데이터3법이란? 개정안 시행일 이슈 알아보기 (2020년 8월 5일 시행)
1. 데이터3법이란?
데이터 이용을 활성화하는「개인정보 보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」,「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법률을 통칭한다.
4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요하다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급하다. 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거너번스) 체계 정비의 두 문제를 해결하기 위해 데이터 3법 개정안이 발의됐다. (‘18.11.15)
법률 개정안은 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’ 회의 합의결과*(’18.2,’18.4)와 국회 ‘4차산업혁명 특별위원회’의 특별권고 사항**(‘18.5)을 반영한 입법조치다. 시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련됐다.
* (해커톤 합의) 가명정보의 정의 및 활용에 관한 법적 근거 마련 등
** (국회 특별권고) 관련 법률의 중복조항 정비, 개인정보 보호 거버넌스 체계 논의 등
데이터 3법 개정안은 2020년 1월 9일 국회 본회의를 통과했다.
법률 개정안 주요내용
- 데이터 이용 활성화를 위한 가명정보 개념 도입
- 관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화
- 데이터 활용에 따른 개인정보 처리자의 책임 강화
- 모호한 ‘개인정보’ 판단 기준의 명확화
2. 데이터 3법 개정사항
① 개인정보 보호법 개정안
개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정했다. 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 가명정보를 이용할 수 있도록 했다.
개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련했다.
개인정보의 오·남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사·중복 규정은 「개인정보 보호법」으로 일원화했다.
개정 목적
ㅇ 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여
ㅇ 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진
ㅇ EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보
주요 내용
ㅇ 가명정보 도입 등을 통한 데이터 활용 제고
- 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입
- 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용
- 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함
ㅇ 동의없이 처리할 수 있는 개인정보의 합리화
- 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용·제공 허용
ㅇ 개인정보의 범위 명확화
- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
- 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화
ㅇ 개인정보 보호체계 일원화
- ‘개인정보보호위원회’ 국무총리 소속의 합의제 중앙행정기관으로 격상
- 행정안전부와 방송통신위원회의 개인정보 보호관련 기능 전부와 금융위원회의 일반상거래 기업 조사·처분권을 개인정보보호위원회로 이관해 감독기구 일원화
- 「개인정보 보호법」과 「정보통신망법」의 중복 규제를 정비해 법체계를 「개인정보 보호법」으로 일원화
② 정보통신망법 개정안
개정 목적
ㅇ 정보통신망법 내 개인정보 관련 다른 법령과의 유사·중복조항 정비와 협치(거버넌스) 개선
주요 내용
ㅇ 개인정보 보호 관련 사항은 「개인정보보호법」으로 이관
ㅇ 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경
- 정보통신망법에 규정된 개인정보 보호에 관한 사항을 「개인정보보호법」으로 이관
- 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방송통신위원회에서 ‘개인정보보호위원회’로 변경
③ 신용정보법 개정안
개정 목적
ㅇ 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화
ㅇ 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신
ㅇ 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화
ㅇ 새로운 개인정보 자기결정권의 도입
- 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등
주요 내용
ㅇ 금융분야 빅데이터 분석ㆍ이용의 법적 근거 명확화
- ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용가능
- 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만 허용
- 가명정보 활용과 결합에 대한 안전장치 및 사후통제 수단 마련
ㅇ 개인정보보호위원회 기능 강화
- 상거래 기업 및 법인의 개인 신용정보 보호를 위한 개인정보보호위원회의 법집행 기능 강화
ㅇ 「개인정보 보호법」과의 유사·중복 조항 정비
ㅇ 신용정보 관련 산업의 규제체계 선진화
- 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분 및 진입규제 요건의 합리적 완화
- 신용조회업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무 가능
- 산업의 건전성 제고를 위해 영업행위 규제 신설, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도 도입
ㅇ 금융분야 마이데이터 산업 도입
- 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이 데이터(MyData) 산업 도입
- 서비스의 안전한 정보보호·보안체계 마련
ㅇ 금융분야 개인정보보호 강화
- 정보활용 동의제도 개선, 정보활용등급제*도입 등 소비자가 “알고하는 동의 관행” 정착
* 정보활용 동의시 정보제공에 따른 사생활 침해위험, 소비자혜택 등을 평가해 ‘정보활용 동의등급’ 산정·제공
- 기계화ㆍ자동화된 데이터 처리(Profiling)*에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권 도입
* 예 : 통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과
- 본인 정보를 다른 금융회사 등으로 제공토록 요구 가능한 ‘개인신용정보 이동권’ 도입
- 금융권의 정보활용ㆍ관리실태를 상시 평가하는 등 정보보호·보안 강화
- 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)
기대효과
ㅇ 데이터가 전(全)산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융산업 새로운 성장동력 확보
ㅇ EU GDPR*등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반 마련
* General Data Protection Regulation (일반개인정보보호법)