제 4호 2015. 12 개인정보보호 법제로 인한 빅데이터 활용 한계사례 조사 분석 CONTENTS Ⅰ. 문제제기 1 Ⅱ. 개인정보보호 관련 국내외 법제 현황 및 해외비교 2 Ⅲ. 빅데이터 활용 한계사례 분석 8 Ⅳ. 결론 및 시사점 18 * 작 성 : 한국정보화진흥원 ICT융합본부 Io T기 획 팀 오 정 연 수 석 연 구 원 선 미 란 선 임 연 구 원 * 문 의 : 02-6191-2019, oh.jy@nia.or.kr 1
Ⅰ 문제제기 o 빅데이터가 21세기 원유로 불리며 관심을 모으고 있는 가운데, 엄격한 개인정보보호제도가 국내 빅데이터 활용을 지연시키고 있다는 지적 - 국내 빅데이터 공급기업 및 수요기업을 대상으로 조사한 결과 빅데이터산업 활성화에 가장 큰 걸림돌 중 하나로 법제도 문제를 지적 국내 빅데이터산업 활성화 정책수요: 1위 빅데이터관련 성공사례 전파, 2위 빅데이터 관련 법제도 정비, 3위 빅데이터관련 기술 및 서비스 수준 향상 順 (NIA, 15) o 빅데이터시장 활성화를 위해서는 다양한 데이터간 매쉬업을 통한 가 치창출이 핵심인데, 이를 위한 데이터 거래 자체가 어려운 현실 - 현재 국내에서는 개인정보 범위의 불명확성, 경직적 사전동의제도 등으로 인해 사실상 효율적 빅데이터 서비스가 곤란 <데이터시장 필요성> <데이터 거래가 어려운 이유> 자료: 2014 빅데이터시장현황조사, NIA, 14 o 해외의 경우 개인정보의 보호 및 개인정보의 안전한 활용을 함께 추구하는 입장으로, 최근 IoT, 빅데이터 등의 신규사업 활성화를 위해 개인 정보보호 관련 법제 개선을 추진 중 o 이에 본 보고서에서는 실재 현업에서 개인정보관련 법제도로 인해 겪고 있는 애로사항 발굴을 통해 향후 정책방향을 모색 1
II 개인정보보호 관련 국내외 법제현황 및 해외비교 1 국내 현황 o (일반법+개별법 체계) 기본법으로서 개인정보 보호법, 정보통신망법, 신용정보법 등 부문별로 법률 제정 시행 정보통신망 이용촉진 및 정보보호등에 관한 법률 (온라인), 신용정보의 이용 및 보호에 관한 법 률 (금융), 의료법 (의료), 위치정보의 보호 및 이용등에 관한 법률 (위치정보보호법) 등 - 수집 이용 제공 등 개인정보처리는 정보주체의 동의 기반 o (정의규정) 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통 하여 개인을 알아볼 수 있는 정보( 개인정보 보호법 제2조제1호) - 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 것을 포함 o (동의규정) 개인정보처리 시, 사전동의방식(Opt-in) 채택 - 민간부문 개인정보처리자의 경우 정보주체의 사전동의를 받아야 수집 이용 (제15조제1항) 및 제3자 제공 또는 공유 가능(제17조제1항) o (제재규정) 형벌과 행정벌 양자 모두 채택 위법한 제3자 제공 시, 5년 이하 징역 또는 5,000만원 이하 벌금(형벌) 위법한 개인정보 수집 이용 시, 5,000만원 이하 과태료(행정벌) o (최근동향) IoT, 클라우드, 빅데이터 등 새로운 서비스 활성화를 위한 개인정 보보호 관련 제도 개정 요구 증대 - 개인정보 정의규정 명확화, 처리 기준완화 및 opt-out방식으로의 전환 필요성 제기 국내기업의 영업활동 지장 초래, 우리기업의 글로벌 경쟁력 저하 2
<참고: 개인정보보호관련 법제 주요 이슈> (모호한 정의규정) 결합가능성만으로도 개인정보로 간주 o 현재 개인정보보호법에서는 살아 있는 개인에 관한 정보로서 성명, 주민 등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 로 개인정보 정의 - 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함 * 처리자가 결합 대상 정보를 처리하고 있는지 여부를 불문하고 잠재적 결합 가능성 * 만 있어도 개인정보로 간주 불명확한 정의로 인하여 개인정보 보호법 적용 대상 확대 우려 (엄격한 동의규정) 개인정보처리 시 사전동의방식(Opt-in) 채택 o 민간부문 개인정보처리자의 경우 정보주체의 사전동의를 받아야 수집 이용 (제15조제1항) 및 제3자 제공 또는 공유 가능(제17조제1항) * 국내의 경우 개인정보를 활용시 가입자에게 구체적 목적 등을 고지하여 사전 동의를 받아야 하는 사전동의형(Opt-in) 제도를 채택 빅데이터, IoT 등 신규서비스 및 사업 추진에 걸림돌로 작용 (과도한 제재규정) 형벌과 행정벌 양자 모두 채택 o 정보통신망법의 경우 개인정보 수집 이용에 대한 사전동의 위반 시 형사처벌을 적용하는 반면, 개인정보보호법의 경우 위반 정도에 따라 시정명령, 과태료, 형사처벌 등 차등 적용 형사처벌 우려로 인해 사업 추진 時 보수적으로 대응하는 경향 3
2 해외 현황 1 일본 o 일본의 개인정보 보호에 관한 법률 은민간부문의 개인정보보호에 관한법률로 2003년 5월에 제정 공포되고 2005년 4월부터 전면 시행(기본법적 성격 有 ) 개인정보 보호에 관한 법률 기본이념, 국가의 책무 시행, 기본방침의 책정 등 민간부문 개인정보취급사업자의 의무 등이 분야별로 정리 공공부문 국가행정기관(법률), 독립행정법인 등(법률) 지방공공단체 등(조례) o (정의규정) 생존하는 개인에 관한 정보로서, 해당 정보에 포함되는 성명, 생년월일 기타 기술 등에 의해 특정한 개인을 식별할 수 있는 것(다른 정보와 쉽게 조합할 수 있고, 그에 따라 특정한 개인을 식별하는 것이 가능하게 되는 것을 포함) o (동의규정) 사전동의방식(Opt-in) 및 사후동의방식(Opt-out) 복합 채택 - 개인정보 취득은 이용목적의 공표 또는 본인에 대한 통지로 가능(제18조) - 정보주체에게 본인 의사에 따라 제3자 제공을 정지한다는 사전고지 시, 사전동의 없이 제3자 정보 제공 가능(제23조제3항) - 목적 외 이용 시 본인동의 필요(제16조) o (제재규정) 위법한 개인정보처리에 직접적 형벌 규정하지 않음 이 법 위반행위에 대한 시정권고조치에 응하지 않을 시, 6월 이하 징역 또는 300,000엔 이하 벌금(제56조) o (최근동향) 개인정보 보호와 동시에, 빅데이터(Personal data) 등 데이터 활용을 통한 새로운 산업과 서비스 창출이 가능하도록 법제도 개선 추진 14.6 개인정보보호법 개정 예고, 15.3 정부안 확정, 9.3일 중의원 본회의 가결, 성립 - 개인정보 보호와 유용성 확보 위해 정의규정 명확화 및 본인 동의 없 는 제공이 가능하도록 익명가공정보 신설 익명가공정보: 개인을 식별할 수 없도록 가공하고, 개인정보를 복원할 수 없도록 만든 데이터로 개인정보 주체 동의없이 자유로운 활용이 가능 - 개인정보 취급 감시감독 권한을 가진 제3기관(개인정보보호위원회) 설치 및 국외 제3자에 대한 정보제공 제한 규정 명문화 4
2 EU o 개인 정보의 처리와 자유로운 이동에 관한 개인정보보호지침 채택하여, EU회원국에 대해 개별 법률의 제 개정을 강제(1995.10.24.) Directive of the European Parliament of individuals with regard to the processing of personal data and on the free movement of such data, 95/46/EC(이하 개인정보보호지침 ) - (제정 근거) EU 인권헌장* 의 기본권인 개인정보보호(제8조), 리스본 조약** 개인정보보호 권리보장을 위한 유럽의회와 이사회의 법령 제정권한(제16조) * Charter of Fundamental Rights / ** Treaty on the Functioning of the European Union - 독립된 감독기구의 의무적 설치 및 EU 수준으로 적정한 개인정보보호 미비 시 국외이전 금지 o (정의규정) 식별되거나 식별가능한 자연인 에 관한 정보 식별가능한 개인 이란 신분증 번호를 통하여 또는 신체적, 생리적, 정신적, 경제적, 문화적, 사회적 요소에 관한 하나 또는 그 이상의 정보를 통하여 직 간접적으로 알아볼수있는사람(제2조제a항) o (동의규정) 수집 등 처리에 있어 사전동의(Opt-in) 방식을 채택하고 있으나 정 당한 이용의 경우 사후동의방식(Opt-out) 채택 가능 - 개인정보처리는 정보주체의 명시적 동의에 의해 가능하나(제7조제a항), 개인정 보처리자 또는 개인정보를 제공받는 제3자가 추구하는 정당한 이익 달성을 위하여 필요한 때 개인정보의 수집 이용 및 제3자 제공이나 공유가 허용(제7조제f항) - 정보주체의 권리 : 개인정보 처리 등 통지받을 권리, 처리된 정보의 수정, 삭제 및 차단 요구 권리(제12조), 정보 처리를 반대할 권리(제14조) 보유 o (국외이전) 제3국이 정보주체의 권리와 자유에 대한 적정한 보호수준 보장시 이전가능 하나(원칙, 제25조), 정보주체의 동의, 계약이행, 공익을 위해 예외 인정(제26조) o (최근동향) 각 회원국의 개인정보보호 법령이 상이하여 발생하는 법적 불확실성, 비 즈니스의 어려움 등 문제해결을 위해 일반 정보보호규칙(안) 마련 General Data Protection Regulation: EU의 개인정보 규제에 대한 프레임워크로 기능하는 규칙, 별도 입법 없이 EU회원국에 적용될 단일 규제 제정방안 제안( 12.11) GDPR 개혁 완료개획 발표( 15.3) 최종안 협상( 15.6, 룩셈부르크 회의) 15. 12.15. 법안 최종 합의 - 개인정보수집 처리 시 고지 및 사전동의(opt-in), 잊혀질 권리의 보장, 개인정보이동성 규정, 국외이전 규정 세분화, 정보보호관 설치 의무 등 기업에 대해 포괄적 의무 부과 5
3 미국 o ( 非 기본법 체계) 공공 통신 온라인 등 각 영역별법 제도마련 및 공공/민간 부문 체계 분리 이미 미국 연방대법원이 개인의 프라이버시를 헌법상 권리로 인정함으로써 상당한 정도의 개인정 보가 보호되고 있는 실정 - (공공부문) 예산관리실(OMB : the Office of Management and budget)에서 프라이버시법 집행, 연방정부 프라이버시정책 정립 및 예산관리차원의 제한적 역할 수행 - (민간부문) 연방거래위원회(FTC : the Federal Trade Commission)가 소비자보호관점 에서 개별 프라이버시권 관련 보호법률 집행 및 준수여부 감독 담당 소비자신용정보, 공정한 거래관행, 아동 온라인 프라이버시 등 미국에서 개인정보처리 민간부문은 기본적으로 자율규제(self-regulation) 또는 자기통제 o (동의규정) 산업분야 용도에 따라 상이하며, 사전동의 및 사후동의 방식 혼용 - 헌법상 프라이버시권을 침해하지 않는 범위 내에서, 개별 부문 또는 영역별 사용 목적에 따라 사전동의 요구 여부 다양 (공공부문) 개인 서면동의 없는 한 개인정보의 목적 외 공개금지( 프라이버시법 제552a(b)) (민간부문) 프라이버시권 침해 없는 한 자율규제에 맡겨, 개별법상 상이한 동의 구조 예 : 의료정보 보호법(the Health Insurance Portability and Accountability Act, 1996) 상 환자의 의료정 보는 수집 이용에는 제한이 없으나 제3자 제공 및 공개에는 사전동의 필요 o (제재규정) 개별 법률에 따라 상이한 형벌 또는 행정벌을 규정 예 : 형벌 - 의료정보 보호법 위반시 $250,000 벌금 또는 10년 이하 징역 행정벌 - 공정 정확한 신용거래법(Fair and Accurate Credit Transactions Act, 20030 위반시 $3,500달러 이하의 과태료 o (국외이전) : 미국-EU 간합의로Safe Harbor 프라이버시원칙(세이프하버 원칙) 준수 미국기업에 EU내 개인정보 이전 허용하였으나 최근 무효화 개인정보 보호 체계를 갖추지 못한 제3국으로의 개인정보 국외 이전을 제한하는 EU에 대해 미 국이 자국의 피해를 방지하기 위하여 세운 원칙 o (최근동향) 영역별 개별법적 접근을 취하여 민간부문에서의 사적 자치를 중시 - 사회변화, 신기술 등에 의해 생성된 새로운 이슈에 신속히 응답가능 장점 예 : CCTV 감시, 개인정보 프로파일링, 아이디 도용, 온라인 프라이버시, RFID 프라이버시 보호 등 6
3 각국 개인정보 규제 비교 o 우리나라는 개인정보 전체 처리과정에서 사전동의(Opt-in) 방식을 취하고 있고, 정의에 있어서도 보다 포괄적이며, 기타 선진국에 비해 개인정보 활용이 엄격히 법으로 규제되고 있음 - (정의규정) 한국과 일본이 결합 또는 조합을 통한 개인정보 가능성을 포함하여 가장 넓게 규정 - (동의규정) 기타 선진국의 경우 활용 및 제3자 제공에 있어 Opt-out 가능성을 열어놓고 있으나 한국은 현행법상 개인정보 전체 처리과정에서 Opt-in 채택 - (제재규정) 정보통신망법 의 경우 시정명령제 없이 형사처벌로 이어져 기타 국가에 비해 형벌규정이 강력 <각국 개인정보 규제 비교> 구분 국가 규제대상 개인정보 비고 생존한 개인의 정보(예: 성명,주민번호,영상 등) 우리나라 + 다른 정보와 쉽게 결합해 개인식별가능 정보 미국 제외, 개인정보 정의에 대해 포괄적 생존한 개인의 정보(예: 성명,생년월일 등) 일본 규정 + 다른 정보와 쉽게 조합해 개인식별가능 정보 식별되거나 식별가능한 자연인 정보(예: 신분증 번호 일본은 조합 (대조)이란 정의 지침 또는 신체 생리 정신 경제 문화 사회적 요소 정보로 직 용어를 사용한 반면, EU 간접적 알아볼 수 있는 사람) 한국은 결합 단어를 식별되거나 식별가능한 자연인 정보(예: 지침+이름, 지 사용 : 한국이 개인정 규칙(안) 역정보, 고유식별자 또는 성적 정체성) 보를가장넓게규정한것 으로볼수있음 개별법상 상이(프라이버시, 금융정보, 소비자정보, 의 미국 료정보, 통신정보 등) 우리나라 수집등 처리에 사전동의 방식 동의 일본 사전동의 및 사후동의 방식 현행법상 우리나라의 경우만 개인정보의 지침 사전동의 및 사후동의 방식 EU 전체 처리과정에 규칙(안) 수집등 처리에 사전동의 방식 opt-in 방식 채택 미국 개별법상 상이(제3자 제공시 사전동의 방식 등) 우리나라 형벌 및 행정벌 혼재(망법의 경우 강력한 형사처벌) 제재 일본 지침 EU 규칙(안) 미국 시정권고조치 위반시 형별 없음 형벌 개별법상 상이(형벌 또는 행정벌) 우리나라의 경우 처리 과정을 구분해 상이한 제재 부과 7
III 개인정보보호 관련 국내 법제현황 및 해외비교 1 증권통 간편 로그인 서비스 주요내용 o 주식시세정보를 제공하는 스마트폰 앱 증권통 은 사용자들이 로그인 없이 사전에 등록한 관심종목을 볼 수 있도록 앱을 설계하기 위해 스마트폰 인증번호인 IMEI와 USIM 일련번호를 수집 사용자들이 앱을 설치할 때 사용자의 스마트 폰으로부터 개인정보인 'IMEI(국제모바일 단말기 인증번호)와 USIM 일련번호의 조합' 정보를 읽어 오거나, 'IMEI와 사용자 개인 휴대전화번호의 조합' 정보를 읽어 와 서버에 저장한 다음, 사용자가 다시 접속하는 경우 서버에 저장된 사용자의 개인정보와 비교하여 사용자의 동일성을 식별하고 별도 로그인 없이 바로 사용자가 등록해 놓은 관심종목을 보여주도록 설계 8
추진 중단이유 o IMEI나 USIM 일련번호를 개인정보로 보고 무단수집에 대해 법원 유죄판결 o 결합의 가능성에 대하여 입수 가능성과는 상관없이 결합만 가능하면 개인정보라고 판시 - 증권통 관계자는 IMEI나 USIM 일련번호는 특정개인에게 부여된 부호가 아니라 특정기기, 특정카드 등에 부여된 번호이고, 다른 정보화 쉽게 결합하여 이용자가 알아보는 것이 불가능함으로 개인정보가 아니라고 주장 IMEI정보는 통신사가 가지고 있는 정보로 일반인은 접근이 불가 - 그러나 법원은, 개인정보보호법 상 개인정보의 정의에 결합의 용이성은 다른 정보의 입수 가능성 을 전제하고 있지 않고, 결합의 용이성을 말하고 있기 때문에 IMEI나 USIM 일련번호도 개인정보라고 판시 기계적인 정보라 하더라도 특정 개인에게 부여되었음이 객관적으로 명백하고, 이러한 정보를 통하여 개인이 식별될 가능성이 있다면 이를 개인정보로 본다고 판단 개인정보 제도개선 요구사항 o 현 개인정보보호법 정의가 너무 포괄적이고, 표현이 불분명 - 다른 정보와 쉽게 결합 이라는 표현이 불분명하여 어디까지 개인정 보로 볼지 해석에 이견이 있을 수 있음 지금은 식별이 불가능한 정보이지만 잠재적 결합 가능성을 고려하여 개인정보로 인 정할지, 또는 다른 정보와 실제로 결합이 이루어져 식별이 가능한 상태가 되었을 때에만 개인정보로 인정할지 등 개인정보 정의에 대한 불명확성 제거 및 합리적 해석 근거마련 필요 <대안검토: 개인정보 정의 명확화> 1 개인정보의 범위를 구체적 한정적으로 열거하고, 괄호 결합 내용은 삭제 2 실제 결합이 이루어져 식별이 가능한 상태가 되었을 때로 한정 3 공개된 정보 또는 접근 가능한 정보와 결합하는 경우로 한정 등 9
2 개인신용평가 전문기업의 신용평가 개선모델 주요내용 o 개인신용평가 전문기업은 이동통신사의 결제패턴 등의 정보를 활용 하여 신용등급이 낮거나 없는 대학생 및 사회 초년생에게 보다 좋은 대출 등급을 제공하기 위한 융합 신용평점 작업 추진 자사의 개인정보데이터와 이동통신사의 통신 데이터의 매시업을 통해 통합 빅데이터 분석시스템을 운영하고, 이를 기반하여 특정 계층의 신용 평점 작업을 진행하여 고객사인 은행 등에 개인별 신용 평가 등급을 제공한다는 계획 통신 사용량, 미수납 연체 등 정보를 활용하면 보다 높은 신용등급 부여가 가능하다는 아이디어 o 대출이 어려웠던 학생 및 일부 계층에서 사회 적응 가능성을 높이고 은행 및 대출 기관에서는 보다 신뢰성있는 데이터에 기반하여 대출 심사 가능 10
추진 중단이유 o 신용평가회사 - 은행 통신사간 비식별화를 통한 정보 융복합이 개인 정보보호법상 문제가 되는지 명확한 규정이 없어 적극적 사업 추진에 애로 법무팀에서도 보수적인 의견을 제시 o 서로 다른 기관 간에 비식별 데이터 유통을 통해서 혁신적인 서비스를 만들어 낼 수 있으나, 비식별화에 대한 기준 미비 및 법적인 근거 미비로 사업 추진 보류 개인정보 제도개선 요구사항 o 현재 방통위에서 비식별화 개념이 담긴 빅데이터 개인정보보호 가이드라인 ( 14.12)을 발표했으나, 비식별화에 대한 명확한 기준이 제시 되지 않아 실질적인 활용은 어려운 상황 금융위에서도 개인 신용정보를 비식별화할 경우 개인정보보호법 예외 규정에 따라 목적외 이용이 가능하다고 유권해석 하고 있으나 의견이 분분 o 문제는 어느 정도까지 데이터를 변경해야 비식별화가 완료된 것인지 에 대한 판단 기준이 불분명하다는 것 비식별화에 대한 명확한 기준 및 근거를 법적으로 제시할 필요 <대안검토: 비식별화 기준 마련> 1 산업 분야별로 비식별화 지침 또는 가이드라인 마련 2 비식별화된 데이터를 이용하는 과정에서 식별 가능한 개인정보가 생성되는 경우 다시 비식별화하는 것을 의무화(강길부의원안) 3 임시식별자 * 등 기술적 대안을 인정하여 제한적인 활용 허용 * 주민번호와 같은 개인정보를 OTP 개념의 암호화된 임시식별자로 치환한 후 개인정 보 제공기관 및 이용기관이 상호 활용하는 방안 11
3 카드회사 빅데이터기반 타겟 마케팅 주요내용 o 카드사는 자사 카드의 이용고객 및 금융 거래 정보를 빅데이터 기술로 분석하여 특정 개인에 대한 타켓 마케팅을 전개하려고 계획 불특정 다수를 대상으로 하는 현 마케팅 효과가 미미하여, 개인 식별이 가능한 데이 터 분석을 통한 타겟 마케팅을 기획 o 이를 위해 모든 금융정보 및 거래 데이터를 데이터베이스화하고 특정 고객의 거래 패턴 및 지출 예측이 가능한 분석 시스템을 마련 고객의 신용카드 사용 및 거래 정보, 은행 거래 데이터의 분석작업을 통해 마케팅 효 과를 극대화할 수 있는 알고리즘 개발을 진행 12
추진 중단이유 o 금융감독원 감독규정에는 이들 타겟마케팅을 위해서는 고객 개별의 서면동의가 필요하다는 지침을 주고 있어 장애물로 작용 o 새로운 마케팅을 전개하기 위해서는 매번 서면 동의를 받기 위한 절차가 필요하여 매우 번거롭고, 비용과 시간이 과다하게 소요된다는 점이 투자를 망설이게 하는 원인 또한 통합된 고객정보가 없기 때문에 중복 마케팅 등 고객 불만 유발 가능성이 있다고 판단 개인정보 제도개선 요구사항 o 개인정보 수집 이용 시 반드시 고지 및 사전동의를 받도록 하고 있는 규정이 업계와 이용자에게 불편을 주는 사례 발생 - 한편, 이용자 동의 시 사업자는 면책되고 모든 것은 이용자 책임에 해당함에 따라 사업자 입장에서 동의 만능주의 현상 초래 이용자의 개인정보를 보다 실질적으로 보호할 수 있도록 사후동의 (Opt-out)를 도입 검토 필요 인터넷포털 업체에서 SK의 시럽과 유사한 위치정보 서비스를 시험해 본 결과, 이용자들은 옵트인의 경우 1.4%만 선택한 반면, 옵트아웃 방식은 85%가 이용(15%만 취소) <대안검토: 사후동의(Opt-out) 도입> 1 서비스 이용 등에 필수적인 사항은 동의가 아닌 명확한 고지로 처 리하고, 선택사항만 동의 받도록 관련규정 개선 2 감염경로 역학조사 등 공익 목적 활용 또는 웨어러블기기 IoT 등 기술적 제약이 있는 경우 사전동의 대신 사후동의(Opt-out) 허용 3 사후동의(Opt-out)를 전면 허용하되 관리감독을 강화 13
4 증권거래 데이터 분석 주요내용 o 자본시장 IT솔루션기업은 사내에서 보유하고 있는 증권, 주식 거래 등의 데이터를 매시업하여 보다 진보된 분석 정보를 투자 수요에 공급하여 새로운 수익을 창출하려는 시스템 구축 계획 마련 - 이를 위해 개인 거래, 기업 거래 및 각종 정형, 비정형을 모두 처리 할 수 있는 데이터베이스를 구축하여 은행, 정부부처, 기관투자자, 개인 고객 등 에게 제공하여 새로운 수익을 창출하고자 함 회사 내 각 부서에 요청하여 관련된 데이터를 제공 받아 투자성향, 추전 항목 등을 도출 하는 빅데이터 분석을 시도 14
추진 중단이유 o 실데이터를 보유하고 있는 회사 내 부서에서 개인 고객의 거래 정보를 분석할 경우 고객 정보에 대해 유출 가능성을 우려하여 사업 중단 카드사 사태와 잇따른 개인정보 유출사고로 인해 개인정보보호법을 비롯해 정보통신망법, 신용정보보호법 등에 개인정보 유출시 처벌조항과 과징금 등 관련 규제를 한층 강화 o 관련 부서의 책임자들에 대한 설득이 진행 중이나 법제화를 통한 명 확한 책임 소재가 분명해질 때까지 프로젝트는 중단 개인정보 제도개선 요구사항 o 정보통신망법의 경우 개인정보 수집 이용에 대한 사전동의 위반 시 형사처벌을 적용하는 반면, 개인정보보호법의 경우 위반 정도에 따라 시정명령, 과태료, 형사처벌 등 차등 적용 - 개인정보 업무를 담당하는 임직원의 경우 형사처벌 우려로 인해 이용자에게 빈번한 동의를 요구하거나 또는 빅데이터 활용에 소극적인 입장 견지 가능 직접적 형벌을 규정하지 않고 시정조치에 대한 위반시 형벌 또는 행 정벌 부과 방식으로 전환 필요성 제기 법정손해배상 제도 도입( 정보통신망법 제32조의2)해 개인정보 침해시 보상측면이 강화되어, 균형적으로 제재규정 완화 필요성 제기 <대안검토: 형사처벌 전 시정명령제도 도입> 1 정보통신망법에 시정명령 제도 도입 2 개인정보 관련 법령 간 벌칙 수준의 형평성 제고 15
5 신용평가시스템 개선 주요내용 o 카드사는 소셜데이터를 비롯하여 거래정보, 학력에 따른 거래 정보, 정치성향 별 거래 정보 등 다양한 데이터 매시업을 통해 신용 등급을 책정하는 알고리즘 개발 추진 카드사 내부 거래 데이터는 물론 PG사와 외부 신용평가 회사 데이터와의 매시업을 통해 보다 높은 예측력을 가지는 마케팅 기법을 도입하고자 함 o 이를 위해 카드사들은 신용평가회사의 데이터를 통합시키고 개인별 성향 데이터(나이, 성별, 거래정보, 학력, SNS활동, 인종, 수입, 지출 등)를 모두 통합하여 빅데이터 기반 기술을 통해 통합 신용평가 시스템 구축 기획 SNS 빅데이터를 이용한 개인신용평가 시스템은 수많은 SNS 사용기록을 분석 후 이를 지표화하는 것으로 제도권 금융기록을 기반으로 하는 개인신용평가시스템(Credit Scoring System)과 더불어 대출신청자들의 소셜 신용도까지 접목한 새로운 신용평가 시스템으로 활용 가능 16
추진 중단이유 o 학력변수 의 이용에 대한 금융감독원의 강한 제한이 중단의 가장 큰 이유 학력변수 활용에 대해 금융감독원의 지적이 있어 SNS 및 기타 데이터 매시업 자체에 부담을 느끼고 사업을 중단 - 이로 인해 내부 데이터 분석만 이루어지고 외부 데이터 및 감사에서 지적받을 만한 데이터는 모두 분석하지 않는 쪽으로 결정 개인정보 제도개선 요구사항 o 민감정보에 대한 명확한 기준이 불명확하여 사업 추진에 애로 - 민감정보는 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로 이를 위한 처리제한 규정 존재(개인정보보호법 제23조) 개인정보보호법 제23조(민감정보의 처리 제한) 개인정보처리자는 사상 신념, 노동조합 정당의 가입 탈퇴, 정 치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 정보통신망법 제23조(개인정보의 수집 제한 등) 1 정보통신서비스 제공자는 사상, 신념, 가족 및 친인척관계, 학력( 學 歷 ) 병력( 病 歷 ), 기타 사회활동 경력 등 개인의 권리 이익이나 사생활을 뚜 렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다. - 민감정보에 대해 개인정보보호법과 정보통신망법상의 범위가 달라 처리에 혼란 <대안검토: 민감정보 범위 명확화> 1 개인정보보호법과 망법간 민감정보 정의 통일화 2 처리제한과 관련하여 민감정보 뿐만 아니라 고유식별번호나 프라이버시와 관련된 정보 등의 문제도 종합 검토 필요 17
Ⅳ 결론 및 시사점 o 주요 선진국들은 최근 기술발전 추세에 맞춰 개인정보의 보호와 활용을 함께 도모하는 방향으로 관련 법령 개정을 적극 추진 중 o 우리나라도 개인정보 주체의 권리는 강화하되 개인정보 처리자가 빅데이터와 같은 신산업 분야에서 개인정보를 투명하고 안전하게 활용할 수 있도록 지원하기 위해 제도 개선 필요 1 (제도개선) 미래부 행자부(개인정보보호법) 방통위(정보통신망법) 금융위 (신용정보법) 복지부(가칭 진료정보보호법) 등 주요 관계부처 간 협업을 통해 균형있는 개인정보보호 관련 제도 개선 방안 마련 필요 2 (기술조치) 법제도 개선과 함께 개인정보 비식별화 조치에 필요한 기술 개발 및 활용 안내서 마련, 관련 교육실시 등 병행 필요 3 (활용지원) 빅데이터 유통 활용 관련 저해요소에 대한 상담 및 법률자문*, 비식별화 등 기술적 컨설팅**을 제공하는 클리어링 기능 강화 * 개인정보 침해, 저작권 보호 침해, 불공정 거래(이용약관 등), 정산 등 빅데이터 활용 및 유통거래 관련 사항 등 ** 15년도에는 개인정보 식별, 품질수준 등 기술 진단 컨설팅 등을 제공하고 단계적 으로 검증 도구개발 및 서비스화 추진 4 (공감대 형성) 컨퍼런스 토론회 등을 통해 해외규제 비교분석, 현행 규제로 인한 불합리한 사례 공유, 홍보 등을 통해 규제개선 필요 성에 관한 공감대 형성 중요 18