[보안이슈] 데이터3법 개정안 통과! 개정안 내용과 남은 문제점

'데이터3법 개정안'이란

'데이터3법 개정안'에서 3법이란 신용정보법, 개인정보보호법, 정보통신망법 3개의 법을 의미하고 '데이터3법 개정안'이란 데이터 경제 활성화를 위해 대통령 직속의 4차산업혁명위원회 주관으로 이 3개의 법을 개정한 것을 말한다.

 

데이터3법은 4차 산업혁명의 시대를 맞이하면서 가장 핵심적인 자원으로 부각되는 '데이터'의 활성화를 위해 화두로 떠올랐다. 인공지능, 클라우드, IoT 등 신기술에서는 데이터 활용이 필수적이기 때문이다.

 

결국, 데이터3법 개정안은 2020년 1월 9일에 국회 본회의를 통과했다. 일단 각 3개의 법이 소관부처가 전부 다르기 때문에 발생했던 중복 규제를 삭제했고 3법에서 데이터 활용과 관련한 규제가 완화되는 방향으로 개정되었다. 그럼 각 법의 주요 개정 사항을 간단히 살펴보자.

 

 

 

데이터 3법 개정안 내용 요약

대표적으로 개인정보보호법에서는 개인정보보호법에서 명시하고 있는 개인정보의 개념에 '가명정보'의 개념을 추가했다. 여기서 가명정보란 '원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보'를 의미한다.

 

익명정보는 외부의 데이터와 결합해도 개인이 식별될 수 없는 반면, 가명정보는 식별될 수도 있다는 점에서 익명정보와 차이를 보인다. 그런데 이 가명정보를 왜 추가했을까? 바로 이 가명정보를 정보주체의 동의없이 활용되고 처리되게끔 하기 위해서이다.

 

---

개인정보보호법 (소관부처: 행정안전부)

개인정보 / 가명정보 / 익명정보 으로 구분

가명정보의 정보주체 동의 없는 상업적 처리 및 활용 허용

 

신용정보법 (소관부처: 금융위원회)

가명저보의 정보주체 동의 없는 금융분야 처리 및 활용 허용

 

정보통신망법 (소관부처: 과학기술정보통신부, 방송통신위원회)

온라인상 개인정보보호 규제 권한을 개인정보보호위원회로 변경

정보통신망법의 개인정보보호 관련 사항을 개인정보보호법으로 이관

 

 

 

각 주체의 개인정보는 원래는 익명처리된 후 주체의 동의하에 사용될 수 있었고 그것도 5년이 지나면 폐기해야 했지만 개정 후의 개인정보는 비식별처리를 통해 가명정보가 되어 주체의 동의 없이 마음껏 활용되게 된 것이다.

 

더 자세한 개정 내용은 아래 정책위키 칭크를 참고하자.

 

---

[정책위키] 한눈에 보는 정책 - 데이터 3법

[정책위키] 한눈에 보는 정책 - 데이터 3법

 

 

 

사생활침해 vs 빅데이터 활성화

사실 반대 여론도 상당하지만, 데이터 활용과 직접적으로 관련이 있는 집단들은 데이터3법 개정안의 통과를 기다렸을 것이다. 4차산업혁명 시대로 들어서면서 데이터의 활용이 무엇보다도 중요한 과제로 떠오른 상황에 데이터 활용을 쉽게 해주겠다는데 기업 입장에서는 얼마나 좋은가. 지금까지는 개인정보를 활용하려면 각 주체에 동의를 무조건 받았어야 했다. 동의 체크를 받기 위해 UI를 의도적으로 변경했다거나 작게해놓아서 못봤다거나... 이런 문제가 많이 있었다.

 

아래 이디야 멤버스 앱을 예시로 들어보자. (참고로 이디야는 아무 잘못이 없다. 그냥 가입할때 이용동의 체크받는 앱 생각했는데 갑자기 이디야가 생각났다.) 필수적으로 '개인정보 수집 및 이용약관'을 동의하도록 되어있다.

 

개인정보 수집 및 이용약관

 

수집항목에는 성명, 생년월일, 휴대폰번호와 같은 기본정보를 포함해서 처음 들어보는 CI라는 암호화된 주민번호 대체수단, 심지어는 유료 서비스 이용시 카드정보와 같은 결제정보, IP주소, 기기정보까지 수집해간다. 이런 수집정보 약관을 읽어보는 사람이 몇 %나 될지 모르겠다. 나도 어차피 동의를 해야 가입이되니까 읽어보지 않고 넘어가는 경우가 대다수다.

 

근데 이렇게 수집되는 정보가 마케팅으로 활용될 수는 없다. 위에 '마케팅 활용 동의'를 안했기 때문이다. 

 

 

 

그런데 이제 저런 '활용 동의'를 따로 받지 않고도 수집해간 개인정보를 가명정보로 처리한 후 마음껏 이용할 수 있게 된 것이다. 서비스를 이용하는 우리같은 입장에서야 난 동의도 안했는데 가명정보이건 뭐건간에 내 정보가 활용되는 것이 꺼림직할 수 밖에 없을 것이다.

 

 

데이터3법 개정안에 남은 문제점 (개인견해)

사실 난 개인정보 관련은 식견이 짧기 때문에 딱 이게 맞다, 저게 맞다 정확히 이러이러한게 문제가 된다라고 확실하게 말할 수 없기에 중립적인 입장이다.

 

하지만 가명정보를 생성하는 '비식별 처리 방식에 대한 정확한 규제', 'GDPR도 금지해놓은 건강정보에 대한 애매한 규제', '많은 가명정보들이 cross over 되어 재식별될 수 있는 일말의 가능성에 대한 고려'와 같은 것들은, 데이터 활용국가를 만들겠다는 강대한 포부아래 먼저 선행되야 할 사항이 아닌가 생각해본다.