개인정보 - 데이터 3법

 

데이터 3법 개정 개요

■ (배경) 데이터가 4차 산업혁명 발전의 주요 요소로 부각되고 있어 데이터 활용범위를 확대하기 위한 데이터 규제 완화 및 개인정보보호 규제의 체계 정비

■ (목적) 개인정보보호 소관 부처를 '개인정보보호위원회'로 일원화하고, 중복규제를 없애 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 추진

■ (경과) 국회 본회의 통과(2020.1.9.), 개정안 공포(2.4.), 시행(8.5. 예정)

■ (내용) 추가 정보의 결합 없이 개인을 식별할수 없도록 처리된 가명정보 개념 도입

 

 

 EU 집행위원회에서는 개인정보보위원회의 Control Tower 기능이 약해, 한국에 적정성 부적격을 결정했으며,

그로 인해 많은 기업들이 EU 진출에 어려움을 겪고 있습니다.

 

개인정보보호법, 정보통신망법, 신용정보법에서 개인정보관련 Control Tower 역할은 개인정보호법으로 통합 이관하면서, EU 집행위원회의 적정성 결정 승인을 받을 것으로 예상되며, 그로 인해 많은 기업들이 EU 진출에 박차를 가할 것으로 기대하고 있습니다. 그리고 가명정보의 활용을 구체적으로 명시하고 있어, 이전보다 완화된 규제로 인해 빅데이터 분야에 많은 도움이 될 것으로 기대하고 있습니다.

 

데이터 3법은 개인정보법, 정보통신망법, 신용정보법의 개정을 통해 데이터 활용을 향상시키위한 내용입니다. 주요내용은 가명정보를 명세화 한것과, 개인정보보호위원회의 역할을 강화한 것이 있습니다. 가명정보와 익명정보를 담당자 입장에서 상세히 비교 말씀드리면, 먼저 가명정보는 개인정보 주체가 식별이 불가능하도록 휴리스틱, 암호화, 교차기법등을 통해 치환하는 개념입니다. 반면에 익명정보는 개인정보 주체가 완전히 식별이 불가능하도록 변경하는 것으로 데이터 활용성이 없는 변경이 가장 큰 차이점 입니다.

 

 (http://blog.naver.com/skinfosec2000/221958231504

마이데이터 시대, 정보보호 문제는? - 신용정보보호법 중심으로

 

입법예고(3.31~5.11)

△개인정보보호법 시행령 개정안은

①개인정보의 추가적인 이용·제공 요건

②가명정보 결합 절차 및 전문기관 지정

③가명정보의 안전성 확보 조치 사항

④민감정보에 생체인식정보와 인종·민족정보 포함

⑤체계적인 개인정보보호를 위한 위원회 운영제도 개선

⑤정보통신망법 시행령의 관련 규정 이관이다.

 

△정보통신망법 시행령 개정안은

①정보통신망법 시행령 중 법률 일원화로 위임 근거가 사라진 조항 삭제

②정보통신망법에 존치되는 업무 관련 조문 체계 정비다.

 

△신용정보법 시행령 개정안은

①가명정보 결합 절차 및 전문기관 지정

②개인신용정보 전송요구권 도입

③마이데이터 산업 도입 ④신용정보업 규제체계 선진화

⑤금융권 정보보호 상시평가제 ⑤금융권 정보활용·제공 동의서 개편

 

https://www.boannews.com/media/view.asp?idx=87763&kind=0

데이터 3법 시행령 개정안, 열띤 토론의 장 펼쳐진다

 

 

https://www.gbsa.or.kr/board/industrial_trend.do?nttId=3241&pageIndex=1&searchCnd=&searchWrd=

경기도경제과학진흥원

 

 

 

https://byline.network/2020/03/307/

정부, ‘데이터3법’ 시행령 개정안 입법예고 - Byline Network

 

△가명정보 도입을 통한 데이터 이용 활성화

△개인정보 보호체계 일원화 △마이데이터 등 금융분야 데이터 신산업 도입

△전문기관을 통한 데이터 결합 지원 등을 위한 ‘개인정보보호법’(법률 제16930호, 2020.2.4 공포)과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(법률 제16955호, 2020.2.4 공포), ‘신용정보의 이용 및 보호에 관한 법률’(법률 제16957호, 2020.2.4 공포)이 개정

 

개인정보보호법 시행령 개정안 주요내용
먼저 ‘개인정보보호법’ 시행령 개정안의 주요 내용은 다음과 같다. 첫째, 개정된 개인정보보호법이 위임한 사항을 구체적으로 규정했다.

①개인정보의 추가적인 이용·제공(안 제14조의2)
개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의 없이 추가로 이용·제공할 수 있게 된다. 이는 EU 개인정보보호법(GDPR)에서 수집 목적과 양립 가능한 범위 내에서 추가 처리를 허용하는 요건과 유사한 내용으로, 추가로 동의를 받아야 했던 경직성을 완화할 수 있을 것으로 기대된다.

②가명정보 결합 절차 및 전문기관 지정(안 제29조의2, 제29조의3)
가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출할 수 있는 내용도 포함됐다. 전문기관이 가명정보를 결합해주면, 개인정보처리자는 전문기관 내에 마련된 안전한 분석 공간에서 결합된 정보를 분석할 수 있게 된다. 또한, AI 분석 등을 위한 데이터 반출의 필요성을 고려해 결합된 가명정보는 전문기관의 안전성 평가 및 승인을 거쳐서 전문기관 외부로 반출할 수 있다.

이와 함께 전문기관은 일정한 인력·조직, 시설·장비, 재정능력을 갖추어 지정될 수 있으며, 3년 간 지정의 효력이 인정된다. 정부는 안전한 데이터 활용에 대한 국민의 신뢰를 확보하기 위해서 전문기관은 전문성과 신뢰성이 있는 기관을 중심으로 지정·운영할 계획이다.

③가명정보의 안전성 확보조치(안 제29조의5)
가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 하고, 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리해야 하는 등의 물리적·기술적인 안전조치를 실시해야 한다. 또한, 가명정보 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성·보관하게 함으로써 안전성을 확보할 수 있도록 했다.

둘째, ‘민감정보’에 생체인식정보와 인종·민족정보를 포함하여 더욱 보호될 수 있도록 했다(안 제18조). 개인을 알아볼 목적으로 사용하는 지문·홍채·얼굴 등 생체인식정보는 개인 고유의 정보로서 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커서 이를 별도로 규율할 필요가 있고, 인종·민족정보는 우리 사회가 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는 데 사용되지 않도록 보호할 필요성이 높아졌다. 이에 따라 시행령에는 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가하여 별도로 정보주체의 동의를 받아서 처리하도록 했다.

셋째, 체계적 개인정보 보호를 위해 개인정보보호위원회 운영 제도를 개선했다. 시행령 제5조에서 전문위원회의 효율성과 전문성 제고를 위해 위원 정수를 당초 10명에서 20명으로 확대했다.

또한, 범정부 차원의 체계화된 개인정보 보호정책 추진과 개인정보 침해사고에 대한 예방 및 대응 등 개인정보보호 업무의 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시‧도 개인정보보호 협의회를 설치하고 운영하는 근거를 마련했다. 이와 함께 3년마다 수립하는 ‘개인정보보호 기본계획’의 수립부터 시행까지 최대 2년의 시차가 발생하던 문제를 해소하기 위해 시행 시점에 더 근접해서 수립하도록 하는 내용도 포함됐다.

넷째, 정보통신망법 시행령의 관련 규정을 이관했다. 정보통신망법의 개인정보 보호 규정이 개인정보보호법으로 이관됨에 따라, 그간 정보통신망법 시행령에 규정됐던 ‘개인정보 이용내역 통지’, ‘손해배상책임 보장’, ‘해외사업자의 국내대리인 지정’ 등 개인정보 보호 관련 조항을 개정안에 통합 반영했다.

정보통신망법 시행령 개정안 주요내용
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 시행령 개정안의 주요 내용은 다음과 같다. 데이터 3법 개정으로 온라인상의 개인정보 보호를 규율하던 정보통신망법의 개인정보 보호 규정이 개인정보보호법으로 통합됨에 따라 정보통신망법 시행령 규정 중 위임근거가 사라진 조항들을 삭제했다.

개인정보보호법 시행 이후에는 정보통신서비스 제공자도 개인정보보호법을 적용받게 되며, 이관된 업무는 개인정보보호위원회에서 수행하게 된다. 이와 함께 정보통신망법에 존치되는 온라인 본인확인기관 지정, 앱 접근권한 등의 업무와 관련한 조문 체계 정비도 개정안에 반영했다.

신용정보법 시행령 개정안 주요내용
마지막으로 ‘신용정보의 이용 및 보호에 관한 법률’ 시행령 개정안의 주요 내용은 다음과 같다.

①데이터 결합 절차 및 전문기관 지정(안 제22조의4, 제14조의2)
금융회사가 데이터를 결합하고자 하는 경우 금융위원회가 지정한 전문기관에 결합을 신청하도록 하고, 전문기관은 해당 데이터를 결합한 뒤 가명·익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공하도록 했다. 전문기관은 데이터 전문기관 업무 수행직원과 그 외의 인력을, 데이터 결합서버와 그 외의 서버를 분리하는 등 안전한 데이터 결합을 위한 위험관리체계를 갖추도록 했다.

②개인신용정보 전송요구권 도입(안 제18조의6, 제28조의3)
정보주체의 개인신용정보 전송요구권에 따라 금융회사, 상거래기업, 공공기관이 보유한 금융거래정보, 국세·지방세 등 공공정보, 보험료 납부정보, 기타 주요 거래내역 정보를 정보주체 본인, 금융회사, 개인신용평가회사 및 마이데이터 사업자에게 제공할 수 있도록 했다.

③마이데이터 산업 도입(안 제6조, 제11조, 제11조의2, 제18조의6)
개인신용정보 전송요구권을 근거로 마이데이터 산업을 도입했으며, 전자금융업, 대출 중개·주선 업무, 로보어드바이저(robo-advisor)를 이용한 투자자문·일임업을 다른 법령 등에 따른 허가 등을 받아 겸업할 수 있도록 했다. 또한, 개인신용정보 전송요구권 행사 범위 이상의 개인신용정보 수집 등 정보주체의 정당한 정보주권을 보장하지 않는 행위를 금지하여 신뢰받는 마이데이터 산업의 근간을 마련했다.

④신용정보업 규제체계 선진화(안 제6조, 제9조, 제11조, 제11조의2, 제18조의3부터 제18조의5)
신용정보업자는 안전한 데이터 처리를 위한 시스템 및 설비요건을 갖추도록 하고, 허가단위별 자본금 요건(5억원~50억원)에 따라 정해진 전문인력요건(2명~10명)을 갖추도록 했다. 또한, 신용정보업자의 데이터 분석 노하우 등을 활용, 수행 가능한 다양한 데이터 관련 업무를 다른 법령 등에 따른 허가 등을 받아 겸업할 수 있도록 했다.

이와 함께 자사·계열사에 대한 신용평점 우대 등 불공정한 신용평가 행위 또는 신용정보업자가 제공하는 서비스 계약 체결을 위해 신용등급 상향을 약속하는 행위 등 건전한 신용질서를 훼손할 수 있는 행위를 금지함으로써 신용정보업의 영업행위의 건전성을 제고시키는 내용을 담고 있다.

⑤금융권 정보보호 상시평가제(안 제16조의2)
금융회사 및 신용정보업자들은 연 1회 이상 ‘신용정보법’ 준수 현황을 점검하고 그 결과를 자율규제기구에 제출하도록 했으며, 제출된 결과를 바탕으로 금융당국이 필요시 현장점검, 테마 검사 등을 실시하고 취약부문 보완조치 등을 요구할 계획이다.

⑥금융권 정보활용·제공 동의서 개편(안 제29조의2, 제29조의3)
금융위원회가 금융회사 등의 개인정보 활용·제공 동의에 따른 위험 및 혜택, 가독성 등을 고려하여 정보활용 동의등급을 산정할 수 있도록 했다. 금융회사 등은 정보주체에게 요약된 정보활용·제공동의서를 통해 동의를 받을 경우 금융위원회가 산정한 정보활용 동의등급과 함께 개인정보 수집·이용·제공 목적, 수집·제공대상 정보, 정보 보유 및 제공기간 등을 필수적으로 알리도록 함으로써 ‘알고하는 동의’가 이루어질 수 있도록 했다.

이번 시행령 개정안의 입법예고 기간은 3월 31일부터 5월 11일까지이며 관계기관 협의, 규제 및 법제처 심사, 국무회의 등을 거쳐 8월 5일 공포·시행된다. 특히, 데이터 3법에 대한 국민의 관심이 크다는 점을 고려, 입법예고 기간 중 별도로 관계부처 합동 공청회(코로나19 확산 상황에 따라 온라인 의견 수렴 등 검토)를 개최해 각계의 의견을 수렴하고, 시행령 및 고시에 적극적으로 반영할 예정이다.

또한, ‘개인정보보호법’ 시행령에 포함되지 않은 가명정보 결합관련 구체적인 절차 및 전문기관 지정 요건 등의 세부사항은 신설 고시에 반영하여 5월 중 행정예고할 예정이다. 참고로, 산업적 연구를 위한 가명정보 활용, 적절한 가명처리 방법 등은 산업계 의견수렴을 거쳐 주요 사례를 이유와 함께 법 시행 시 법령 해설서에서 설명한다는 계획이다.

 

https://www.boannews.com/media/view.asp?idx=87291&kind=0

데이터 3법 시행령 개정안 입법예고, 어떤 내용 담겼나

 

 

http://blog.skinfosec.com/221849546782

[특집] ‘데이터 3법’이 무엇? 발의 배경 및 주요 내용

 

'데이터 3법'은 개인정보보호법·정보통신망법·신용정보법 개정안을 이르는 말이다. 개인을 식별할 수 없도록 처리된 '가명 정보'를 데이터로 활용하는 한편 현행법상 분산된 개인정보 보호 체계를 일원화하는 것이 법안의 골자다. 가명 정보를 활용하면 데이터를 활용해 새로운 서비스나 상품을 개발할 수 있다. 미래 주요 먹거리 산업인 인공지능(AI) 기술의 경쟁력 확보를 위해서는 법안 통과를 서둘러야 한다는 주장이 제기되고 있다.

 

3법 가운데 개인정보보호법 개정안 처리가 가장 시급하다. 노웅래 더불어민주당 의원이 대표발의한 정보통신망법 개정안, 같은 당 김병욱 의원이 대표발의한 신용정보법 개정안 모두 개인정보보호법 개정안 의결을 전제로 하고 있다. 20대 국회 회기 내에서 처리되지 못하면 개정안은 자동 폐기된다.

일각에서는 정보 주체에 대한 인권 침해 가능성을 우려하기도 한다. 국가인권위원회는 데이터 활용에서 개인정보 유출 사례가 빈번하다는 점을 지적하고 있다. 가명 정보 역시 개인이 원치 않는 상황에서도 특정될 수 있는 여지가 있다. 올해 구글, 페이스북 등 글로벌 정보기술(IT) 기업에서는 AI 기술 향상을 위한 데이터 수집 과정에서 유출 사고가 발생하기도 했다. 수집된 음성 녹음 내용에는 이용자 주소 등이 드러날 수 있는 대화가 상당수 포함되기도 했다.

 

https://premium.etnews.com/ict/index.html?id=647

전자신문

 

데이터 3법의 개정 목표는 무엇이었을까. 이 물음에 대한 답을 찾아가면서 우리는 데이터 3법 이후를 준비해야 한다. 데이터 3법의 올바른 방향을 제대로 이해하지도 못하고 또 제대로 준비도 하지 못한다면 데이터 3법에 바라는 우리의 기대는 우려로 바뀌고, '개인정보 도둑법'이라는 우려는 현실화할 것이다.

데이터 3법 개정은 분명 데이터 경제의 숨통을 터 주기 위한 '발판'을 마련했다는 중요한 의미가 있다. 그러나 개정법은 아무런 제약 없이 개인정보를 마음대로 쓰게 해 주려는 목적이 아니다. 개인정보가 포함된 데이터를 안전하게 잘 활용할 수 있도록 법으로 안전망을 위한 토대를 쌓았다는 점을 인식해야 한다. 안전망 내에서 개인정보로부터 편익을 얻게 하면서 동시에 보호가 보장될 수 있는 체계를 만들기 위함이다. 이런 인식을 토대로 우리가 당장 실천해야 할 과제를 세 가지로 요약할 수 있다.

개정법을 통해 허용되는 가명정보 처리나 양립 가능성에 근거한 개인정보 이용·제공, 개인정보 합리화 범위 설정 등이 본래 개정 취지를 살릴 수 있도록 하위법령 제정에 더해 충분한 가이드와 사례를 제공할 필요가 있다. 개인정보 보호 규제는 개별 사안에서 '맥락'과 합리 및 규범 상의 판단이 무엇보다 중요하다. 법을 지키면서 데이터를 잘 활용할 수 있도록 다양한 사례를 유형화하고 합리타당한 가이드를 제공함으로써 수범자가 책임감을 발휘해서 데이터를 활용할 수 있는 환경을 만들어 줘야 한다. 사례 축적을 통해 법의 해석·적용에서 일관성이 생기고, 안전한 개인정보 활용에 대한 국민 신뢰를 얻을 수 있다.

수범자에게는 법률상의 안정성과 일관성을 부여해 합법 활용을 위한 안전망을 제공할 수 있다. 안전한 데이터 처리 결과에 대한 고려도 중요하지만 비침해 성격의 안전한 데이터 활용을 위한 '과정'이 무엇보다 중요하다는 점도 잊지 말아야 한다.

적절한 기준과 가이드가 제시된다고 하더라도 개인정보보호위원회가 균형 잡힌 해석과 법 집행을 하지 않는다면 아무 소용이 없다. 위원회가 정치 중립성을 유지하고 전문성에 기초해 운영될 수 있도록 해야 데이터 경제 발전과 국민 개인정보 보호라는 두 가지 가치를 동시에 충족시킬 수 있다.

위원회를 구성할 때는 전문성을 갖춘 다양한 전문가가 포함되도록 해야 한다. 전문성을 갖추고 충분히 독립된 업무 수행을 할 수 있도록 조직과 예산을 확충해야 한다. 위원회는 다양한 영역에서 사각지대 없이 개인정보가 잘 보호될 수 있도록 타 부처와의 협력 및 조정 역할을 잘 수행할 수 있어야 한다.

미래 개인정보보호법제 비전과 방향을 제시해야 한다. 미래로 가는 길을 보여 줌으로써 이번 법 개정의 당위성을 뒷받침하고 향후 안정된 개인정보 규제 실현에 기여할 수 있다. 완전한 규제 일원화, 글로벌 수준 활용·보호 규제 담보, 민감정보나 개인영상정보에 대한 특별한 규제를 통한 보호 수준 제고, 인공지능(AI) 시대에 적합한 데이터 규제 체계 정립 등 데이터 규제의 안정 진화를 위한 로드맵을 제시할 필요가 있다. 이를 통해 국민에게 신뢰, 수범자에게는 법률 안정성을 부여함으로써 개인정보 보호와 안전한 활용이라는 두 마리 토끼를 함께 잡을 수 있을 것이다.

추상 성격의 신념이나 추구하는 가치만을 내세운 논쟁 단계는 지났다. 개인정보 규제 출발점인 기본 가치나 이념도 중요하지만 이제는 자세한 사례, 절차, 개별 사안 맥락, 결과에 대한 구체화된 다각도 분석과 판단 등 디테일에 집중해야 할 때다. 데이터에 대한 디테일한 접근을 통해 개정 데이터 3법이 '희망고문'에 그치지 않도록 모두 함께 노력해야 한다.

 

https://www.etnews.com/20200226000204

[기고]데이터 경제 숨통 터 준 데이터 3법이 희망고문에 그치지 않으려면