데이터 3법
국가법령정보센터
국가법령정보센터
1 2 3 4 5 6 7 8 9 0 Bksp ㅂ ㅈ ㄷ ㄱ ㅅ ㅛ ㅕ ㅑ ㅐ ㅔ Shift ㅁ ㄴ ㅇ ㄹ ㅎ ㅗ ㅓ ㅏ ㅣ ㅋ ㅌ ㅊ ㅍ ㅠ ㅜ ㅡ 띄어쓰기 검색
www.law.go.kr
1. 4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 범국가적 과제로 대두
-신산업 육성을 위해서는 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요
-금융분야에서는 소비ㆍ투자 행태, 위험성향 등 개인의 특성을 반영한 맞춤형 금융상품의 개발 등 데이터의 활용가치가 매우 높음
주요내용
용어 정의
-개인정보의 정의 개정 (‘가명정보’를 포함)
–‘가명처리’ 및 ‘과학적 연구’에 대해 정의 신설
개인정보 보호법 제2조
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽 게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리 적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
1의2. "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
8. "과학적 연구"란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
신용정보법 제2조(정의)
15. "가명처리"란 추가정보를 사용하지 아니하고는 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리(그 처리 결과가 다음 각 목의 어느 하나에 해당하는 경우로서 제40조의2제1항 및 제2항에 따라 그 추가정보를 분리하여 보관하는 등 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리한 경우를 포함한다)하는 것을 말한다.
가. 어떤 신용정보주체와 다른 신용정보주체가 구별되는 경우
나. 하나의 정보집합물(정보를 체계적으로 관리하거나 처리할 목적으로 일정한 규칙에 따라 구성되거나 배열된 둘 이상의 정보들을 말한다. 이하 같다)에서나 서로 다른 둘 이상의 정보집합물 간에서 어떤 신용정보주체에 관한 둘 이상의 정보가 연계되거나 연동되는 경우
다. 가목 및 나목과 유사한 경우로서 대통령령으로 정하는 경우 <시행령 규정 없음>
16. "가명정보"란 가명처리한 개인신용정보를 말한다.
17. "익명처리"란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말한다.
가명정보의 도입
–정보주체 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등 활용 가능
개인정보 보호법
•개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정개인을 알아볼 수 없도록 처리하는 것을 가명처리로 정의 (제2조제1호의2 신설)
•개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있도록 하되, 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하도록 함 (제28조의2 및 제28조의3 신설)
•개인정보처리자는 가명정보를 처리하는 경우 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하도록 함 (제28조의4 신설)
•누구든지 특정개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안 되고, 이를 위반한 개인정보처리자에 대해서는 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 함 (제28조의5 및 제28조의6 신설)
신용정보법
•가명처리, 가명정보의 개념을 도입하고, 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를 제공하는 경우 등 신용정보주체의 동의 없이도 개인신용정보를 제공할 수 있는 사유를 추가함 (제2조제15호ㆍ제16호 및 제32조제6항제9호의2ㆍ제9호의4 신설)
•가명정보를 이용하는 경우로서 그 이용 목적, 가명처리의 기술적 특성 등을 고려하여 대통령령으로 정하는 기간 동안 보존하는 경우 등에 대하여 개인신용정보 보유 기간에 대한 특례를 부여함 (제20조의2제2항)
•빅데이터 분석ㆍ이용에 따라 발생할 수 있는 부작용을 방지하기 위하여 가명처리ㆍ익명처리에 관한 행위규칙을 정함 (제40조의2 신설)
•영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리한 경우 과징금 부과 및 처벌 근거를 마련 (제42조의2제1항제1호의4 및 제50조제2항제7호의2 신설)
동법 시행령(안)
•가명정보의 경우에는 추가정보 및 가명정보에 대한 관리적·물리적·기술적 보호조치 수준, 가명정보재식별시 정보주체에 미치는 영향, 재식별 가능성, 이용목적 및 그 목적 달성에 필요한 최소기간 등을 고려하여 가명처리한 자가 가명처리시 정한 기간 동안 해당 정보를 보존할 수 있도록 함 (안 제17조의2 제3항)
개인정보(가명정보)의 결합 이용 인정
개인정보(가명정보)의 결합 이용을 인정
개인정보(가명정보)의 결합을 수행하는 전문기관 지정제도 도입
개인정보 보호법
•통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행하고, 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 익명정보로 처리한 뒤 전문기관의 장의 승인을 받도록 함 (제28조의3 신설)
동법 시행령(안)
•서로 다른 개인정보 처리자가 보유한 가명정보의 결합 절차와 방법, 결합전문기관의 지정・지정취소 기준·절차, 결합전문기관에 대한 관리·감독, 반출심사 기준, 가명정보의 안전성 확보에 필요한 조치, 가명정보 재식별에 따른 과징금을 매출액 기준 대신 정액으로 해야 할 경우에 관한 사항 등을 정함 (안 제29조의2부터 안29조의5까지 신설)
신용정보법
•신용정보회사 등은 자기가 보유한 정보집합물을 제3자가 보유한 정보집합물과 결합하려는 경우에는 금융위원회가 지정한 데이터전문기관을 통해서만 하도록 하고, 데이터전문기관이 결합된 정보집합물을 해당 신용정보회사등 또는 그 제3자에게 전달하는 경우에는 가명처리 또는 익명처리가 된 상태로 전달 (제17조의2)
•정보집합물 결합 목적으로 데이터전문기관에게 개인신용정보를 제공하는 경우 신용정보주체 동의 없이 개인신용정보를 제공할 수 있도록 함 (제32조제6항제9호의3 신설)
•금융위원회는 정보집합물의 결합 및 익명처리의 적정성 평가를 전문적으로 수행하는 데이터전문기관을 지정할 수 있도록 함(제26조의4 신설)
동법 시행령(안)
•데이터전문기관은 전문기관업무 수행 직원과 그외 직원 및 전문기관업무 수행 서버와 그외 서버를 분리하는 등 위험관리체계를 갖추도록 하고, 전문기관 요건 및 전문기관 지정절차 및 지정취소 사유 등을 규정 (안 제22조의4 신설)
•신용정보회사등은 기술적·물리적·관리적 보호조치(고시)를 거쳐 가명처리에 사용된 추가정보에 대한 접근을 통제하도록 하고, 가명처리한 개인신용정보에 대해 제3자의 불법적 접근 방지, 개인신용정보의 변경·훼손·파괴 방지, 접근기록의 주기적 점검 등을 반영한 기술적·물리적·관리적 보안대책을 수립·시행하도록 함 (안 제34조의5)
개인정보 이용ㆍ제공 확대를 위한 수집 목적과 합리적으로 관련된 범위
–정보주체 동의 없이 과학적 연구, 통계작성, 공익적 기록보존 등 활용 가능
개인정보 보호법
•개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위 내에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있도록 함(제15조제3항 및 제17조제4항 신설)
동법 시행령(안)
•법 제15조제3항 및 법 제17조제4항에서 “대통령령으로 정하는 바”란 다음 각 호의 사항을 모두 충족하는 경우를 말함(제14조의2 신설)
1.개인정보의 추가 이용 목적이 당초 수집 목적과 상당한 관련성이 있을 것
2.개인정보 수집 정황과 처리 관행에 비추어 추가 이용할 수 있을 것으로 예측 가능할 것
3.개인정보 추가 이용이 정보주체 또는 제3자의 이익을 부당하게 침해하지 않을 것
가명처리를 하여도 추가 이용 목적을 달성할 수 있는 경우엔 가명처리 이용할 것
신용정보법
•신용정보회사등(정보집합물의 결합 목적으로 데이터전문기관에 개인신용정보를 제공하는 경우에는 데이터전문기관을 포함)이 개인신용정보를 제공하는 경우로서 양 목적 간의 관련성, 신용정보회사등이 신용정보주체로부터 개인신용정보를 수집한 경위, 해당 개인신용정보의 제공이 신용정보주체에게 미치는 영향, 해당 개인신용정보에 대하여 가명처리를 하는 등 신용정보의 보안대책을 적절히 시행하였는지 여부를 고려하여 당초 수집한 목적과 상충되지 아니하는 목적으로 개인신용정보를 제공하는 경우 정보주체의 동의 없이 개인정보를 이용하거나 제공할 수 있도록 함 (제32조제6항 제9호의4 신설)
공개 (개인)정보의 수집ㆍ이용 근거 마련
–정보주체 동의 없이 공개 (개인)정보를 수집ㆍ이용 가능
신용정보법 제15조(수집 및 처리의 원칙) 제2항
신용정보회사등이 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1.「개인정보 보호법」 제15조제1항제2호부터 제6호까지의 어느 하나에 해당하는 경우
2.다음 각 목의 어느 하나에 해당하는 정보를 수집하는 경우
가. 법령에 따라 공시(公示)되거나 공개된 정보
나. 출판물이나 방송매체 또는 「공공기관의 정보공개에 관한 법률」 제2조제3호에 따른 공공기관의 인터넷 홈페이지 등의 매체를 통하여 공시 또는 공개된 정보
다. 신용정보주체가 스스로 사회관계망서비스 등에 직접 또는 제3자를 통하여 공개한 정보. 이 경우 대통령령으로 정하는 바에 따라 해당 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내로 한정한다.
3. 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우
동법 시행령(안)
제12조의2(수집 및 처리의 원칙) ① 법 제15조제2항제2호다목에 따른 동의가 있었다고 객관적으로 인정된는 범위란 다음 각 호의 사정을 객관적으로 고려할 때 신용정보주체의 동의가 있었다고 객관적으로 인정되는 범위를 말한다.
1. 공개된 개인정보의 성격, 공개의 형태, 대상 범위
2. 제1호로부터 추단되는 신용정보주체의 공개 의도 및 목적
3. 신용정보회사등의 개인정보 처리의 형태
4. 수집 목적이 신용정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 여부
5. 정보 제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지 여부
6. 개인정보의 성질 및 가치와 이를 활용하여야 할 사회ㆍ경제적 필요성
익명처리, 비(非)개인식별 정보에 대한 명시적인 규정 마련
–익명( 및 가명) 처리를 개인정보 보호 원칙의 하나로 명시
–비(비)개인식별 정보에 대한 개인정보보호법의 적용 제외를 명시
개인정보 보호법
•개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 함 (제3조제7항 신설)
•시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 개인정보 보호법을 적용하지 않음 (제58조의2 신설)
신용정보법
•"익명처리"란 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 개인신용정보를 처리하는 것을 말함 (제2조 제17호 신설)
•빅데이터 분석ㆍ이용에 따라 발생할 수 있는 부작용을 방지하기 위하여 가명처리ㆍ익명처리에 관한 행위규칙을 정함 (제40조의2 신설)
감독 기구 및 법규의 일원화
–개인정보 오용ㆍ남용 및 유출 등 감독 기구를 개인정보 보호위원회로 일원화
–관련 법률의 유사ㆍ중복 규정은 「개인정보 보호법」으로 일원화
개인정보 보호법
•개인정보보호위원회를 대통령 소속에서 국무총리 소속으로 변경하고, 중앙행정기관으로 하며, 행정안전부와 방송통신위원회의 개인정보관련 사무를 개인정보보호위원회로 이관하여 개인정보 보호 컨트롤타워 기능을 강화 (제7조, 제7조의8 신설, 부칙 제9조)
•「정보통신망법」상의 개인정보 보호 관련 규정을 이 법으로 일원화함에 따라, 정보통신서비스 제공자 등의 개인정보 처리에 관한 특례 등을 규정 (제6장 신설 등)
정보통신망법
•개인정보 보호에 관한 사항을 삭제하고, 이를 「개인정보 보호법」으로 이관 (제4장)
신용정보법
•개인신용정보 처리, 업무 위탁, 유통 및 관리와 신용정보주체 보호에 관해 「개인정보 보호법」 등과 관계를 명확히 하고, 유사ㆍ중복 조항 등 정비 (제2조제13호, 제15조제1항ㆍ제2항, 현행 제16조 삭제, 제17조제1항ㆍ제6항, 제20조제4항ㆍ제5항, 제20조의2제2항 등)
데이터 3법 개정의 기대 효과
데이터 기반 비즈니스 활성화
-데이터 기반 자문 및 판매 서비스
-의료데이터를 활용한 미래 신약 개발
데이터 거래 활성화
-데이터 거래소
※ 금융데이터거래소(FinDX), 한국데이터거래소(KDX)
마이데이터(MyData)
법 적용의 혼란 및 중복 규제의 해소
-개인정보보호 거버넌스 일원화 (개인정보보호위원회)
-개인정보보호 법제 일원화 (개인정보보호법과 정보통신망법의 통합)