* 본 포스트는 개인연구/학습 기록 용도로 작성되고 있습니다.
[Fintech] 데이터3법, 그리고 핀테크 관련 정책 히스토리
By MK on December 15, 2019
- 2019.12.15 개시글을 update하여 게시합니다.(수정일 20.01.13)
2019년 12월 10일 정기국회 종료시, 법사위 통과 실패로 많은 금융업 및 데이터 관련 기업 종사자들의 아쉬움을 샀던 데이터3법
데이터 3법이라 불리는 개인정보보호법/신용정보법/정보통신망법이란 무엇인지,
지금까지 해당법에 대한 의안이 나오기까지 어떤 히스토리를 갖고 있는지
개괄적으로 살펴보았다.
물론 정부기관에서 제공하는 정책위키 참고시, 더 정확하고 잘 정리된 자료로 확인 할 수 있다. 아래 내용은 이와 더불어 참고하면 좋을 것이다. http://www.korea.kr/special/policyCurationView.do?newsId=148867915
데이터 3법의 개정안 주요내용
[개인정보보호법]
개인정보개념정비(가명정보도입)
개인정보와 관련된 개념 체계를 개인정보‧가명정보‧익명정보로 정비
개인정보 활용 목적 구체화(미동의)
가명정보는 통계작성, 연구, 공익적 기록보존의 목적으로 동의 없이 처리할 수 있도록 함
가명정보의 데이터 결합
서로 다른 기업이 보유하고 있는 정보집합물은 대통령령으로 정하는 보안시설을 갖춘 전문기관을 통해 결합되며 전문기관의 승인하에 반출이 허용됨
안전성 확보 조치 의무화
나아가 가명정보를 처리하거나 정보집합물을 결합하는 경우에는 관련 기록을 작성‧보관하는 등 대통령령으로 정하는 안전성 확보조치 필요
재식별화 금지 및 책임 강화
특정 개인을 알아보는 행위를 금지하는 한편 이를 위반하는 경우 형사벌칙과 과징금 등을 부과
개인정보보호 감독기관 역할 일원화
행정안전부, 방송통신위원회, 금융위원회 → 개인정보보호위원회로 일원화
개인정보보호위원회에 공동조사 및 처분 등에 대한 의견제시권을 부여하여 개인정보 보호 컨트롤타워 기능을 강화
정보통신망법의 개인정보보호 관련 규정을 삭제(현행법과 상이하거나 정보통신망법에만 있는 규정을 특례로 규정)
개인정보보호위원회 격상
개인정보보호위원회를 국무총리 소속 중앙행정기관으로 개편
[신용정보법]
금융분야에서의 가명정보의 개념 명확화
개인신용정보로서 가명정보의 개념을 도입하여 빅데이터 분석·이용의 법적 근거를 명확화
개인정보 활용 목적 구체화(미동의)
가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해서는 신용정보주체의 동의 없이도 이용 가능
가명정보의 데이터 결합
데이터 전문기관을 통한 데이터 결합의 근거를 마련
안전성 확보 조치 의무화
가명정보의 안전한 이용을 위한 보안장치를 의무화
재식별화 금지 및 책임 강화
영리·부정한 목적의 재식별시 징벌적 과징금 부과 등 엄격한 사후 처벌을 신설
법률간 중복 조항 정비
개인정보보호법과 신용정보법 간 유사 중복 조항을 정비
신사업 관련 조항 신설
금융 분야 마이데이터(MyData) 산업 도입 등과 관련한 조항을 신설
정보 활용 동의서 등급제를 도입
신용정보 주체인 개인이 빅데이터 시대에 소외되지 않도록 정보 활용 동의서 등급제를 도입
산업 규제 체계 정비
신용정보 관련 산업 규제 체계 정비
개인정보 자기결정권 도입
‘프로파일링 대응권(자동화평가대응권)’등 새로운 개인정보 자기결정권을 도입
[정보통신망법]
개인정보보호법 규제 감독 이관
개인정보 보호에 관한 사항을 개인정보보호법으로 이관
온라인상의 개인정보 보호와 관련된 규제 및 감독의 주체를 방송통신위원회에서 개인정보보호위원회로 변경
12/9 정기국회 본회의를 하루 앞두고,
은행연합회 및 금융보안원 등이 국회에 촉구 서명을 발표했지만,
마지막 법사위는 열리지도 못한채 20대 정기 국회는 종료되었다.
국회 입법을 위한 절차는 꽤나 복잡하다. 2018년 11월 국회발의를 시작으로 어떻게 진행되어 왔는지 살펴보았다.
데이터 3법 입법 절차
데이터 3법이 시행되게 되면,
데이터법은 개인정보보호법의 세계적 트렌드로 자리잡고 있는 유럽의 GDPR과 결을 맞추어 개인정보의 국가간 이동인 EU역외이전을 위한 적정성 평가 심사의 기준을 대비할 수 있게 된다.
2018.5월 대대적으로 시행한 GDPR은 EU가 아닌 국가의 기업이여도 EU고객을 상대로하는 모든 기업에게 적용되는 정보보호법인데, 위반시 최대 매출의 4%, 2,000만유로(245억원)가 징수될 수 있다.
GDPR 시행 이후 6개월만에(2019년 1월 기준) EU 역대 감독기구에 접수된 민원은 9만5000건 이상, 유출 통지는 5만9000건에 이르렀다.
개별 기업이 GDPR 심사를 받을 수도 있지만, 자문비용 및 소비자저항 등의 이슈로 진행이 어려운 실정이고 국가의 적정성 평가 통과 로 해당 국가의 기업이 일괄 승인 받는 것이 현실적이다.
또한, 데이터3법을 통해 개인정보보호 이슈로 시행에 고초를 겪고 있는 마이데이터사업 및 신용평가업 등 금융데이터 서비스 기업들이 박차를 가할 수 있게 된다.
정보의 주체인 ‘개인’은 법개정을 통해 개인정보보호의 개념을 명확히하고 ‘내 정보 사용에 대한 권리’를 법적으로 지위할 수 있게 된다.
그레이존의 영역에서 이미 어떤 방식으로 활용되고 있을지 모를 내 정보에 대한 ‘활용/삭제 등과 관련된 권한을 스스로 부여받고 지시할 수 있게 된다.’
물론 우려되는 사항도 있다. 개인정보를 비식별화해서 ‘가명정보’를 만들어 사용하자는 취지인데,
1) 비식별화 기술에 대한 불신과 2)개인정보 오남용 가능성 그리고 3)데이터결합에 의한 개인정보 재식별화가 주요 이슈이다.
‘무어의 법칙’이 말해주듯이 기술은 기하급수적으로 발전하고 있다. 때문에 비식별기술(‘암호화’)이 발전하는 만큼 ‘해독화’ 기술도 발전할 것이며 지금의 기술력으로 미래를 보장할 수 없는 것이 사실이다.
하지만, 개인정보는 악용될 경우 치명적 위협으로 다가올 수 있기 때문에 매우 중요하다. 그만큼 절처한 대안책을 마련해야 한다.
글로벌 시대가 빠르게 변화하고 있다. 4차산업혁명시대에 이르러 ‘데이터’는 중요한 자원임에는 자명한 사실이고 모두의 공감대가 형성되어 있다.
많은 전문가들이 지금도 늦었다라고 말하고 있다. 어쩌면 지금이 과거의 실수를 만회할 수 있는 유일한 시점일 수 있다.
엄격한 처벌 조항을 적용하는 등의 우려사항에 대한 신속한 법적 조치로 데이터 활용에 대한 법적 근거를 마련해야 할 것 이다.
데이터 3법의 시작은 유럽 개인정보보호법인 GDPR과 핀테크사업(마이데이터사업 등)을 떼어놓고 설명할 수 없다. 이러한 맥락을 한눈에 살펴 보기 위해 그 히스토리를 [데이터3법 관련 주요히스토리], [함께 알아두면 좋은 히스토리]로 구분하여
데이터3법을 포함한 유럽/일본/미국의 정보보호법 제정관련 이슈는 [데이터3법 관련 주요히스토리]에, 그 밖에 정부에서 추진하는 핀테크 육성 관련 이슈는 [함께 알아두면 좋은 히스토리]에 담아보았다.
Reference
- 데이터 3법 개정 전망과 과제 : http://journal.kiso.or.kr/?p=9732
