데이터 3 법이 뭐길래?

법알못 당신도 꼭 아셔야 해요. 핵심만 쉽게 알려드릴게요!

데이터 3 법이 국회 본회의를 통과했다는 소식으로 떠들썩합니다.

이에 대해 많은 분들이 '데이터 3 법이 뭐야?', '이게 나랑 무슨 상관이 있어?'라고 생각하실 거예요.

하지만, 이는 개인정보자기결정권(자신에 관한 정보를 보호받기 위해 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리)을 가진 우리나라 국민 모두에게 상관이 있는 내용입니다.

그래서 제가 일반인 분들이 꼭 알아두어야 할 핵심만 추려서 최대한 쉽고 와 닿게 설명드려보려고 합니다.

도움이 되셨으면 좋겠네요^^

---

데이터 3 법 국회 본회의 통과! 근데 이게 나랑 뭔 상관이야? 마음의 소리가 들립니다.

---

데이터 3 법 개정안의 취지

왜 데이터 3 법이라고 할까요?

데이터 3 법이란, 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법'), 신용정보의 이용 및 보호에 관한 법률(이하 '신용정보법') 이렇게 3가지의 법률을 지칭합니다.

그런데 왜 법명에 없는 '데이터' 3 법이라고 불리는 것일까요?

간단히 말해서 위 3 법 개정 내용의 골자가 개인정보를 데이터로 활용할 수 있도록 허용하는 데 있기 때문입니다.

개인정보를 데이터로 활용한다는 것이 뭘까요?

그런데 개인정보를 데이터로 활용한다는 게 도대체 어떤 것을 말하는 걸까요?

개인정보를 데이터로 활용한 한 가지 사례를 들어볼게요.

바로 서울시의 '올빼미 버스'(서울 시내에 지하철과 버스가 끊기는 자정부터  오전 5시까지 운행되는 버스)입니다.

서울은 늦은 밤에도 택시, 버스, 지하철 등 대중교통을 이용하려는 사람들이 많은데요. 

버스, 지하철에는 '막차 시간'이 있어서 막차를 놓치면 다음 날 아침까지 길가에서 기다려야 하는 불편이 있는 한편, 택시를 타려고 해도 고질적인 택시 승차 거부 문제로 인해 늦은 밤 시간에 승객들이 이용할만한 교통수단이 마땅히 없었던 거죠. 

이러한 문제를 해결하기 위해 서울시에서 '올빼미버스'를 운영하기로 결정한 것입니다.

하지만 심야 시간대의 특성상 주중 시간대보다 버스의 수익성이 안 좋을 수밖에 없기 때문에 서울시로서는 최소의 비용으로 최대한 많은 사람들이 이용할 수 있는 심야 버스 노선을 구축하는 것이 고민거리였습니다.

이때 이용된 것이 개인정보 데이터인데요. 

KT와 서울시가 MOU를 맺고 심야에 전화를 이용하는 사람들의 정보를 분석하고, 발신자 위치(출발지)와 번호 소유자의 주소지(도착지)를 연결하여 심야에 이동해야 할 길을 찾아낸 후, 이 데이터를 바탕으로 최적의 버스노선을 확정할 수 있었습니다. 

개인정보 데이터 활용을 통하여 보다 효율적이고 합리적인 결정을 할 수 있음을 보여주는 대표적인 사례, '올빼미 버스' 

현재 페이스북, 트위터 등의 소셜 네트워크 서비스(SNS)의 급성장과 모바일 환경으로의 변화를 통하여 각종 소셜 데이터(우리가 페북이나 트위터에 올리는 각종 글, 사진 등등), 모바일 기기의 GPS 정보, 유튜브 등에 업로드되는 멀티미디어 데이터 등 다양한 종류의 데이터들이 쏟아지고 있는데요. 이 뿐만 아니라 앞서 본 휴대폰 통신과 관련된 개인정보(발신자 위치 등), 신용카드 이용에 따른 개인정보(사용내역, 사용 시간, 사용 금액 등) 등등 개인정보 데이터는 무궁무진합니다.

이와 같은 데이터를 수집 및 분석하여 국가, 공공기관, 기업 등의 다양한 결정 또는 서비스에 반영하는 것이 데이터 활용인 것이죠.

그렇다면, 위와 같은 데이터 활용이 왜 중요한 것일까요?

어떠한 결정을 내리거나 서비스를 제공함에 있어서 분석할 수 있는 데이터가 많으면 많을수록, 특히 해당 결정 또는 서비스와 직접적으로 연관되는 사람들에 대한 데이터가 많으면 많을수록 그러한 데이터를 수집, 분석, 통계화하여 내린 결정 또는 서비스는 계획했던 목적에 가장 들어맞게 될 것입니다. 과녁의 중앙에 보다 가까워질 수 있는 것이지요.

또한 위와 같은 데이터의 활용을 통하여 기존 서비스의 질 향상으로 경쟁력을 높일 뿐만 아니라 새로운 서비스와 일자리 또한 생기게 될 것입니다.

예를 들어볼까요?

미국 제너럴 일렉트릭(GE)은 자사가 판매한 항공기 엔진이 고장 나기 전에 보수해주는 예측 보전 서비스를 개발했는데요. 엔진에 센서를 부착해서 항공기를 운항할 때마다 센서가 감지한 엔진 속 압력, 온도, 습도 등의 데이터를 분석해서 수명이 거의 다 된 부품을 미리 교체해 주는 것입니다.

위 서비스를 시작한 이후부터는 GE의 엔진을 부착한 항공기에서 운항 중 엔진이 고장 나는 사고가 크게 줄어들었고 반대로 고객만족도는 급격히 높아지게 되었습니다.

단순히 엔진을 만들어 팔던 기존 제조업 방식을 버리고, 기존 제품에 데이터를 분석하여 고객의 니즈를 정확히 반영한 서비스를 덧씌우는 방식으로 경쟁력을 높인 것입니다.

아마존(Amazon)을 보겠습니다.

아마존은 기존 주문과 검색 내역, 구매 희망 목록, 마우스 커서 움직임 등의 데이터를 수집 및 분석하여 이를 기반으로 주문 가능성이 높은 제품을 해당 고객 근처의 물류창고로 미리 발송해 놓아 운송시간을 최대한 줄이는 '예측 배송' 서비스를 내놓았는데요. 데스크톱이나 스마트폰 앱의 '구입' 버튼을 클릭하기 전에 이미 배송이 진행되는 것입니다. 최근에는 유료 회원을 대상으로 '주문 이후 1~2시간 내'에 배송해 주는 '프라임 나우(Prime Now)' 서비스까지 시행 중이라고 합니다. 

데이터 활용으로 더욱 송곳 같은 서비스를 제공합니다. 송곳은 더욱 날카로워지겠죠.

위 예들만 보더라도 데이터의 활용이 얼마나 중요한지 느껴지시죠?

이처럼 데이터는 '미래의 원유'라고 불립니다. 원유를 어떻게 가공하느냐에 따라 만들어낼 수 있는 제품의 종류가 무궁무진하듯이 데이터 역시 어떻게 활용하느냐에 따라 이전에는 미처 발견하지 못했던 수많은 새로운 가치들을 창조해낼 수 있다는 것입니다.

   

이렇게 생산되는 데이터를 정제, 가공하여 이를 기업, 정보, 공공기관 등이 활용함으로써 소비자, 시민 등이 데이터 기반 혁신 서비스를 이용하도록 함으로써 풍성한 데이터 생태계를 만들고 이를 통하여 경제적 가치를 창출하는 것이 가능해지는 것이지요. 이러한 데이터는 사물인터넷, 인공지능 등으로 대표되는 4차 산업혁명의 흐름 속에서 혁신성장의 토대가 되고, 이를 통하여 '데이터 경제'가 구현되는 것입니다.

결국, 위와 같은 '데이터 경제'의 성장은 데이터의 활용에서부터 시작되기 때문에 이를 위한 '데이터 3 법' 개정이 이루어진 것이죠.

---

데이터 3 법 개정안의 핵심 내용

그럼, 데이터 3 법 개정안의 내용을 대략적으로 살펴볼까요?

먼저 한눈에 파악하실 수 있도록 표로 정리해 보았습니다(일부 빠진 내용도 있습니다). 

한눈으로 보는 데이터 3 법 개정 핵심 내용. 내용이 어렵고 많은 것 같죠? 키워드는 '가명 정보'입니다.

이번 데이터 3 법 개정안의 키워드는 '가명 정보'인데요. 가명 정보를 통계 작성, 연구, 공익적 기록 보존 목적으로는 본인 동의 없이 활용 가능하다는 것이 개정안의 핵심 내용이고, 여러분께서도 꼭 아셔야 할 부분입니다.

그 외에 이번 개정안 중에서 여러분들이 간략하게나마 알아두어야 할 부분 위주로 정리해 보았습니다.

가명 정보는 무엇일까요?

가명 정보를 이해하기 위해서는 개인정보 개념 체계인 개인정보/가명 정보/익명 정보의 각 개념을 살펴보고 이를 비교해볼 필요가 있습니다. 

사심이 들어갔습니다. 강XX의 개인정보를 더 수집하고 싶네요.

위에서 보는 바와 같이 익명 정보는 개인정보가 아니기 때문에 자유롭게 활용 가능하고, 동의를 받아야 하는 문제가 발생할 여지가 없습니다.

그러나 개인정보와 익명 정보의 중간지점에 있는 가명 정보는 원칙적으로는 개인정보에 포함되기 때문에 이를 활용하기 위해서는 개인정보와 동일하게 사전적, 구체적 동의를 받아야 하지만, 예외적으로 통계 작성(상업적 목적 포함), 연구(상업적 목적 포함), 공익적 기록보존 목적의 경우 동의 없이 활용 가능한 것이지요.

이러한 가명 정보는 익명 정보와 비교하여 개인의 성향이 반영된 데이터이기 때문에 더욱 유의미하고 활용가치가 높은 데이터입니다. 

그렇기 때문에 기업들로서는 이번 개정안을 반기는 것이지요.

가명 처리한 가명 정보는 정보주체 동의 없이 활용 가능

이처럼 가명 정보를 예외적으로 동의 없이 활용 가능하도록 한 것이 이번 데이터 3 법 개정의 가장 핵심 내용입니다. 기존 법에서는 가명 정보 또한 정보 주체의 사전적, 구체적 동의를 반드시 받아야만 활용이 가능했던 반면, 개정법에서는 우리 개개인의 정보가 가명 조치되면 예외적 경우에 한해 우리의 동의 없이도 국가, 공공기관, 기업 등이 사용할 수 있게 되고, 이를 넘어서 제3자에게 제공 또한 가능한 것이죠.

몇 가지 예를 들어보겠습니다.

카드사는 연령대별, 성별, 시간대별 카드 매출 정보 등 카드 회원정보를 분석해서 카드사의 가맹점들에게 소상공인 마케팅에 필요한 상권분석 서비스를 제공할 수 있습니다. 여기에 더하여 카드사가 통신사로부터 요일이나 시간대별로 해당 상권을 지나간 통신 이용자 정보(가명 처리를 한)까지 받는다면 위 상권분석 서비스의 질은 훨씬 높아질 것입니다. 

물론 카드사는 위 상권분석 서비스를 통하여 새로운 부를 창출할 것이고, 통신사 또한 통신 이용자 정보를 카드사에게 제공해주는 대가로 수익을 얻겠죠. 

이 과정에서 가명 처리가 되었다는 전제 하에, 개인정보주체의 동의는 전혀 필요하지 않습니다.

금융회사들은 다양한 종류의 가명 정보를 분석하여 소비와 저축 패턴을 파악함으로써 더욱 다양한 맞춤형 보험 상품을 개발할 수도 있습니다. 

현재 우리나라 건강보험 빅데이터만 6조 건이라고 하는데요. 이러한 개인 인적사항, 발병 데이터, 약 처방 데이터 등을 가명 처리한 가명 정보를 분석해서 신약을 개발하는데도 박차를 가하게 될 것입니다.

이처럼 기업들은 자신의 서비스 질 향상, 새로운 혁신 서비스 도입, 신제품 개발, 시장 조사 등을 위하여 자신들의 가명 정보뿐만 아니라 다른 기업들이 보유하고 있는 가명 정보를 이전받아 활용할 수 있고, 이 과정에서 가명 정보의 거래가 이루어지게 될 것입니다.  

이를 통하여 기업들은 새로운 부를 창출하고 새로운 일자리 또한 늘어날 수 있고, 일반인들의 입장에서는 훨씬 다양하고 자신에게 맞는 서비스와 상품을 제공받게 되어 삶의 질이 높아지게 될 것입니다(물론 이에 대해 반대의 입장도 있습니다).

다양한 비금융 정보를 활용한 신용평가 가능

또 다른 중요한 내용입니다. 다양한 비금융 정보를 활용한 신용평가가 가능해진 것인데요.

예를 들어볼게요.

결혼 이후 집에서 살림만 하는 주부나 사회 초년생들은 '금융 이력 부족자'로 분류돼 은행 대출을 받거나 신용카드를 발급받는 것이 힘들었습니다.

그러나 이번 개정된 신용정보법에 따를 때 통신요금이나 공공요금 납부 이력, 온라인 쇼핑 내역, 페이스북 등 소셜미디어에 올린 게시물과 같은 다양한 비금융 정보를 활용해서 개인신용평가를 함으로써 금융거래 정보가 부족한 청년이나 주부 등을 겨냥한 중금리 대출상품을 내놓는 것도, 신용카드를 발급하는 것도 가능해집니다.

또한 자영업자 신용을 전문적으로 평가하는 신용조회 회사도 생겨서 담보가 없는 영세 자영업자도 신용을 기반으로 개인사업자 대출을 받는 것이 가능해집니다.

마이 데이터 도입

분산되어 이동에 한계가 있는 개인의 정보를 각 주체에게 돌려준다는, 즉 '정보 주권'을 각 개인에게 돌려준다는 취지가 바로 '마이 데이터'입니다.

은행, 보험회사, 카드회사 등에 흩어져 있는 계좌 입출금 내역, 카드 사용실적, 보험 가입현황 등 금융데이터를 정보 주체의 동의 하에 한 곳에 모아 관리해 주는 마이 데이터(본인 신용정보 관리업) 사업이 가능해집니다. 

모든 금융거래를 한눈에 파악하여 지출 관리는 기본이고, 불필요한 보험을 정리해 주거나 계좌에 여윳돈이 생기면 그에 맞는 최적의 금융상품을 추천해 주는 등 나만을 위한 맞춤 관리가 가능해지는 거죠.

내 건강 데이터와 금융데이터를 연계해 나에게 맞는 보험 상품을 추천받거나 보험 할인을 받을 수도 있습니다. 

쉽게 말해서 금융판 넷플릭스가 생기는 것입니다. 

이러한 마이 데이터 서비스를 통하여 각 개인은 자신의 자산을 종합적으로 파악 및 관리함으로써 더욱 합리적인 경제생활을 할 수 있게 됩니다(이에 대한 반대 입장도 있습니다).

뿐만 아니라 기존에는 보험사나 은행에서 일방적으로 만든 금융상품 중에 선택을 할 수밖에 없는 구조였다면, 마이 데이터 서비스를 통하여 자신의 현재 상황에 최적인 금융상품을 제공받을 수 있다는 점에서 개개인들이 정보주권을 실질적으로 행사하는 것이 가능해지는 것입니다(이 또한 반대 입장이 있습니다).

안전장치는 마련된 것일까?

내 개인정보가 가명 처리되어 나도 모르게 활용되었는데, 누군가가 가명 정보에 다른 정보를 결합하여 나를 알아볼 수 있는 정보를 생성할 가능성이 분명 있습니다. 또한 가명 정보를 예외 범위가 아님에도 불구하고 정보 주체의 동의 없이 영리 또는 부정한 목적으로 활용할 수도 있겠죠.

이에 대한 안전장치로서 가명 정보도 안전한 관리를 위한 내부관리계획 수립, 이행, 접근 통제 및 접근 권한 관리 등 현행 개인정보보호법상 안전성 확보 조치 의무가 적용됩니다.

아울러 가명 정보 재식별을 금지하고 위반 시 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있고, 행위자는 5년 이하의 징역 또는 5천만 원 이하의 벌금형에 처하게 됩니다.

기업 간 다른 가명 정보를 결합하면 재식별 가능성이 더 커지는 것이 아닌가 하는 우려도 있는데요.

기업 간 가명 정보의 결합 및 분석은 국가가 지정한 전문기관 내에서만 가능하고 원칙적으로 익명 정보만 반출할 수 있습니다. 

만약 가명 정보를 반출해야 하는 경우 전문기관의 엄격한 심사와 승인을 얻은 경우에만 가능합니다.

정부에서 시행령 등에 전문기관 및 결합한 정보를 이용하는 기업 등에 대한 주기적 관리 감독과 안전성 확보에 필요한 조치를 엄격히 규정해 운영할 계획이라고 합니다.

---

데이터 3 법 개정안에 대한 비판적인 시각

비판적인 시각(주로 노동 시민사회단체)에서는 데이터 3 법 개정안은 가명 정보라는 개념을 도입하여 정보주체의 동의권을 현저히 약화시키고 기업들이 가명 처리를 하면 동의 없이 산업적, 상업적 연구에 무한대로 활용할 수 있도록 하고 있다고 지적합니다. 

목적 제한, 최소수집 및 목적 달성 후 폐기라는 개인정보처리의 가장 기본이 되는 원칙을 훼손한다는 것이죠.

데이터 3 법 개정안이 그대로 통과된다면 국민의 가장 사적이고 민감한 의료정보, 질병정보에서부터 소비 특성, 투자행태, 소득 규모 등을 파악할 수 있는 신용정보, SNS 등에 쓴 다양한 정보까지 거의 모든 정보를 기업의 돈벌이 수단으로 내주는 꼴이며 정보주체는 동의권은 물론이고 정보 열람권, 삭제요구권, 정보 이전 및 개인정보유출에 대한 통지받을 권리 등을 인정받지도 못해 기업이 어떻게 내 정보를 활용하고 판매하고 결합하는지, 또 어떤 사고가 있어 유출되고 악용되는지 알 수가 없게 될 것이라고 주장합니다.

그래서 데이터 3 법 개정안은 '개인정보 도둑 법'이라고 불러도 무방하다고 합니다.

또한 가명 정보는 익명 정보와 달리 다른 정보와 결합하면 여전히 다시 식별될 위험성이 있고 가명 처리의 기술, 재식별 기술 모두 발전하고 있는 상황이라고 강조하고 있습니다.

가명 정보 활용이 본격화될 경우 이를 악용한 보이스피싱 피해 또한 그에 비례하여 급증할 것이고, 건강정보의 경우 유출되거나 공개됐을 때 취업, 결혼 등에서 차별과 배제의 결과로까지 이어질 수 있다고 우려하고 있습니다.

논쟁이 팽팽하지만 내용이 너무 길어져서 비판적인 입장의 주요 내용만 정리해 보았습니다.

---

마치며

'뭐야? 쉽게 설명해 준다면서 어렵잖아!'라는 마음의 소리가 들립니다.

우리 개개인 소유의 정보를 제3자가 사용하고 있는데 정작 우리는 그에 대해 크게 관심을 두지 않는 것이 현실입니다. 물론 어렵기도 하고, 내가 알아봤자 뭐하나 싶기도 하겠죠. 

하지만 조금이라도 아는 것과 전혀 모르는 것은 분명 다릅니다.

데이터의 주인은 우리 개개인들이고, 우리 개개인에게 데이터 주권이 있음을 알아야 주권을 행사할 수 있으니까요^^

우리의 소중한 개인정보가 어떻게 활용되는지 관심 있게 지켜봐야 할 뿐만 아니라 개인정보 빅데이터를 통하여 앞으로 더욱 우리 정신과 신경들을 예리하게 파고들 각종 송곳 마케팅의 유혹 속에서 정신 바짝 차리고 살아야 합니다! 정리하다 보니 문득 온몸이 서늘해짐을 느낍니다.

개정안에는 가명 정보와 그 활용 범위, 가명 처리 방법, 정보 결합 방법과 절차 등에서 해석을 달리 하거나 혼란스러운 지점이 분명히 있는데요. 

정부는 데이터 3 법 시행에 필요한 하위법령과 행정규칙 개정 등 후속조치를 서둘러서 명확한 기준을 제시해야 할 것입니다. 

개정 취지대로 개인정보 보호와 데이터 활용 간의 균형을 이룰 수 있기를 바라봅니다.