데이터3법 개념과 개인정보보호에 대해서 알아보도록 하겠습니다. 데이터3법은 개인정보보호법, 정보통신망법, 신용정보법 개정안을 합쳐서 말하는 개념입니다. 데이터3법은 데이터 활용에 대해서 활성하고 데이터와 관련된 주체들에 대한 권리를 보호하기 위해서 존재하는 3가지 법률을 총칭 하는 것입니다. 우리나라는 디지털 전환의 시대를 맞이하면서 인공지능, 사물 인터넷, 클라우드와 같은 신기술들을 이용하여 개인과 기업의 데이터에 대한 활용을 활성화하면서 동시에 개인정보보호와 관련된 체제를 만들기 위해서 데이터 3법이 만들어졌고 2020년 8월부터 시행되었습니다.
데이터3법 개념에 대한 이해
데이터 3법은 개인정보보호법, 정보통신망법, 신용정보법 개정안을 의미합니다. 데이터3법은 개인정보보호법이 소관 부처 별로 나누어져 있어 발생하는 불필요한 중복적인 규제를 제거하고 디지털 전환의 시대에 맞춰서 개인과 기업이 데이터 활용을 폭넓게 할 수 있도록 하기 위해서 만들어졌습니다. 데이터 3법은 빅데이터3법이나 데이터경제 3법이라고도 부릅니다. 데이터 3법의 주요 내용에 대해서는 각 개인정보보호법, 정보통신망법, 신용정보법 개정안 별로 살펴 볼 필요가 있습니다. 각 법에 따라 개정되는 내용은 다릅니다.
개인정보보호법은 개인정보와 관련된 개념을 개인정보, 가명정보, 익명정보로 구분한 다음 가명 정보를 통계 작성이나 연구, 그리고 공익적 기록 보전 목적으로 처리할 수 있도록 하는 내용을 주요 내용으로 다루고 있습니다. 정보통신망법 개정안은 개인정보와 관련된 법령이 개인정보보호법과 정보통신망법과 같이 여러 개의 법이 중복되어 있고 감독 기구도 행정안전부, 방송통신위원회, 개인정보보호위원회 등으로 나뉘어져 있어서 이에 따른 혼란을 해결하기 위해서 마련되었습니다. 신용정보보호법은 은행, 카드사, 보험사와 같은 금융 분야에 축적되어 있는 방대한 데이터를 분석하고 이용하여 금융 상품을 개발하고 다른 산업 분야와의 융합을 통해서 부가가치를 창출할 수 있도록 하기 위해서 만들어졌습니다.
신용정보보호법에서 대표적으로 마이데이터에 대한 주제를 다루고 있습니다. 이에 따라 우리나라는 금융 분야에 마이데이터 산업과 생태계가 구축되었습니다. 데이터3법은 개인정보보호와 관련된 거버넌스 체계를 정비하면서 동시에 활용도를 높이기 위해서 만들어졌습니다. 데이터 3법은 2018년 11월 개정안으로 발의 되었고 2020년 1월 9일 국회의 본회의를 통과하면서 2020년 8월 5일부터 시행되었습니다. 데이터 3법 개정안 중 중요한 개념은 마이데이터와 가명 정보입니다. 특히 가명 정보에 대해서는 개인정보와 관련된 개념이 불명확하였지만 이제는 개인정보, 가명정보, 익명정보로 구분하여 좀 더 구체화하였습니다. 다만, 아직까지도 개인정보와 관련된 불명확한 부분이 상당히 남아 있는 부분도 있습니다. 가명 정보는 추가 정보의 결합 없이 개인을 식별할 수 없도록 안전하게 처리된 정보입니다.
가명 정보는 통계 작성, 과학 연구, 공익적 기록 목적이면 개인의 동의 없이도 활용이 가능해졌습니다. 데이터3법은 개인정보와 관련된 여러 사업에서 활용할 수 있도록 규제를 완화한 측면도 있습니다. 데이터3법에서는 특정 개인을 식별할 수 업섹 만든 정보의 경우 개인정보 주체의 동의 없이 금융 연구 분야에서 활용할 수 있게 하고 온라인 상 개인정보 관리 권한 담당 업무를 개인정보보호 위원회로 이관하는 내용을 주요 골자로 하고 있습니다. 데이터3법의 시행은 빅데이터 활용에 대한 법적인 근거를 마련한 부분도 있습니다. 그리고 디지털 시대 디지털과 관련된 인공지능, 사물인터넷, 클라우드, 모빌리티와 같은 차세대 산업에 데이터를 적극적으로 활용할 수 있도록 하는 부분도 있습니다.
데이터3법 개념에 대한 설명
데이터 3법은 개인정보보호와 함께 데이터 이용을 보다 활성화하기 위해서 운영되고 있는 개인정보보호법, 정보통신망법, 신용정보법 3가지의 법률을 통칭하는 개념입니다. 개인정보는 개인을 식별하거나 식별할 수 있는 정보와 데이터를 의미합니다. 개인정보보호법은 정보의 처리나 보호에 관한 사항을 정하여 개인의 자유와 권리를 보호하고 개인의 존엄과 가치를 구현하기 위한 목적으로 만들어진 중요한 법입니다. 개인정보의 수집과 이용, 그리고 제공에 관하여 개인정보 처리의 기본 원칙과 개인정보 처리 절차와 방법, 개인정보 처리의 제한, 그리고 개인정보에 대한 안전한 처리를 관리 감독하는 것과 관련되어 있습니다. 또한 정보 주체의 권리와 개인정보 권리 침에 대한 구제에 대해서도 규정하고 있습니다.
우리나라 개인정보보호법은 공공 부문과 민간 부문을 모두 규율하고 있는 개인정보 보호에 관한 일반법이 처음 만들어진 이후에 여러 차례 개정이 있었습니다. 그중에서 특히 온라인 상에서 개인정보 보호를 통합하여 온라인과 오프라인에 대한 규제를 일원화하고 정보 주체의 동의 없이도 허용되는 목적으로 사용된다면 가명 정보를 이용할 수 있는 근거를 마련하였습니다. 더 나아가 개인정보보호위원회의 권한을 강화하였습니다. 마이데이터 산업을 전 분야로 확대하였고 개인 정보 전송 요구권 도입과 함께 국외 이전과 자동화된 의사 결정에 대해서 규정을 정비하였습니다. 어떤 기업들은 사용자의 개인정보가 포함되어 있는 백업 파일을 기업에서 사용하는 네트워크를 통해 파일 공유가 가능한 프로토콜로 접속할 수 있게 하는 형태와 같이 개인정보 접근 통제를 소흘히 하여 이를 유출한 경우도 있었습니다.
이에 대해서는 큰 금액의 과징금이 기본적으로 부과됩니다. 신용정보법은 신용정보와 관련된 산업을 건전하게 성장 시키고 신용 정보에 대해서 효율적으로 이용하고 체계적으로 관리하기 위해서 신용 정보를 안전하게 보호하기 위해서 만들어진 법률입니다. 우리나라에서는 신용정보보호법이 1995년 1월에 처음 만들어졌습니다. 신용정보법은 개인정보보호법의 특별법적인 지위를 가지고 있습니다. 이에 따라 신용정보법의 적용 대상은 감독 대상으로 볼 수 있는 금융 회사, 신용정보회사, 신용집중기관에 한정하는 법이기도 합니다. 금융회사가 아닌 일반 상거래 회사에서 신용정보를 처리하는 경우, 신용정보법이 아닌 개인정보보호법이 적용됩니다.
신용정보는 금융과 관련된 데이터입니다. 신용정보법은 금융기관들과 신용정보회사들이 지켜야 할 신용 정보에 대한 수집과 이용, 그리고 제공에 대한 사항과 함께 처리 위탁, 데이터 저장, 데이터 삭제와 같은 내용을 포함합니다. 또한 신용정보활용 체계에 대해서 공시해야 하며 신용정보 관리와 보호인 지정, 그리고 내부 통제와 권리 보장 등에 관한 사항들이 규정되어 있습니다. 신용 정보는 금융 거래와 같은 상거래에서 거래 상대방의 신용에 대해서 판단할 때 필요한 정보입니다. 신용 정보는 특정 신용 정보 주체를 식별할 수 있는 정보입니다.
신용 정보는 개별 신용 거래의 거래 기록과 함께 해당 결과물들이 누적되어 표시되는 것으로 한 개인의 신용 거래의 히스토리가 보여집니다. 이에 따라 성명과 주민등록번호, 그리고 주소 정보와 같은 식별 정보가 포함되어 있고 여기에 신용 거래에 대한 정보나 신용도를 판단할 수 있는 정보, 그리고 재산, 소득, 납세 정보와 같은 신용 능력을 판단할 수 있는 정보를 포함합니다. 신용정보법과 관련된 대표적인 산업은 마이데이터 산업입니다. 우리나라에서는 금융 분야에 금융 마이데이터 사업과 서비스가 2022년 1월부터 본격적으로 시작되었습니다. 신용정보법은 마이데이터 사업과 개인신용정보 전송에 관한 법적은 근거를 두고 있습니다.
마이데이터 사업은 고객의 전송 요구권의 행사에 따라서 여러 금융 기관들과 기관들에 분산 되어 흩어져 있는 개인신용정보를 고객 동의 하에 마이데이터 사업자가 제공 받아서 해당 고객에게 통합 조회 서비스를 제공하는 사업입니다. 마이데이터 사업을 위해서 개인신용정보를 대량으로 수집하여 저장하는 산업의 특성 때문에 개인정보에 관한 사항이 매우 중요하고 이에 따라 금융위원회의 허가를 받도록 하고 있습니다. 마이데이터 사업을 하기 위해서는 최소 자본금 5억원과 일정한 정보보호와 보안 의무 등을 허가 조건으로 하고 있습니다. 최근에는 마이데이터 사업이 금융을 넘어서 공공과 의료 등의 분야로 확대하기 위해서 실증과 입법에 관한 사항들이 추진되고 있습니다. 하지만 데이터가 많이 모이면 모일 수록 데이터에 대한 관리와 보안 위험이 증가하기 때문에 각별한 주의와 안전 관리에 대한 의식이 필요합니다.
신용정보법은 신용정보회사들이 개인의 신용정보를 수집할 대 신용정보 주체의 동의를 받도록 하면서 예외 사항도 함께 두고 있습니다. 예외 사항은 대표적으로 신용정보의 정확성과 최선성의 유지를 위해서 수집하는 것입니다. 정보 주체와 계약 체결과 이행을 위해서 필요한 경우도 예외로 할 수 있습니다. 이러한 예외 사항은 개인정보보호법에서는 찾아볼 수 없는 특징입니다. 신용정보 주체가 스스로 소셜 미디어에 자신이 직접 공개한 정보의 경우 신용정보 주체의 동의 없이도 수집할 수 있습니다.
데이터3법 개정이 되면서 데이터들 간의 결합과 융합에 따라 다양한 혁신적인 서비스들이 발굴될 수 있습니다. 가명 정보와 익명 정보에 대해서 기업들이 사용할 수 있는 근거를 마련하였습니다. 금융회사들은 은행, 보험사, 카드사에 흩어져 있는 금융 정보를 제한 없이 접근할 수 있으며 금융 회사는 데이터를 결합하여 특화된 정보 관리나 자산 관리, 그리고 신용 관리와 관련된 좋은 서비스들을 내놓을 수 있게 되었습니다. 개인정보와 데이터는 양면성을 가지고 있습니다. 한쪽에서는 정보 주체에 대한 인권 침해 가능성이 있고 다른 한쪽에는 데이터를 통해 얻을 수 있는 가치 측면이 있습니다.
데이터 3법의 쟁점 사항 알기
개인정보보호는 개인정보를 취급하는 조직이 정보 주체의 개인정보를 수집하고 이용하는 과정에서 정보 주체의 동의를 받는 방법을 통해서 정당하게 개인정보를 수집하고 이용할 수 있도록 하며 개인정보를 보관하고 관리하는 과정에서 내부자의 고의나 관리에 대한 부주의 때문에 발생할 수 있는 문제의 상황을 방지하고 외부의 공격으로부터 소중한 개인정보가 위험해지는 상황을 막기 위해서 만들어진 중요한 법입니다. 개인정보를 취급하는 조직은 사업체와 공공 기관들이 있습니다. 사업체와 공공 기관들을 향한 외부의 공격은 기업과 기관이 보유하고 있는 개인정보를 유출 시키거나 변조나 훼손 시키는 활동을 포함합니다. 이러한 상황이 발생하는 경우 개인 입장에서는 자신의 권리를 보호 받지 못하게 됩니다.
개인정보 보호는 정보 주체의 개인정보 자기 결정권이 제대로 행사할 수 있도록 보장하는 행위와 조치를 의미하는 것입니다. 개인정보에 대한 정의에 대해서는 매우 중요하게 다루어집니다. 개인정보는 살아 있는 개인에 관한 정보로 성명, 주민등록번호, 영상과 같은 정보로 특정 개인을 식별할 수 있는 정보입니다. 개인정보는 해당 정보 만으로는 특정한 개인을 식별할 수 없다고 하더라도 다른 정보들과 쉽게 결합하여 식별 가능해지면 이는 개인정보로 해석됩니다. 개인정보와 구분되는 개념은 가명 정보입니다. 가명 정보는 개인정보의 일부를 삭제하거나 대체하는 방법으로 가명 처리 하기 때문에 원래 상태로 복원하기 위한 추가 정보를 사용하거나 추가 정보를 결합하지 않는 이상 특정 개인을 식별할 수 없는 정보입니다. 데이터 3법과 관련된 쟁점 사항 중 하나는 개인정보 침해입니다.
최근에는 유럽에서 개인정보와 관련된 감독 기관이 페이스북을 만든 기업인 메타에서 제공하는 추적 기술인 픽셀과 페이스북 로그인의 사용에 대해서 유럽의 기준에 의하면 데이터와 관련된 기준을 위배하는 행위로 간주하였습니다. 이와 관련된 기업에서는 메타의 픽셀 기술을 활용하여 웹사이트의 방문자들의 활동을 추적해왔으며 과도하게 수집 되었던 개인정보를 다른 나라로 전송하면서 정보 감시의 형국이 될 수 있었습니다. 이는 메타 기업의 픽셀 추적 기술이 불법성이 있다고 최초로 판정한 사례가 되어 다른 국가와 기관들에 영향을 주고 있습니다. 데이터3법과 관련된 또 다른 쟁점 사항은 가명 정보의 처리와 결합입니다.
가명 정보의 경우 원래의 상태로 복원하기 위해서는 추가적인 정보의 사용과 결합 없이 특정 개인을 식별할 수 없는 정보입니다. 개인정보의 일부를 삭제하거나 일부나 전부를 대체하는 방법으로 가명정보를 만들게 되며 개인정보보호법은 이렇게 만들어진 가명 정보를 개인정보에 대한 처리자가 통계 작성이나 과학적 연구, 그리고 공익적 기록 보존 목적으로 사용한다면 정보 주체의 동의 없이도 제3자에게 제공하거나 활용할 수 있도록 허용하고 있습니다. 가명정보에 대해서는 신뢰성을 증명하고 가지고 있는 결합전문기관을 통해서 서로 다른 개인정보 처리자들의 가명 정보를 결합할 수 있도록 허용하였습니다.