어떤 문제가 발생했을 경우 그 분쟁을 해결하기 위해서 보통 법원의 판결을 받습니다. 그리고 법원은 이러한 소송이 발생할 경우에 판사의 자의적인 판단이 아닌 법전의 정의에 기초하여 분쟁의 판결을 내립니다. 그렇기 때문에 법전에 정의되어 있지 않은 용어로 인해서 법적인 판단을 구하는 것은 불가하죠.
그렇다면 최근에 많은 이슈와 분쟁의 원인이 되는 데이터와 개인정보에 대해서는 법으로 어떻게 정의하고 있을까요?
데이터란?
정보처리능력을 갖춘 장치를 통하여 생성 또는 처리되어 기계에 의한 판독이 가능한 형태로 존재하는 정형 또는 비정형의 정보를 말함 (데이터기반행정 활성화에 관한 법률)
개인정보란?
살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 즉, 가명정보도 포함(개인정보보호법)
최근까지 정부는 이러한 개인정보의 유출을 엄격히 법으로 금지하고 있었습니다. 그러나 정부는 4차산업혁명 대응을 위해서 개인정보를 기존의 규제에서 개방으로 그 정책을 변경하면서 데이터 이용을 활성화하는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」, 「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법률을 개정하게 됩니다. 이것을 “데이터 3법”이라고 합니다.
좀 더 자세히 설명하면 이는 미래 신산업 이라고 할 수 있는 인공지능, 클라우드, 사물인터넷 등 신기술의 활용과 발전을 위해 데이터의 이용이 필수적인 상황에서 데이터의 활용을 촉진하는 한편 정보주체의 권리를 강화하고 개인정보보호의 콘트롤 타워로서 개인정보보호위원회의 위상을 제고하는 것이 주요 내용이라고 할 수 있습니다.
“4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요하다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급하다. 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거너번스) 체계 정비의 두 문제를 해결하기 위해 데이터 3법 개정안이 발의됐다.” (대한민국정책브리핑, 데이터 3법)
데이터3법의 주요 내용을 크게 3가지 특징으로 이야기 할 수 있습니다.
첫째 개인정보는 민감정보, 성명, 주민등록번호, 영상 정보 등을 통하여 개인을 알아볼 수 있는 정보 외에도 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보”로 구분했습니다.
둘째, 가명정보를 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리(이하 “가명처리”)함으로써 원래의 상태로 복원하기 위한 추가정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”로 정의하고, 통계작성, 과학적 연구, 공익적 기록보존 등 목적을 위해서는 정보주체의 동의 없이 처리할 수 있도록 했습니다.
셋째, 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 활용하여도 더 이상 개인을 알아볼 수 없는 정보(익명정보)에 대해서는 법을 적용하지 않는다는 점을 규정했습니다.
다음의 내용은 “대한민국정책 브리핑”에서 제공하는 내용을 정리한 것입니다. 자세한 내용은 해당 링크를 참조하시기 바랍니다.
① 개인정보 보호법 개정안
개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정했다. 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 가명정보를 이용할 수 있도록 했다.
개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련했다.
개인정보의 오·남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사·중복 규정은 「개인정보 보호법」으로 일원화했다.
개정 목적 및 주요 내용
ㅇ 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여
ㅇ 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진
ㅇ EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보
② 정보통신망법 개정안
개정 목적 및 주요 내용
ㅇ 정보통신망법 내 개인정보 관련 다른 법령과의 유사·중복조항 정비와 협치(거버넌스) 개선
ㅇ 개인정보 보호 관련 사항은 「개인정보보호법」으로 이관
ㅇ 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경
③ 신용정보법 개정안
개정 목적 및 주요 내용
ㅇ 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화
ㅇ 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신
ㅇ 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화
ㅇ 새로운 개인정보 자기결정권의 도입
ㅇ 금융분야 빅데이터 분석 및 이용에 법적 근거 명확화
ㅇ 개인정보보호위원회 기능 강화
ㅇ 신용정보 관련 산업의 규제체계 선진화 등
이러한 법률 개정에 가장 큰 변화중에 하나는 가명정보를 3가지 조건하에서는 동의없이 사용할 수 있도록 했다는 것입니다.
정리해보면 데이터3법은 데이터의 활용, 보호, 거버넌스 관점에서 빅데이터 분석과 이용에 법적 근거가 마련되었다는데 중요한 의의를 가질 수 있습니다.
다만 아직도 정비할 여러가지 여지가 있는 것도 사실입니다. 특히 개인정보보호법에서는 “당초 수집목적과 합리적으로 관련된 범위”에서 데이터를 이용할 수 있다고 정의하고 있고 신용정보법에서는 “당초 수집한 목적과 상충되지 아니하는 목적으로 이용하는 경우”로 규정하고 있는 부분들이 있어 해당 법간의 범위에 차이가 있어 향후 조정의 여지가 필요하다는 것이 전문가들의 주장입니다.
또 개인정보보호위원회가 개인정보보호법을 관장하는 독립적 감독기관이 되었지만 신용정보에 대해서는 금융위원회가 신용정보법 소곤 부서로 역활을 수행하는 부분도 역시 조율이 필요한 부분입니다.