Ian's Archive 🏃🏻

thumbnail
데이터 3법 정리, 개인정보 보호법 최신동향
Security
2024.09.11.

데이터 3법 정리

1. 데이터 3법이란

데이터 이용을 활성화 하는 개인정보 보호법, 정보통신망법, 신용정보법 3가지 법률을 통칭한다.

2가지 목적에 따라 개정

데이터 이용에 따른 규제 혁신, 개인정보 보호 거버넌스 체계 정비

2. 주요 내용

  • 데이터 이용 활성화를 위한 가명정보 개념 도입
  • 관련 법률의 유사, 중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 거버넌스 체계의 효율화
    • 개인정보의 유출 등을 감독할 감독 기구는 개인정보보호위원회
  • 데이터 활용에 따른 개인정보 처리자의 책임 강화
    • 데이터 활용 시 준수해야 할 필수 안전조치 사항 명확화
  • 모호한 ‘개인정보’ 판단 기준의 명확화 -> 익명 정보는 더이상 개인을 알아보기 위한 정보가 아님
    -> 개인정보보호법 적용 대상이 아니다.

3. 상세 개정 사항

3.1) 개인정보보호법

  1. 가명 정보 도입 등을 통한 데이터 활용 제고
개념 활용 가능 범위 예시
개인정보 특정 개인에 관한 정보, 개인을 알아볼 수 있게 하는 정보 사전적이고 구체적인 동의를 받은 범위 내 활용 김철수
010-1234-5678
경기도 성남시 판교로 1길
소득 연 5,500만원
가명정보 추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보 다음 목적에 동의없이 활용 가능
(EU GDPR반영)
1. 통계 작성(상업적 목적 포함)
2. 연구(산업적 연구 포함)
3. 공익적 기록 보존 목적 등		 홍길동
80년생, 남자
경기도 성남
소득 연 5000~6000만원대
익명 정보 더 이상 개인을 알아볼 수 없게
(복원이 불가능할 정도로) 조치한 정보		 개인정보가 아니기 때문에 제한없이 자유롭게 활용 40대 남자
소득 연 5000~6000만원대 미만

추가로 서로 다른 기업이 보유하고 있는 가명정보를 보안 시설을 갖춘 전문기관에서 결합할 수 있도록 함

  1. 동의 없이 처리할 수 있는 개인정보의 합리화
  • 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용, 제공 허용
  1. 개인정보의 범위 명확화
  • 개인 정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설
  • 시간, 비용, 기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더이상 개인을 알아볼 수 없는 정보(익명정보) 의 법 적용 배제 명확화
  1. 개인정보 보호체계 일원화
  • 개인정보 관리 감독 개인정보보호위원회로 일원화
  • 개인정보 보호법과 정보통신망법의 중복 규제를 개인정보 보호법으로 일원화

음… 쉽게 요약하면

  • 가명정보 추가
  • 개인정보 상업적 이용 가능

이 핵심

3.2) 정보통신망법

  • 개인정보 보호 관련사항은 개인 정보 보호법으로 이관
  • 온라인상 개인정보 보호 관련 규제와 감독 주체 개인정보보호위원회로 변경

3.3) 신용정보법

  1. 금융 분야 빅데이터 분석, 이용 법적 근거 명확화
  • 가명정보 금융 분야 빅데이터 분석에 이용 가능, 주체 동의 없이 활용 가능
  • 데이터 결합의 법적 근거를 마련, 국가 지정 전문기관을 통한 데이터 결합만 허용

  1. 개인정보보호 위원회 기능 강화

  2. 개인정보보호법과의 유사 중복조항 정비

  3. 금융 분야 마이데이터 산업 도입

  • 정보 주체의 권리 행사에 따라 본인 정보 통합 조회, 신용, 자산관리 등 서비스 제공하는 마이데이터 산업 도입
  • 서비스의 안전한 정보보호, 보안 체계 마련
  1. 금융 분야 개인정보 보호 강화

추가로 EU GDPR 적성성 결정을 조속히 추진하도록 EU와 협력 강화 한다고 하는데

한국 기업, GDPR 걱정 던다…적정성 결정 통과 - ZDNET Korea(김윤희 기자)

기사를 보니 2021년 EU의 적정성 결정을 받음에 따라 기업이 별도 절차를 거치지 않고 유럽 시민의 개인정보를 국내에 이전 가능하게 되었다.

민간 데이터, 공공 데이터 모두 적용된다고 함

4. 최신 동향

4.1 전면 개정된 개인정보 보호법 및 시행령 (2023.9.15)

정보주체인 국민의 권리는 실질적으로 보장하면서 온라인, 오프라인으로 이원화되어 있는 개인정보 처리 기준을 일원화

  1. 국민의 권익보호가 더욱 실질적으로 이루어 질 수 있게
  • 긴급 구조 등 국민의 급박한 생명, 신체, 재산의 이익을 보호하기 위해 필요하거나 공공의 안전을 위해 개인정보를 수집, 이용, 제공해야 할 경우에는 우선 조치하되, 개인정보 안전조치 등은 적용되게
    • ex) 급박하게 아동 성범죄 피해가 예상되는 상황에서 쏘카 서비스를 이용한 범죄자의 주소 정보를 수사기관에 즉시 제공하지 않아 피해를 막지 못함
  • 정보 주체인 국민이 개인정보 침해를 받은 경우 신속하게 구제절차 진행할 수 있도록 개인정보 분쟁조정 참여 의무를 모든 개인정보 처리자로 확대하는 등 분쟁조정 절차 개편
  1. 영상정보,온,오프라인 이원화된 규제 등은 현장의 규제 개선 요청을 반영하여 개선
  • 드론, 자율주행차 등 이동형 영상정보처리기기를 통해 업무를 목적으로 영상정보를 촬영하는 경우 안내판, 소리 등을 통해 촬영 사실을 충분히 알린 경우에는 정보 주체가 거부의사를 표시하지 않는 한 촬영 가능
  • 온라인 - 오프라인으로 이원화되어 다른 기준을 적용하고 있는 규정들은 ‘동일행위 동일규제 원칙’에 따라 개인정보처리자가 동일한 기준을 적용받도록 정비
  1. 공공분야에서 개인정보가 안전하게 처리될 수 있도록 안전성 확보 조치 강화
  • 주요 공공 시스템 운영기관에 대하여 안전성 확보 조치
  1. 글로벌 스탠다드에 반영해 개인정보의 국외 이전 요건을 다양화하고 과징금 제도 개편
  • 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 개인정보 보호 인증 등을 받은 기업으로 국외 이전이 가능하게 요건을 다양화하고, 법을 위반하는 등의 사유가 있는 경우 국외 이전 중지 명령이 가능하도록 변경
  • 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 변경

915

9월 15일 시행 개인정보 보호법 주요 변경사항 - 개인정보보호위원회 블로그

4.2 개인정보보호법 시행령 2차 개정 시행 (2024.03.15)

  1. 인공지능(AI)등 완전히 자동화된 결정에 대한 정보주체의 권리 구체화
  • 법률
    • 완전히 자동화된 결정에 대해 정보주체가 거부하거나 설명등을 요구할 수 있는 권리 신설
  • 시행령
    • 자동화된 결정에 대한 거부, 설명 등 요구권 행사의 절차 및 방법, 개인정보처리자의 세부절차 규정
  1. 개인정보 보호책임자(CPO)의 전문성, 독립성 강화
  • 개인정보 보호 책임자 지정 요건 강화
  • 개인정보보호 경력, 정보보호 경력, 정보기술 경력 총합 4년이상 보유 (개인정보 경력 최소 2년 이상)
  1. 대통령령으로 정하는 개인정보 처리방침 기재사항 확대
  • 국외 수집, 이전에 대한 개인정보 처리방침 공개
  • 개인정보 -> 국외 이전
    • 국외 이전 법적 근거
    • 이전되는 개인정보 항목
    • 개인정보가 이전되는 국가, 시기, 방법
    • 개인정보를 이전받는 자의 성명
    • 개인정보를 이전받는 자의 개인정보 이용 목적 및 보유, 이용시간
    • 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
  • 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우
    • 개인정보를 처리하는 국가명
  1. 손해배상책임 보장 의무대상자 변경
  • 손해배상책임 이행을 보장하기 위해 보험 가입, 준비금 적립 등 의무를 이행해야 하는 대상이 온라인 사업자에서 전체 개인정보처리자로 변경
  1. 고유식별정보 관리실태 정기조사 관련 부담 완화
  • 고유식별정보관리실태 정기조사 2년 -> 3년으로 변경
  • 개인정보 보호 수준평가, 개인정보 보호 인증(ISMS-P) 받은 경우 점검 제외
  1. 공공분야 개인정보 보호수준 평가 확대

4.3 동의를 받아 개인정보를 수집, 이용하려는 경우 지켜야 할 원칙과 방법에 관한 보호법 시행령 (2024.09.15)

  • 지난 해 9월, 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집, 이용이 가능
  • 정보주체가 명확히 그 내용을 알고 자유로운 의사에 따라 동의 여부를 결정할 수 있도록 동의받는 방법에 관한 원칙을 명확히 규정
  1. 서비스 이용계약 관련 개인정보 -> 동의없이 수집, 이용
  • 동의 없이 처리할 수 있는 필수적 개인정보라는 입증책임은 개인정보처리자가 부담
  1. 서비스 이용 계약과 관련없는 개인정보 -> 동의 원칙 준수
  2. 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 -> 분리 조치
  • 정보주체가 개인정보 처리 상황을 알 수 있도록 개인정보 처리방침에 정보주체로부터 동의를 받아 수집하는 개인정보와 동의를 받지 않는 개인정보를 구분하여 공개하는 조치를 해야 한다
  1. 민감 정보 고유 식별정보의 경우 -> 서비스에 불가치한 경우 필수 동의

Reference

2020 정보보안기사 필기, 실기 - 알기사
데이터 3법 - 대한민국 정책브리핑
데이터 3법과 정보 주체 권리 보장 한 방에 정리! - LG CNS
[특집]데이터 3법이 무엇? 발의 배경 및 주요 내용 - SK인포섹
[카드뉴스] 쉽게 이해하는 ‘데이터 3법’ 개정안 - 보안뉴스
전면 개정 개인정보 보호법, 9월 15일 시행 - 개인정보보호위원회
전면 개정 개인정보 보호법, 9월 15일 시행 - 개인정보보호위원회 블로그
「개인정보 보호법 시행령」 개정안 국무회의 의결 - 법무법인 세종
개인정보보호법 시행령 2차 개정, 변경된 사항은? - step
개인정보보호법 시행령 2차 개정 시행 (24.03.15)
개인정보 필수동의 관행 개선한다 - 개인정보보호위원회

Thank You for Visiting My Blog, I hope you have an amazing day 😆
© 2023 Ian, Powered By Gatsby.