🤔 데이터 3법이 뭐길래?

Photo by  Chris Yang  on  Unsplash

데이터 3법이란?

데이터 이용을 활성화하는 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법), 신용 정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법) 등 3가지 법률을 통칭한다. - 정책위키

우리는 4차 산업혁명 시대를 살고 있다. 4차 산업형명 시대에서는 데이터가 핵심 자원으로 데이터 이용의 활성화를 통한 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등의 신산업 육성이 국가적 과제로 대두되고 있는 상황에서 신기술을 활용한 데이터 이용이 필요하다. 그러나 산업의 발전 속도가 너무 빨라서 그럴까? 법이 산업 발전 속도를 따라가지 못해, 법이 기술 발전을 저해하는 장애물이 되곤했다. 그러다 보니 규제의 차이가 곧 기술의 차이로 이어지기도 했다. 이런 상황에서 IT업계에서는 법 개정에 대한 목소리가 커져왔다. 다른 한편으로는, 안전한 데이터 이용을 위한 사회적 규범 정립도 시급했다. 이러한 목소리가 모여 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거버넌스) 체계 정비의 두 문제를 해결하기 위해 데이터 3법 개정안이 발의됐다.

법률 개정안 주요내용

다양한 각 법에 대한 세부 개정안이 있지만, 정부에서 요약한 데이터 3법 개정안의 주요 내용은 다음과 같다.

데이터 이용 활성화를 위한 가명정보 개념 도입

기존의 개인정보 보호법에서는 개인의 동의를 구해야 데이터를 받아올 수 있었다. 하지만, 이 과정에서 시간적, 절차적 비용이 많이 들고 유출의 위험도 있었다. 이에 가명정보라는 개념을 도입했는데, 가명정보란 개인정보와 달리 추가 정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보를 뜻한다. 예를 들어 개인정보가 1993년 3월 12일생 홍길동이라면, 가명정보는 1993년생 이모씨가 되어 개인을 특정할 수 없게 된다. 또한 이 가명정보는 개인정보와 달리 통계작성, 과학적 연구, 공익적 기록보존 목적으로는 정보주체의 동의없이 이용이 가능하다. 그리고 데이터의 불균형을 막기위해 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 하려한다.

관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화

위에 언급했던 것처럼 가명정보를 자유롭게 사용하는만큼 개인정보 보호 협치 체계의 효율화를 통한 안전한 데이터 이용을 위한 개정안으로 개인정보 보호 관련 사항이 「개인정보보호법」으로 이관되었고, 온라인상 개인정보 보호 관련 규제와 감독 주체가 ‘개인정보보호위원회’로 변경되었다.

데이터 활용에 따른 개인정보 처리자의 책임 강화

또한 개인정보 처리 과정에서 문제가 생길 경우 처리자에 대한 책임 강화를 위해 신용정보법 개정안에서는 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)하는 등 법 개정을 진행한다.

모호한 ‘개인정보’ 판단 기준의 명확화

이 전에는 개인정보라는 용어의 기준이 명확하지 않아 법에서의 판단에도 문제가 많았다. 이에따라 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설하고, 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(가명정보)의 경우 법 적용을 배제하는 방식으로 법을 개정한다.

데이터 3법 개정사항

데이터 3법 개정사항의 세부 내용은 다음과 같다.

개인정보 보호법 개정안

개정목적

• 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여
• 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진
• EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보

주요 내용

• 가명정보 도입 등을 통한 데이터 활용 제고
  • 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입
  • 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용
  • 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함
• 동의없이 처리할 수 있는 개인정보의 합리화
  • 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용·제공 허용
• 개인정보의 범위 명확화
  • 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
  • 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화
• 개인정보 보호체계 일원화
  • ‘개인정보보호위원회’ 국무총리 소속의 합의제 중앙행정기관으로 격상
  • 행정안전부와 방송통신위원회의 개인정보 보호관련 기능 전부와 금융위원회의 일반상거래 기업 조사·처분권을 개인정보보호위원회로 이관해 감독기구 일원화
  • 「개인정보 보호법」과 「정보통신망법」의 중복 규제를 정비해 법체계를 「개인정보 보호법」으로 일원화

정보통신망법 개정안

개정 목적

• 정보통신망법 내 개인정보 관련 다른 법령과의 유사·중복조항 정비와 협치(거버넌스) 개선

주요 내용

• 개인정보 보호 관련 사항은 「개인정보보호법」으로 이관
• 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경
  • 정보통신망법에 규정된 개인정보 보호에 관한 사항을 「개인정보보호법」으로 이관
  • 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방송통신위원회에서 ‘개인정보보호위원회’로 변경

신용정보법 개정안

개정 목적

• 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화
• 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신
• 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화
• 새로운 개인정보 자기결정권의 도입
  • 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등

주요 내용

• 금융분야 빅데이터 분석ㆍ이용의 법적 근거 명확화
  • ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용가능
    

    

  • 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만 허용
  • 가명정보 활용과 결합에 대한 안전장치 및 사후통제 수단 마련
• 개인정보보호위원회 기능 강화
  • 상거래 기업 및 법인의 개인 신용정보 보호를 위한 개인정보보호위원회의 법집행 기능 강화
• 「개인정보 보호법」과의 유사·중복 조항 정비
• 신용정보 관련 산업의 규제체계 선진화
  • 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분 및 진입규제 요건의 합리적 완화
    

    

  • 신용조회업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무 가능
  • 산업의 건전성 제고를 위해 영업행위 규제 신설, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도 도입
• 금융분야 마이데이터 산업 도입
  • 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이 데이터(MyData) 산업 도입
  • 서비스의 안전한 정보보호·보안체계 마련
• 금융분야 개인정보보호 강화
  • 정보활용 동의제도 개선, 정보활용등급제*도입 등 소비자가 “알고하는 동의 관행” 정착
    • 정보활용 동의시 정보제공에 따른 사생활 침해위험, 소비자혜택 등을 평가해 ‘정보활용 동의등급’ 산정·제공
  • 기계화ㆍ자동화된 데이터 처리(Profiling)*에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권 도입
    • 예 : 통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과
  • 본인 정보를 다른 금융회사 등으로 제공토록 요구 가능한 ‘개인신용정보 이동권’ 도입
  • 금융권의 정보활용ㆍ관리실태를 상시 평가하는 등 정보보호·보안 강화
  • 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)