3. #데이터 3법 개정 배경 (1)
4차 산업혁명을 통해 Data Economy로 가야 한다는 절박함
Customer
expectations
Collaborative
innovation
Product
enhance-
ment
Organization-
al Forms
Source: Stefan Schrauf, Philipp Berttram, strategy&, Industry 4.0: How digitization makes the supply chain more efficient, agile, and customer-focused(Sept. 2016), URL: https://pwc.to/2GYPXZE
4. #데이터 3법 개정 배경 (2)
Data Economy의 기본이 되는 A.B.C.를 구축하기 위한 기초재료로서의 데이터 확보 필요
Source: Tmax Soft (URL: https://kr.tmaxsoft.com/info/storyTView.do?seq=281) & 엔코아데이터 그랜드 컨퍼런스
5. #데이터 3법 개정 배경 (2-2)
인공지능 강국으로의 도약 필요성 (Mobile First to AI First @Google I/O, 2017)
Data Discovery ▶ Data Analysis ▶ Data Preparation ▶ Data Pipelining ▶
Data Validation ▶ Model Feedback (Perpetual Iteration)
6. #데이터 3법 개정 배경 (3)
통합 거버넌스 부재에 따른 일관성 없는 규제, 중복규제, 갈라파고스 규제
개인정보 유효기간제
'동의'에 치우친 개인정보 처리 법적 근거
모바일 앱 접근권한 동의제
이용내역 통지제
정보주체 이외의 출처로부터의 수집 고지제
국내 대리인 제도
부족한 데이터(data shortage)
낮은 상호운영성(interoperability)
글로벌 경쟁력 저하(global competency)
보안 극장(security theater)
≠
7. • 시민단체, 산업계, 법조계, 학계 등의 의견
수렴 절차를 거쳐 마련
: 대통령 직속 4차산업혁명위원회 주관 ‘해커
톤’ 합의(‘18.2,‘18.4)결과와 국회 ‘4차산업
혁명 특별위원회’ 특별권고사항(’18.5)을 반
영한 입법조치
• 데이터 3법 공포(20.2.4)
• 데이터 3법 시행령 개정안 국무회의 통과
(’20.7.28)• 개인정보보호법 법안소위 전체회의 통과
(’19.11.14)
• 신용정보법 법안소위 전체회의 통과
(’19.11.29)
• 정보통신망법 법안소위 전체회의 통과
(’19.12.4)
데이터 3법 개정안 발의
(‘18.11.15)
국회 본회의 통과
(‘20.1.9)
개정 데이터 3법 시행
(‘20.8.5)
#데이터 3법 개정 경과
2020년 8월 5일 본격 개정 데이터 3법 시행
8. #거버넌스 통합
2020년 8월 5일 통합 개인정보보호위원회 출범
개인정보보호위원회
법령 해석 및 평가
법령, 제도 개선권고 등
행정안전부
(개인정보보호법)
공공, 민간
개인정보보호 총괄
방송통신위원회
(정보통신망법)
정보통신분야
개인정보보호
금융위원회
(신용정보법)
상거래 기업
개인신용
정보보호
금융회사 등
개인신용
정보보호
특별법 특별법일반법
개인정보보호위원회
(개인정보보호법)
민간, 공공 전반에 공통적으로 적용되는 개인정보보호 법제도 총괄
금융위원회
(신용정보법)
위치
정보
보호
통합 (8월 5일)
9. #데이터 3법 주요 내용
수도 없이 등장하는 ‘장밋빛 미래'
Source: 전자신문, “[이슈분석]초개인화 데이터 유통 시대 개막....데이터3법 발효”, (2020. 8. 4.)
10. #개정 개인정보보호법 주요 내용 (1)
개정 개인정보보호법 주요내용
가. 개인정보보호체계 일원화
- 분산되어 있던 개인정보보호 기능을 ‘개인정보보호위원회’로 일원화
- 개인정보보호법/정보통신망법 유사·중복규정을 정비하여 개인정보보호법으로 통합
나. 빅데이터 분석·이용의 법적 근거 마련 및 기업의 책임성 강화
- 가명정보는 과학적 연구, 통계작성, 공익적 기록보존 목적으로 동의 없이 활용할 수 있게 함 (법 제28조의2(가명정보의 처리 등))
- 데이터 결합의 법적 근거 마련, 처리자간 결합 시 보안성을 갖춘 국가지정 전문기관의 결합만을 허용 (법 제28조의3(가명정보의 결합 제한))
- 가명정보에 대한 안전조치 및 처리 시 금지 의무 부여 (법 제28조의4(가명정보에 대한 안전조치 의무 등), 제28조의5(가명정보 처리 시 금지의
무 등))
다. 정보주체의 동의 없는 개인정보의 이용·제공
- 당초 수집목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 개인정보의 추가적인 이용·제공 가능 (법 제15조(개인정보의
수집·이용), 제17조(개인정보의 제공))
11. 기존 정보통신망법 규정을
특례 조항으로 이관
개인정보 관련
판단 기준 및 체계 명확화
가명정보 활용과 보호에
관한 규정 신설
정보주체의 동의 없는
개인정보 이용·제공 범위 합리화
민감정보의 범위 확대
이용자향 서비스의 경우 특례 조항 우선 적용
개인정보 이외의 내용은 정보통신망법에 유지
'쉽게 결합할 수 있는지 여부' 판단기준 제시
가명정보 개념 도입
개인정보보호법 적용대상에서 ‘익명정보'를 명
시적으로 배제
정보주체의 동의없이 통계 작성, 과학적 연구,
공익적 기록보존 등을 위하여 처리 가능
서로 다른 개인정보처리자 간 가명정보 결합은
정부 지정 결합전문기관이 수행
가명정보의 안전한 활용을 위한 제도적 규제
당초 수집 목적과 합리적 관련 범위 내에서 정
보주체의 불이익, 안전성 확보조치 등을 고려하
여, 개인정보의 추가 이용·제공 허용
정보주체의 별도 동의를 받아 처리해야 하는 민
감정보의 범위에 생체인식정보(biometric
data), 인종·민족 정보 추가
개인정보보호위원회의
독립 부처화와 권한 일원화
개인정보보호위원회를 국무총리 소속 중앙행
정기관으로 격상 (독립성 확보)
행정안전부, 방송통신위원회에 분산되어 있던
개인정보보호 업무를 개인정보보호위원회로
통합 (단, 금융위원회와의 권한 정리 미흡)
#개정 개인정보보호법 주요 내용 (2)
12. 일반 상거래기업에 대한
신용정보법 적용
가명정보 개념 도입을 통한
빅데이터 분석·이용의 법적 근거 마련
마이데이터(MyData) 산업 도입
개인신용정보의 수집·이용 범위 확대 금융분야 개인정보보호 강화
개인신용정보에 대해서는 신용정보법이 개인
정보보호법에 우선하여 적용
상거래기업에 대해서는 개인정보보호위원회가
관리·감독 수행
가명정보는 통계작성(상업적 목적 포함), 연구
(산업적 연구 포함), 공익적 기록 보존 목적을
위해 동의 없이 활용 가능
국가지정 전문기관을 통한 데이터 결합 허용
정보주체의 권리행사에 따라 본인정보 통합조
회, 신용·자산 관리 등 서비스 제공
데이터 분석 및 컨설팅, 투자자문·일임업, 금융
상품자문업 등도 수행 가능
당초 수집한 목적과 상충되지 않는 범위 내에서
동의 없이 개인신용정보 이용·제공 가능
신용정보주체가 SNS 등을 통해 공개한 정보를
일정한 범위 내에서 별도 동의 없이 수집 가능
동의제도 개선(단순화&시각화)
정보활용 동의등급제 도입
프로파일링 대응권 도입
개인신용정보 이동권 도입
신용정보산업 규제체계 정비
신용정보업 진입규제 요건 완화
영리목적의 겸업제한 폐지(데이터 분석, 가공
및 컨설팅 등 부수업무 수행 허용)
#신용정보법 주요 개정 내용
13. #가명정보 개념의 도입
개인정보 vs. 가명정보 vs. 익명 정보
Source: 경향신문, “4차 산업 육성 ‘데이터 3법’ 국회 통과…개인정보 통제권 약화 비판도”, (2020. 1. 9.)
14. 개정 개인정보보호법
제2조(정의)
8. “과학적 연구”란 기술의 개발과 실증, 기초연구, 응용연구 및
민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존
등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공
하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보
를 포함해서는 아니 된다
개정 신용정보법
제32조(개인신용정보의 제공·활용에 대한 동의)
① 신용정보제공ㆍ이용자가 개인신용정보를 타인에게 제공하려
는 경우에는 … 미리 개별적으로 동의를 받아야 한다. (중략)
⑥ 신용정보회사등(제9호의3을 적용하는 경우에는 데이터전문
기관을 포함한다)이 개인신용정보를 제공하는 경우로서 다음 각
호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적
용하지 아니한다.
9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를
제공하는 경우. 이 경우 통계작성에는 시장조사 등 상업적 목적
의 통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.
VS
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등
을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다
9의2. 통계작성, 연구, 공익적 기록보존 등을 위하여 가명정보를
제공하는 경우. 이 경우 통계작성에는 시장조사 등 상업적 목적의
통계작성을 포함하며, 연구에는 산업적 연구를 포함한다.
#가명정보 개념의 도입
개인정보보호법 vs. 신용정보법
15. #가명정보 개념의 불명확성
가명정보 평가 기준에 대한 논의 필요
‘가명정보’의 개념?
- 가목 또는 나목[단독 or 결합 개인식별정보]을 제1호의2에 따라 가
명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결
합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
(법 제2조 1. 다.목)
- "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체
하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도
록 처리하는 것을 말한다 (법 제2조 1의2.)
1설) 단독 or 결합 개인식별정보 가명처리 가명정보 (그 외에는 법
의 정의에 부합하지 않음)
2설) [Something] - [Key Value] = 가명정보 (특정 개인을 알아볼 수
없는 정보라면 모두 가명정보에 포함해야 함)
※ ① 식별성 낮은 개인정보 ≠ 가명정보, ② 가명정보에 대한 tag 필요
16. #데이터(가명정보 ) 결합
가명정보 + 가명정보 = 더 큰 가명정보 (Deep Insight)
Source: 금융보안원 데이터 결합 안내
17. #데이터 경제 청사진 – 개인 데이터 에코시스템의 변화
① N to N ② N to one ③ ONE to n으로의 변화
Source: Antti Poikola et al, MyData – A Nordic Model for human-centered personal data management and processing, Ministry of Transport and Communications (2014.9)
사용자 편의성
신규 비즈니스 기회
개인 데이터 통제
사용자 편의성
신규 비즈니스 기회
개인 데이터 통제
사용자 편의성
신규 비즈니스 기회
개인 데이터 통제
Low Average HighLow
19. #출현 가능한 서비스
매시업(Mashup) 서비스의 발전 (예상)
관리 알림 구독 해지
충전된 선금으로 자동
결제를 하고, 남는 금액
으로 소액 투자를…
결제 알림을 하면서
특정 신용카드나
간편 결제 소개를...
결합 구독 신청 시,
할인율을 제시하고
<기업 – 소비자>
차액에서 수익을...
해지 사유를 확인하고
VoC를 분석하여
기업에 Intelligence를
판매하여 수익을...
21. #출현 가능한 서비스
마이 데이터 Data Ownership의 실현 (예시: 핀크)
SNS Affinity
Group Interest
ACSS
FDS
PB for everyone PB for everyone
Telecomm
Car Maker
Subscription
Consumer control
23. #출현 가능한 서비스
마이 데이터 Data Ownership의 실현 (예시: 뱅크샐러드)
통합 건강 조회
통합 정부 서비스 조회
통합 생애 관리
Robo-Advisor
Social Membership
자동 세무 서비스
PB for everyone
Serendipitous
experience
Finance Lifestyle
25. #출현 가능한 서비스
가명정보 결합에 따른 온-오프라인 통합 인텔리전스
Online
(ads)
Offline
(route)
Action
(purchase)
정교한 Conversion 측정
정확한 광고 가치 확인
광고 비용 최적화
광고의 정보성 확대
시나리오
온라인에서 아디다스 광고를 보고, 3일 후 신촌 아디다스 매장에 방문하여, 광고에서 본 모델을 구매
온라인 기업 보유 데이터 이동통신사 보유 데이터 카드사 보유 데이터
27. #출현 가능한 서비스
NAVER DataLab to Biz Intelligence
Page Personalization
Stock Optimization
Price Optimization
Display Automation
Online – Offline Integration
UX Optimization
Casual Customer Capture
Ads Cost Saving, etc.
■ 판매 회원께서는 트렌드 데이터를 활용한 상점 자동화 솔루션 적용에 동의하십니까?
28. #데이터 경제에 미치는 영향 (예상)
결국은 정교한 맞춤형 서비스
- 가명 정보의 결합
이종 데이터의 결합
보다 풍부해진 분석 데이터
개인의 interest-based “segmentization” granular audience groups
동의 중심의 개인정보 적법 처리 근거(lawful grounds for processing) 전환
- Compatible use & disclosure
자연스러운 데이터 흐름
동의 없이도 충분한 개인정보 이용, 제공 가능성 확대
‘불편한 동의‘ 개선에 대한 목소리 확산
29. #여전히 남아있는 문제
동의 외의 적법 처리 근거의 유명무실화
- 여전히 다른 적법 처리 근거는 “예외적 상황”에서만 사용 가능
일부 동의 쏠림 현상 개선 기대하지만, 여타 적법 처리 근거 유명무실화 우려 존재
반복적 동의 화면 노출, 디자인에 의한 동의 유도(소위 ‘dark pattern’), 철회권 보장 미흡 등
남아있는 규제 (정보통신망법)
- 영리목적의 광고성 정보 전송, 기기의 ‘Permission’ 규제 여전히
- ‘개인정보’ 보호를 위한 규제보다 자칫 ‘이용자 보호‘ 규제가 더 크게 될 가능성 (R2: Regulation Race 가능성!)
정보통신망법상에 남아있는 규제들 여전히 남아있음
전기통신사업법과의 결합을 통한 ‘이용자 규제‘로 발전할 가능성 존재
반출된 데이터의 관리
- 가명정보 + 가명정보 = 더 큰 가명정보 or 개인 식별정보
- Nature지는 15 demographic attributes만으로 99.98%의 미국인을 적절하게 재식별 입증
(Estimating the success of re-identifications in incomplete datasets using generative models, 2019)
- 완벽한 가명조치는 없다는 전제하에 어떻게 "개인정보를 보호하면서 잘 활용?”
30. ▲ 개인정보 공동 수집 및 이용(일본),
▲ 위반행위 자체가 아닌, 위반행위에 대한 시정명령 불이행에 대한 처분(일본),
▲ 금융정보 중심의 합리적 개인정보 유출 통지 및 신고(미국),
▲ 아동 개인정보에 대한 각별한 보호(미국, 유럽),
▲ 개인정보 분야의 전문가에 의한 정책적 대안 제시(유럽),
▲ 기계적이 아닌 비례적이고 적정하며 재발 위험을 제거하는 방식의 처분(유럽)
▲ 동의 원칙에 기반한 ‘처리 행위(processing activities)'에 대한 동의(세계) 등
#향후 법제 개선 시 고려해야 할 사안
해외의 좋은 사례들