데이터 이용을 활성화하기 위해서 개선이 필요한 「개인정보 보호법」, 「정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(이하, 정보통신망법)」, 「신용 정보의 이용 및 보호에 관한 법률(이하, 신용 정보법)」등 3가지 법률을 데이터 3법이라고 통합해 부릅니다.
4차 산업혁명 시대를 맞아 핵심 자원인 데이터 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있습니다. 특히, 신산업 육성을 위해서는 인공지능(AI), 클라우드, IoT, Mobile 등 신기술을 활용한 데이터 이용이 필수적으로 필요합니다.
한편 안전한 데이터 이용을 위한 문화 정착 및 제도 마련도 시급합니다. 이를 위해 데이터 이용에 관한 규제 혁신과 개인정보 보호 거버넌스 정비의 두 가지 문제를 해결하기 위해 2018년 11월 15일, 데이터 3법 개정안이 발의되었고, 2020년 1월 9일 국회 본회의를 통과했습니다. 지금부터 데이터 3법, 법률 개정의 주요 내용을 살펴보겠습니다.
데이터 3법 개정 사항
(1) 개인정보 보호법
개인정보 보호법의 개정 목적은 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여하고, 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책을 추진하며, EU GDPR(General Data Protection Regulation-일반 개인정보 보호법) 적정성 평가의 필수 조건인 감독 기구의 독립성 확보입니다.
개인정보의 개념을 명확히 해 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정의했습니다. 데이터를 기반으로 한 새로운 기술, 제품, 서비스의 개발, 산업 목적을 포함하는 과학 연구, 통계 작성, 공익 기록 보존 등을 위해서 가명 정보를 이용할 수 있도록 했습니다.
개인정보 처리자의 책임성을 강화하기 위해 의무조항을 추가하고, 데이터 결합에 대한 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련했습니다.
개인정보의 오•남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로 일원화하고, 더불어 관련 법률의 유사, 중복 규정을 「개인정보 보호법」으로 일원화해 거버넌스(Governance)를 보다 체계적으로 정비했습니다.
● 개인정보 보호법 주요 내용
① 가명 정보 도입 등을 통한 데이터 활용 제고
- 개인을 알아볼 수 없도록 안전하게 처리된 가명 정보 개념 도입
- 가명 정보는 통계 작성, 과학적 연구, 공익적 기록 보존 목적으로 정보 주체의 동의 없이 처리 허용
- 서로 다른 기업이 보유하고 있는 가명 정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함
② 동의 없이 처리할 수 있는 개인정보의 합리화
- 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용, 제공 허용
③ 개인정보의 범위 명확화
- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
- 시간, 비용, 기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명 정보)의 법 적용 배제 명확화
④ 개인정보 보호체계 일원화
- ‘개인정보보호위원회’ 국무총리 소속의 합의제 중앙행정기관으로 격상
- 행정안전부와 방송통신위원회의 개인정보 보호 관련 기능 전부와 금융위원회의 일반 상거래 기업 조사, 처분권을 개인정보보호위원회로 이관해 감독 기구 일원화
- 「개인정보 보호법」과 「정보통신망법」의 중복 규제를 정비해 법체계를 「개인정보 보호법」으로 일원화
(2) 정보통신망법 개정
정보통신망법의 개정은 정보통신망법 내 개인정보 관련 다른 법령과의 유사 중복 조항을 정비하고, 개인정보 보호와 관련한 정책 거버넌스 체계를 개선하려는 목적입니다.
● 정보통신망법 주요 내용
① 개인정보 보호 관련 사항은 「개인정보 보호법」으로 이관
② 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경
- 정보통신망법에 규정된 개인정보 보호에 관한 사항을 「개인정보 보호법」으로 이관
- 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방송통신위원회에서 ‘개인정보보호위원회’로 변경
(3) 신용 정보법
신용 정보법의 개정은 빅데이터 분석•이용의 법적 근거 명확화와 빅데이터 활용의 안전장치를 강화하고, 「개인정보 보호법」과의 유사•중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신을 목적으로 합니다.
또한 금융 분야 데이터 산업으로서 신용 정보 관련 산업에 관한 규제 체계 선진화와 새로운 개인정보 자기 결정권의 도입을 위해 개정이 되었습니다. 개인정보 자기 결정권은 정보 활용 동의의 제도적인 개선, 개인신용 정보의 전송 요구권(Right to data portability), 자동화 평가(Profiling)에 대한 신용 정보 주체의 설명 요구권 등을 포함합니다.
● 신용 정보법 주요 내용
① 금융 분야 빅데이터 분석•이용의 법적 근거 명확화
- ‘가명 정보’는 통계 작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록 보존 목적으로 동의 없이 활용 가능
- 데이터 결합의 법적 근거를 마련하되, 국가 지정 전문기관을 통한 데이터 결합만 허용
- 가명 정보 활용과 결합에 대한 안전장치 및 사후 통제 수단 마련
② 개인정보보호위원회 기능 강화
- 상거래 기업 및 법인의 개인 신용 정보 보호를 위한 개인정보 보호 위원회의 법 집행 기능 강화
③ 「개인정보 보호법」과의 유사, 중복 조항 정비
④ 신용 정보 관련 산업의 규제 체계 선진화
- 신용 조회업(CB, Credit Bureau) 업을 개인 CB, 개인 사업자 CB, 기업 CB 등으로 구분 및 진입 규제 요건의 합리적 완화
- 신용 조회 업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석•가공, 컨설팅 등 다양한 겸영, 부수 업무 가능
- 산업의 건전성 제고를 위해 영업 행위 규제 신설, 개인 CB, 개인사업자 CB에는 최대주주 적격성 심사 제도 도입
⑤ 금융 분야 마이데이터 산업 도입
- 정보 주체의 권리 행사에 따라 본인 정보 통합 조회, 신용•자산 관리 등 서비스를 제공하는 마이데이터(MyData) 산업 도입
- 서비스의 안전한 정보 보호•보안 체계 마련
⑥ 금융 분야 개인정보 보호 강화
- 정보 활용 동의 제도 개선, 정보 활용 등급제(정보 활용 동의 시 정보 제공에 따른 사생활 침해 위험, 소비자 혜택 등을 평가해 ‘정보 활용 동의 등급’ 산정, 제공) 도입 등 소비자가 “알고 하는 동의 관행” 정착
- 기계화, 자동화된 데이터 처리(Profiling)에 대해 금융 회사 등에게 설명 요구, 이의 제기할 수 있는 프로파일링 대응권 도입 (예: 통계 모형, 머신러닝에 기초한 개인 신용평가, AI를 활용한 온라인 보험료 산정 결과)
- 본인 정보를 다른 금융 회사 등으로 제공하도록 요구 가능한 ‘개인 신용 정보 이동권’ 도입
- 금융권의 정보 활용, 관리 실태를 상시 평가하는 등 정보 보호, 보안 강화
- 금융 회사 등 개인 신용 정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)
데이터 3법과 정보 주체 권리 보장, 개정안 통과 후 추진 사항
데이터 3법 개정안의 내용을 살펴보면 신용 정보법을 중심으로, 개인에 대한 권리 보장이 강화되었음을 확인할 수 있습니다.
자동화 처리에 대한 설명 요구 및 이의 제기권으로 구성되는 프로파일링에 대응할 권리, 정보 주체 본인의 개인 신용 정보를 타 회사로 이동하도록 요구하는 개인 신용 정보 이동의 권리 등 이전에는 국내법에 없던 권리가 법령에 기반해 보장받을 여건이 만들어졌습니다. 이들 흐름은 EU GDPR의 정보 주체 권리 보장 사상을 수용해 국내 여건에 맞도록 반영되었습니다.
● 법률 구체화를 위한 시행령•시행 규칙 등 행정입법 신속 추진
- 2020년 3월 31일 시행령 개정안을 고시하고, 후속 행정 규칙 개정안을 마련하며, 법 시행 시점에 분야별 가이드라인과 해설서 개정안을 발간해 가명 정보의 활용 범위, 데이터 결합 방법, 절차 등을 명확화
- 데이터 3법 시행령 개정안에는 안전한 데이터 결합 절차 마련, 가명 정보 안전성 강화, 개인정보 관련 시행령 일원화, 금융 분야 마이데이터 산업 육성 등을 포함
● EU GDPR 적정성 결정 조기 추진하도록 EU와 협력 강화(EU가 상대국가의 개인정보 보호 수준이 EU와 유사하다는 것을 인정하는 제도, EU로부터 적정성 결정을 받은 국가의 기업은 표준계약 체결 등 개별적인 행정부담 없이 EU 주민의 개인정보를 상대국으로 이전할 수 있음)
● 개인정보보호위원회 8월 출범 준비
데이터 3법 개정안 통과를 기점으로, 데이터가 전(全) 산업의 가치 창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융 산업의 새로운 성장 동력을 확보할 수 있는 계기가 마련되었습니다.
또한, 자국의 법 제도가 EU GDPR 등 국제법 제도와 동등 수준으로 인정될 수 있는 기반을 마련하고, EU 내 기업들에게 제도적 허들을 제거해, 데이터의 국내 이전 및 EU 시민에 대한 데이터의 국내 활용이 수월해질 수 있을 것으로 기대합니다.
글 l LG CNS 보안컨설팅팀
[참고 문헌]
- 개인정보 규제 체계 및 신규 제도 검토, 법무법인(유한) 태평양, 2020.05.28
- 정책위키 한눈에 보는 정책, 데이터 3법, 2020.03.30
- 데이터 규제 3법 개정 전망과 과제, 권헌영 KISO저널 제36호, 법제 동향, 2019.9.18