데이터 3법 이야기 - 그게 뭔데?
과학하는 마케터를 위한 데이터 Talk
2020년 8월부터 한국에서 데이터 3법이 시행되었다.
도대체 데이터 3법이 무엇이길래 광고 마케팅 시장에서도 관심이 많을까?
모두가 공감하듯이, 광고마케팅 시장에서 데이터를 사용하려면 항상 개인정보보호 리스크를 확인해야만 한다. 데이터 활용에 있어서 반드시 참고해야할 데이터 관련 법률도, 이전까지 여러 소관 부처에 따라서 내용이 중복되었고, 심지어 조금씩 다르게 규정된 규제로 인해 많은 혼란과 어려움이 있어왔다. 이에, 4차 산업 혁명의 도래와 맞추어, 개인정보의 안전한 활용을 위한 제도적 기반을 마련함으로써 데이터 기반의 4차 산업을 활성화하고, 기존 소관 부처별로 나뉘어 있는 개인정보보호 중복 규제를 없애기 위해, 개인정보보호법, 정보통신망법, 신용정보법 등 3개의 법을 개정한 내용을 두고 데이터 3법이라 한다
3가지 법에 대한 관계가 데이터 3법에 의해 어떻게 변경되었는 지를 살펴보면, 정보통신망법에 규정된 개인정보보호 관련 사항은 개인정보보호법으로 이관되었고, 신용정보의 이용 및 보호에 관하여는 신용정보법이 다른 법률에 우선 적용되도록 함으로써, 중복 규제 없이 특정 사안에 대해 적용받을 법을 명확하게 하였다. 또한 개인정보보호 감독기관을 개인정보보호위원회로 일원화하였다. 따라서, 명칭은 데이터 3법이지만, 결과적으로는 기업에서 데이터 활용을 위해서는 개인정보보호법과 신용정보법, 이 두가지를 살펴보면 된다.
기존에 상세하게 기술된 데이터 및 개인정보 활용과 관련된 여려 조항들이, 더 엄격하게 강화되거나 완화되는 수정사항들이 있지만, 이는 Case by Case로 데이터 활용 시행 시에 법무 검토를 받아야 할 사안이라 여기서는 세세하게 언급하지 않겠다. 대신, 데이터를 활용함에 있어 어떠한 방향성과 환경적 변화가 있는 지 포인트만 살펴보자.
마케팅과 데이터라는 관점에서는 데이터 3법 중에서 가장 중요한 키워드로 다음 두가지만 기억하면 된다.
데이터 3법에서 기억할 두가지 키워드이전에는 주로, 식별정보라 불리기도 했던 개인정보와, 비식별 정보라 불리우던 익명정보로 구분하여 조항들이 구성되어졌다면, 데이터 3법에서는 이 중간 레벨이라고 할 수 있는 가명정보 개념이 추가로 도입되었다.
보통 개인정보라고 하면, 주민번호나 전화번호 같이 확실한 개인정보만을 범위로 하는 것으로 이해하고 있지만, 사실 기업에서 데이터를 활용할 때 개인정보로서 법적 해석이 가능한 경우는 훨씬 많다. 예를 들어 위치 정보만 하더라도, 특정 구나 동에 살고 있다는 정보 자체는 일반적으로 개인정보라고 볼 수 없지만, 워낙 인구가 적어서 구나 동에 해당하는 면적에 특정만 살고 있다면, 이는 해당 정보가 바로 특정인을 지칭할 수 있는 것이라 개인정보로 해석되기도 한다. 또한 많은 인구가 살고 있는 동네라 하더라도, 특정 시간에 그 동네에 있었다는 방식으로 표현될 경우, 마침 그 시간에 그 동네에 이동한 사람이 한명밖에 없다면 특정인을 규정할 수 있기 때문에 개인정보로 해석될 수 있다. 이와 같이 어떤 데이터가 개인정보냐 아니냐를 결정하는 것은, 어떠한 정보들의 결합을 통해 특정 개인을 지칭할 가능성이 조금이라도 존재하면 개인정보라고 해석되기에, 일반인들이 판단하기에 어려울 뿐 아니라, 법무 전문가 조차도 서로 해석이 다를 때가 있다.
그런데, 이 모호한 구간 중 어떤 조건에 부합할 경우, 개인정보가 아니라 "가명정보"에 속하여 기존 개인정보는 활용이 불가했던 특정 목적에 한해 활용 가능한 경우를 마련한 것이다.
데이터 3법에서 추가된 또 다른 하나가, 바로 개인신용정보의 전송요구권이다.
보통 데이터 이동권이라고도 하는데, 정보의 주체가 데이터를 생성한 기업이 아니라, 바로 그 개인에게 있다는 정보의 주체 개념과 그 권리에 대해 명시한 조항으로서, GDPR의 Data Potability를 참고하여 만들어진 조항이다. 기존에는 개인이 특정 서비스를 이용할 때 해당 서비스 기업이 자체적으로 기록했던 개인의 데이터는 해당 기업의 소유로 여겨왔다. 하지만 새로 추가된 법을 근거로, 만일 개인이 해당 서비스 기업에 요청할 경우 제 3의 데이터가공업체에게 본인의 데이터를 전송하도록 요청할 수 있다. 여러 금융기관에 흩어진 금융데이터를 한군데에 모아서 하나의 금융서비스를 통해 조회 가능한 것도 이러한 전송 요구권에 의해 쉽게 구현될 수 있다. 아마 데이터 3법 이전에도 모든 금융 데이터를 모아보는 서비스가 있지 않았는가라고 생각하는 분들도 계시겠지만, 그 전에는 금융사 간의 정상적인 API를 통한 데이터 이동 방식이 아니라, 개인 단말기에서 각 서비스를 사용할 때 Text를 스크랩하여 이를 통합하는 불완전한 방식이었다.
보통 마이데이터 (Mydata) 사업이라고 불리우는 개념이 바로 이 개인정보 전송요구권을 근거로 시행되는 사업이라고 보면 된다.
위 두가지 개정된 법의 상세 내용과 각각이 가지는 의미에 대해서는 다음 글에서 좀더 자세히 살펴보기로 하자.
