[AI] 데이터 3법
작년 데이터 3법 개정이 핫핫한 이슈였지요. 여기서 데이터 3법은 개인정보보호법, 신용정보법, 정보통신망법을 의미하는데요. 이에 데이터 3법 개정의 핵심적인 내용을 알려드리기 위해 개정된 개인정보보호법을 설명드리려 합니다.
1. 개정 개인정보보호법의 주요내용
2020. 2. 4. 공포된 개인정보보호법(이하 '법') 개정의 주요 내용은
1. 개인정보 보호에 관한 사항을 심의·의결하는 기관인 개인정보 보호위원회를 국무총리 산하로 중앙행정 기관으로 통일했다는 점
2. 익명정보를 제외하는 규정(법 제58조의2)을 신설하고 개인정보의 정의를 구체화하는 등 개인정보 범위의 판단기준을 제시했다는 점(법 제2조 제1호),
3. 정보주체의 동의 없이 수집목적과 합리적 관련 범위 내에서의 개인정보 이용을 가능하게 했다는 점(법 제15조 제3항)
4. 정보주체의 동의 없이 가명정보의 이용을 가능하게 했다는 점(법 제28조의2)
으로 요약할 수 있습니다.
그 중의 핵심은 3번과 4번이라고 볼 수 있습니다.
2. 수집목적과 합리적 관련 범위 내에서의 이용
이번 개정법은 개인정보처리자가 당초 수집목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다고 규정하였습니다(법 제15조 제3항).
즉, 일단 법에 따라 적법하게 개인정보가 수집되면, 당초 수집 목적과 합리적으로 관련된 범위에서는 정보주체의 동의 없이도 개인정보를 이용할 수 있게 된 것입니다. 따라서 개인정보를 이용하고자 하는 개인정보처리자로서는 정보주체로부터 처음에 어떤 내용으로 개인정보 수집이용동의를 받는 지가 더 중요해졌다고 보입니다. 개인정보 수집이용동의서 작성방법에 대해서는 다른 글에서 말씀드리도록 하겠습니다.
3. 가명정보의 도입
한편, 개정법은 '가명정보'라는 개념을 도입하여, 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 개인정보(가명정보)는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 처리할 수 있도록 하였습니다(법 제28조의2).
즉, 일정한 목적상의 제한과 절차상에 제한, 그리고 이를 제대로 지키지 않았을 때 과태료 등의 위험이 있지만, 개인정보처리자가 개인정보를 적절한 방법으로 가명화하기만 한다면 정보주체의 동의 없이도 개인정보처리가 가능하다는 것입니다.
여기서 중요한 것은 개인정보처리자가 가명처리된 개인정보를 "처리"할 수 있는 범위가 매우 넓다는 점인데요, 법은 "처리"에 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 포함시키고 있습니다(법 제2조 제2호).
이전에도 정보주체의 동의 없이도 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 등에는 정보주체의 동의 없이도 개인정보를 이용할 수 있었습니다만(법 제15조 제1항), 이번 법 개정으로 인해 개인정보의 이용 범위가 이전과는 비교할 수 없이 크게 확대된 것입니다.
4. 나가며
이것이 한 번쯤 들어보셨을 법한 이른바 '데이터 3법 개정' 중 개인정보보호법 개정의 주요 내용입니다. AI 개발의 자원이 되는 데이터의 경제적·사회적 가치가 높아지면서 법이 개정된 것인데요, 실제로 데이터를 거래하는 이른바 '데이터거래소'도 출범하고 있어서 개정법이 어떤 문제를 야기시킬지는 앞으로 지켜보아야 할 것 같습니다.
