(사)정보화사회실천연합

4차위의 개인정보의 활용과 보호에 대한 3차 해커톤 내용

0 1,389

4차위 위원장은 4차 산업혁명 시대의 새로운 정책결정 모델로서 해커톤은 현장과 연동되고 이해관계자가 능동적으로 참여하는 사회적 합의를 매우 중시한다고 강조했다. 위원장은 그간 두 차례의 해커톤을 통해 작은 신뢰의 서클이 형성되고, 사회적 합의를 이루는 새로운 거버넌스 모델로 자리매김하고 있다고 강조하면서 사회 전반에 이러한 신뢰모델이 확산되기를 기대했다고 하였서나 이는 새로운 정책결정모델로는 한계를 보이고 있는 것에 대하여 다음과 같이 개선방안을 제시한다.

  • 2차 해커톤의 발표 내용보다는 논의과정의 내용이 국민들에게 공개되었으나 이를 바라보는 국민의 눈높이에는 여전히 부족함을 보이고 있다.
  • 사회적 합의를 이루는데는 무었보다 신뢰가 전제되어야한다. 신뢰는 개방성, 투명성, 공정성을 갖추어야하며, 이 원칙은 참여자를 구성하는 단계에서 부터 지켜지고, 논의의 결과 뿐만 아니라 논의 과정에서 개진된 의견들 또한 충분히 공개되어야 한다.

 

개인정보의 활용과 보호 내용

1. 가명정보의 활용과 보호

가. 가명정보의 활용 목적과 범위

ㅇ 가명정보는 ① 공익을 위한 기록 보존의 목적, ② [학술 연구 / 학술 및 연구]* 목적, ③ 통계 목적을 위하여 당초 수집 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다고 합의하였다.

* [학술 연구 / 학술 및 연구] : 연구의 범위에 관하여 이견이 있어 참석자 일부는 ‘학술 연구’라는 표현을, 다른 일부는 ‘학술 및 연구’라는 표현을 지지하였다.

ㅇ 그리고 이를 위해서는 가명처리를 포함한 기술적, 관리적 조치 등 안전조치가 취해져야 한다는 점에 동의하였다.

ㅇ 위 [학술 연구 / 학술 및 연구] 목적에는 산업적 연구 목적이 포함될 수 있고, 통계 목적에는 상업적 목적이 포함될 수 있다는 점에 동의하였다.

나. 최초 수집목적과 양립되는 추가적인 개인정보 처리

ㅇ 정부는 유럽연합 일반개인정보보호법(EU GDPR) 등 해외 입법례를 참조하여, 가명처리 여부 등 여러 사정을 고려하여 개인정보를 당초 수집한 목적과 상충되지 아니하는 목적으로 활용할 수 있도록 하는 제도를 마련한다는 점에 합의하였다.

2. 익명처리의 절차, 기준, 평가, 등

ㅇ 정부는 익명처리의 적정성을 평가하기 위한 절차와 기준을 마련할 수 있고, 이러한 절차와 기준은 기술적 중립성에 입각한 것이어야 하며, 강제적인 것이거나 최종적인 것으로 해석되어서는 아니된다고 합의하였다.

ㅇ 그리고, 정부는 적정성 평가를 위해 정보의 속성과 산업별 특성을 반영하여 신뢰할 수 있는 제3의 기관(Trusted Third Party)*이나 전문가를 활용하는 등 다양한 제도적 장치를 마련할 수 있도록 하였다.

* 신뢰할 수 있는 제3의 기관은 현행 비식별조치 가이드라인 하의 전문기관을 지칭하는 것은 아니다.

3. 데이터 결합

ㅇ 데이터 결합은 사회적 후생을 증진하는 중요한 역할을 할 수 있으나 그 과정에서 발생할 수 있는 개인정보 침해의 위험성도 간과되어서는 안된다고 합의하였다.

ㅇ 그리고 정부는 데이터 결합의 법적 구성방식들을 구체화하고 개인정보 침해 위험에 비례하여 사전적 또는 사후적 통제방안을 마련하도록 노력해야 한다는 점에 동의하였다.

ㅇ 데이터 결합과 관련한 구체적인 방안에 대해서는 시민단체와 산업계가  서로 다른 의견을 제시하여 합의에 이르지 못하였다.(붙임 참조)

4. 개인정보 보호 체계

ㅇ 정보통신망법, 신용정보법, 위치정보법은 각 부문에서 고유하게 규정할 필요가 있는 사항을 제외하고, 개인정보 보호와 관련한 중복, 유사 조항에 대해서는 통일적 규율이 필요하다는 점을 합의하였다.

ㅇ 그리고, 개인정보 보호와 활용을 위한 거버넌스 개선방안이 마련되어야 한다는 점에 동의하였다.

<붙임 : 데이터 결합에 대한 시민단체 측과 산업계 측의 입장>

(시민단체 측 의견)

ㅇ 세계적으로 민간 부문이 보유하고 있는 개인정보의 연계를 위한 제도를 갖추고 있는 경우는 거의 없으며, 대부분의 국가에서 행정 데이터 및 설문조사 데이터에 대한 연계를 보건의료 분야의 전문기관, 혹은 국가 통계청에 의해 제한적으로 수행하고 있는 것을 고려할 때, 현행 개인정보보호체계 하에서는 민간 기업이 보유한 개인정보의 연계, 결합은 허용될 수 없다.

o 통계청 혹은 관련 전문기관이, 개인정보 침해 위협에 비해 공익적 가치가 큰 연구 및 통계 목적에 한하여, 공공기관이 보유한 데이터의 연계, 결합을 관련 법률 및 UNECE(유엔유럽경제위원회) 원칙*에서 규정한 엄격한 거버넌스 체제 하에서 수행할 수 있다.

o 개인정보처리자가 정보주체의 동의를 획득한 경우, 혹은 익명정보 사이의 결합은 가능하다.

* UNECE(유엔유럽경제위원회) 원칙 : 통계 및 관련 연구목적으로 수행되는 데이터 통합의 기밀성 관련 원칙과 가이드라인(‘ 09년)

 

(산업계 측 의견)

o 새로운 가치를 창출하기 위해 데이터 결합 제도를 도입하되, 인가받은 TTP(Trusted Third Party)를 통해 데이터 결합을 수행하거나 엄격한 안전조치 하에 자체적으로 수행할 수 있다.

– TTP에 대해 법적 지위를 부여하여 TTP에 데이터를 제공하는 것은 데이터의 제3자 제공이 아님을 명확히 하고, TTP는 결합 키 및 가명정보를 다룰 수 있도록 한다.

– TTP는 데이터 결합과 결합된 데이터에 대한 가명처리 및 가명처리의 적정성 평가의 역할을 한다.

– TTP에 대하여 정부의 상시감독 제도를 도입함으로써 결합과정에서의 관리적 투명성을 확보한다.

o TTP에서 결합된 데이터는 가명처리 및 가명처리의 적정성 평가를 거쳐야만 결합을 요청한 정보처리자에게 제공될 수 있다.

ㅇ 결합된 데이터는 안전조치가 취해져야 하며 이를 위한 관리절차를 마련하여 운영해야 한다.

– 결합 데이터는 기존 고객정보가 있는 레거시 시스템과 분리 보관하고, 접근 권한을 별도로 부여하여야 한다.

– 결합 데이터에 대해서는 어떤 형태로도 재식별 행위를 해서는 안된다.

– 결합 데이터는 당초 결합목적 내에서만 활용 가능하고, 활용 목적 달성 시 폐기해야 한다.

 


붙임자료

(보도자료)_[4.6 조간] 제3차 규제제도혁신 해커톤 개최 결과_최종

글을 남겨주세요.

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

이 웹 사이트에서는 사용자 환경을 개선하기 위해 쿠키를 사용합니다. 우리는 당신이 괜찮다고 생각하겠지만, 당신이 원한다면 거절할 수 있습니다. 동의 더 읽기