02_빅데이터 기술 및 제도(12) - 개인정보 법・제도

05_개인정보 법・제도

 

1) 개인정보 보호법

① 개인정보보호법의 개요

● 당사자 동의 없는 개인정보 수집 및 활용하거나 제 3자에게 제공하는 것을 금지하는 등 개인정보 보호를 강화한 내용을 담아 제정한 법률이다.

 

● 상대방의 동의 없이 개인정보를 제3자에게 제공하면 5년 이하의 징역이나 5,000만원 이하의 벌금에 처할 수 있다.

 

② 개인정보의 범위(제2조 제1호)

● '개인정보'란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)를 말한다.

 

● 어떤 정보가 개인정보에 해당하는지는 그 정보가 특정 개인을 알아볼 수 있게 하는 다른 정보와 쉽게 결합할 수 있는가에 따라 결정된다.

 

● 법원은 그 정보 자체로는 누구의 정보인지를 알 수 없더라도 다른 정보와 결합 가능성을 비교적 넓게 인정하여 개인정보에 해당한다 판단하고 있다.

 

③ 개인정보의 처리 위탁

● 일정한 내용을 기재한 문서에 의하여 업무 위탁이 이루어져야 한다.(개인정보보호법 제26조 제1항).

 

● 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 하는바, 개인정보처리방침에 해당 내용을 추가하여 공개하거나, 사업장 등의 보기 쉬운 장소에 게시하는 방법 등을 시행해야 한다.(개인정보보호법 제26조 제3항, 동법 시행령 제26조 제3항).

 

● 수탁자에 대한 교육 및 감독 의무를 부담하게 된다(개인정보보호법 제26조 제4항).

 

● 수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보 보호법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다(개인정보보호법 제26조 제6항).

 

● 손해가 발생한 경우 정보주체의 손해배상 청구에 대해 위탁자가 책임을 질 수 있다.

 

④ 개인정보의 제 3자 제공

● 정보주체로부터 개인정보 제3자 제공 동의를 받아야 한다(개인정보보호법 제17조 제1항).

 

⑤ 개인정보 처리 위탁과 제3자 제공 판단 기준

<서울중앙지방법원 2018.8.16. 선고 2017노1296 판결 참조> ● 개인정보의 취득목적과 방법 ● 대가 수수 여부 ● 수탁자에 대한 실질적인 관리・감독 여부   ● 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향   ● 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등

 

⑥ 비식별 개인정보의 이전

● 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우는 제외한다.  

 

● 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 '특정 개인을 알아볼 수 없는 형태로 개인정보'를 제공할 수 있도록 규정하고 있다(개인정보보호법 제18조 제2항 제4호)

 

● 데이터 제공이 목적에 부합하는지, 특정 개인을 알아볼 수 없는 형태로 제공하는지에 대해 사전에 검토하여야 한다.

 

2) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)

① 정보통신망법의 개요

● 정보통신망의 개발과 보급 등 이용 촉진과 함께 통신망을 통해 활용되고 있는 정보보호에 관해 규정한 법률이다.

 

● 이용자의 동의를 받지 않고 개인정보를 수집하거나 제3자에게 개인정보를 제공한 경우, 법정대리인의 동의 없이 만 14세 미만의 아동의 개인정보를 수집한 경우, 악성프로그램을 전달 또는 유포한 경우 등은 5년 이하의 징역 또는 5,000만원 이하의 벌금에 처해진다.

 

② 개인정보의 처리 위탁

● 원칙적으로는 개인정보 처리 위탁을 받는 자, 개인정보 처리 위탁을 하는 업무의 내용을 이용자에게 알리고 동의를 받아야 한다.

 

● 단, 정보통신서비스 제공자 등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자의 편의 증진 등을 위하여 필요한 경우에는 고지절차와 동의절차를 거치지않고, 이용자에게 이에 관해 알리거나 개인정보 처리방침 등에 이를 공개할 수 있다(정보통신망법 제25조 제2항). 

 

● 만일 제3자에게 데이터 분석을 위탁할 경우, 해당 서비스가 정보통신서비스 제공에 관한 계약을 이행하고 이용자의 편의 증진을 위한 것인지 검토해야 한다.

 

3) 신ㄷ용정ㅇ보의 이용 및 보호에 관한 법률(신용정보보호법)

① 신용정보보호법의 개요

● 개인신용정보를 신용정보회사 등에게 제공하고자 하는 경우에 해당 개인으로부터 서면 또는 공인전자서명이 있는 전자문서에 의한 동의 등을 얻어야 한다.

 

● 신용정보주체는 신용정보회사 등이 본인에 관한 신용정보를 제공하는 때에는 제공받는 자, 그 이용 목적, 제공한 본인정보의 주요 내용 등을 통보하도록 요구하거나 인터넷을 통하여 조회할 수 있도록 요구할 수 있다.

 

● 신용정보회사 등이 보유하고 있는 본인정보의 제공 또는 열람을 청구할 수 있고, 사실과 다른 경우에는 정정을 청구할 수 있다.

 

② 신용정보의 범위(제2조 제1호 및 제2호, 제34조 제1항)

● "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서 다음 각 목의 정보를 말한다.

가. 특정 신용정보주체를 식별할 수 있는 정보

나. 신용정보주체의 거래내용을 판단할 수 있는 정보

다. 신용정보주체의 신용도를 판단할 수 있는 정보

라. 신용정보주체의 신용거래능력을 판단할 수 있는 정보

마. 그 밖에 가목부터 라목까지와 유사한 정보

 

③ 개인신용정보

● "개인신용정보"란 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보를 말한다.

● "개인신용정보"는 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 정보로서 성명・주민등록번호 등을 통하여 개인을 알아볼 수 있는 정보이며, 신용정보주체의 거래내용, 신용도, 신용거래능력 등과 결합되는 경우에만 개인 신용정보에 해당한다.

 

---

성명과 연락처만을 처리하는 경우에는 개인정보를 처리하는 것이며, 성명과 연락처 및 거래금액을 함께 처리하는 경우에는 개인신용정보를 처리하는 것으로 해석된다.

---

 

④개인신용정보의 처리 위탁

● 신용정보회사 등은 그 업무 범위에서 의뢰인의 동의를 받아 다른 신용정보회사에 신용정보의 수집・조사를 위탁할 수 있다.

 

● 개인신용정보 처리에 대한 업무 위탁의 경우에는 수집된 신용정보의 처리를 자본금 또는 자본총액이 1억원 이상인 기업으로서 신용정보관리・보호인 등을 지정한 자에게 위탁할 수 있다.

 

● 신용정보회사, 신용정보집중기관, 은행, 금융지주회사, 금융투자업자, 보험회사 등은 신용정보 처리 위탁 시 금융위원회에 보고해야 하며, 이에 관한 구체적 사항은 「금융회사의 정보처리 업무 위탁에 관한 규정」에 따른다.

 

● 특정 신용정보주체를 식별할 수 있는 정보는 암호화하거나 봉함 등의 보호조치를 하여야 하며, 신용정보가 분실・도난・유출・변조 또는 훼손당하지 않도록 수탁자를 연 1회 이상 교육하여야 한다.

 

● 위탁계약의 이행에 필요한 경우로서 수집된 신용정보의 처리를 위탁하기 위하여 제공하는 경우 정보주체의 동의를 받지 않아도 된다(신용정보보호법 제17조, 동법 시행령 제14조).

 

⑤ 개인신용정보의 제3자 제공

● 개인신용정보를 타인에게 제공하려는 경우 정보주체에 서비스 제공을 위하여 필수적 동의 사항과 그 밖의 선택적 동의 사항을 구분하여 설명한 후 각각 동의를 받도록 하고 있다(신용정보보호법 제32조, 제34조 등).

 

● 기타 개인정보 제공 시 개인정보보호법이 적용된다.

 

⑥ 개인식별정보

● "개인식별정보"란 생존하는 개인의 성명, 주소 및 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 국내거소신고번호 및 성별, 국적 등 개인을 식별할 수 있는 정보를 말한다.

 

---

특별법

일반법에서 적용 범위를 한정 혹은 내용을 특별히 정해 놓은 법이다.

일반법과 특별법이 저촉되면 특별법이 먼저 적용되고, 특별법에 규정이 없는 사항에 대해서는 일반법이 적용된다.

 

정보통신서비스 제공자에 대하여는 정보통신망법(특별법)이 우선 적용되지만, 정보통신망법에 특별한 규정이 없고 개인정보보호법과 상호 모순・충돌하지 않는 경우에는 개인정보보호법(일반법)이 적용된다.

 

신용정보보호법 제3조의2는 "개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 「개인정보보호법」에서 정하는 바에 따른다"라고 하고 있으므로 신용정보보호법은 개인정보보호법에 대해 특별법의 지위를 가진다.

 

법률이 상호 모순, 저촉되는 경우에는 신법이 구법에, 그리고 특별법이 일반법에 우선하나, 법률이 상호 모순되는지 여부는 각 법률의 입법목적, 규정사항 및 그 적용범위 등을 종합적으로 검토하여 판단하여야 한다.

---

 

4) 2020년 데이터 3법의 주요 개정 내용

● 데이터 이용 활성화를 위한 '가명정보' 개념 도입및 데이터간 결합 근거 마련   ●  개인정보보호 관련 법률의 유사・중복 규정을 정비 및 거버넌스 체계 효율화 ●  데이터 활용에 따른 개인정보처리자 책임 강화 ●  다소 모호했던 개인정보의 판단기준 명확화

 

---

데이터3법

●  개인정보 보호법

●  정보통신망 이용촉진 및 정보보호 등에 관한 법률

●  신용정보의 이용 및 보호에 관한 법률

---

 

① 개인정보보호법 주요 개정 내용

●  개인정보 관련 개념을 개인정보, 가명정보, 익명정보로 구분

●  가명정보를 통계 작성 연구, 공익적 기록보존 목적을 처리할 수 있도록 허용

●  가명정보 이용 시 안전장치 및 통제 수단 마련

●  분산된 개인정보보호 감독기관을 개인정보보호위원회로 일원화

●  개인정보보호위원회는 국무총리 소속 중앙행정기관으로 격상

 

② 정보통신망법 주요 개정 내용

●  개인정보보호 관련 사항을 개인정보보호법으로 이관

●  온라인상 개인정보보호 관련 규제 및 감독 주체를 개인정보보호위원회로 변경

 

③ 신용정보보호법 주요 개정 내용

●  가명정보 개념을 도입해 빅데이터 분석 및 이용의 법적 근거 마련

●  가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해 신용정보 주체의 동의 없이이용, 제공 가능 

 

 

5) 유럽 연합과 미국의 개인정보보호 체계

① 유럽 연합(EU)

●  유럽 연합의 시민의 데이터를 활용하는 경우 GDPR(General Data Protection Regulation)을 준수해야 한다.

●  GDPR은 정보주체의 권리와 기업의 책임성 강화 등을 주요 내용으로 하며 위반시 과징금 부과를 규정하고 있다.

●  GDPR의 주요 항목으로 사용자가 본인의 데이터 처리 관련 사항을 제공 받을 권리, 열람・정정・삭제 요청 권리, 데이터 이동권리, 처리 거부 요청 권리 등이 있다. 

 

② 미국

● 미국은 기본적으로 시장 자율 규율(self-regulation)방식으로 EU나 한국과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이 연방법률로서 존재하지 않는다.

ー 대신 공공, 통신, 금융, 교육, 의료, 근로자 정보 등 영역별로 개인정보보호를 규율하는 개별 법률이 각 분야별 개인정보보호를 담당한다.

● 주 법체계에서는 EU의 GDPR 제정 이후 캘리포니아 주의 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA)을 시작으로 많은 주들이 포괄적인 일반 개인정보보호법을 도입하려는 노력을 진행중이다.