데이터 3법 분석

개인정보보호법 개정 주요 내용

1. 개인정보보호위원회의 중앙행정기관화

개인정보보호위원회를 국무총리 소속의 중앙행정기관으로 임명, 독자적인 조직, 인사, 예산권 및 조사, 처분 등 집행권과 의안제출 건의권 및 국회, 국무회의 발언권을 부여함

현행 행정안정부와 방송통신위원회의 개인정보 관련 사무를 개인정보보호위원회로 이관하여 개인정보 보호 컨트롤 타워로서의 기능을 강화함

---

2. 개인정보 범위의 판단기준 제시

개정 전에는 "해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는"이라는 정의였음 -> 명확하지 않아 법 적용이 어려웠음

개정법은 "다른 정보의 입수 가능성" 등 기준을 제시하여 명확한 기준을 제시함

또 익명정보는 개인정보보호법을 적용하지 않는다는 규정도 신설함

---

3. 가명정보의 제도화 

개인정보처리자는 가명정보를 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 정보주체의 동의없이 처리할 수 있게 되었고, 개인정보처리자 간에 지정된 전문기관을 통해 가명정보를 결합하여 이용할 수 있어짐

-> 기존의 수집 목적과 합리적으로 관리되는 범위 내에서는 정보 주체의 동의 없이도 개인정보 이용이 가능하고, 나아가서 제3자에게 제공할 수 있는 근거가 마련됨. 

하지만 민감정보 (개인의 신체적, 생리적 행동적 특징에 관한 정보)는 별도의 동의를 필요로 함

동의 없이 이용하기 위해서는 아래의 4가지 항목을 따진다. 또 아래 4가지 사항은 '개인정보 처리방침'에 미리 공개해야 한다.

1) 당초 수집 목적과 관련성이 있는지
2) 개인 정보를 수집한 정황, 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용, 또는 제공에 대한 예측 가능성이 있는지
3) 정보 주체의 이익을 부당하게 침해하는지
4) 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지를 고려

가명정보 또한 개인정보에 해당하기 때문에 가명정보를 특정 개인을 식별하기 위한 목적으로 활용해선 안 된다고 명시하고 과징금과 처벌조항을 규정함

---

4. 개인정보와 관련된 개념의 규정

- 개인정보, 가명정보, 익명정보, 총 3가지로 규정됨

개인정보 : “성명, 주민등록번호 및 영상을 통해 개인을 알아볼 수 있는 정보”, “해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보” -> 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하고 판단해야됨

 

가명정보 : 개인정보를 가명처리함으로써 “원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보”, 가명정보도 개인정보의 일부임

* 가명처리 : 개인정보의 일부 또는 전부를 가명처리 알고리즘 없이 특정 개인을 알아볼 수 없도록 처리하는 것

 

익명정보 : 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 개인을 알아볼 수 없는 정보 -> 개인정보가 아니기 때문에 자유로운 사용 가능

---

정보통신망법 개정 주요 내용

1. 개인정보보호법과 유사, 중복 규정 삭제

개인정보 정의, 민감정보·주민등록번호 처리제한, 개인정보 처리위탁, 안전조치의무, 개인 정보보호책임자 지정, 정보주체의 권리, 손해배상, 개인정보보호 인증 등의 규정은 모두 삭제

---

2. 삭제된 일부 규정을 개인정보보호법 내에 특례 규정으로 이관

삭제된 규정 중 개인정보보호법과 상이하거나 정보통신망법에만 존재하는 규정은 특례 규정으로 정해 개인정보보호법 제6장으로 편입함

개인정보의 수집·이용, 유출통지 및 신고, 동의철회권, 손해배상, 국내대리인, 개인정보 국외 이전, 상호주의 등 규정과 해당 조항에 따른 과징 금 및 형사처벌 조항도 함께 편입됨

-> 이들 특례 규정은 정보통신서비스제공자등을 규제대상으로 한정하고, “정보주체”의 개인정보가 아닌 “이용자”(정보통신서비스제공자가 제공하는 서비스를 이용하는 자)의 개인정보를 그 보호범위로 함

---

3. 정보통신망법에 존치하는 규정

단말기 접근권한에 대한 동의, 주민등록번호 처리 관련 본인확인기관의 지정 등 규정은 존치함

개인정보 보호와는 관련이 없지만 적용 대상이 통신사업자 등 방송통신위원회 소관 사업자라는 특성을 반영했기 때문

---

신용정보법 개정 주요 내용

1. 개인정보보호법과 유사, 중복 조항의 정비 등

개인신용정보의 처리, 그 업무의 위탁, 유통 및 관리와 신용정보주체의 보호에 관해 일반법인 개인정보보호법의 일부 규정을 금융 분야에 맞게 규정함

---

2. 가명정보의 개념 도입 등

추가정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 처리(가명처리)한 개인신용정보로서 가명정보의 개념을 도입, 그리고 통계작성(시장조사 등 상업적 목적의 통계작성을 포함), 연구(산업적 연구를 포함), 공익적 기록보존을 위해서는 가명정보를 신용정보주체의 동의 없이도 이용하거나 제공할 수 있도록 규정

---

3. 정보활용 동의제도 내실화

개정 「신용정보법」은 고지사항의 중요한 사항만을 발췌한 요약정보를 신용정보주체에게 알리고 정보활용 동의를 받을 수 있도록 하되, 신용정보주체가 요청할 경우 고지사항 전부를 알리도록 하는 등 신용정보주 체에게 요약정보를 고지한 후에 동의를 얻는 가능성을 허용함

금융위원회로 하여금 금융회사 등의 정보활용 동의사항에 대해 사생활의 비밀과 자유를 침해할 위험, 신용정보주체가 받게 되는 이익이나 혜택 등을 고려하여 정보활용 동의등급을 부여하도록 함 -> 신용정보주체에게 알라고 정보활용 동의를 받도록 하여 신용정보주체가 자신의 정보활용 동의에 따르는 효과를 쉽게 알 수 있도록 함

---

4. 새로운 개인정보자기결정권의 도입

개인인 신용정보주체가 금융회사, 정부·공공기관 등에 대하여 본인에 관한 개인신용정보를 본인이나 본인신용정보관리회사, 다른 금융회사 등에게 전송하여 줄 것을 요구할 수 있는 개인신용정보의 전송 요구 권을 도입

그리고 개인인 신용정보주체가 금융회사 등에게 자동화평가 실시 여부 및 자동화평가의 결과 및 주요기 준, 기초자료 등의 설명을 요구할 수 있도록 하고, 자동화평가 결과의 산출에 유리하다고 판단되는 정보의 제출 또는 기초정보의 정정·삭제, 자동화평가 결과의 재산출을 요구할 수 있는 권리를 도입함으로써 신용 정보주체에게 자동화평가에 대한 적극적인 대응권을 보장

---

5. 신용정보 관련 산업의 규제체계 변경 등

금융거래에 관한 개인신용정보 외의 2가지 항목들 (개인신용정보만을 활용해 개인인 신용정보주체의 신용상태를 평가하는 전문개인신용평가업과 기업신용조회업으로서 기업정보조회업무, 기업신용등급제공업무 및 기술신용평가업무)의 허가요건을 낮추어 진입규제를 완화 -> 금융분야 데이터 산업에서 경쟁과 혁신을 촉진해 사회초년생 등 금융 이용경험이 부족한 취약계층에 대한 개인신용평가 등의 정확성과 공정성 상승을 목적으로 함

개인사업자의 신용을 판단하는데 필요한 정보를 수집하고 개인사업자의 신용상태를 일정한 방법으로 평가하여 그 결과를 제3자에게 제공하는 행위를 영업으로 하는 개인사업자신용평가업을 도입 -> 개인사업자에 관한 신용위험 관리체계를 개선함과 동시에 개인사업자에 대한 성장 지원 기능을 확충할 수 있도록 함

---

기대 효과

1. 가명정보 개념 도입

가명정보 개념 도입으로 자유로운 새로운 기술, 제품 및 서비스 개발 등 산업적 연구 등으로 데이터 이용의 활성화가 이뤄질 것으로 예상

---

2. 개인정보의 범위 명확화

개인정보처리자 입장에서의 관련 법률 준수에 대한 혼란 감소 -> 개인정보의 정의 명확, 가명정보 이용의 통로가 제도화되어 데이터 활용의 폭 증가, 즉 빅데이터 분석, AI 등 신기술을 이용한 데이터의 이용의 기대

---

관련 사이트

프라이버시 센터 (naver.com)

네이버 프라이버시 센터

개인정보보호 포털 (privacy.go.kr)

개인정보보호 포털

공공데이터포털 (data.go.kr)

공공데이터 포털

출처

데이터 3법 개정의 주요 내용과 전망.pdf - 한국인터넷진흥원

데이터 3법 시행령: 가이드라인 해설 (데이터 3법 시행령: 가이드라인 해설 | ㅍㅍㅅㅅ (ppss.kr))