정보통신산업진흥원 디지털콘텐츠 공정거래 법률자문 위원
국가지식재산위원회 실무분과(저작권분과) 위원
숭실대학교 경영대학원 콘텐츠경영학과 강사
㈜네오위즈 변호사
주최
후원
법무법인 디라이트
드림플러스
Associate /
hjh@dlightlaw.com

3. 데이터 3법 시행령/
가이드라인 해설
변호사 황혜진
법무법인 디라이트

4. I. 개정 개인정보 보호법 및
시행령 해설

5. 1. 개인정보 보호법 주요 개정 내용
• 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보
가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 가명처리로 정의함
• 개인정보보호위원회의 소속을 대통령 소속에서 국무총리 소속으로 변경하고, 「정부조
직법」에 따른 중앙행정기관으로 보도록 하며, 현행 행정안전부와 방송통신위원회의 개
인정보 관련 사무를 개인정보보호위원회로 이관하여 개인정보 보호 컨트롤타워로서의
기능을 강화함
• 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불
이익이 발생하는지 여부, 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여
정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있도록 함

6. 1. 개인정보 보호법 주요 개정 내용
• 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의
없이 가명정보를 처리할 수 있도록 하되, 서로 다른 개인정보처리자 간의 가명정보의 결합
은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행토록 함
• 개인정보처리자는 가명정보를 처리하는 경우 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조
또는 훼손되지 않도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하도록 함
• 누구든지 특정개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 되고, 이를 위반한
개인정보처리자에 대해서는 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로
부과할 수 있도록 함
• 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상의 개인정보 보호 관련 규정을 이 법
으로 일원화하여, 정보통신서비스 제공자 등의 개인정보 처리에 관한 특례 등을 규정함

7. 2. 개인정보와 관련된 개념의 정리(개인정보, 가명정보, 익명정보)
법 제2조 1. “개인정보”
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.
이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비
용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용
ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”)
1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가
없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
익명정보: 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도
더 이상 개인을 알아볼 수 없는 정보

8. 3. 수집 목적과 합리적으로 관련된 범위 내 동의 없는 개인정보의 이용·제공
법 제15조(개인정보의 수집ㆍ이용) ③ 개인정보처리자는 당초 수집 목적과 합리적으로
관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필
요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의
동의 없이 개인정보를 이용할 수 있다.
법 제17조(개인정보의 제공) ④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된
범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조
치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없
이 개인정보를 제공할 수 있다.
수집 목적과 합리적으로 관련된 범위 내에서 정보주체의 동의 없이 개인정보를
이용·제공할 수 있는 근거 조문 신설

9. 3. 수집 목적과 합리적으로 관련된 범위 내 동의 없는 개인정보의 이용·제공
시행령 제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) ① 개인정보처리자는 법 제15조
제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공하려는 경우에
는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공
에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정
보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라
개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.
개인정보 처리방침 개정 고려해야

10. 4. 민감정보의 범위
법 제23조(민감정보의 처리 제한) ①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴,
정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있
는 개인정보로서 대통령령으로 정하는 정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느
하나에 해당하는 경우에는 그러하지 아니하다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처
리에 대한 동의와 별도로 동의를 받은 경
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
시행령 제18조 1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에
해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을
알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보
지문, 안면인식정보, 홍채 정보 수집 시 별도 동의 받아야

11. 5. 정보통신서비스 제공자 등의 개인정보 처리 등 특례
• 동의 거부 가능한 사실, 불이익 고지 의무 없음
• 선택정보 미제공 시 서비스 제공을 거부해서는 안 됨
• 만 14세 미만 아동의 개인정보 수집에 관한 사항
제39조의3(개인정
보의 수집ㆍ이용 동
의 등에 대한 특례)
• 정보통신서비스 제공자 등은 정당한 사유가 없는 한 개인정보 유출등을 인
지한 때로부터 24시간 내 이용자에게 통지 및 보호위원회 등에 신고해야
• 신고 시 보유 개인정보 수의 제한 없음
제39조의4(개인정
보 유출등의 통지ㆍ
신고에 대한 특례)
• 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으
로 제한하여야
제39조의5(개인정
보의 보호조치에
대한 특례)
-> 시행령에 법정대리인 동의의 확인방법(제48조의3)
-> 시행령에 개인정보 유출 등의 통지·신고에 관한 특례(제48조의 4)

12. 5. 정보통신서비스 제공자 등의 개인정보 처리 등 특례
• 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보
파기 등 절차 취할 것
• 다른 법령 또는 이용자의 요청에 따라 다른 기간을 정할 수 있음
제39조의6
(개인정보의 파기에
대한 특례)
• 정보주체는 언제든지 개인정보 수집·이용·제공 동의를 철회할 수 있음
• 철회 시 개인정보를 복구·재생할 수 없도록 파기하는 등 조치를 취해야
제39조의7
(이용자의 권리 등
에 대한 특례)
• 정보통신서비스 제공자등은 수집한 이용자의 개인정보의 이용내역을
주기적으로 이용자에게 통지해야
제39조의8
(개인정보 이용내역
의 통지)
-> 시행령에 개인정보의 파기 등에 관한 특례(제48조의5)
-> 시행령에 개인정보 이용내역의 통지(제48조의6)

13. 5. 정보통신서비스 제공자 등의 개인정보 처리 등 특례
• 정보통신서비스 제공자등은 손해배상책임의 이행을 위하여 보험 또는
공제에 가입하거나 준비금을 적립하는 등 조치를 취해야
• 정보통신서비스 부문 전년도 매출액 5천만원 이상 or 전년도 말 기준 직
전 3개월 간 개인정보가 저장·관리되는 이용자 수가 일일평균 천명 이상
제39조의9
(손해배상의 보장)
• 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등
개인정보가 정보통신망을 통하여 공중에 노출되지 않도록 해야
• 보호위원회, KISA의 요청 시 공중에 노출된 개인정보 삭제ㆍ차단 등 조
치를 취해야
제39조의10
(노출된 개인정보의
삭제ㆍ차단)
• 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등은 이용자 수,
매출액에 따라 국내대리인 서면 지정해야
• 전년도 매출액이 1조원 이상 or 정보통신서비스 부문 100억 원 이상 or
개인정보가 저장되고 있는 이용자 수가 일일평균 100만명 이상
제39조의11
(국내대리인의 지정)
-> 시행령에 보험 등 가입 대상자의 범위 및 기준 등(제48조의7)
-> 시행령에 국내대리인 지정 대상자의 범위(제48조의9)

14. 5. 정보통신서비스 제공자 등의 개인정보 처리 등 특례
• 이용자의 개인정보를 국외에 제공(조회 포함)ㆍ처리위탁ㆍ보관하려
면 이용자의 동의를 받아야 (단, 처리위탁ㆍ보관은 처리방침에 공개
하거나, 이메일 등으로 고지로 대체 가능)
제39조의12(국외 이
전 개인정보의 보호)
• 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등
에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있음(단, 조
약 또는 그 밖의 국제협정의 이행에 필요한 경우 제외
제39조의13(상호주의)
• 방송사업자에게 본 특례를 준용함
제39조의14(방송사업
자등에 대한 특례)
• 특정 조항 위반 시 위반행위와 관련한 매출액의 100분의 3 이하에
해당하는 금액을 과징금으로 부과
제39조의15(과징금의
부과 등에 대한 특례
-> 시행령에 과징금의 산정 기준, 부과 및 납부, 환급가산금의 이자율(제48조의 11~13)
-> 시행령에 개인정보 국외 이전 시 보호조치(제48조의10)

15. II. 가명정보 처리 가이드라인 해설

16. 1. 가명정보의 처리 등
법 제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계
작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의
동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제
공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있
는 정보를 포함해서는 아니 된다.
가이드라인
• 통계작성은 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며, 시장조사와
같은 상업적 목적의 통계 처리도 포함됨
• 과학적 연구는 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법
(체계적이고 객관적인 방법으로 검증 가능한 질문에 대해 연구하는 것)을 적용하는 연구를
의미하며, 기술ᆞ제품ᆞ서비스 개발 등 산업적 목적을 위해서도 수행이 가능함

17. 2. 가명처리의 절차
가이드라인
• 사전준비에 있어 가명정보 처리목적을 구체적으로 규정해야
 신제품 개발을 위한 과학적 연구 수행 (X)
 **제품의 성능 개선을 위해 개인별 ***특성에 대한 설문조사를 토대로 개인별 특성과
성능 요인의 연관성에 대한 과학적 연구 (O)
• 항목별 위험도를 바탕으로 가명처리를 한 경우에도 ‘특이정보’를 통해 개인식별이 가능할
수 있으므로 추가로 가명처리를 할 필요가 있음
• 온라인에 공개된 정보와의 결합 가능성을 고려해야 함
사전준비 (목적의 적
합성 및 사전계획 수
립)
가명처리 (가명처리
수준정의 및 처리)
적정성 검토 및 추
가 가명처리
활용 및 사후관리

18. 3. 가명정보의 결합 제한
법 제28조의3(가명정보의 결합 제한) ① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익
적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는
관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제
58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
가이드라인
• 수탁자를 통하여 가명정보를 처리하는 경
우는 내부 활용에 해당하며, 제3자로부터
제공받은 가명정보와 본인이 보유한 가명
정보를 결합하는 경우는 내부결합에 해당
하지 않으므로 전문기관을 통하여야 함
[금융위원회 ‘신용정보법 개정안 주요 내용‘ 자료 발췌]

19. 시행령 제29조의3(개인정보처리자 간 가명정보의 결합 및 반출 등) ① 결합신청자는 결합전문
기관에 결합신청서 등을 제출한다.
4. 가명정보의 결합 절차
가명정보의 결합 및 반출 등에 관한 고시 제8조(가명정보의 결합 신청 등) ③ 결합전문기관은
가명정보의 결합 일정 및 절차 등 결합에 필요한 사항을 결합신청자와 협의하여야 한다.
제9조(가명정보의 결합) ① 결합신청자는 제8조제3항에 따른 협의 결과에 따라 결합키는 결합
키관리기관에게 송부하고, 그 외의 결합을 하려는 정보는 결합전문기관에게 송부하여야 한다.
이 경우 결합신청자는 결합에 필요한 일련번호를 포함하여 결합키관리기관과 결합전문기관에
게 각각 송부하여야 한다.
② 결합키관리기관은 결합신청자로부터 결합키를 제공받아 지체 없이 결합키연계정보를 생성
하여 결합전문기관에 제공하여야 한다.
사전준비 및
결합신청
결합키 생성 및
정보 송신
추가처리 및
반출요청
반출 및
사후관리

20. 시행령 제29조의3(개인정보처리자 간 가명정보의 결합 및 반출 등) ③ 결합신청자는 결합한 정
보를 결합전문기관 외부로 반출하려는 경우에는 결합전문기관에 설치된 안전성 확보에 필요한
기술적ㆍ관리적ㆍ물리적 조치가 된 공간에서 결합된 정보를 가명정보 또는 익명정보로 처리한
뒤 결합전문기관의 승인을 받아야 한다.
④ 결합전문기관은 반출심사위원회를 구성하여 다음 기준을 충족 시 반출을 승인해야 한다.
1. 결합 목적과 반출 정보가 관련성이 있을 것
2. 특정 개인을 알아볼 가능성이 없을 것
3. 반출 정보에 대한 안전조치 계획이 있을 것
4. 가명정보의 결합 절차
사전준비 및
결합신청
결합키 생성 및
정보 송신
추가처리 및
반출요청
반출 및
사후관리

21. 법 제28조의4(가명정보에 대한 안전조치의무 등) ① 개인정보처리자는 가명정보를 처리하는
경우에는 대통령령에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 함
5. 가명정보의 안전한 관리(관리적 보호조치)
시행령 제29조의5(가명정보에 대한 안전성 확보 조치)
1. 제30조(개인정보의 안전성 확보 조치) 또는 제48조의2 (개인정보의 안전성 확보 조치에 관
한 특례)에 따른 안전성 확보 조치
가이드라인
• 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리계획
을 수립ᆞ시행 (가이드라인상 내부 관리계획 포함 사항 예시 참고)
• 가명정보 처리업무를 외부에 위탁하는 경우 수탁자 관리ᆞ감독
의무 부담 (가이드라인상 위탁계약서에 들어가야 할 사항 예시 참
고)
* 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 포함
(법 제26조 제1항 제1호)

22. 5. 가명정보의 안전한 관리(기술적ᆞ물리적 보호조치)
시행령 제29조의5(가명정보에 대한 안전성 확보 조치)
2. 가명정보와 추가정보의 분리 보관. 다만, 추가정보가 불필요한 경우에는 추가정보를 파기
3. 가명정보와 추가정보에 대한 접근 권한의 분리. 다만, 소상공인으로서 가명정보를 취급할 자
를 추가로 둘 여력이 없는 경우 등 접근 권한의 분리가 어려운 정당한 사유가 있는 경우에는
업무 수행에 필요한 최소한의 접근 권한만 부여하고 접근 권한의 보유 현황을 기록으로 보관
하는 등 접근 권한을 관리ㆍ통제해야 한다.
가이드라인
• 가명처리를 수행한 자와 가명정보취급자(활용 등), 가명정보의 적정성을 검토하는 자는 관
리적 또는 기술적으로 권한을 분리해야
• 가명처리 단계에서 생성되는 추가정보는 원칙적으로 파기하되, 필요 시 분리보관하여야
* 추가정보 파기 시 파기에 대한 기록을 작성하고 보관할 필요가 있음
• 가명정보처리시스템의 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록 및 3년간 보관
• 가명정보 또는 추가정보가 보관되는 시설의 출입 통제, 보조저장매체의 반ᆞ출입 통제 등
법 제28조의4(가명정보에 대한 안전조치의무 등) ② 가명정보의 처리 내용을 관리하기 위하여
대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 함
-> 시행령 제29조의5 제2항

23. 법 제28조의5(가명정보 처리 시 금지의무 등) ① 누구든지 특정 개인을 알아보기 위한 목적으
로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성
된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
법 제28조의6(가명정보 처리에 대한 과징금 부과 등) ① 보호위원회는 개인정보처리자가 제28
조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액
의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 매
출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의
3 중 큰 금액 이하로 과징금을 부과할 수 있다.
-> 제29조의6(가명정보 처리에 대한 과징금의 부과기준 등)
법 제71조(벌칙) 5년 이하의 징역 또는 5천만원 이하의 벌금형
4의2. 제28조의3을 위반하여 가명정보를 처리하거나 제3자에게 제공한 자 및 그 사정을 알면
서도 영리 또는 부정한 목적으로 가명정보를 제공받은 자
4의3. 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자
6. 가명정보 처리 시 금지의무 및 과징금 부과, 처벌

24. III. 개정 신용정보법 및 시행령 해설

25. 1. 신용정보의 개념 체계 정비 및 「개인정보 보호법」과의 관계 규정
• 대통령령에서 규정하고 있는 신용정보 등의 주요 개념을 법률에서 직접 규정하고, 기술의
발전과 금융환경 변화 등에 맞추어 신용정보 등의 개념을 체계적으로 정비함
• 개인신용정보의 처리에 관하여 「개인정보 보호법」 등과의 관계를 명확히 하고, 유사ㆍ중복
조항 등을 정비함
 신용정보법은 개인정보의 결합을 개인정보 “처리”로 명시적으로 규정하고 있음
 정보주체의 동의 없이 개인정보를 수집·처리할 수 있는 경우에 대한 규정, 개인정보 처
리 업무 위탁에 관한 규정, 신용정보관리ㆍ보호인에 대하여 개인정보 보호책임자에 관
한 규정을 준용

26. 2. 가명정보 처리에 대한 조항 신설
• 가명처리, 가명정보의 개념을 도입하고, 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를
제공하는 경우 등 신용정보주체의 동의 없이도 개인신용정보를 제공할 수 있는 사유를 추가함
 시장조사 등 상업적 목적의 통계작성을 포함하며, 연구에는 산업적 연구를 포함함
• 신용정보회사 등은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우
에는 금융위원회가 지정한 데이터전문기관을 통해서만 하도록 하고, 정보집합물의 결합 목적으로
데이터전문기관에게 개인신용정보를 제공하는 경우 신용정보주체의 동의 없이도 개인신용정보를
제공할 수 있도록 함
 정보집합물: 정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나
배열된 둘 이상의 정보들

27. 2. 가명정보 처리에 대한 조항 신설
• 가명정보를 이용하는 경우 아래 각 호를 고려하여 가명처리 시 정한 기간 동안 보존 가능
 추가정보 및 가명정보에 대한 관리적ㆍ물리적ㆍ기술적 보호조치 수준
 가명정보의 재식별 시 정보주체에 미치는 영향
 가명정보의 재식별 가능성
 가명정보의 이용목적 및 그 목적 달성에 필요한 최소기간
• 가명처리ㆍ익명처리에 관한 행위규칙을 정함
 추가정보의 분리 보관 또는 삭제
 가명정보 보호를 위한 내부관리계획 수립 및 접속 기록 보관
 익명처리가 적정하게 이루어졌는지 여부에 대하여 금융위에 심사를 요청할 수 있으며,
적정평가를 받은 경우 해당 정보를 신용정보주체를 알아볼 수 없는 정보로 추정함
 특정 개인을 알아볼 수 있게 된 경우 가명정보를 회수하고 처리 중지, 해당 정보 삭제
 가명처리 및 익명처리 기록 3년간 보관

28. 2. 가명정보 처리에 대한 조항 신설
• 영리 또는 부정한 목적으로 특정 개인을 알아볼
수 있게 가명정보를 처리한 경우 전체 매출액의
100분의 3 이하에 해당하는 금액을 과징금으로
부과하고, 5년 이하의 징역 또는 5천만원 이하의
벌금형으로 처벌 근거를 마련함

29. 3. 이용자의 권리 등
• 개인인 신용정보주체가 신용정보제공ㆍ이용자 등에 대하여 본인에 관한 개인신용정보를 본인이나 본
인신용정보관리회사 등에게 전송하여 줄 것을 요구할 수 있는 개인신용정보의 전송요구권을 도입
• 보다 쉬운 용어나 단순하고 시청각적인 전달 수단 등을 사용하여 신용정보주체가 정보활용 동의 사항
을 이해할 수 있도록 할 것 등 개인신용정보 활용에 관한 동의의 원칙과 구체적인 동의 방법을 명확히
함
• 대통령령으로 정하는 신용정보제공ㆍ이용자는 정보활용 동의사항에 대하여 금융위원회가 평가한 등
급을 신용정보주체에게 알리고 정보활용 동의를 받도록 하고, 금융위원회는 사생활의 비밀과 자유를
침해할 위험, 신용정보주체가 받게 되는 이익 등을 고려하여 정보활용 동의등급을 부여하도록 함
• 신용정보회사 등이 고의 또는 중대한 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실ㆍ도
난ㆍ누출ㆍ변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우 해당 신용정보주체에 대한 손해
배상의 범위를 그 손해의 5배를 넘지 아니하는 범위로 확대함

30. 4. 금융위원회와 개인정보 보호위원회의 권한
• 신용정보회사 등의 신용정보관리ㆍ보호인은 처리하는 개인신용정보의 관리 및 보호 실태를
정기적으로 점검하고, 그 결과를 금융위원회에 제출하도록 하며, 금융위원회는 이를 확인하
여 그 결과를 점수 또는 등급으로 표시하고, 금융감독원이 신용정보회사 등의 업무와 재산상
황을 검사할 때 그 점수나 등급을 활용할 수 있도록 함
• 금융회사 등을 제외한 신용정보제공ㆍ이용자인 상거래기업 및 법인에 대해서는 금융위원회
의 감독, 금융감독원의 검사 등을 대신하여 개인정보 보호위원회에 자료제출요구ㆍ검사권ㆍ
출입권ㆍ시정명령, 과징금 및 과태료 부과 등의 권한을 부여함