빅 데이터, 인공지능 등 발전된 정보통신기술 시대를 대비하기 위하여 개인정보의 활용이 절실한 지금, 엄격한 사전 동의 방식을 채택하고 있는 우리의 「개인정보 보호법」이 처리자의 활용 재량을 확대하는 방향으로 개정되어야 한다는 논의가 활발하다.
이런 맥락에서 등장한 것이 「개인정보 보호법」을 개정하여 유럽과 같이 개인정보 처리에 있어서 양립 가능성 개념을 도입하자는 논의이다. 최근의 「개인정보 보호법」의 개정안 중에는 개인정보의 수집·이용(제15조), 제3자 제공(제17조) 및 목적 외 이용·제공(제18조)에 양립가능성 개념을 도입하고 정보주체의 동의 없이도 처리가 가능하도록 예외를 인정하는 법안들이 등장하였다. 그 취지는 개인정보의 보호와 활용의 균형점을 찾는다는 의미에서 의의가 있다고 볼 수 있다.
그러나 양립 가능성을 도입하고 있는 「개인정보 보호법」 개정안들도 법 기술방식과 인정 범위에는 차이가 있다. 또한 ‘정당한 이익’의 개념과 혼재되어 사용되고 있기도 하다. 이는 「개인정보 보호법」과 GDPR에서의 개인정보 ‘처리’(processing)를 규정하는 방식이 서로 다르고, 양립 가능성을 우리의 언어로 법문화 하는 과정에서 기인한 차이라고 보인다. 이러한 차이점을 최대한 수렴하여 아래와 같이 개정 방안을 제안하고자 한다.
‘양립 가능성’은 개인정보의 최초 수집이 있고, 그 수집 목적과 다른 새로운 목적이 생겼을 때 양립 가능한지를 판단하는 제도이다. 따라서 「개인정보 보호법」에서의 처리 단계 중에서 ‘목적 외 이용·제공’을 규정하는 제18조에 개념을 도입하고, 양립 가능성 여부를 판단하는 기준도 같은 조문에서 규정하는 것이 바람직할 것으로 보인다. ‘양립 가능한’의 개념은 개정안에 ‘수집 목적과 관련성이 있다고 합리적으로 인정되는’으로 법문화 되었는데 이는 정당한 이익의 개념과 혼동을 줄 수 있으므로, ‘양립 가능한’으로 기술하되 개념의 유동성은 그 판단 기준을 제공함으로써 완화할 수 있을 것이다. 현행 「개인정보 보호법」에서도 통계작성 등 목적으로 ‘특정 개인을 알아볼 수 없는 형태’로 제공하는 것은 동의없이 목적 외로 이용 또는 제공이 가능하다. 그러나 특정 개인을 알아볼 수 없는 형태에 대하여 규정하고 있는 별도의 조항이 없다. 따라서 ‘특정 개인을 알아볼 수 없는 형태’를 ‘가명처리’ 개념으로 대체하고, 통계작성 등 목적 외 처리가 인정되는 경우라 하더라도 가명처리 등 안전조치를 의무화하는 병행 개정이 이루어져야 할 것이다.

In the new era of advanced information technologies such as big data and AI, processing of personal data is necessary, but it is quite limited under the strict requisites for prior consent of PIPA(Personal Information Protection Act). In this context, introducing the concept of “compatibility” to PIPA like GDPR is emerging as the alternative to this issue. Differently put, by reforming PIPA, ‘people will be able to process personal data without data subjects’ prior consent insofar as the purposes between further processing and initial collection are compatible, in addition to currently accepted cases, statistical and research purposes.’ It is an exception of the purpose limitation principle that each purpose including new and changed purposes should have its own lawful basis such as consent in accordance with GDPR. The intent of this seems to be meaningful from the perspective of balancing between protection and utilization of personal data.
Reviewing recent revised bills on PIPA which introduce compatibility, however, they are not consistent in the way they determine its scope and codify its provisions. At times, the concept of compatibility is confused with that of legitimate interests. This seems to originate from the two facts. One is that PIPA divides into three stages of processing(collection, provision and out-of-purpose use & provision) unlike GDPR regulates just processing. The other is that the manners of translation of compatibility are not identical.
This paper seeks the desirable direction of implementation of compatibility and moreover offers the reformed bill by reflecting the way GDPR regulates compatibility and ironing out the differences among current revised bills.

국문요약
 Ⅰ. 서 론 –개인정보의 처리원칙 중 목적 제한의 원칙에 대한 예외와 도입 논의-
 Ⅱ. GDPR에서의 개인정보 처리와 목적제한의 원칙
 Ⅲ. GDPR에서의 목적의 양립 가능성 판단과 관련 쟁점
 Ⅳ. 목적의 양립 가능성과 정당한 이익과의 관계
 Ⅴ. 「개인정보 보호법」의 양립 가능성 도입에 관한 입법 동향과 검토 의견
 Ⅵ. 결 론 -「개인정보 보호법」상 양립가능성 도입을 위한 제안-
 참 고 문 헌
 Abstract

• 김현숙(국무조정실) | Kim Hyunsook (Office for Government Policy Coordination)