비트의 열번째 뉴스레터입니다. 지난 1월 9일, 소위 ‘데이터 3법’이라 불리는 「개인정보보호법」 ∙ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’) ∙ 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’) 개정안이 국회 본회의를 통과하였습니다. 1년 넘게 국회에 계류 중이었던 본 법안들이 마침내 통과됨에 따라 주무부처인 행정안전부, 방송통신위원회, 금융위원회 및 금융감독원과 개인정보보호위원회 등이 관련 시행령 마련 및 이를 뒷받침하기 위한 행정절차 개편에 돌입하였습니다. 1. 데이터 3법 개정 핵심내용 : ‘가명정보’ 도입
데이터 3법
개정사항 중 유심히 살펴봐야 할 내용은 ‘가명정보’의 개념을
추가하여 개인정보의 범위를 새롭게 정의하였다는 것입니다. 기존 데이터 3법은 ‘식별가능성’을 기준으로
개인정보성을 판단하였기 때문에 ‘개인정보’의 범위가 지나치게
넓다는 지적이 있었습니다. 주무부처인 행정안전부는 ‘개인정보보호
법령 및 지침고시 해설’의 개정판(2016.12)을 통해
‘입수 가능성’과 ‘결합
가능성’ 개념을 도입하여 해킹 등 불법적인 방법으로 취득한 정보까지 포함시킬 수 없다는 입장을 밝힌바
있습니다. 그러나 이러한 해설서의 입장은 법적 근거가 불분명하고, 기존
판례와 배치되는 측면이 있기 때문에 해석론상 논란이 지속되어 왔습니다. 이에 개정 법률은 데이터 경제로의 전환이라는 전 세계적
환경변화를 적극적으로 수용하면서 적극적인 데이터 활용으로 소비자 중심의 금융혁신 등의 계기를 마련한다는 취지에서(개정이유
참조) 개인정보보호 거버넌스를 획기적으로 개편하고 개인정보의 분류에 “가명정보”를 추가하는 등 대대적인 개편을 이뤘습니다. 이에 개인정보의 분류는 아래와 같이 3가지로 정리될 수 있습니다. 1) 개인정보 : 특정인임을 식별할 수 있는 개인정보가 노출된 데이터(쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려) 2) 가명정보 : 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보 3) 익명정보 : 추가정보를 더하여도 특정인임을 식별할 수 없는 비식별 데이터 이처럼 데이터 3법 개정은 기존 법률의 “개인정보” 범위를 축소하여, 추가정보를 더하지 않으면 특정인임을 식별할 수 없는 경우에는 기업들이 이를 활용할 수 있도록 하는 방안을 마련한 것입니다. 그 밖에 데이터 3법의 주요 개정 사항 중 기업이 주의해야 할 사항은 다음과 같습니다. 2. 개정 데이터3법 주요내용
개정 개인정보보호법 주요내용
개정 정보통신망법 주요내용
개정 신용정보법 주요내용
3. 데이터3법 개정안이 기업에 미치는 영향
이미 빅데이터를 이용한 타겟 마케팅을 시행하고 있는 구글, 아마존과 같은 외국 기업에 비하여, 국내 기업들은 개인정보 활용의
폭이 제한적이었다는 점에서, 이번 데이터 3법 개정은 국내
IT업계에 빅데이터를 활용한 새로운 기술∙제품∙서비스를 개발하도록 하는 계기가 될 것으로 보입니다. 기존
개인정보를 보유한 기업들은 보유한 개인정보 중 일부를 가명정보로 변환하여, 개인정보 관리 부담을 줄이거나, 해당 정보를 활용하여 새로운 서비스 혹은 고객 데이터 분석을 통한 마케팅 전략 등을 개인정보법들의 규제 없이
진행할 수 있을 것으로 판단됩니다.
주의할
것은 데이터3법의 개정을 통해 신산업 육성을 위한 데이터 이용 활성화의 기반을 마련하고 정보주체의 동의
없이 가명정보를 이용할 수 있는 근거를 마련한 것은 사실이나, ① 특정 개인을 대상으로 하는 맞춤형
서비스 등을 제공하는 경우에는 여전히 기존과 같이 정보주체의 동의를 얻는 등 개인정보 처리의 적법성을 확보하여야 하고, ② 가명정보를 바탕으로 특정 개인을 알아보기 위한 목적으로 정보를 처리하는 경우 전체
매출액(관련 매출액이 아님)의 3% 이하에 해당하는 과징금(산정이 곤란한 경우 4억원 또는 자본금의 3% 중 큰 금액)을 부과할 수 있으며, ③ 신용정보법의 경우 징벌적 손해배상의
한도가 기존 3배에서 5배로 증가하는 등 기업의 사후
법적 책임이 한증 더 강화되었다는 점을 주의할 필요가 있습니다. 또한 개인정보 관리 부처가 ‘개인정보위원회’로 일원화되어, 향후 개인정보관리위원회가 개인정보 관리와 관련한 다양한
가이드라인을 마련할 것으로 예상됩니다. 법무법인 비트는 데이터3법 개정안과 관련하여 다른 기업들의 활용사례
혹은 정부의 가이드라인이 나오면 차기 뉴스레터를 통하여 공유 드리도록 하겠습니다.
비트의 데이터 관리 업무사례
빅데이터의 등장 이후, 기업들의 개인정보 관리는 새로운 비즈니스로
떠오르고 있습니다. 이에 다양한 데이터 관리 사업의 등장과 관련 업무 계약 역시 증가하고 있습니다. 이번 데이터3법
개정으로 데이터 활용에 대한 법적 기반이 마련되어, 이업종간의 데이터 활용 및 거래가 정착될 것으로
예상되므로 기업들은 데이터 경제의 활성화를 위한 후속조치를 철저하게 준비할 필요가 있습니다. 법무법인 비트의 개인정보보호팀은 기업이 개인정보 관련 법령을 준수할 수 있도록 개인정보처리방침∙개인정보 동의서식 작성, 개인정보의 수집∙이용∙제공 등 처리의 적법성에 대한 자문 업무부터 개인정보 보호 체계수립 컨설팅까지 종합적으로 개인정보의 처리 관련 업무를 수행하고 있습니다. 축적된 경험과 지식을 바탕으로 법무법인 비트만의 조사방법론과 체크리스트 등 각종 자료를 활용하여 기업에서 운용 중인 개인정보 보호 관련 정책에 대해서 법률 및 기술적 적정성을 진단 분석하여, 개선방안을 도출하도록 도움 드리고 있습니다.
법무법인 비트의 뉴스레터는 일반 법률 정보만을 포함하고 있습니다. 소식지에 포함된 내용은 비트의 공식 견해가 아니므로, 구체적인 사안에 대한 법률 의견이 필요한 분들은 공식 자문을 요청하여 주시면 감사하겠습니다. |