개정 신용정보법에 따라 2020. 8. 5. 부터 마이데이터 사업이 시행된다.

https://n.news.naver.com/article/374/0000217652

마이데이터 사업이란 신용정보법 제2조 제9조의 2에 규정된 "본인신용정보관리업"을 의미한다. 해당규정을 살펴보면 다음과 같다. 

신용정보법 제2조 9의2.

"본인신용정보관리업"이란 개인인 신용정보주체의 신용관리를 지원하기 위하여 다음 각 목의 전부 또는 일부의 신용정보를 대통령령으로 정하는 방식으로 통합하여 그 신용정보주체에게 제공하는 행위를 영업으로 하는 것을 말한다.

가. 제1호의3가목1)ㆍ2) 및 나목의 신용정보로서 대통령령으로 정하는 정보

나. 제1호의3다목의 신용정보로서 대통령령으로 정하는 정보

다. 제1호의3라목의 신용정보로서 대통령령으로 정하는 정보

라. 제1호의3마목의 신용정보로서 대통령령으로 정하는 정보

마. 그 밖에 신용정보주체 본인의 신용관리를 위하여 필요한 정보로서 대통령령으로 정하는 정보

동법 제2조 9의3. "본인신용정보관리회사"란 본인신용정보관리업에 대하여 금융위원회로부터 허가를 받은 자를 말한다." 

이렇게 규정되어 있다. 하나씩 살펴보면 다음과 같다. 

"가. 제1호의3가목1)ㆍ2) 및 나목의 신용정보로서 대통령령으로 정하는 정보"를 찾기 위해 제1호의 3. 가목 1), 2)를 따라가보면, 

=> "1의3. 제1호나목의 "신용정보주체의 거래내용을 판단할 수 있는 정보"란 다음 각 목의 정보를 말한다.

가. 신용정보제공ㆍ이용자에게 신용위험이 따르는 거래로서 다음 각각의 거래의 종류, 기간, 금액, 금리, 한도 등에 관한 정보

1) 「은행법」 제2조제7호에 따른 신용공여

2) 「여신전문금융업법」 제2조제3호ㆍ제10호 및 제13호에 따른 신용카드, 시설대여 및 할부금융 거래"라고 규정되어 있다. 

다시 "1의3. 제1호나목의 "신용정보주체의 거래내용을 판단할 수 있는 정보"가 무엇인지 따라가보면? 

"1의2. 제1호가목의 "특정 신용정보주체를 식별할 수 있는 정보"란 다음 각 목의 정보를 말한다.

가. 살아 있는 개인에 관한 정보로서 다음 각각의 정보

1) 성명, 주소, 전화번호 및 그 밖에 이와 유사한 정보로서 대통령령으로 정하는 정보

2) 법령에 따라 특정 개인을 고유하게 식별할 수 있도록 부여된 정보로서 대통령령으로 정하는 정보(이하 "개인식별번호"라 한다)

3) 개인의 신체 일부의 특징을 컴퓨터 등 정보처리장치에서 처리할 수 있도록 변환한 문자, 번호, 기호 또는 그 밖에 이와 유사한 정보로서 특정 개인을 식별할 수 있는 정보

4) 1)부터 3)까지와 유사한 정보로서 대통령령으로 정하는 정보

나. 기업(사업을 경영하는 개인 및 법인과 이들의 단체를 말한다. 이하 같다) 및 법인의 정보로서 다음 각각의 정보

1) 상호 및 명칭

2) 본점ㆍ영업소 및 주된 사무소의 소재지

3) 업종 및 목적

4) 개인사업자(사업을 경영하는 개인을 말한다. 이하 같다)ㆍ대표자의 성명 및 개인식별번호

5) 법령에 따라 특정 기업 또는 법인을 고유하게 식별하기 위하여 부여된 번호로서 대통령령으로 정하는 정보

6) 1)부터 5)까지와 유사한 정보로서 대통령령으로 정하는 정보" 라고 규정되어 있다. 

따라서 이를 정리하면, 개인과 기업을 특정할 수 있는 개인 및 기업의 거래내용을 판단할 수 있는 정보를 마이데이터 사업자가 통합하여 그 신용정보주체에게 제공하는 행위이다.

"나. 제1호의3다목의 신용정보로서 대통령령으로 정하는 정보"는 

다. 「보험업법」 제2조제1호에 따른 보험상품의 종류, 기간, 보험료 등 보험계약에 관한 정보 및 보험금의 청구 및 지급에 관한 정보를 의미하고, 

"다. 제1호의3라목의 신용정보로서 대통령령으로 정하는 정보"는 

라. 「자본시장과 금융투자업에 관한 법률」 제3조에 따른 금융투자상품의 종류, 발행ㆍ매매 명세, 수수료ㆍ보수 등에 관한 정보를 의미하고,

"라. 제1호의3마목의 신용정보로서 대통령령으로 정하는 정보"는 

마. 「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보를 의미하고, 

"마. 그 밖에 신용정보주체 본인의 신용관리를 위하여 필요한 정보로서 대통령령으로 정하는 정보"라고 되어 있는데, 

막상 시행령을 찾아보면 

"6. 법 제2조제1호의3 각 목, 이 조 제6항제1호부터 제7호까지의 규정 및 이 항 제3호 각 목에 따른 거래와 관련된 채무의 보증 및 담보에 관한 정보

7. 그 밖에 제1호부터 제6호까지의 규정에 따른 정보와 유사한 정보로서 금융위원회가 정하여 고시하는 정보"

라고 하여 금융위원회 고시로 다 위임해버리고 있다...

이 마이데이터 사업이 시행되면 이제 개인은 자신의 신용정보를 스스로 통제하고 관리해 본인의 의사에 맞춰 정보를 활용할 수 있게 된다. 개인은 마이데이터를 통해 기업이나 기관 등에 흩어져있는 자신의 신용정보를 한꺼번에 확인할 수 있고, 개인 의사에 따라 데이터 열람권을 제3자에게 넘겨줄 수 있다. 개인으로부터 신용정보 제공 동의를 받으면 은행이나 보험사, 카드사 등 금융회사는 보유하고 있는 고객 신용정보를 끌어모아 새로운 서비스를 제공할 수도 있게 된다. 

그동암안 기존 금융회사들은 고객(개인)의 신용정보를 독점하였다. 그러나 이제 앞으로는 고객이 요구할 경우 신용정보를 제3자인 My Data 마이데이터 사업자에게 의무적으로 제공해야 한다. 이를 바탕으로 마이 데이터 사업자는 1) 개인의 분산된 금융정보를 한 곳에 통합하여, 2) 알고리즘 방식의 맞춤형 금융자문 및 금융상품 추천을 하게 된다. 

http://file:///C:/Users/user/Downloads/%EA%B0%9C%EC%A0%95%20%EC%8B%A0%EC%A0%95%EB%B2%95%20%EA%B0%84%EB%8B%B4%ED%9A%8C%20PPT(%EB%B0%B0%ED%8F%AC%EC%9A%A9).pdf

https://www.fsc.go.kr/info/ntc_news_view.jsp?bbsid=BBS0030&menu=7210100&no=33687

개정 개인정보 보호법은 가명정보를 처리하는 자가 취하여야 하는 안전조치의무를 정하고 있을 뿐만 아니라, 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것을 금지하고 있고, 이러한 금지의무를 위반한 자는 전체 매출액의 3% 이하의 과징금 부과(개인정보보호법 제28조의6) 및 5년 이하 징역 또는 5천만 원 이하 벌금의 형사처벌 대상으로 정하고 있다(동법 제71조). 특히, 기업의 순수익의 3%가 아니라 매출액을 기준으로 과징금을 부과한다는 점에서 이는 강력한 경제적 규제 수단으로 작동할 수 있다.

개정 신용정보법 또한 영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리한 자에게는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 하고 있고(신용정보법 제50조), 가명처리 또는 익명처리가 되지 아니한 상태로 전달한 자는 5천만원 이하의 과태료를 부과하며, 가명처리에 사용한 추가정보를 분리하여 보관하거나 삭제하지 않거나, 가명처리한 개인신용정보에 대하여 기술적·물리적·관리적 보안대책을 수립·시행하지 않는 경우에는 3천만원 이하의 과태료를 부과한다(신용정보법 제51조). 또한 고의적 재식별에 대해서는 5년 이하의 징역, 5천 만원 이하의 벌금, 전체 매출액의 3% 이하의 과징금이 부과된다(신용정보법 제42조의2).

1. 사전적 규제방안

개정 데이터 3법은 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 서로 다른 개인정보처리자 간의 가명정보의 결합이 가능하도록 하였다. 그러나 서로 다른 개인정보처리자들의 가명정보들을 결합하면, 그 결합을 통하여 다시 해당 개인이 누구인지 식별할 수 있는 ‘재식별화’의 문제가 생기게 된다. 앞서 ‘식별화’와 ‘개별화’를 설명하였는바, 비식별화 처리되어 개별화 되었다고 볼 수 있는 가명정보가 다른 가명정보와 연결되어 다시 ‘쉽게 결합’된다면 이 결합을 통하여 그 개인이 누구인지 알 수 있는 위험이 생기는 것이다.

실제로 2019년 6월 미국에서는 한 환자가 시카고 대학의 메디컬 센터와 구글(Google)에게 자신의 전자의료기록(EHR : Electronic Health Record, 이하 ‘EHR’)을 남용하여 사용하였다는 이유로 소송을 제기한 사례가 있다. 해당 환자의 주장은 자신은 병원이 자신의 동의 없이 제3자에게 상업적으로 자신의 데이터를 제공하지 않는다고 점에 대해 서명을 했음에도, 시카고 대학의 메디컬 센터가 자신의 의료데이터인 EHR과 다른 환자들의 EHR을 구글에 넘겼다는 것이고, 병원측은 구글에 제공한 해당 데이터를 비식별화 조치를 하였다고 주장하였는 바, 현재 이 소송은 진행 중이다. 병원은 비식별화 조치를 하였다고 하지만, 구글이 보유하고 있는 한 개인의 온갖 정보들과 결합하면 그 개인이 특정될 수 있는 위험은 늘 상존하는 것이며, 이를 원인으로 한 소송은 개정 데이터 3법 이후의 우리나라에서도 충분히 생길 수 있는 것이다.

이처럼 가명정보라 하더라도 가명정보들이 결합되어 다시 그 사람이 누구인지 알 수 있고 특정이 되어버리는 재식별화의 문제가 생길 수 있다. 특히 가명정보는 정보주체의 동의 없이 통계작성, 과학적 연구, 기록보존 등을 위하여 처리될 수 있기 때문에 국민의 개인정보유출을 개정 데이터 3법이 합법화시켰다는 비판이 계속 나오게 되는 것이다. 따라서 위와 같은 재식별화를 방지하기 위하여 개정 데이터 3법은 정보의 결합을 인정하면서도 이러한 결합을 전문기관이 할 수 있도록 규정하였다. 가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출하고, 전문기관이 가명정보를 결합해주면 개인정보처리자는 전문기관 내에 마련된 안전한 분석 공간에서 결합된 정보를 분석할 수 있다. 그리고 AI 분석 등을 위한 데이터 반출의 필요성을 고려하여, 결합된 가명정보는 전문기관의 안전성 평가 및 승인을 거쳐서 전문기관 외부로 반출할 수 있다. 전문기관은 일정한 인력․조직, 시설․장비, 재정능력을 갖추어 지정될 수 있으며, 3년간 지정의 효력이 인정된다. (개인정보보호법 시행령 제29조의2, 제29조의3)

그리고 개인정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 하고, 개인을 알아볼 수 있는 추가 정보는 분리보관하며 접근 권한도 분리해야 하는 등의 물리적․기술적인 안전조치를 실시해야 한다. 또한 가명정보 처리 목적, 보유기간, 파기 등의 사항을 기록으로 작성하여 보관하게 함으로써 안전성을 확보할 수 있도록 하였다. (동법 시행령 제29조의5)

그럼에도 가명정보와 다른 정보의 결합을 통해 한 개인이 식별될 수 있는 가능성은 여전히 상존하므로 가명처리 및 정보집합물 결합 과정에 대하여 감독기구의 사후 감사 또는 모니터링을 강화할 필요가 있다. 또한 현행법은 공공기관에 대해서만 개인정보 영향평가를 의무화하고 있는데, 가명정보 또는 결합된 정보집합물을 처리하는 기관 및 기업에 대하여 영향평가를 의무화하는 방안도 검토해볼 수 있다. 뿐만 아니라 개인정보 영향평가가 요식행위에 그치지 않고 실질적인 관리․감독이 이루어질 수 있도록 절차를 개선하는 방안이 함께 검토되어야 할 것이다.

앞서 살펴본 gdpr 제5조 제2항에서는 "in accordance with Article 89(1)" 라고 써있어서...

Article 89(1)을 살펴보기로 한다! 

Article 89(1)은 아래와 같이 규정되어 있다. 

https://gdpr-info.eu/art-89-gdpr/

Art. 89 GDPR Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.

 공익을 위한 기록보존목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적과 관련된 gdpr의 보호조치와 예외 

1.  공익을 위한 기록보존목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적을 위한 개인정보처리는 정보주체의 권리와 자유를 위하여 이 규정에 따른 적절한 보호조치가 있어야한다. 이러한 보호조치는 특히 개인정보처리의 최소화원칙 존중을 보장하기 위한 적절한 기술적 그리고 조직적 조치를 보장해야 한다. 가명화된 정보 또한 개인정보처리의 보호조치에 충족될 수 있도록 포함해야 한다. 위의 같은 목적들이 있는 곳은 허가되지 않거나 더이상 정보주체의 식별화(identification)가 허락되지 않는 추가적 처리를 함으로써 충족될 수 있고, 위와 같은 목적들은 이 보호조치에 의해 충족되어야 한다. 

즉, 이 규정은 공익을 위한 기록보존목적 혹은 역사적 연구 목적, 또는 통계적 목적과 관련하여 양립가능하면 정보주체의 동의없이 개인정보를 제공할 수 있는데, 이렇게 목적 외 이용할 경우 '가명화'와 같이 보호조치를 해야한다는 것이다. 

김상현, "유럽연합의 개인정보보호법, GDPR", 커뮤니테케이션북스, 2018. 9.

PP.31-32에서 발췌 

"개인정보는 구체적이고, 명시적이며, 적법한 목적을 위해 수집해야 하며, 그 목적과 양립하지 않는 방식으로 처리되어서는 안된다(목적제한). 다만 공익적인 기록 보존 목적, 과학이나 역사 연구 목적, 통계목적을 위한 추가처리는 이에 해당하지 않는다(GDPR 제5조 1항)"

"'목적제한'원칙은 기업이나 기관 같은 정보 처리자에게 몇 가지 명확한 개인 정보 처리 기준을 제공한다. 첫내, 왜 개인정보를 수집하며, 그것을 어떤 목적에 쓸 의도인지 처음부터 분명한 계획을 세우라는 것, 둘때, 그런 목적과 관련 의무 사항을 구체적으로 문서화해 법규에 따랐다는 '증거'를 만들라는 것, 셋째, 수집할 개인 정보의 내용과 목적을 정보 주체 당사자에게 명확히 알림으로써 '투명성'의 의무를 이행하라는 것, 그리고 넷째, 이미 수집한 개인 정보를 수집 당시의 목적과는 다른 목적으로 사용하거나 공개하고자 계획할 대는 그 새로운 사용 또는 공개를 공정하고, 적법하며, 투명한 방식으로 하라는 것이다"

이 부분에 대한 원문을 살펴보면 다음과 같다. 

https://gdpr-info.eu/art-5-gdpr/

Art. 5 GDPR Principles relating to processing of personal data

Personal data shall be:

1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
2. collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
3. adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’);
4. accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’);
5. kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’);
6. processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

간이하게 해석하면..

개인정보(Personal Data)는...:

1. 적법성, 공정성, 투명성 :

개인정보처리를 할 때에는 정보주체

(the data subject : A data subject is any person whose personal data is being collected, held or processed.

https://eugdprcompliant.com/what-is-data-subject/)와 관련하여 적법하고, 공정하고, 투명하게 개인정보처리해야한다.

=> 개인정보처리는 적법하고, 공정하고 투명해야 한다. 

2. 목적 제한 :

개인정보는 구체적이고, 명백하고 정당한 목적으로 수집되어야 하고, 그 목적들과 양립할 수없는 방식으로 추가적으로 처리되어서는 안된다; 공공의 이익을 위한 보관 목적, 과학적 혹은 역사적 연구 목적, 또는 통계적 목적을 위한 추가처리만 가능한데, Article 89(1)에 따라, 최초목적에 양립가능해야 한다. 

=>개인정보처리의 목적은 구체적으로 제한되어야 한다.

3. 개인정보처리의 최소화 :

처리하는 개인정보가 명시한 목적을 이행하는데 충분하고, 그 목적과 합리적인 연관성이 있어야 하며, 그 목적에 필요한 수준으로 그 양을 제한해야 한다. 

=> 수집하고 처리하는 개인정보의 양을 최소화해야 한다. 

4. 정확성 :

개인정보는 정확해야 하고, 필요하다면 업데이트를 해야한다; 부정확한 개인정보는 확실하게 하기 위하여 지체 없이 삭제되거나 수정할 수 있는 모든 합리적인 조치를 해야 한다. 

=> 수집한 개인정보는 정확해야 하고, 필요하다면 바뀐 내용을 업데이트 해서 그 품질을 유지해야 하며, 부정확한 개인정보는 지체없이 삭제하거나 정정할 수 있도록 모든 가능한 조치를 취해야 한다(김상현, 위의 책, p.34)

=> 처리하는 개인정보는 정확해야 한다. 

5. 보유기간 제한 : 

개인정보가 처리되는 목적이 더이상 필요하지 않으면 개인정보를 보유해서는 안된다. 개인정보는 오직 공공의 이익을 위한 보관목적, 과학적 혹은 역사적 연구목적, 또는 통계적 목적인 경우,  데이터 주제의 자유와 권리를 보호하기 위한 이 규제에 의하여 Article 89(1)에 따른 적절하게 기술적이고 조직적인 조치가 취해지면 더 오래 보유할수도 있다. 

=> 개인정보는 목적에 필요한 기간 동안만 보유해야 한다. 

6. 무결성과 기밀성 : 개인정보에 대한 적절한 보안이 보장되고, 개인정보에 대한 무단 또는 불법처리와 우발적인 분실, 파기 또는 손상에 대한 보호를 포함해야 하고, 적절한 기술적 또는 조직적 조치를 사용한 방식으로 처리되어야 한다. 

=> 개인정보의 민감성에 걸맞은 보안 대책으로무결성과 기밀성을 보장해야 한다.  

====================================================

양립가능성이란 위 Article 5. (2)에 규정되어 있는바, 이러한 양립가능성에 대한 의미를 정확히 파악하려면  Article 89(1)로 가야 할 것 같다...

이거는 다음 글에..

1. 유럽 GDPR의 개인정보와 가명처리(pseudonymisation)의 개념

GDPR Article 4 (1)은 개인정보(Personal data)를 “식별되었거나(identified) 또는 식별가능한 (identifiable) 자연인(정보주체)과 관련된 모든 정보”라고 정의하고 있다. 여기서 ‘식별가능’하다는 것은, 이름, 고유번호, 위치정보, 온라인 식별자, 기타 해당 개인의 신체적, 생리적, 유전적, 정신적, 문화적, 사회적 정체성에 대한 사항을 참조하여 그 정보의 주체를 알아볼 수 있다는 의미이다. 개인정보의 예로, 이름과 성, 주소, 개인 이메일 주소, ID 카드 번호, 위치정보, 웹브라우저의 쿠키 ID, 스마트폰의 광고 식별자(Advertising ID), 환자를 식별하는 데 쓰이는 의료기관 보유 데이터 등이 있다.

GDPR Article 4 (5)는 가명화(pseudonymisation)란 추가 정보(additional information)를 이용하지 않고는 더 이상 특정 정보 주체를 식별할 수 없는 방식으로 개인정보를 처리하는 것을 뜻한다. 즉, 가명화된 정보는 개인정보에서 식별되는 한 개인을 가명(pseudonym)으로 대체함으로써 본래 식별되는 한 개인의 이름과 가명을 연결시켜 해당 개인이 누구인지 알 수 있는 ‘추가 정보’를 이용하지 않고는 특정 개인을 알아볼 수 없는 상태의 정보이다. 여기서 개별과 식별을 연결시키는 ‘추가정보’에 대해서는 개인 식별에 이용될 수 없도록 분리 보관되는 등 기술적․관리적 조치가 요구된다. GDPR Article 89 (1)에서는 가명화된 정보 또한 여전히 개인정보로 취급되기는 하지만, 여기서는 공익을 위한 기록보존, 과학적, 역사적 연구(사인의 영리목적 연구 포함) 또는 통계 목적의 활용이 허용된다.

2. 우리나라 개인정보보호법 상의 ‘가명정보’

개정 데이터 3법의 개인정보보호법과 신용정보법에서는 ‘가명정보’에 관하여, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보가 없이는 특정 개인을 알아볼 수 없도록 가명처리한 정보로 정의하고 있다. (개인정보보호법 제2조 제1의2, 신용정보법 제2조 제1호 제마목 15. 및 26)

신용정보법에 관한 정무위원회 수석전문위원 보고서에 따르면 익명정보와 가명정보에 관하여 아래와 같이 설명하고 있다.

그리고 개인정보처리자는 당초 수집목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 정보주체의 동의 없이 제3자에게 개인정보를 제공할 수 있으며(개인정보보호법 제17조 제4항), 통계작성, 과학적 연구, 공익적 기록보존등을 위하여 정보주체의 동의 없이 처리할 수 있으며(동법 제28조의2 제1항), 여기서 ‘과학적 연구’에는 산업적 연구도 포함된다는 것이 입법자들의 입법 태도이다. 이러한 가명정보의 결합은 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관만이 수행할 수 있다. (동법 제28조의3 제1항)

3. 소결

위에서 살펴본 유럽 GDPR의 가명화, 우리나라 개정 데이터 3법 상의 가명정보의 개념정의와 활용범위를 정리하면 아래 표와 같다.

○ 표 : 각국의 가명정보 개념정의와 활용범위

위 표에서 알 수 있듯이, 유럽 GDPR과 우리나라의 개정 데이터 3법상의 ‘가명정보’의 개념은 상당히 유사하다. 특히, 유럽 GDPR과 우리나라는 식별화될 수 있는 개인정보의의 경우에는 ‘양립가능성’ 혹은 ‘당초 수집 목적과 합리적으로 관련된 범위에서’ 암호화, 불이익발생 여부 등을 고려하여 정보주체의 동의 없이 제3자 제공이 가능하다고 하고, 가명정보의 경우에는 통계, 산업적 연구를 포함한 과학적 연구, 공익목적 등을 위하여 정보주체의 동의 없이 처리가 가능하다고 하여 개인정보와 가명정보를 최대한 구분하여 입법을 한 것으로 보인다.

가명정보의 개념에 관하여 보다 명확하게 파악하고 이해하기 위해서는 '식별'과 '개별'의 개념을 이해하고 확인하는 것이 필요하다. 

1. ‘식별’과 ‘개별’

개정 데이터 3법이 2020. 1. 9. 통과되자 시민단체들은 일제히 성명을 내고 비판의 목소리를 높였다. 시민단체들은 개정 데이터 3법이 기업이 이윤추구를 위해 적절한 통제장치 없이 개인의 가장 은밀한 신용정보, 질병정보 등에 전례 없이 광범위하게 접근하고 관리하도록 길을 터주었으며, 헌법 제10조에서 도출되고 제17조로 보장받는 개인정보자기결정권이 사실상 부정되었다고 한다. 이제 정보주체인 국민들은 개인정보 권리 침해, 데이터 관련 범죄 증가, 국가와 기업의 국민 감시 및 차별 심화 등 피해를 고스란히 떠안게 될 것이라고 주장한다.

이러한 비판이 나오는 이유는 개인정보보호법 상 보호되는 개인정보의 개념에 대하여 수범자인 국민이 식별화(identification)된 개인정보와 개별화(individualization)된 개인정보에 대한 개념을 혼동하고 있기 때문인 것으로 보인다. 식별화란 해당 개인이 누구인지 알 수 있는 것이다. 예를 들어, 이름과 주민등록번호 혹은 그 사람의 이름과 그 사람의 핸드폰번호만 알아도 이 사람이 누구인지 정확하게 식별될 수 있다. 왜냐하면 이름과 주민등록번호 혹은 이름과 핸드폰번호가 개인정보보호법 제2조에서 말하는 ‘쉽게 결합’이 되는 순간 그 사람이 누구인지 특정할 수 있기 때문이다. 따라서 ‘쉽게 결합’이라는 요건은 한 개인이 누구인지 알게 되는 것인 식별화의 핵심이다.

‘쉽게 결합’은 유럽 GDPR에서 말하는 ‘연결가능성’(linkability)과도 유사한 개념이라 볼 수 있다. 즉, 누군가의 이름인 홍길동이 있고, 이 홍길동의 핸드폰 번호 010-123-4567 과 홍길동이 연결되고 쉽게 결합이 되어야 이 사람이 홍길동임을 식별할 수 있는 것이다. 우리 법원 또한 “쉽게 결합하여 알아볼 수 있다”는 것은 쉽게 다른 정보를 구한다는 의미이기 보다는 구하기 쉬운지 어려운지와는 상관없이 해당 정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것을 의미하다고 판시한 바있다.

그러나 개별화는 다르다. 개별화는 대한민국의 모든 사람들의 이름 중에서 한명을 추려내어 개별적으로 보는 것을 의미한다. 개별화시킨 홍길동이라는 사람이 010-123-4567의 번호를 가지고 있는 사람인지는 알 수 없다. 010-123-4567과의 연결성, 즉 ‘쉽게 결합’이라는 요건이 없기 때문이다. 개별화된 정보는 ‘쉽게 결합’이라는 조건 없이 한명을 골라내는 것일 뿐 그 홍길동이 그 홍길동인지 식별하는 것이 어렵다. 따라서 아무리 의료기관이나 은행이 해당 개인의 데이터를 가지고 있으나 이것이 추가적인 정보와 연결되고 ‘쉽게 결합’되어 누구인지 식별할 수 없다면 이는 단순히 개별화된 정보이며, 추가적인 정보 없이는 그 사람을 식별할 수 없기 때문에 해당 정보주체의 인권을 침해할 여지는 적다.

개정 데이터 3법에 새로 소개된 가명정보는 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말하는 바, 이는 누군가를 알아볼 수 있는 ‘식별화’된 정보가 아니라 추가정보가 없어 ‘쉽게 결합’될 수 없는 ‘개별화’ 정보에 가깝다고 봄이 상당하다. 그러나 만일 가명정보끼리의 결합으로 인하여 '개별화'된 정보다 다시 누구인지 '식별'될 수 있는 가능성 또한 상존한다. 이에 대하여 개정 데이터 3법은 벌칙규정 및 과태료 규정 등을 두고 있다. 

===========================================================================

나는 이렇게 식별과 개별에 관하여 구분하는 것이, 가명정보를 이해하는데 더 도움이 될거라 생각했는데, 이 부분에 관하여 논문을 써서 응모했을 때, 심사위원인 교수님께서는 이 부분은 오히려 가명정보에 대한 개념 설명에 혼란을 일으킬 수 있다고 보셨다.

심사평에 의하면 "

- Individualization의 개념이 어디에서 유래하는지 그 출전을 밝힐 필요가 있음. Individualization의 개념을 도입함이 없이는 설명이 불가능한지 검토 바람.

- 식별’ 과 ‘개별’을 개념상으로 대립시킬 수 있는지 검토 바람. 식별은 동명사이고 개별은 형용사로 쓰임. 즉 예컨대 ‘식별 가능’이라는 표현은 가능하나 ‘개별 가능’이라는 말은 어법에 맞지 않음.

- Identification을 식별이라고 번역하여서는 곤란하고 identify 하는 것을 말하므로 식별화라고 번역하여 일관되게 사용하여야 할 것임.

- Individualization도 ‘개별화’라고 번역하여야 하고 이를 개별이라고 번역하여서는 개념의 정확성을 기하기 어려울 것임.

- 심사자의 개인 의견으로는 Individualization이라는 개념을 도입하여 유익한 해결에 도움이 되기 보다는 불필요한 혼란을 초래하는 결과를 가져온다고 봄."

======================================================================

결국 논문투고는 떨어졌다.

가명정보에 관하여 여전히 국민의 법감정상의 용어와 개정 데이터 3법의 용어 상의 갭은 있는 것 같다. 

내 글이 부족해서였겠지만..

위와 같은 교수님의 지적은 상당히 유의미할 것으로 보이고,

만일 식별화와 개별화를 동위선상에서 구분하여 가명정보를 설명하고자 한다면, 보다 심도있는 논의는 필요할 것 같긴 하다.  

3. 개정 신용정보법의 주요 내용

가. 금융기관 빅데이터 분석･이용의 법적근거 마련

개정 신용정보법도 개정 개인정보보호법상의 체계와 같이 개인정보를 특정 신용주체를 식별할 수 있는 정보(신용정보법 제2조 제1호 제가목, 개인정보보호법상의 ‘개인정보’), 특정 신용주체를 비식별화하는 가명처리를 한 가명정보(신용정보법 제2조 제1호 제마목 15. 및 26, 개인정보보호법상의 ‘가명정보’), 더 이상 특정 개인인 신용정보주체를 알아볼 수 없도록 익명처리한 익명정보 (신용정보법 제2조 제17호, 개인정보보호법상의 ‘익명정보’)로 구분하였다. 그리고 개인을 알아볼 수 없도록 안전하게 조치한 ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용할 수 있게 하였다. (신용정보법 제32조 제6항 9의2)

또한 빅데이터 분석 및 이용과 활용할 수 있도록 데이터 결합을 허용하고 이에 관한 법적 근거를 명시하였다. 데이터 결합을 통해서 비식별된 가명정보가 재식별될 가능성이 있으므로, 이에 관하여는 국가지정 데이터전문기관을 통한 데이터 결합만을 허용하였다. (동법 제17조의2) 이를 통하여 안전하게 데이터 결합이 이루어질 수 있는 제도적 기반을 마련하였다.

나. 신용정보 관련산업 규제체계 정비

신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분하고 진입규제 요건이 합리적 완화되었다. 신용정보회사인 개인 CB가 원칙적으로 영리 목적의 다른 업무를 겸업할 수 없도록 하는 규제를 폐지하였고, 신용정보회사 등의 업무체계를 정비하고 데이터 분석 및 컨설팅 업무 등을 수행할 수 있게 하였다.

다. 본인 신용정보 관리업 (My Data) 도입

정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이데이터(MyData) 산업이 도입된다. 핀테크 진입을 위해 최소 자본금은 5억원으로 하고, 금융회사 출자요건은 적용하지 않는 등 진입장벽을 최소화하였다. 마이데이터 사업자는 수집된 정보를 바탕으로 개인의 정보관리를 돕고, 맞춤형 상품 추천, 금융상품 자문 등을 할 수 있다.

데이터 분석 및 컨설팅, 신용정보주체의 개인정보 자기결정권의 대리 행사 및 투자일임, 투자자문 등을 부수, 겸영업무로 허용하였으며, 본인신용정보관리업을 새로운 금융분야 데이터 산업으로 육성하고자 했다.

라. 프로파일링 대응권 및 개인신용정보이동권의 도입

통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과와 같은 기계화, 자동화된 데이터 처리(Profiling)에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권이 도입된다. 또한 금융회사․공공기관 등에게 본인 정보를 다른 금융회사 등으로 제공토록 요구할 수 있는 ‘개인신용정보 이동권’(전송요구권)도 도입된다. 이는 유럽 GDPR의 정보이동권 개념을 도입한 것으로서, 정보주체가 금융기관 등에 대해 본인의 신용정보를 자신 또는 본인신용정보관리회사 등에게 전송할 것을 요구할 수 있다. 이러한 개인신용정보 이동권(전송요구권)의 대상은 정보주체의 신용 정보에 국한된다.