[빅데이터분석기사] 빅데이터 기술 및 제도, 개인정보, 제도

1. 개인정보보호법

<개인정보보호법의 개요>

• 당사자의 동의 없는 개인정보 수집 및 활용하거나 제3자에게 제공하는 것을 금지하는 등 개인정보보호를 강화한 내용을 담아 제정한 법률이다.
• 상대방의 동의 없이 개인정보를 제3자에게 제공하면 5년 이하의 징역이나 5,000만 원 이하의 벌금에 처할 수 있다.

<개인정보의 범위(제2조 제1호)>

• 어떤 정보가 개인정보에 해당하는지는 그 정보가 특정 개인을 알아볼 수 있게 하는 다른 정보와 쉽게 결합할 수 있는가에 따라 결정된다.
• 법원은 그 정보 자체로는 누구의 정보인지를 알 수 없더라도 다른 정보와 결함 가능성을 비교적 넓게 인정하여 개인정보에 해당한다 판단하고 있다.

<개인정보의 처리 위탁>

• 일정한 내용을 기재한 문서에 의하여 업무 위탁이 이루어져야 한다(개인정보보호법 제26조 제1항).
• 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 하는바, 개인정보처리 방침에 해당 내용을 추가하여 공개하거나,사업자 등의 보기 쉬운 장소에 게시하는 방법 등을 시행해야 한다(개인정보보호법 제26조 제3항, 동법 시행령 제28조 제 3항).
• 수탁자에 대한 교육 및 감독 의무를 부담하게 된다(개인정보보호법 제26조 제4항).
• 수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보 보호법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다(개인정봅보호법 제26조 제6항).
• 손해가 발생한 경우 정보주체의 손해배상 청구에 대해 위탁자가 책임을 질 수 있다.

<개인정보의 제3자 제공>

• 정보주체로부터 개인정보 제3자 제공 동의를 받아야 한다(개인정보보호법 제17조 제1항).

<개인정보 처리 위탁과 제3자 제공 판단 기준>

<서울중앙지방법원 2018. 8. 16. 선고 2017노1296 판결 참조> 개인정보의 취득목적과 방법 대가 수수 여부 수탁자에 대한 실질적인 관리, 감독 여부 정보주체 or 이용자가 개인정보 보호 필요성에 미치는 영향 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등

<비식별 개인정보의 이전>

• 정보주체 or 제3자의 이익을 부당하게 침해할 우려가 있는 경우는 제외한다.
• 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 '특정 개인을 알아볼 수 없는 형태로 개인정보'를 제공할 수 있도록 규정하고 있다(개인정보보호법 제18조 제2항 제4호).
• 데이터 제공이 목적에 부합하는지, 특정 개인을 알아볼 수 없는 형태로 제공하는지에 대해 사전에 검토하여야 한다.

2. 정보통신망 이용촉진 및 정보봅호 등에 관한 법률(정보통신망법)

<정보통신망법의 개요>

• 정보통신망의 개발과 보급 등 이용 촉진과 함께 통신망을 통해 활용되고 있는 정보보호에 관해 규정한 법률이다.
• 이용자의 동의를 받지 않고 개인정보를 수집하거나 제3장에게 개인정보를 제공한 경우, 법정대리인의 동의 없이 만 14세 미만의 아동의 개인정보를 수집한 경우, 악성프로그램을 전달 or 유포한 경우 등은 5년 이하의 징역 or 5,000만 원 이하의 벌금에 처해진다.

<개인정보의 처리 위탁>

• 원칙적으로는 개인정보 처리위탁을 받는 자, 개인정보 처리 위탁을 하는 업무의 내용을 이용자에게 알리고 동의를 받아야 한다.
• 단, 정보통신서비스 제공자 등은 정보통신 서비스의 제공에 관한 계약을 이행하고 이용자의 편의 증진을 위하여 필요한 경우에는 고지절차와 동의절차를 거치지 않고, 이용자에게 이에 관해 알리거나 개인정보 처리방침 등에 이를 공개할 수 있다(정보통신망법 제25조 제2항).
• 만일 제3자에게 데이터 분석을 위탁할 경우, 해당 서비스가 정보통신서비스 제공에 관한 계약을 이행하고 이용자의 편의 증진을 위한 것인지 검토해야 한다.

<개인정보의 보호조치>

• 정보통신서비스 제공자 등은 개인정보를 처리할 때에는 분실, 도난, 유출, 위조, 변조 or 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 기술적, 관리적 조치를 하여야 한다(정보통신망법 제28조, 동법 시행령 제15조).

<개인정보의 해외 전송>

• 정보통신서비스 제공자 등은 개인정보를 국외에 제공, 처리위탁, 보관하려면 이용자의 동의를 받아야 한다(정보통신망법 제63조 제2항).
• 해외 소재 클라우드 서버를 사용하거나 해외 업체에 데이터를 이전하는 경우에는 국외 이전에 관한 정보통신망법의 규정을 검통하여야 하다.

 

3. 신용정보의 이용 및 보호에 관한 법률(신용정보보호법)

<신용정보보호법의 개요>

• 개인신용정보를 신용정보회사 등에게 제공하고자 하는 경우에 해당 개인으로 부터 서면 또는 공인전자서명이 있는 전자문서에 의한 동의 등을 얻어야 한다.
• 신용정보주체는 신용정보회사 등이 본인에 관한 신용정보를 제공하는 때에는 제공받은 자, 그 이용 목적, 제공한 본인정보의 주요 내용 등을 통보하도록 요구하거나 인터넷을 통하여 조회할 수 있도록 요구할 수 있다.
• 신용정보회사 등이 보유하고 있는 본인정보의 제공 or 열람을 청구할 수 있고, 사실과 다른 경우에는 정정을 청구할 수 있다.

<개인정보의 범위 (제2조 제1호 및 제2호, 제34조 제1항)>

• "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서 다음 각 목의 정보를 말한다.

가. 특정 신용정보주체를 식별할 수 있는 정보

나. 신용정보주체의 거래내용을 판단할 수 있는 정보

다. 신용정보주체의 신용도를 판단할 수 있는 정보

라. 신용정보주체의 신용거래능력을 판단할 수 있는 정보

마. 그 밖에 가목부터 라목까지와 유사한 정보

<개인신용정보>

• 금융거래 등 상거래에 있어서 거래 상대방에 대한 신용도, 신용거래능력 등의 판단을 위해 필요로 하는 정보로 정의하고, 그 세부 사항은 대통령령으로 정한다.

<개인신용정보의 처리 위탁>

• 신용정보회사 등은 그 업무 범위에서 의뢰인의 동의를 받아 다른 신용정보회사에 신용정보 수집, 조사를 위탁할 수 있다.
• 신용정보회사, 신용정보집중기관, 인행, 금융지주회사, 금융투자업자, 보험회사 등은 신용정보 처리 위탁 시 금융위원회에 보고해야 하며, 이에 관한 구체적 사항은[금융회사의 정보처리 업무 위탁에 관한 규정]에 따른다.
• 특정 신용정보주체를 식별할 수 있는 정보는 암호화하거나 봉함 등의 보호조치를 하여야 하며, 신용정보가 분실, 도난, 유출, 변조 or 훼손당하지 않도록 수탁자를 연 1회 이상 교육하여야 한다.
• 위탁계약의 이행에 필요한 경우로서 수집된 신용정보의 처리를 위탁하기 위하여 제공하는 경우 정보주체의 동의를 받지 않아도 된다(신용정보보호법 제17조, 동법 시행령 제14조).

<개인신용정보의 제3자 제공>

• 개인신용정보를 타인에게 제공하려는 경우 정보주체에 서비스 제공을 위하여 필수적 동의 사항과 그 밖의 선택적 동의 사항을 구분하여 설명한 후 각각 동의를 받도록 하고 있다(신용정보보호법 제32조, 제34조 등).
• 기타 개인정보 제공 시 개인정보보호법이 적용된다.

4. 2020년 데이터 3법의 주요 개정 내용

데이터 이용 활성화를 위한 '가명정보' 개념 도입 및 데이터가 결합 근거 마련 개인정보보호 관련 법률의 유상, 중복 규정을 정비 및 거버넌스 체계 효율화 데이터 활용에 따른 개인정보처리자 책임 강화 다소 모호했던 개인정보의 판단기준 명확화

<개인정보보호법 주요 개정 내용>

• 개인정보 관련 개념을 개인정보, 가명정보, 익명정보로 구분
• 가명정보를 통계 작성 연구, 공익적 기록보존 목적을 처리할 수 있도록 허용
• 가명정보 이용 시 안전장치 및 통제 수단 마련
• 분산된 개인정보보호 감독기관을 개인정보보호위원회로 일원화
• 개인정보보호위원회는 국무총리 소속 중앙행정기관으로 격상

<정보통신망법 주요 개정 내용>

• 개인정보보호 관련 사항을 개인정보보호법으로 이관
• 온라인상 개인정보보호 관련 규제 및 감독 주체를 개인정보보호위원회로 변경

<신용정보보호법 주요 개정 내용>

• 가명정보 개념을 도입해 빅데이터 분석 및 이용의 법적 근거 마련
• 가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해 신용정보 주체의 동의없이 이용, 제공 가능