데이터 3법과 개인정보 활용

속칭 업계에서 보안전문가, 보안책임자급으로 성장할려면 갖춰야 하는 지식이 바로 관련 법률이다. 해킹 기술은 다양하고 무궁무진하지만 그걸 법률의 의거하여 적용할 줄 알아야 한다. 그런의미에서 현재 한국에서 2020년을 기준으로 개정되고 시행되고 있는 데이터 관련 법률을 알아보자

주요내용

• 데이터 이용 활성화를 위한 가명정보 개념 도입
• 관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화
• 데이터 활용에 따른 개인정보 처리자의 책임 강화
• 모호한 ‘개인정보’ 판단 기준의 명확화

3법

• 개인정보보호법
• 정보통신망법
• 신용 정보법

---

개인정보보호법

이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

개정안

개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정했다. 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 가명정보를 이용할 수 있도록 했다.
개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련했다.
개인정보의 오·남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사·중복 규정은 「개인정보 보호법」으로 일원화했다.

개정 목적

• 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여
• 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진
• EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보

주요 내용

• 가명정보 도입 등을 통한 데이터 활용 제고

  • 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입
  • 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용
  • 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함
    
    

• 동의없이 처리할 수 있는 개인정보의 합리화

  • 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용·제공 허용

• 개인정보의 범위 명확화

  • 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
  • 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화
    
    

• 개인정보 보호체계 일원화

  • 개인정보보호위원회’ 국무총리 소속의 합의제 중앙행정기관으로 격상

  • 행정안전부와 방송통신위원회의 개인정보 보호관련 기능 전부와 금융위원회의 일반상거래 기업 조사·처분권을 개인정보보호위원회로 이관해 감독기구 일원화

  • 「개인정보 보호법」과 「정보통신망법」의 중복 규제를 정비해 법체계를 「개인정보 보호법」으로 일원화

    ---

  정보통신망법

  개정 목적

• 정보통신망법 내 개인정보 관련 다른 법령과의 유사·중복조항 정비와 협치(거버넌스) 개선

  주요 내용

• 개인정보 보호 관련 사항은 「개인정보보호법」으로 이관

• 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경

  • 정보통신망법에 규정된 개인정보 보호에 관한 사항을 「개인정보보호법」으로 이관
  • 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방송통신위원회에서 ‘개인정보보호위원회’로 변경

---

신용정보법

개정 목적

• 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화
• 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신
• 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화
• 새로운 개인정보 자기결정권의 도입
  • 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등

주요 내용

• 금융분야 빅데이터 분석ㆍ이용의 법적 근거 명확화
  • ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용가능

• • 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만 허용
• • 가명정보 활용과 결합에 대한 안전장치 및 사후통제 수단 마련

• 개인정보보호위원회 기능 강화

  • 상거래 기업 및 법인의 개인 신용정보 보호를 위한 개인정보보호위원회의 법집행 기능 강화

• 「개인정보 보호법」과의 유사·중복 조항 정비

• 신용정보 관련 산업의 규제체계 선진화

• 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분 및 진입규제 요건의 합리적 완화

• 신용조회업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무 가능

• 산업의 건전성 제고를 위해 영업행위 규제 신설, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도 도입

• 금융분야 마이데이터 산업 도입

  • 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이 데이터(MyData) 산업 도입

  • 서비스의 안전한 정보보호·보안체계 마련

• 금융분야 개인정보보호 강화

  • 정보활용 동의제도 개선, 정보활용등급제*도입 등 소비자가 “알고하는 동의 관행” 정착

  • 기계화ㆍ자동화된 데이터 처리(Profiling)*에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권 도입

  • 본인 정보를 다른 금융회사 등으로 제공토록 요구 가능한 ‘개인신용정보 이동권’ 도입

  • 금융권의 정보활용ㆍ관리실태를 상시 평가하는 등 정보보호·보안 강화

  • 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)

기대효과

• 데이터가 전(全)산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융산업 새로운 성장동력 확보

• EU GDPR*등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반 마련

---

가명처리 방법

가명처리란?

가명처리는 개인 정보를 보호하기 위해 사용자의 실제 신원을 숨기는 방법

무작위 대체

개인 식별자를 무작위로 생성된 값으로 대체하는 방법입니다. 예를 들어, 이름 '홍길동'을 '사용자123'과 같이 대체

토큰화

원래 데이터를 임의의 토큰으로 대체하여 원본 데이터를 보호하는 방법입니다. 예를 들어, 신용카드 번호를 'abcdef123456' 같은 토큰으로 대체

가명 데이터베이스

별도의 데이터베이스를 만들어 실제 데이터와 가명 데이터를 분리하여 저장하는 방법. 사용자가 데이터를 요청할 때만 가명 데이터를 사용

알고리즘 기반 대체

알고리즘을 사용하여 식별자를 변환하는 방법. 예를 들어, 해시 함수를 사용하여 특정 값을 해싱하여 고유의 식별자를 생성

데이터 셔플링

데이터의 순서를 섞어서 개인을 식별하기 어렵게 만드는 방법. 예를 들어, 주소 데이터를 무작위로 섞어 원래 주소를 알아보기 어렵게 한다

교환

비슷한 데이터끼리 교환하는 방법입니다. 예를 들어, 두 사람의 이름을 서로 교환하여 특정 개인을 알아보기 어렵게 한다

추가 정보 제거

데이터의 구체적인 정보를 일반화하거나 제거하여 개인 식별 가능성을 줄이는 방법입니다. 예를 들어, '1990년 1월 15일' 생일을 '1990년 1월'로 일반화