개정된 데이터 3법

데이터 3법은 데이터 이용을 활성화하는 「개인정보 보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)」, 「신용정보의 이용 및 보호에 관한 법률(신용정보법)」 3가지 법률을 통칭하며, 18년 11월 15일 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 활용 등 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거너번스) 체계 정비의 문제를 해결하기 위해 데이터 3법 개정안이 발의 되었으며, 2020년 1월 9일 국회 본회의를 통과 하였다.

 

데이터 3법 주요 개정 내용

• 데이터 이용 활성화를 위한 가명정보 개념 도입
• 관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화
• 데이터 활용에 따른 개인정보 처리자의 책임 강화 및 모호한 ‘개인정보’ 판단 기준의 명확화

온라인상 개인정보 보호 관련 규제, 개인정보의 오·남용과 유출 등을 감독할 감독기구

• 개인정보의 오·남용과 유출 등을 개인정보보호위원회에서 감독
• 관련 법률의 유사·중복 규정은 「개인정보 보호법」으로 일원화
• 개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌 강화 
• 개인정보를 안전하게 보호할 수 있도록 제도적 장치 마련
• 2020년 9월 24일, ‘가명정보 결합 가이드라인‘ 발표
  (가명정보 사용이 허용되는 활용 목적과 범위, 개인정보처리자들이 적용해야 하는 안전조치 방법과 기준 등을 규정)

데이터 3법 개정의 기대효과

개정된 데이터 3법은 데이터가 전(全)사업의 가치 창출을 좌우하는 ‘데이터 경제 시대‘ 전환에 맞춰 금융산업 새로운 성장동력을 확보 하고EU GDPR 등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반을 마련 하였으며, 데이터라는 자원이 개인정보를 최대한 침해하지 않으면서도 기업들이 기술 발전에 이용할 수 있음을 기대 하고 있다.

 

데이터 활용의 기본, 비식별화

비식별 조치는 데이터 셋에서 개인을 식별할 수 있는 요소 전부 또는 일부를 삭제하거나 대체하는 방법을 활용 하여 개인을 알아볼 수 없도록 하는 것으로 비식별화 조치시에는 다른 정보와 쉽게 결합해 개인을 식별할 수 있는지를 검사하는 ‘비식별 조치 적정성 평가’를 함께 진행해야 한다.

가명정보, 익명정보 개념

누군가를 특정할 수 있는 이름, 전화번호를 식별자라고 부르며, 개인정보에서 식별자를 다른 표현으로 바꾸거나 가린 것을 가명정보라 하며, 익명정보는 여기서 한층 더 나아가 식별자를 완전히 삭제하고, 생년월일이나 가입기간 등 준식별자에 해당하는 정보를 범주화해 누구인지 정확하게 특정할 수 없도록 처리하는 것을 말한다.

빅데이터 산업 활성화와 데이터를 활용한 경제적 가치를 만들기 위해서는 개인정보를 포함한 모든 데이터를 적극적으로 활용하는 것이 유리하며, 데이터 경제 활성화를 위해서는 익명정보보다 가명정보가 더 효과적이다.

그러나 정보를 지나치게 많이 남길 경우 개인정보보호와 관련한 문제가 생길 수 있으며, 반대로 많이 제거할 경우 기업 입장에서는 활용 가치가 떨어지기 때문이다. 가명처리 대상 또는 범위에 대한 절대적 기준을 설정하는 것은 기술적으로 쉽지 않다. 가명정보는 개인정보와 익명정보의 중간쯤 되는 단계이다.

 

가명정보 이용 목적

개인정보처리자는 통계작성,과학적 연구,공익적 기록보존 등의 목적 내에서만 정보 주체 동의 없이 가명정보 처리 및 결합이 허용 되며, 가명정보를 처리할 때 원래 상태로 복원하기 위한 추가정보를 별도로 분리해 관리해야 한다. 만약 관련 법령에 따른 보호조치를 적용하지 않는다면 처벌받을 수 있다.

※ 적절하게 가명정보를 처리하지 않았을 경우에는 전체 매출액의 3% 이하 또는 4억 원의 과징금, 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있음

 

가명 처리 절차

개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등의 목적 내에서만 정보 주체 동의 없이 가명정보 처리 및 결합을 허용하며, 가명처리 대상 또는 범위에 대한 절대적 기준을 설정하는 것은 기술적으로 쉽지 않다.

가명정보 결합 사례

QR 코드 기반의 전자출입명부(KI-Pass)* 활용 사례

2020년 6월부터 도입 되었으며, 개인정보보호를 위해 전자출입명부에 입력되는 개인 연락처 데이터와 방문 기록은 평상시에 분산 보관되고, 필요한 경우에만 두 정보를 결합하여 개인을 식별한다는 점에 주목할 필요가 있으며, 사회보장정보원과 QR코드 발급회사가 각각이 가지고 있는 정보만으로는 개인의 동선 정보 확인이 불가능하다.

※ 전자출입명부(KI-Pass): 정부기술(IT)을 활용, QR코드에 기반하여 보건복지부에서 개발·배포한 『전자출입명부』 시스템 지칭. 개인을 확인할 수 있는 정확한 정보

QR 코드 기반의 전자출입명부(KI-Pass)* 활용 사례

[참고 자료]

• 가명정보 처리 가이드라인 (2020. 09. 24)

• 개인정보 비식별화에 대한 적정성 자율평가 안내서 (2014. 12)

• 금융분야 가명 · 익명처리 안내서 (2020. 08. 08)

• 전자출입명부(KI-Pass) 안내 – 지자체용 – (2020. 07)

• 코로나 19 대응을 위한 데이터 활용 현황 및 사례 (2020. 08)

• 암호 알고리즘 및 키 길이 이용 안내서 (2018. 12)

• 개인정보보호위원회 비전 선포식(2020.11.27.) https://www.youtube.com/watch?v=9BWrJyNE0BE&feature=youtu.be

• 가명정보의 결합 및 반출 등에 관한 고시(개인정보보호위원회고시)(제2020-9호)(20200901)

• 굿모닝아이텍㈜ 웨비나_데이터 3법이 가져다 준 기회와 안전한 개인정보 활용 방안

• Vol.5_가명정보에 있어서 ‘다른 정보’와 ‘추가 정보’의 차이 및 가명처리의 대상과 범위

---

글. 프리세일즈·마케팅팀 | 김지현

편집. 프리세일즈·마케팅팀 | 박병민