데이터 3 법이란?
데이터 이용을 활성화하는 '개인정보 보호법', '정보통신망법', '신용정보법' 3가지 법률을 통칭한다.
4차 산업혁명 시대를 맞아 인공지능(AI), Cloud, 사물인터넷(IoT)등 신기술을 활용하기 위해서 핵심 자원인 데이터의 이용이 불가피해졌다. 그렇기에 안전한 데이터 이용을 위한 사회적 규범 정립과 데이터 이용에 관한 규제 혁신과 개인정보 보호 거버넌스 체계 정비의 문제를 해결하기 위해 개인정보보호 소관 부처를 하나로 모아 중복 규제를 없애고 4차 산업혁명 도래에 맞춰 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 데이터 3법 개정안이 발의됐다.(18.11.15)
법률 주요 개정안
1. 데이터 이용 활성화를 위한 가명정보 개념 도입
2. 관련 법률의 유사 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 거버넌스 체계의 효율화
3. 데이터 활용에 따른 개인정보 처리자의 책임 강화
4. 모호한 '개인정보'판단 기준의 명확화
개인정보보호법 개정안
1. 가명정보 도입
- 개인정보와 관련된 개념체계를 개인정보, 가명정보, 익명정보로 명확화
- 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입
- 가명정보는 정보주체 동의 없이 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 처리할 수 있도록 함
- 서로 다른 기업이 보유하는 가명정보를 보안시설을 갖춘 전문기관을 통해 결합할 수 있도록 함
- 가명정보를 처리하거나 정보집합물을 결합하는 경우 안전성 확보조치를 하도록 하고, 특정 개인을 알아보는 행위 금지, 위반 시 형사버르 과징금 등의 벌칙 부과
2. 정보주체의 동의 없이 이용할 수 있는 개인정보 범위 구체화
- 당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 정보주체의 동의없이 개인정보의 이용 및 제공 허용
3. 개인정보의 범위 명확화
- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
- 시간, 비용, 기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화
정보통신망법 개정안
1. 온라인 이용자들의 개인정보 규제 및 감독권을 '개인정보보호위원회' 로 이관
신용정보법 개정안
1. 금융분야 빅데이터 분석 및 이용 법적 근거 명확화
- '가명정보'는 통계작성(상업적 목적 포함), 연구(상업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용 가능
- 데이터 결합의 법적 근거 마련하되 국가지정 전문기관 통한 데이터 결합만 허용
- 가명정보 활용과 결합에 대한 안전 장치 및 사후통제 수단 마련
2. 금융분야 마이데이터 산업 도입
- 정보주체의 권리행사에 따라 본인정보 통합조회, 신용 및 자산관리 등 서비스를 제공하는 마이 데이터 산업 도입
- 서비스의 안전한 정보보호 및 보안체계 마련
* 마이데이터 : 개인 스스로에게 데이터 주권을 돌려주는 것을 말한다. 자신의 정보를 스스로 관리하고 금융회사 등 기업뿐 아니라 정보주체인 개인이 데이터를 활용해 편익에 활용할 수 있다.
3. 금융분야 개인정보보호 강화
- 본인 정보를 다른 금융회사 등으로 제공토록 요구 가능한 '개인신용정보 이동권' 도입
- 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화
개인정보? (개인정보 보호법 제2조(정의))
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
가명정보? (개인정보 보호법 제2조(정의), 신용정보의 이용 및 보호에 관한 법률 제2조(정의))
1의2. "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
15. "가명처리"란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서 제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.
가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우
나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우
다. 가목 및 나목과 유사한 경우로서 대통령령으로 정하는 경우
익명정보? (신용정보의 이용 및 보호에 관한 법률 제2조(정의))
17. "익명처리"란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다.
|
개인정보 |
가명정보 |
익명정보 |
|
홍길동/35세/남성/경기도 분당시 불정로 6 거주/식당운영/월소비액 150만원 |
20번 손님/35세/자영업/경기도 분당시 거주/월소비액 150만원 |
30대/남성/경기도 분당시 거주/월소비액 100~200만원 |
가명 정보는 정보주체 동의 없이 활용 가능!
데이터 3법 개정의 핵심 내용은 가명 정보를 예외적으로 정보주체의 동의 없이 활용 가능하다는 것 입니다. 기존 법에서는 가명 정보 또한 정보 주체의 사전적, 구체적 동의를 반드시 받아야만 활용이 가능했던 반면, 개정법에서는 개개인의 정보가 가명 조치되면 예외적 경우에 한해 동의 없이도 국가, 공공기관, 기업 등이 사용할 수 있게 되고, 이를 넘어서 제3자에게 제공 또한 가능합니다.
데이터 3법 활용예시
- 직장인 A씨는 종합금융플랫폼에 접속해 자신의 카드 소비, 은행별 저축 내역, 주식 투자 상황을 한눈에 파악한다. 뒤이어 업체에서 추천하는 맞춤형 금융 상품을 확인하고, 투자를 진행한다.
- B 기업은 맞춤형 상품추천 AI를 개발 중인데, 어떤 고객이 어떤 물건을 사는지에 관한 데이터가 없다. 이에 데이터거래소에서 가명정보 기반의 나이별 소비정보를 구매해 AI 학습에 활용했다.
데이터 3법 부정적인 시선
가명정보 10개가 모이면 개인정보를 파악할 수 있게 된다는 전문가들의 소견이 있어 개인정보의 유출 및 악용될 수 있고 산업 발전을 위한 데이터의 무분별한 오남용이 발생할 수 있게된다는 부정적인 시선도 있습니다.
감사합니다.