11/24 - 데이터 3법

법제도 이해

데이터 3법 개정(20.8)

- 개인정보보호법 (일반법) : 가명정보의 처리에 관한 특례 신설/ 개보위 중앙행정부처(장관급)으로 출범 

- 정보통신망법(특별법) 

- 신용정보법(특별법) : 내 정보는 내가 결정

>> 가명데이터 활용 

 

https://www.data.go.kr/

- 공공 데이터 포털 사이트

 

21.12 -> EU GDPR 적정성 결정 => 단, 금융 부분에 대해서는 X

- 적정성 결정 개인정보위원회에서 정책결정 

 

국가 데이터 정책위원회 

- 데이터 생산, 거래 및 활용 촉진에 관한 사항을 심의하기 위해 국무총리 소속으로 국가 데이터 정책위원회를 둔다. 

개인정보 보호법 저작권법 공공데이터 등 관한 법률은 다른 법률에 정하는 바에 따른다. 

 

인구 밀집도 > 각 통신사 로직, 위치정보 

 

 

정형 데이터: 

 

반정형 데이터: xml, json 고정된 형식이 보기 어려움

 

비정형 데이터: 영상, 음성, 텍스트 문서, 그림 및 지도 

 

개인정보 양립성 ? 데이터적으로 크게 다르지 않을 때, 처음에 동의 목적과 비슷하다면 개인정보를 동의 받았다고 간주한다. 

 

개인정보보호법 (23) 주요 개정안

- 신기술 : 개인정보 전송 요구권 신설

이동형 영상정보처리기기 규정

온오프라인 규제 일원화

- 국민 권리 강화 : 개인정보 처리 근거 정비, 가명정보 처리 환경 마련 등 

*가명정보 거부 제도 명확치 않음. 

 

마이데이터

종류
• 개인정보: 성명, 주소, 연락처 등
• 거래정보: 구매 내역, 결제 정보 등
• 이용정보: 서비스 이용 기록, 로그인 기록 등
• 행동정보: 검색 기록, 클릭 패턴 등
• 기기정보: 디바이스 정보, IP 주소 등

 

- 수신기관, 전문기관에 서비스 제공

*표준화 : 기관마다 가지고 있는 데이터 포맷이 다를수 있어서 처음부터 정해놓으면 편하다고 생각해서 도입

 

금융 마이데이터: 내 데이터를 마음대로 결정할 수 있어야 한다. 

 

*개인정보 데이터 취급 여부 ==> 가명정보가 필요한 경우 어떻게 처리할건지.. 

 

---

가명정보

- 가명정보 처리, 결합 

 

가명정보란 개인정보로 돌이키도록 하는 것은 아님, 추가정보로 유추할 수 있으면 가명정보라고 함. 

 

개인정보 (쉽게 결합, 판단)> 가명정보(추가정보(ex: 장O민)) > 익명정보(다른정보)

 

* 익명정보 > 다 조합해도 알아 낼 수 없는 정보 

* 가명정보 = 개인정보 

 

활용동의 불필요: 익명정보, 일반정보

데이터 3법 개정 후 : 가명,익명,일반 /활용동의 불필요 

 

가명정보 처리와 가명처리

- 가명처리는 가명정보를 만드는 과정

- 가명정보 처리는 가명정보를 이용, 제공 등 활용하는 행위   

 

*식별자가 아니면 식별 가능정보로 

 

가명정보 >> 다른 데이터셋을 연결해서 식별 가능

 

2022가명정보 활용 우수사례_조사

1, 사례

제주관광

- 무장애 관광 분석팀(통계청, 제주관광공사, SKT)

제주도 내 무장애 관광 현황 파악해서 정책 마련

*SKT참여

 

2

SKT 홈페이지 참조 https://privacy.sktelecom.com/view.do?ctg=policy&name=policy

 

3

1) 목적: SK텔레콤은 수집한 개인정보를 특정 개인을 알아볼 수 없도록 가명처리하여 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 활용할 수 있습니다. 

2) 가명처리 개인정보 항목:

1. 성명, 주민등록번호 및 영상 등 개인을 알아볼 수 있는 정보

2. 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

3) -

4)  SK텔레콤은 개인정보 보호법 제58조의2에 따라 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(통계 자료 등)의 경우, 고객 동의 없이 생성하여 이용 또는 제공할 수 있습니다.

제공 : 통계청- 한국철도공사 - 금융보안원 - 핀테크지원센터 - 금융결제원- 하이마트 - 롯데정보통신 - KCB - 금융보안원

 

---

가명정보 처리 가이드라인

보건데이터는 생명윤리위원회의 승인이 필요 

 

통계데이터는 가명처리의 기준이 일반 개인정보 파일과 달라 적용에 어려움이 존재

 

결합 시 결합률이 떨어짐 

- 교집합의 정보

>> 결합률을 높일 수 있는 방안이 필요 

 

결합전문기관(KISA)과 결합키관리기관

- KiSA 가 결합키를 주고 관리기관과 함께 

데이터전문기관 : 신용정보법에 따름. 

- 금융보안원, 신용정보원, 금융결제원, 국세청 + 8곳추가됨 

 

---

가명정보 결합 절차

개인정보처리방침과 내부관리계획 수립 되어있는지 

 

가명처리 >> 가명처리 목적 달성, 가명처리 방법 및 계획 설정  > 가명처리 과정에서 생성되는 추가정보는 원칙적으로 파기하거나 별도로 저장해야됨 

 

 

사전준비 > 위험성검토 > 가명처리 > 적정성검토 > 안전한관리 

             재점검      <   재검토    < 추가 가명처리

 

 

결합 

- 다른 두 개 결합된 데이터는 이용 가능하다. (제 3자와 협의된 상태에서)

 

결합키관리기관(KISA)은 결합키와 일련번호만 받는다. (결합대상정보는 받지 않음) 

*결합전문기관에 바로 보내지 않고 결합키관리기관에 결합키(해시)와 시리얼 번호를 준다. 

*매핑 테이블을 만듦 (KISA역할)

>> 이 이후에 결합전문기관은 일련번호와 결합대상정보를 받음 >>결합키를 직접받지 않음 

 

결합관리기관에서 일련번호를 요청해서 정보 추출

 

*통신사는 마이데이터 결합시에 데이터 전문기관