보건복지부 - 가명처리된 질병정보를 제공받는 경우 개인의 동의를 받아야 하는지 여부(「신용정보의 이용 및 보호에 관한 법률」 제33조제2항 등 관련)
1. 질의요지
「신용정보의 이용 및 보호에 관한 법률」(이하 “신용정보법”이라 함)에 따른 신용정보회사등(각주: 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 신용정보제공ㆍ이용자를 말하며, 이하 같음.)이 통계작성, 연구, 공익적 기록보존 등을 위해 의료기관으로부터 가명처리된 질병정보를 제공(각주: 의료기관 등이 보유하고 있는 질병정보를 「개인정보 보호법」 및 「생명윤리 및 안전에 관한 법률」 등에 따라 적법하게 가명처리하여 제공하는 경우를 전제함.)받아 활용하려는 경우, 질병정보 수집 시 해당 개인의 동의를 받도록 한 같은 법 제33조제2항이 적용되는지?
※ 질의배경
보건복지부에서는 위 질의요지와 관련하여 신용정보법 제33조제2항이 적용되지 않는다는 금융위원회의 의견에 이견이 있어 법제처에 법령해석을 요청함.
2. 회답
이 사안의 경우 신용정보법 제33조제2항이 적용되지 않습니다.
3. 이유
신용정보법 제33조제2항에서는 신용정보회사등이 개인의 질병, 상해 또는 그 밖에 이와 유사한 정보(이하 “질병정보”라 함)를 수집ㆍ조사하거나 제3자에게 제공하려면 미리 해당 개인의 동의를 받아야 한다고 규정하고 있는바, 이 사안은 신용정보회사등이 「개인정보 보호법」에 따라 가명처리된 질병정보를 수집하는 경우에도 해당 규정이 적용되는지가 문제됩니다.
우선 개인정보 보호에 관한 일반법인 「개인정보 보호법」 제3장제제3절(가명정보의 처리에 관한 특례) 제28조의2제1항에서는 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체의 동의 없이 가명정보를 처리할 수 있다고 규정하면서 가명정보의 범위에서 질병정보를 포함한 민감정보를 배제하고 있지 않고, 개인정보처리자의 범위 또한 제한하고 있지 않습니다.
그리고 「개인정보 보호법」 제28조의4 및 제28조의5에서는 가명정보를 원래의 상태로 복원할 수 없도록 하는 등 안전성 확보에 필요한 조치를 하고, 특정 개인을 알아보기 위한 목적으로 가명정보를 처리할 수 없도록 하는 등 가명정보 처리와 관련된 의무를 규정하고 있는바, 「개인정보 보호법」에 따라 가명처리된 질병정보 역시 해당 정보의 주체는 알아볼 수 없도록 처리된 것입니다.
그렇다면 이미 가명처리된 질병정보에 대해 그 정보주체인 개인을 특정하여 동의를 받는 것은 불가능하므로, 신용정보회사등이 개인의 질병정보를 수집ㆍ조사하거나 제3자에게 제공하려면 미리 해당 개인의 동의를 받도록 한 신용정보법 제33조제2항은 특정 개인인 정보주체를 알아볼 수 있는 질병정보를 전제로 한 규정으로 보는 것이 「개인정보 보호법」과의 관계를 고려한 체계적 해석입니다.
또한 「개인정보 보호법」 제28조의2에 따라 개인정보처리자는 정보주체의 동의 없이 질병정보를 가명처리하고 제3자에게 제공할 수 있는데, 신용정보회사등에 대해서만 가명처리된 질병정보의 수집․조사 및 제3자 제공을 위해 개인의 동의를 받아야 한다고 보는 것은 형평성에도 반하게 되고, 이 사안과 같이 가명처리된 질병정보를 제공하는 의료기관은 개인의 동의가 없어도 되는데 그 정보를 제공받는 신용정보회사등은 개인의 동의를 받아야 하는 불합리한 결과가 초래된다는 점도 고려해야 합니다.
따라서 이 사안과 같이 신용정보회사등이 「개인정보 보호법」에 따라 가명처리된 질병정보를 제공받는 경우는 신용정보법 제33조제2항의 적용 대상으로 볼 수 없습니다.
신용정보의 이용 및 보호에 관한 법률
제33조(개인신용정보의 이용) ① 개인신용정보는 다음 각 호의 어느 하나에 해당하는 경우에만 이용하여야 한다.
1. ∼ 5. (생 략)
② 신용정보회사등이 개인의 질병, 상해 또는 그 밖에 이와 유사한 정보를 수집ㆍ조사하거나 제3자에게 제공하려면 미리 제32조제1항 각 호의 방식으로 해당 개인의 동의를 받아야 하며, 대통령령으로 정하는 목적으로만 그 정보를 이용하여야 한다.
개인정보 보호법
제28조의2(가명정보의 처리 등) ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
제28조의4(가명정보에 대한 안전조치의무 등) ① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② (생 략)
제28조의5(가명정보 처리 시 금지의무 등) ① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
<관계 법령>
※ 법제처 법령해석의 효력 등에 대한 안내
법제처 법령해석은 행정부 내부에서 법령의 집행과 행정의 운영을 위해 통일성 있는 법령해석의 지침을 제시하는 제도로서, 법원의 확정판결과 같은 '법적 기속력'은 없습니다.
따라서 법령 소관 중앙행정기관 등이 구체적인 사실관계 등을 고려해 다르게 집행하는 경우도 있다는 점을 알려드립니다.
또한 법제처 법령해석은 '법령해석 당시'의 법령을 대상으로 한 것이므로, 법령해석 후 해석대상 법령이 개정되는 등 법령해석과 관련된 법령의 내용이 변경된 경우 종전 법령에 대한 법령해석의 내용이 현행 법령과 맞지 않을 수 있으므로 현행 법령을 참고하시기 바랍니다.
아울러「헌법」제 101조에 따라 사법권은 법원에 속하므로 「법제업무운영규정」 제26조제8항제2호 및 같은 조 제11항제2호에서는 '정립된 판례'가 있는 경우 법제처가 법령해석을 할 수 없다고 규정하고 있습니다.
따라서 법제처 법령해석과 다른 내용의 법원의 확정판결이 있는 경우 법원의 확정판결을 참고하시기 바랍니다.
100%
