대한민국 정책브리핑

정책위키한눈에 보는 정책

데이터 3법

최종수정일 : 2020.03.30.

1. 데이터 3법이란?

데이터 이용을 활성화하는「개인정보 보호법」,「정보통신망 이용촉진 및 정보보호 등에 관한 법률(약칭 : 정보통신망법)」,「신용정보의 이용 및 보호에 관한 법률(약칭 : 신용정보법)」등 3가지 법률을 통칭한다.
4차 산업혁명 시대를 맞아 핵심 자원인 데이터의 이용 활성화를 통한 신산업 육성이 국가적 과제로 대두되고 있다. 특히, 신산업 육성을 위해서는 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용이 필요하다. 한편 안전한 데이터 이용을 위한 사회적 규범 정립도 시급하다. 데이터 이용에 관한 규제 혁신과 개인정보 보호 협치(거너번스) 체계 정비의 두 문제를 해결하기 위해 데이터 3법 개정안이 발의됐다. (‘18.11.15)
법률 개정안은 대통령 직속 4차산업혁명위원회 주관으로 관계부처·시민단체·산업계·법조계 등 각계 전문가가 참여한 ‘해커톤’ 회의 합의결과*(’18.2,’18.4)와 국회 ‘4차산업혁명 특별위원회’의 특별권고 사항**(‘18.5)을 반영한 입법조치다. 시민단체, 산업계, 법조계, 학계 등의 다양한 의견수렴 절차를 거쳐 마련됐다. * (해커톤 합의) 가명정보의 정의 및 활용에 관한 법적 근거 마련 등
** (국회 특별권고) 관련 법률의 중복조항 정비, 개인정보 보호 거버넌스 체계 논의 등

데이터 3법 개정안은 2020년 1월 9일 국회 본회의를 통과했다.

법률 개정안 주요내용

- 데이터 이용 활성화를 위한 가명정보 개념 도입- 관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화 하는 등 개인정보 보호 협치(거버넌스) 체계의 효율화- 데이터 활용에 따른 개인정보 처리자의 책임 강화- 모호한 ‘개인정보’ 판단 기준의 명확화

참고자료

[법령정보] 개인정보 보호법
[법령정보] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (약칭:정보통신망법 )
[법령정보] 신용정보의 이용 및 보호에 관한 법률 (약칭:신용정보법 )

제 2차 규제·제도혁신 해커톤 (2018.02.06 / 4차산업혁명위원회)
제 3차 규제·제도혁신 해커톤 (2018.04.06. / 4차산업혁명위원회)

[보도자료] 데이터 규제 혁신, 청사진이 나왔다. - 11.15일, 개인정보 보호 관련 3개 법률 개정안, 국회 발의 완료 (2018.11.21. / 행정안전부)
[정책뉴스] 데이터 3법 개정안 국회 통과…데이터 산업 육성 지원 강화 (2020.01.09. / 과학기술정보통신부) 

2. 데이터 3법 개정사항

① 개인정보 보호법 개정안

개인정보의 개념을 명확히 해서 혼선을 줄이고, 안전하게 데이터를 활용하기 위한 방법과 기준 등을 새롭게 정했다. 데이터를 기반으로 한 새로운 기술·제품·서비스의 개발, 산업 목적을 포함하는 과학연구, 시장조사, 상업 목적의 통계작성, 공익 기록보존 등을 위해서 가명정보를 이용할 수 있도록 했다.
개인정보처리자의 책임성을 강화하기 위해 각종 의무를 부과하고, 법 위반 시 과징금 도입 등 처벌도 강화해서 개인정보를 안전하게 보호할 수 있도록 제도적 장치를 마련했다.
개인정보의 오·남용과 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사·중복 규정은 「개인정보 보호법」으로 일원화했다.

개정 목적ㅇ 데이터 기반의 신산업 육성과 양질의 일자리 창출에 기여ㅇ 일원화된 개인정보 보호체계를 통해 기업과 국민의 혼란 방지와 체계적 정책 추진ㅇ EU GDPR 적정성 평가의 필수 조건인 감독기구의 독립성 확보

주요 내용ㅇ 가명정보 도입 등을 통한 데이터 활용 제고- 개인을 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입- 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용- 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에서 결합할 수 있도록 함

ㅇ 동의없이 처리할 수 있는 개인정보의 합리화- 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용·제공 허용

ㅇ 개인정보의 범위 명확화- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설- 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화

ㅇ 개인정보 보호체계 일원화- ‘개인정보보호위원회’ 국무총리 소속의 합의제 중앙행정기관으로 격상- 행정안전부와 방송통신위원회의 개인정보 보호관련 기능 전부와 금융위원회의 일반상거래 기업 조사·처분권을 개인정보보호위원회로 이관해 감독기구 일원화- 「개인정보 보호법」과 「정보통신망법」의 중복 규제를 정비해 법체계를 「개인정보 보호법」으로 일원화

[입법정보] 개인정보 보호법 일부개정법률안 제2016621호 (2018.11.15.)(국민참여입법센터)

② 정보통신망법 개정안

개정 목적ㅇ 정보통신망법 내 개인정보 관련 다른 법령과의 유사·중복조항 정비와 협치(거버넌스) 개선

주요 내용ㅇ 개인정보 보호 관련 사항은 「개인정보보호법」으로 이관ㅇ 온라인상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경- 정보통신망법에 규정된 개인정보 보호에 관한 사항을 「개인정보보호법」으로 이관- 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방송통신위원회에서 ‘개인정보보호위원회’로 변경

[입법정보] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안 제2016622호(2018.11.15.)(국민참여입법센터)

③ 신용정보법 개정안

개정 목적ㅇ 빅데이터 분석·이용의 법적 근거 명확화와 빅데이터 활용의 안전장치 강화ㅇ 「개인정보 보호법」과의 유사ㆍ중복 조항을 정비하는 등 데이터 경제의 활성화를 위한 규제 혁신ㅇ 금융분야 데이터산업으로서 신용정보 관련 산업에 관한 규제체계 선진화ㅇ 새로운 개인정보 자기결정권의 도입- 정보활용 동의 제도의 개선, 개인신용정보의 전송요구권(Right to data portability), 자동화평가(Profiling)에 대한 신용정보주체의 설명 요구권 등

주요 내용ㅇ 금융분야 빅데이터 분석ㆍ이용의 법적 근거 명확화- ‘가명정보’는 통계작성(상업적 목적 포함), 연구(산업적 목적 포함), 공익적 기록보존 목적으로 동의 없이 활용가능개념, 활용가능범위 하단 내용 참조

개념, 활용가능범위표
구분 개념 활용가능범위
개인정보 특정 개인에 관한정보, 개인을 알아볼 수 있게 하는 정보 사전적이고 구체적인 동의를 벋은 범위 內 활용 가능
가명정보 추가정보의 사용없이는 특정 개인을 알아볼 수 없게 조치한 정보 다음 목적에 동의 없이 활용 가능(EU GDPR 반영) ①통계작성(상업적 목적 포함) ②연구(산업적 연구 포함) ③공익적 기록보존 목적 등
익명정보 더 이상 개인을 알아볼 수 없게(복원 불가능할 정도로) 조치한 정보 개인정보가 아니기 때문에 제한없이 자유롭게 활용


- 데이터 결합의 법적 근거를 마련하되, 국가지정 전문기관을 통한 데이터 결합만 허용- 가명정보 활용과 결합에 대한 안전장치 및 사후통제 수단 마련

ㅇ 개인정보보호위원회 기능 강화 - 상거래 기업 및 법인의 개인 신용정보 보호를 위한 개인정보보호위원회의 법집행 기능 강화

ㅇ 「개인정보 보호법」과의 유사·중복 조항 정비

ㅇ 신용정보 관련 산업의 규제체계 선진화- 신용조회업(CB:Credit Bureau)업을 개인CB, 개인사업자CB, 기업CB 등으로 구분 및 진입규제 요건의 합리적 완화

인가단위, 최소 자본금, 금융회사 출자요건 하단 내용 참조

인가단위, 최소 자본금, 금융회사 출자요건표
구분 인가단위 최소 자본금 금융회사 출자요건
현행 신용조회업(CB업 구분X) 50억원 적용(50% 이상)
개선 개인CB 50억원 적용(50% 이상)
①비금융전문CB 5억원/20억원* 배제
②개인사업자CB 50억원 적용(50% 이상)
기업 CB 기업등급제공 20억원 적용(50% 이상)
기술신용평가 20억원 적용(50% 이상)
정보조회업 5억원 배제


- 신용조회업자의 영리목적 겸업 금지 규제 폐지에 따라 데이터 분석·가공, 컨설팅 등 다양한 겸영·부수 업무 가능- 산업의 건전성 제고를 위해 영업행위 규제 신설, 개인CB·개인사업자CB에는 최대주주 적격성 심사제도 도입

ㅇ 금융분야 마이데이터 산업 도입- 정보주체의 권리행사에 따라 본인정보 통합조회, 신용·자산관리 등 서비스를 제공하는 마이 데이터(MyData) 산업 도입- 서비스의 안전한 정보보호·보안체계 마련

ㅇ 금융분야 개인정보보호 강화- 정보활용 동의제도 개선, 정보활용등급제*도입 등 소비자가 “알고하는 동의 관행” 정착 * 정보활용 동의시 정보제공에 따른 사생활 침해위험, 소비자혜택 등을 평가해 ‘정보활용 동의등급’ 산정·제공- 기계화ㆍ자동화된 데이터 처리(Profiling)*에 대해 금융회사 등에게 설명요구·이의제기할 수 있는 프로파일링 대응권 도입* 예 : 통계모형·머신러닝에 기초한 개인신용평가, AI를 활용한 온라인 보험료 산정 결과- 본인 정보를 다른 금융회사 등으로 제공토록 요구 가능한 ‘개인신용정보 이동권’ 도입- 금융권의 정보활용ㆍ관리실태를 상시 평가하는 등 정보보호·보안 강화- 금융회사 등 개인 신용정보 유출에 대한 징벌적 손해배상금 강화(손해액의 3배에서 5배)

기대효과ㅇ 데이터가 전(全)산업의 가치창출을 좌우하는 ‘데이터 경제 시대’ 전환에 맞춰 금융산업 새로운 성장동력 확보

ㅇ EU GDPR*등 국제적 데이터 법제와의 정합성 제고로 전세계 데이터 경쟁에 참여할 수 있는 기반 마련 * General Data Protection Regulation (일반개인정보보호법)

[입법정보] 신용정보의 이용 및 보호에 관한 법률 일부개정법률안 제2016636호(2018.11.15.)(국민참여입법센터)
[보도자료]「신용정보법」 개정으로 데이터를 가장 안전하게 잘 쓰는 나라를 만들겠습니다. - 국회 정무위 법안소위 통과 (2019.11.28. / 금융위원회)
[보도자료] 데이터 경제 활성화를 위한 「신용정보법」 개정안이 ‘20.7월부터 시행됩니다. (2020.01.10. / 금융위원회) 

후속 추진 현황

데이터 3법 국회 통과에 따른 후속 조치계획 발표(2020.1.22.)
① 법률 구체화를 위한 행정입법 신속 추진
- 2020년 2월까지 시행령 개정안을 마련하고, 2020년 3월까지 고시 등 행정 규칙 개정안을 마련하며, 법 시행 시점에 분야별 가이드라인과 해설서 개정안을 발간해 가명정보의 활용 범위, 데이터 결합 방법·절차 등을 명확화
② EU GDPR 적정성 결정* 조속히 추진하도록 EU와 협력 강화
* EU가 상대국가의 개인정보 보호 수준이 EU와 유사하다는 것을 인정하는 제도, EU로부터 적정성 결정을 받은 국가의 기업은 표준계약 체결 등 개별적인 행정부담 없이 EU 주민의 개인정보를 상대국으로 이전할 수 있음③ 개인정보 보호위원회 성공적 출범 지원

과기정통부, 데이터 활용 지원 본격 추진(2020.3.29.)
- 데이터 바우처·마이데이터 실증사업 등에 2020년 730억 원 투입
- 코로나19 대응 등 각종 사회 문제 해결에도 데이터 활용 촉진

데이터 3법 시행령 개정안 입법예고(2020.3.30.)
- 안전한 데이터 결합 절차 마련, 가명정보 안전성 강화, 개인정보 관련 시행령 일원화, 금융분야 마이데이터 산업 육성 등