DRB 심의 대상은 개인정보 보호법 제28조의2에 따른 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리하는 건이므로 익명 정보를 이용하여 실시하는 연구의 경우에는 DRB 심의 대상이 아님.
다만, 개인정보를 익명처리 결과 등에 대해 검토하거나 제3자 제공을 위한 위험성 검토 등을 위해서 '보건의료데이터 활용 가이드라인'에서 제시하는 심의 절차를 준용할 수 있음.
DRB 심의 대상은 개인정보 보호법 제28조의2에 따른 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리하는 건이므로 정보 주체의 동의를 받아 실시하는 연구의 경우에는 DRB 심의 대상이 아님.
다만, 개인정보를 처리하는 데에 필요한 조치를 위해서 안전한 개인정보 처리를 위해 필요시 '보건의료데이터 활용 가이드라인'에서 제시하는 심의 절차를 준용할 수 있음.
가명정보를 제공받은 기관이 인수되거나 합병될 경우 가명정보를 즉시 파기하거나 인수기업이 의무를 승계하도록 정할 것을 권장
재식별 등 손해배상에 관한 내용, 배상보험 가입에 관한 내용을 양도 조건에 담을것을 권장
이미 가명처리된 가명정보의 경우 재식별할 수 없도록 규정하고 있고, 가명정보를 통해 식별이 불가능하므로 개인정보의 처리정지 요구를 거절할 수 있음
처리정지를 거절하면 정보주체에게 지체 없이 그 사유를 알려야 함
개인정보처리자는 가명정보의 처리 목적이 달성되거나 가명정보 보유 기간이 경과한 때에는 그 가명정보를 지체 없이 파기할 것을 권장
개인정보처리자(A)는 보유 중인 개인정보를 가명처리하여 외부(B)에 제공할 경우, 서면으로 A, B의 책임 및 권한*을 명확히 할 것을 권장함
* 활용목적, 활용방법, 보호방법, 재제공가능여부, 대가, 파기의무, 손해배상책임의 한계 등
정해진 활용목적 이외 특정 개인을 식별하는 행위를 하는 경우 해당 행위자가 처벌받음
[개인정보보보호법]
제28조의5(가명정보 처리 시 금지의무 등) ① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
[본조신설 2020. 2. 4.]
‘식별가능’ 여부는 배경지식*에 따라 그 수준이 크게 달라지고, 실제로 식별되기 전 까지는 식별이 될 수 있을지를 예측하기 어려움
* 가명정보를 처리하고 있는 개인정보처리자가 해당 개인정보 외에 보유한 모든 정보
따라서 ‘식별가능성’의 수준은 절대적 또는 상대적으로 평가하기는 어려우며, 가명 정보를 입수하는 사람 또는 가명정보가 처리되는 환경이 접할 수 있는 배경지식을
적절하게 통제하였는지, 식별에 사용될 가능성이 있는 정보를 충실히 삭제·배제하고, 식별을 어렵게 하는 기술적·관리적·물리적 조치*를 충실히 다하였는지 등을 평가함으로써 식별가능성이 적절하게 관리·최소화되는지 여부를 살피는 것이 적절함
* 관계 법령 및 본 가이드라인 내용에 따른 조치·절차
가명정보 제공 시 제공받는 자에 제한을 둘 수 있는 규정은 없음
다만, 원 개인정보처리자는 가명정보를 제공받은 자가 (그들의 주장과 달리) ‘과학적 연구 등’을 실시하지 않고 다른 목적으로 이용할 가능성이 있는지 등에 대해 살펴 제공하지 않을 권리는 있음
가명정보의 제공은 의무사항이 아니며, 개인정보처리자의 재량 범위에 있음
다만 공공기관의 경우 공공기관이 보유한 데이터의 편리하고 보편적인 이용·활용을 위해 노력할 의무를 규정한 공공데이터법*을 함께 고려하여 정책을 수립할 필요
*[공공데이터의 제공 및 이용 활성화에 관한 법률]
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2016. 1. 6., 2020. 6. 9.>
1. “공공기관”이란 국가기관, 지방자치단체 및 「지능정보화 기본법」 제2조제16호에 따른 공공기관을 말한다.
2. “공공데이터”란 데이터베이스, 전자화된 파일 등 공공기관이 법령 등에서 정하는 목적을 위하여 생성 또는 취득하여 관리하고 있는 광(光) 또는 전자적 방식으로 처리된 자료 또는 정보로서 다음 각 목의 어느 하나에 해당하는 것을 말한다.
가. 「전자정부법」 제2조제6호에 따른 행정정보
나. 「지능정보화 기본법」 제2조제1호에 따른 정보 중 공공기관이 생산한 정보
다. 「공공기록물 관리에 관한 법률」 제20조제1항에 따른 전자기록물 중 대통령령으로 정하는 전자기록물
라. 그 밖에 대통령령으로 정하는 자료 또는 정보
3. “기계 판독이 가능한 형태”란 소프트웨어로 데이터의 개별내용 또는 내부구조를 확인하거나 수정, 변환, 추출 등 가공할 수 있는 상태를 말한다.
4. “제공”이란 공공기관이 이용자로 하여금 기계 판독이 가능한 형태의 공공데이터에 접근할 수 있게 하거나 이를 다양한 방식으로 전달하는 것을 말한다.
제3조(기본원칙) ① 공공기관은 누구든지 공공데이터를 편리하게 이용할 수 있도록 노력하여야 하며, 이용권의 보편적 확대를 위하여 필요한 조치를 취하여야 한다.
② 공공기관은 공공데이터에 관한 국민의 접근과 이용에 있어서 평등의 원칙을 보장하여야 한다.
③ 공공기관은 정보통신망을 통하여 일반에 공개된 공공데이터에 관하여 제28조제1항 각 호의 경우를 제외하고는 이용자의 접근제한이나 차단 등 이용저해행위를 하여서는 아니 된다.
④ 공공기관은 다른 법률에 특별한 규정이 있는 경우 또는 제28조제1항 각 호의 경우를 제외하고는 공공데이터의 영리적 이용인 경우에도 이를 금지 또는 제한하여서는 아니 된다.
⑤ 이용자는 공공데이터를 이용하는 경우 국가안전보장 등 공익이나 타인의 권리를 침해하지 아니하도록 법령이나 이용조건 등에 따른 의무를 준수하여야 하며, 신의에 따라 성실하게 이용하여야 한다.
제28조(공공데이터의 제공중단) ① 공공기관의 장은 다음 각 호의 어느 하나에 해당하는 경우 공공데이터의 제공을 중단할 수 있다.
1. 이용자가 제19조에 따라 공표된 공공데이터의 이용요건을 위반하여 공공기관 본래의 업무수행에 상당한 지장을 초래할 우려가 있는 경우
2. 공공데이터의 이용이 제3자의 권리를 현저하게 침해하는 경우
3. 공공데이터를 범죄 등의 불법행위에 악용하는 경우
4. 그 밖에 공공데이터의 관리 및 이용에 적합하지 아니한 경우로서 제29조에 따른 공공데이터제공분쟁조정위원회가 정하는 경우
② 공공기관의 장은 제20조제1항 각 호에 따른 사유로 행정안전부장관에게 목록 제외 요청을 한 경우 전략위원회의 심의ㆍ의결 전에 제공중단 조치를 취할 수 있다. <개정 2014. 11. 19., 2017. 7. 26.>
③ 제1항에 따라 공공데이터의 제공이 중단된 경우 이용자는 중단사유가 해소된 후 다시 제26조에 따라 제공받을 수 있다.
④ 그 밖에 공공데이터 제공중단의 절차ㆍ방법 등 필요한 사항은 대통령령으로 정한다.
가명정보를 처리할 자가 자신의 처리 목적이 “과학적 연구” 인지 여부에 대한 입증 책임을 지되, 원 개인정보처리자가 가명정보의 활용 여부를 최종적으로 결정하여야 함
* 가명정보를 재제공할 경우, 재제공하는 자가 결정
(A) 원 처리자: 결정
↓(제공)
(B) 가명정보 처리자: 입증, 결정
↓(재제공)
(C) 가명정보 처리자: 입증
개인정보처리자(A)는 가명정보를 제3자(B)에게 제공하고자 하는 경우에는 해당 가명정보를 생산하는 데 사용된 원 개인정보의 처리자(C)와 협의를 거쳐(또는 계약에
따라 승인을 받아), 원 개인정보의 수집목적, 정보의 내용, B가 수행하고자 하는 연구의 목적 등을 종합적으로 고려하고, 심의위원회 심의를 거쳐 제공여부를 결정 하여야 함
가명 정보의 일부분 가공 후 재제공은 가능하지만 적절한 절차에 따라 재제공 여부를 결정하여야 함
재식별이 될 경우 행위자 처벌과는 무관하게, 정보주체의 인권 및 사생활 보호에 중대한 피해를 야기할 수 있는 아래의 정보에 대해서는 본인의 동의를 받아 활용하는 것을 원칙으로 함
- 정신질환 정보
- 감염병예방법 제2조제10호에 따른 성매개감염병 정보
- 후천성면역결핍증 정보
- 희귀질환관리법 제2조제1호에 따른 희귀질환 정보
- 학대 및 낙태 관련 정보 (질병분류코드 기준으로 T74, O04 그 외 의료진 판단 활용)
그럼에도 불구하고, 위 정보를 특별히 가명처리하여 연구 등 목적으로 활용하는 등 필요성이 인정되는 경우,
심의위원회에 그 사유와 인권을 보호할 특별한 보호조치* 등을 보고한 뒤 승인을 얻어 활용할 수 있음
* (예시) 원 개인정보처리자 내 분석공간 활용 등
* 처리 목적, 처리자, 연구방법, 특별보호조치 등을 홈페이지 등에 공개