정보보호 법/제도 2

주요정보통신 기반시설

정의

: 국가안정보장·행정 ·국방 ·치안 ·금융 ·통신 ·운송 ·에너지 등의 업무와 관련된 전자적 제어 및 관리시스템과 정보통신망법에 따른 정보통신망

- 정보통신망: 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용 기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체계를 말함

 

중요행정기관의 장이 소관분야의 정보통신기반시설 중 전자적 침해행위로부터 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정하여 관리함

지정기준

1. 당해 정보통신 기반시설을 관히라는 기관이 수행하는 업무의 국가사회적 중요성

2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신 기반시설에 대한 의존도

3. 다른 정보통신기반시설과의 상호연계성

4. 침해사소가 발생할 경우 국가안정보장과 경제사회에 미치는 피해규모 및 범위

5. 침해사고의 발생가능성 또는 그 복구의 용이성

 

 

데이터3법(정보통신망법, 개인정보보호법, 신용정보법)

익명정보

- 개인정보X / 개인정보보호법 적용대상 배제 → 개인정보아니라서 제한없이 자유롭게 활용가능

-시간·비용 ·기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보

- EU의 GDPR은 전문 제 26항에서 익명정보의 GDPR 적용 배제를 규정하고 있으며, 데이터의 익명처리 여부는 연결가능성, 추론 가능성, 싱글아웃 여부 모두 평가

가명정보

- 가명처리 또는 가명화 개인정보보호법 적용대상

- 가명정보는 원 상태로 복원하기 위한 추가정보를 사용하지 아니하고는 특정개인을 알아볼 수 없도록 가명처리한 정보

개인정보

- 개인정보보호법 적용대상(개인 식별정보, 개인 비식별정보)

- 특정소비자를 합리적으로 확인할 수 없거나 이를 관련시키거나 설명하거나 직접 또는 간접적으로 연관되거나 연결될 수 없는 정보를 의미함

 

데이터3법이란 데이터 이용을 활성화하는 3가지 법률의 통칭

- 개인정보 보호법 + 정보통신망 이용촉진 및 정보보호 등에 곤한 법률(정보통신망법) + 신용정보의 이용 및 보호에 관한 법률(신용정보법)

 

배경

- 4차 산업혁명 핵심 자원인 '데이터의 이용' 활성화로 신산업 육성필요성 증가

- 안전한 데이터 이용을 위한 사회적 규범 정립의 시급성

 

목적

- 데이터 이용에 관한 규제 혁신

- 개인정보 보호 협치(거버넌스) 체계 정비

 

데이터 3법률 개정안의 주요 내용

- 데이터 이용 활성화를 위한 가명정보 개념 도입

- 관련 법률의 유사 · 중복 규정 정비, 추진체계 일원화 등 개인정보 보호 협치 체계의 효율화

- 데이터 활용에 따른 개인정보 처리자의 책임가오하

- 모호한 '개인정보' 판단 기준의 명확화

 

데이터 3법 개정사항

개인정보보호법

개정목적

- 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여

- 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진

- EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보

개정 주요 내용

- 가명정보 도입 등을 통한 데이터 활용 제고

- 동의없이 처리할 수 있는 개인정보의 합리화

- 개인정보의 범위 명확화

- 개인정보 보호 체계 일원화

가명정보 도입 등을 통한 데이터 활용제고

- 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입

- 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용

- 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함

개인정보의 범위 명확화

- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설

 

정보통신망법

개정목적

- 정보통신망법 내 개인정보 관련 다른 법령과의 유사 · 중복조항 정비와 협치 개선

주요 내용

- 개인정보 보호 관련 사항은 개인정보보호법으로 이관

- 온라인상 개인정보 보호 관련 규제와 감독 주체를 '개인정보보호위원회'로 변경

 

신용정보법

개정목적

- 빅데이터 분석 ·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화

- 개인정보 보호법 과의 유사 ·중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신

- 신용정보 산업에 관한 규제체계 선진화

- 새로운 개인정보 자기결정권의 도입

   - 정보활용 동의 제도의 개선

   - 개인신용정보의 전송요구권

   - 자동화평가에 대한 신용정보주체의 설명 요구권 등

주요내용

- 금융분야 빅데이터 분석 · 이용의 법적 근거 명확화

가명정보 활용 및 결합에 대한 안전장치 및 사후통제 수단 마련

- 가명정보의 재식별 금지

- 추가정보 분리보관 및 엄격한 보안대책 마련 · 시행

- 가명정보처리 과정에서 특정 개인을 알아볼 수 있게 되는 경우(재식별) 가명정보의 처리중지&삭제

- 고의적재식별에대해5년이하의징역, 5천만원이하의벌금, 전체 매출액의3% 이하의과징금부과함

신용정보산업 규제체계 정비: 진입규제 완화

금융분야 마이데이터 산업 도입

 - 정보주체의 권리행사에 따라 본인정보 통합조회, 신용 · 자산관리 등 서비스를 제공하는 마이데이터 산업 도입

-- 핀테크의 포쇠 자본금 5억원, 금융회사 출자요건 미적용 등 진입장벽 최소화

-- 마이데이터 사업자는 수집된 정보로 개인의 정보관리를 돕고, 맞춤형 상품 추천, 금융상품 자문 등을 함

- 서비스의 안전한 정보보호 · 보안체계 마련

--신용정보의 전송은 정보 오남용 가능성이 없는 방식(표준 API)으로 설계

-- 강력한 본인인증 정차, 정보유출에 대응한 배상책임보험 가입 의무화

금융분야 개인정보보호 강화

-정보활용 동의제도 개선, 정보활용등급제 도입 등 소비자가 '알고하는 동의 관행' 정착

- 기계화 · 자동화된 데이터처리(profiling)에 대해 금융회사 등에게 설명요구 · 이의 제기할 수 있는 프로파일링 대응권 도입

ex) 통계모형·머신러닝에기초한 개인신용평가, AI를 활용한온라인보험료산정결과

- 본인 정보를 금융회사 등에 제공하도록 요구 가능한 '개인신용정보 이동권' 도입

- 금융권의 정보보호 보안 강화

- 개인신용정보 유출에 대한 징벌적 손해배상금 강화 // 3→ 5배