2020.1.9 ~ 데이터 3법 개정
- 데이터 3법: 개인정보법, 정보통신망법, 신용정보법
- 데이터3법의 개정으로 가명정보 등의 개념 도입되었으며, 개인정보의 추가적 이용 또는 제공 할 수 있는 등 개인정보의 활용범위가 상당히 확대되었다. 이를 통해 개인정보를 활용할 수 있는 사업모델도 크게 확대되어 전자상거래를 통해 수집되는 개인정보의 중요성이 더욱 커지게 되었음.
- 일반적인 전자 상거래 기업에 대하여는 기본적으로 개인정보법이 적용되고, 그 개인신용정보의 활용 형태에 따라 신용정보법이 적용된다.
- 신용평가를 위해 고객의 정보를 사용하지 않는 일반 전자상거래 기업에 대하여 신용정보법을 적용하는 것에 관해서는, 보다 명확하게 입법으로 해결하는 것이 필요하다.
* 참고: EU의 경우, 개인정보와 신용정보를 우리 법제와 같이 명확하게 구분하지는 않고, 일반 개인정보보호 규정(GDPR)에서 전체적으로 규율하고있음. 미국의 경우엔 공공기관, 금융기관 등 각 산업별로 개별법이 규정되어있음
개인정보 수집 동의 시
1. 개인정보의 수집, 이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용(동의거부권)
5. 위 내용 변경 시 이를 알리고 동의를 받아야 함
정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. (포괄동의의 금지 원칙)
1. 마케팅 목적 이용 동의
2. 민감정보
3. 고유식별정보(주민번호, 여권번호, 운전면허번호, 외국인등록번호)
*주민번호의 경우 법령에서 허용되는 경우에만 수집 가능
4. 제3자 제공 관련 내용
위 내용들은 다른 항목들과 구분하여 동의를 받아야 한다.
특히, 전자상거래에 있어서는 미성년자 여부를 식별하는 것이 그 거래의 안정성을 담보하기위하여 필요하다.
만 14세 미만 아동의 개인정보를 처리하기위하여 동의를 받아야하는 때는 법정대리인의 동의를 받아야하며, 법정대리인의 동의를 받기위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때는, 정보주체의 요구가 있으면
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보 처리의 정지를 요구할 권리가 있다는 사실 을 정보 주체에게 알려야 한다.
단, 개인정보처리 규모가 큰 대규모 정보처리자일 경우(대형 전자상거래 기업 대부분), 서면/전화/문자전송/전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날로부터 3개월 이내에(정보주체의 요구가 없다고 하더라도) 정보주체에게 알려야 한다.
제3자 제공과 위수탁
제3자 제공 vs 위수탁
- 제3자 제공: 개인정보를 제공받는 자의 이익을 위하여 이루어지는 것
- 위탁: 제공하는자(위탁자)의 이익을 위하여 이루어지는 것
1. 제3자 제공
그룹에 속하는 회사들이 그룹 계열사들과 직원들의 개인정보 내지 고객들의 개인정보를 공유하는 경우, 동의 당시의 계열 회사에 변동이 생기는 경우(합병 등으로 새로운 회사가 되거나 새로운 회사가 추가되는 경우),
>> 동의를 새로 받는 것이 원칙이나, 당초 수집 목적과의 합리적 관련성 등을 기준으로 판단하여 합리적인 범위 내에서의 추가적인 이용도 가능하다고 해석된다.
다국적 전자상거래 기업 내지 해외 업체들과 거래가 많은 전자상거래 기업의 경우,
>> 이용자의 개인정보를 국외에 제공(조회되는 경우 포함), 처리위탁, 보관(이전)하려면 이용자의 동의를 받아야한다.
1) 일반 개인정보처리자
: 국외 '제3자 제공'의 경우에만 정보주체의 동의를 필요로 함
2) 전자상거래 기업
: '제3자 제공'의 경우, 위탁/보관의 경우 모두 정보주체의 동의를 받아야 함.
**하지만, 위탁/보관에 대하여 이전되는 개인정보의 항목, 이전되는 국가, 이전일시 및 이전방법, 이전받는자의 명칭(정보관리 책임자 연락처 포함), 이전받는 자의 이용목적 및 보유, 이용기간을 개인정보처리방침에 공개 또는 전자우편등으로 알린경우에는 별도 동의절차를 거치지아니할 수 있음
2. 위수탁
최근 광범위하게 사용되는 클라우드 서비스의 경우,
클라우드 서비스 제공자들은 별도로 해당 개인정보에 접근할 수 없는 경우가 일반적이므로
클라우드 서비스 이용자= 위탁자
클라우드 서비스 제공자= 수탁자 가 된다.
하지만 전자상거래 업체들이 보유한 빅데이터의 분석을 제3자에게 의뢰한 경우,
1) 해당 분석을 의뢰한 전자상거래 업체의 이익
2) 해당 분석기업 자체의 이익을 위해서도 사용 한다면, 제3자 제공과 위탁이 혼재된 경우이므로 각각의 별도 요건을 모두 충족하여야한다.
>> 실무적으로는 이와같이 제3자제공과 위탁이 혼합된 경우가 많음
전자상거래 기업의 경우,
계약의 이행을 위한 업무 위수탁의 경우보다는 마케팅 목적의 위수탁의 경우에 개인정보의 보호분제가 더 중요하게 대두된다.
- 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우
: 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 함
: 단, 위탁자가 해당 내용을 정보주체에게 알릴 수 없는 경우, 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 함
위탁의 경우에는 원칙적으로 정보주체의 동의를 필요로 하지않지만, 대신 위탁자는 수탁자의 정보처리에 대한 감독 의무가 있다. 수탁자의 법 위반행위에 대하여는 위탁자도 함께 책임을 진다. (관련 매출액의 3%까지 과징금 부과)
가명정보와 익명정보
*데이터3법 개정의 가장 중요한 특징
전자상거래 기업이 가지고 있는 개인정보에는 일반적인 의미에서의 개인정보 이외에도 개인신용정보가 포함되어있다.
개인신용정보의 가명화에 관하여는 신용정보법이 적용된다.
- 익명정보
: 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더이상 개인을 알아볼 수 없는 정보
익명처리된 정보는 더이상 정보주체를 식별할 수 없기때문에 이용에 있어서 개인정보법이나 신용정보법의 규제를 적용받지않는 것이 원칙
- 가명정보
: 개인정보를 가명처리함으로써 원래상태로 복원하기위한 추가정보의 사용, 결합없이는 특정 개인을 알아볼 수 없는 정보
가명정보는 1)통계작성, 2)과학적연구 및 3)공익적 기록보존 등을 위해 정보주체의 동의없이도 처리 가능
가명정보처리에 대하여 융통성을 열어준 것은 데이터 경제 및 이에 바탕을 둔 4차 산업혁명의 바탕을 마련하고자 하는 입법, 정책적 고려의 일환이라고 할 수 있다. 전자상거래기업들로서는 기존에 자신들이 보유한 데이터를 스스로 혹은 제3자의 데이터와 결합하여 활용할 수 있는 단초를 마련한 것이 되었음
하지만 가명정보라고 하더라도 다른 데이터와 결합하게 되면, 그 식별가능성이 높아질 수 있고, 특히 인공지능과 같은 데이터 분석기술이 고도화되면 더욱 그 위험성이 높아질 수 있다.
이를 방지하기위해 가명정보의 결합 및 재식별 금지에 대한 여러 제한을 두고 있다.