데이터 3법이란, 개정안 주요내용

데이터 3법이 뭐지?

데이터 3법은 개인정보를 어떻게 다뤄야 하는지 규정되어 있는 아래 법률 3가지를 통칭하여 이르는 말.

 

1. 「개인정보 보호법」 법령보기>

2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 법령보기>

3. 「신용정보의 이용 및 보호에 관한 법률」 법령보기>

 

여기서 2.는 정보통신망법, 정통망법으로 약칭하기도 하고, 3.은 신용정보법으로 약칭하기도 함

 

데이터 3법 왜 개정하는 건데?

3개법의 개정안 갑자기 왜 논의되고 있었던 거냐면,

4차 산업혁명 시대를 맞아 핵심자원인 "데이터"의 이용을 활성화해서

인공지능(AI), 클라우드, 사물인터넷(IoT) 등의 신기술 발전을 도모하자는 것. 

그 동안은 각 단체가 수집한 데이터만 활용하고 있었는데, 앞으로 여러 단체의 데이터를 함께 활용할 수 있게 됨.

예를 들어 금융, 의료, 통신 등의 고객데이터들이 합쳐지면 기존보다 훨씬 세밀한 고객맞춤형 서비스/상품을 개발할 수 있을 것으로 상상해볼 수 있음. 

 

그동안 대통령 직속 [4차 산업혁명위원회] 가 주관해서 각계 전문가들의 해커톤 합의결과도 도출했고

국회 [4차 산업혁명 특별위원회] 에서도 특별권고사항까지 내놓으면서 결국 개정안 발의가 됐음

 

히스토리

2018. 11. 데이터3법 개정안 발의

2018. 02~04. '가명정보'의 정의 및 활용에 관한 법적 근거 마련 등 해커톤에서 합의 

2018. 05. 법률의 중복조항 정비, 개인정보 보호 거버넌스 체계 논의 등 국회에서 특별권고

2018. 11. 국회 발의

2019. 11. 개인정보보호법 개정안 국회 행정안전위원회 법안소위 통과 

2019. 11. 신용정보법 개정안 국회 정무위원회 법안소위 통과 

2019. 12. 마지막으로 정보통신망법 개정안 국회 과방위(과학기술정보방송통신위원회) 법안소위 통과 

2020. 01. 데이터3법 개정안 국회 본회의 최종의결 

2020. 02. 데이터3법 개정안 공표

2020. 08. 데이터3법 개정안 시행 (공표일로부터 6개월 후)

 

데이터3법 개정안 주요내용

1) 데이터 이용 활성화를 위한 '가명정보'의 개념을 도입.

2) 여러 법률에서 유사하거나 중복되었던 규정들을 정비하고 추진체계를 일원화

3) 데이터 활용에 따른 개인정보처리자의 책임을 더욱 강화

4) 모호한 ‘개인정보’의 판단기준을 명확화

 

주요내용은 위와 같은데 각 내용을 좀 더 자세히 살펴보자. 

 

1) 데이터 이용 활성화를 위한 '가명정보' 개념을 도입했다?

EU, 미국, 일본 등의 경우에도 개인정보가 포함된 데이터를 가공하여 특정 개인을 알아볼 수 없도록 한 후에, 각종 연구․개발 등에 활용할 수 있도록 하는 법체계를 운영하고 있다.  
이번에 데이터3법 개정안에서 우리도 ‘가명정보’ 개념을 도입하였고, 이 가명정보를 신기술/제품/서비스 개발 등의 산업화 목적을 갖는 과학연구 등의 목적으로 이용할 수 있도록 할 방침이며, 개인을 식별할 수 없도록 보안시설을 갖춘 전문기관을 통해서만 데이터결합이 허용된다. 

 

여기서 가명정보란?

가명정보란 개인을 알아볼 수 없는 정보라는 뜻.

개인정보는 이름, 성별, 나이, 전화번호, 거주지, 이메일주소 등 누군가를 '식별'할 수 있는 정보의 조합인데

이 개인정보에서 주요 이름, 전화번호 등을 가림으로써 그 개인이 누군지 알 수 없게 된 정보를 말한다.

 

예를 들어 [박가명 / 20대 / 남성 / 010-1234-1234 / 동작구 사당동] 이라는 정보를 통해 그가 누군지 알 수 있지만

이를 → [박OO / 20대 / 남성 /  000-****-**** / *** ****] 와 같은 식으로 바꾼 것을 가명정보라고 할 수 있다. 

앞으로 각 단체는 빅데이터를 수집/활용하기 위해 사용자의 동의를 얻어 이 가명정보를 활용할 수 있게 된다. 

이렇게 개인정보의 일부를 비식별 처리하는 것은 개인정보 보호에는 도움이 되지만, 반대로 너무 많은 식별자를 제거해버리면 데이터로서의 활용가치 또한 없기 때문에 이를 위한 기술연구와 사례발굴이 중요해졌다고 볼 수 있다. 

2) 여러 법률에서 유사하거나 중복되었던 규정들을 정비하고 추진체계를 일원화하기로 했다?
그간 개인정보 보호 관련법령이 이 데이터3법에서 이르는 3개의 법에 분산되어 존재하면서 중복/유사규정이 많았다.

감독기구도 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회 등 각각 분산되어 있었고.

이번에 데이터3법 개정안에서는 아래와 같이 일원화된다

- 유사/중복 규정 : 개인정보보호법 으로 일원화

- 개인정보의 오남용 및 유출 감독 : 개인정보보호위원회로 일원화

(이에 따라 정보통신망법은 개인정보와 관련된 권한에서 손을 떼게 되었음)

 

3) 데이터 활용에 따른 개인정보처리자의 책임을 더욱 강화하기로 했다?
향후 가명정보가 외부에 유출되거나, 가명정보를 다른 정보와 결합해서 다시 개인을 식별할 수 있는 개인정보로 활용할 가능성에 대해 필수 안전조치 사항을 명시했다. 아래와 같은 조치들이다. 

- 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것을 금지

- 가명정보를 -> 개인정보로 복원하기 위한 추가정보를 가지고 있다면, 별도로 분리보관해야 하며 제3자에게 제공금지

- 데이터 활용과정에서 개인을 알아볼 수 있는 정보가 만들어졌다면, 지체없이 처리중단하고 회수/파기해야 함 

 

이를 위반할 경우 과태료, 형사벌 외에 매출액 3%에 해당하는 과징금이 부과될 수 있다.

 

4) 모호했던 '개인정보'의 판단기준을 명확히 하였다? 
기존 법률상 ‘개인정보’의 정의는 굉장히 모호했다.

살아있는 개인에 관한 정보로써 개인을 알아볼 수 있는 정보라고 하면서

한편 ‘다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다’고 다소 모호하게 규정되어 있던 것.

이에 데이터3법에서는 ‘개인정보’의 범위를 보다 명확히 하는 방향으로 개정됐다. 

어떤 익명화된 정보가 있을 때, 그 정보가 개인정보인지 아닌지 여부를 아래 판단기준에 따라 판단하기로 했다.

 

개인정보의 판단기준

- 결합할 수 있는 다른 정보를 입수할 가능성이 있는가? 

- 개인을 알아보기 위해 소요되는 시간/비용/기술 등을 합리적으로 고려했을 때 개인을 실제로 알아볼 수 있는가?

 

만약 위 두가지 질문에 답이 '아니오'라면 그 익명화된 정보는 개인정보가 아닌 것으로 판단하고, 개인정보 보호법을 적용받지 않도록 명확히 하였다. 

 

 

법률 전문 확인해보기

아래 두 곳에서 직접 데이터3법의 전문을 검색해볼 수 있다.

- 국가법령정보센터 http://www.law.go.kr/

- 국회법률정보시스템 http://likms.assembly.go.kr/law

 

---

참고자료

정책위키 한눈에 보는 정책 > 데이터 3법

데이터 규제 혁신, 청사진이 나왔다. 개인정보 보호 관련 3개 법률 개정안, 국회 발의 완료

데이터 3법 개정안 국회 통과. 데이터산업 육성 지원 강화

데이터 3법 개정의 개요와 의의 (김앤장)

데이터 3법 통과, 그래서 뭐가 바뀌는데

[BBS경제토크] 조광원 회장, "구글 등 글로벌 기업들과 데이터 패권 경쟁해야"..."데이터 3법으로 기반 마련"