DBA도 기본적으로 알아야 하는 데이터3법

 

데이터 활용의 제도적 장치

데이터3법이라고 IT 쪽에서 DB를 다루거나, 개인정보를 다루는 보안엔지니어 혹은 개발자, 데이터 엔지니어 분들이라면 한번 쯤 들어봤을 겁니다. 4차 산업혁명 시대에 접어들면서 신산업 육성을 위해 인공지능(AI), 인터넷기반 정보통신 자원통합(클라우드), 사물인터넷(IoT) 등 신기술을 활용한 데이터 이용 필요성이 증대 됨에 따라 데이터 3법이 개정 되었습니다.

데이터 3법이란 개인정보 보호법, 정보통신망법, 신용정보법 등 세 가지 법안을 의미합니다. 개인의 정보를 보호하고, 신용 정보등을 보호하기 위한 제도적 장치입니다.

데이터 3법의 좋은 의도에도 불구하고 민감정보를 활용해 기업이 수익을 창출하는 과정에서 개인정보의 오남용이 발생할 수 있으므로 이의 철저한 방지를 위한 정책적 노력이 반드시 필요합니다.

그러기 위해서는 DB를 다루는 사람들도 데이터 3법이 무언지 알아 두어야 합니다. 그래야 어떤 데이터를 비식별화 해서 저장하고, 어떤 암호화 방식을 취하며, 어떻게 저장할지 결정을 해야, 서비스를 위한 데이터 모델링을 할 때도 모델링을 결정짓는 중요한 부분이 되기 때문입니다.

오늘은 간단하게 데이터 3법에 대해 알아보겠습니다.

 

개인정보 보호법

• 2020-01-09 개정안이 국회를 통과
• 정보 주체의 동의 없이 처리하는 범위에 대해서는 대통령령으로 정함
• 개인정보보보호위원회로 권한을 이관, 집중하여 개인정보보호체계를 일원화 함으로써 중복 규제를 완화

개념

• 개인정보 보호법은 개인의 신원을 식별할 수 있는 정보를 보호하기 위한 법률.
• 이 법률은 정보의 수집, 저장, 처리, 공유 등에 대한 규제와 지침을 제공하며, 무분별한 개인정보 유출과 불법 사용을 방지하는 데 목적이 있다.

주요 요소

• 수집 제한: 개인정보를 수집할 때는 명확한 목적이 있어야 하며, 사전 동의를 얻어야 한다.
• 접근 제어: 수집된 정보는 엄격한 보안 조치를 통해 보호되어야 한다.
• 정보 사용과 공유: 개인정보는 사전 동의 없이는 다른 목적으로 사용하거나 공유할 수 없다.
• 권리 보장: 개인은 자신의 정보에 대한 접근, 수정, 삭제 등의 권리를 가진다.

대표적인 법률

• GDPR (General Data Protection Regulation) – 유럽 연합: 개인정보의 보호와 무엇보다도 개인의 권리를 중심으로 한 법률.
• CCPA (California Consumer Privacy Act) – 미국, 캘리포니아 주: 미국 내에서도 개인정보 보호를 위한 강력한 법률 중 하나.
• PIPA (Personal Information Protection Act) – 대한민국: 개인정보의 처리 및 보호에 대한 다양한 규정을 담고 있다.

 

개인정보 (Personal Information)

개념

• 개인정보는 특정 개인을 식별할 수 있는 정보를 의미합니다. 이는 이름, 주민등록번호, 이메일 주소, 전화번호 등이 될 수 있다.

사례

• 이름: 홍길동
• 전화번호: 010-1234-1423
• 주민등록번호: 800101-1234567

 

가명정보 (Pseudonymous Information)

개념

• 가명정보는 원래의 개인정보를 다른 식별자로 대체하여 개인을 직접 식별할 수 없게 만든 정보이다. 하지만 추가 정보를 통해 원래의 개인정보와 연결할 수 있다.

사례

• 사용자 ID: user1234 (원래 이름 ‘홍길동’ 대신)
• 해시된 이메일: abc123xyz789 (원래 이메일 ‘honggildong@example.com 대신)

 

익명정보 (Anonymous Information)

개념

• 익명정보는 어떠한 방법으로도 개인을 식별할 수 없는 정보이다. 원래의 식별 정보가 완전히 제거되거나 변형되어 복원할 수 없다.

사례

• 연령대: 30대
• 성별: 남성
• 지역: 서울 (단, 이러한 정보가 다른 데이터와 결합되어 개인을 식별할 수 있는 경우에는 익명정보로 볼 수 없습니다)

	개인정보	가명정보	익명정보
이름	홍길동	홍*동 or 홍**	***
전화번호	010-1234-1423	010-****-1423	***-****-****
나이	35세	35세	30대
성별	남성	남성	남성
카드 사용액	45,000원	45,000원	45,000원

 

정보통신망법

개념

• 정보통신망법은 대한민국에서 정보와 통신 네트워크의 이용 촉진과 정보 보호에 관한 다양한 사항을 규정한 법률이다.
• 이 법은 정보통신 서비스 제공자와 이용자가 정보통신망을 건전하고 안전하게 이용할 수 있도록 다양한 규제와 지침을 제공한다.
• 온라인상 개인정보 보호관련규제와 감독 주체를 기존 방송통신위원회에서 개인정보보보호위원회로 변경

주요 내용

• 정보 수집 및 이용: 개인정보의 수집과 이용에 대한 명확한 기준을 제시하며, 이용자의 동의 없이 개인정보를 수집하거나 사용할 수 없다.
• 정보 보호: 정보통신 서비스 제공자는 이용자의 정보를 안전하게 보호하기 위한 다양한 기술적, 관리적 조치를 취해야 한다.
• 정보의 삭제: 이용자가 원할 경우, 서비스 제공자는 이용자의 개인정보를 삭제해야 하며, 일정 기간 이후에도 자동으로 삭제해야 할 의무가 있다.
• 불법 콘텐츠의 처리: 불법적이거나 부적절한 콘텐츠에 대한 신고, 삭제, 경고 등의 절차를 규정한다.
• 처벌과 벌금: 위반 시에는 벌금, 고발 등 다양한 처벌이 적용될 수 있다.

역할과 책임

• 이용자: 이용자는 정보통신망을 건전하고 안전하게 사용해야 하며, 불법 콘텐츠나 활동에 참여해서는 안 된다.
• 서비스 제공자: 서비스 제공자는 이용자의 개인정보를 적절히 보호하고, 불법 콘텐츠가 유포되지 않도록 조치를 취해야 한다.

사례

• 개인정보 유출: 만약 서비스 제공자가 정보통신망법을 위반하여 개인정보가 유출된다면, 해당 기업은 큰 벌금과 더불어 심각한 이미지 손상을 입을 수 있다.

 

신용정보법

개념

• 신용정보법은 대한민국에서 개인과 기업의 신용 정보를 수집, 관리, 이용, 보호하는 방법에 대한 규제와 지침을 제공하는 법률
• 이 법은 신용정보의 안정적인 관리와 정확한 이용을 보장하면서도 개인과 기업의 프라이버시를 보호하는 데 목적이 있다.
• 신용 정보관련 빅데이터 이용을 확대하는 동시에 안전장치도 강화하려는 의도. 산업 측면에서 매우 중요.
• 마이데이터 활용

주요 내용

• 신용정보의 수집 및 이용: 신용정보를 수집하고 이용할 때는 사전에 그 목적을 명시하고 동의를 얻어야 한다.
• 신용정보의 보호: 신용정보는 엄격한 보안 조치를 통해 보호되어야 하며, 무단으로 공개되거나 유출되어서는 안 된다.
• 신용정보의 정확성: 신용정보는 정확해야 하며, 오류가 발견될 경우 이를 즉시 수정해야 한다.
• 신용정보의 열람 및 정정: 개인이나 기업은 자신의 신용정보를 열람하거나 정정할 수 있는 권리를 가진다.
• 처벌과 벌금: 위반 시에는 고발, 벌금, 영업 정지 등의 다양한 처벌이 적용될 수 있다.

역할과 책임

• 개인 및 기업: 자신의 신용정보가 정확하고 안전하게 관리되고 있는지 확인하고, 필요한 경우 정정을 요청할 수 있다.
• 신용정보기관 및 금융기관: 신용정보를 수집, 관리, 이용하는 기관은 해당 정보를 안전하게 보호하고, 필요한 경우 이를 정확하게 업데이트해야 한다.

사례

• 신용점수 확인: 개인이나 기업은 신용정보기관을 통해 자신의 신용점수를 확인할 수 있다.
• 대출 승인/거절: 금융기관은 신용정보법에 따라 개인이나 기업의 신용정보를 확인하여 대출 승인 또는 거절을 결정한다.

 

데이터 활용의 유의점

데이터 3법으로 인해 21세기의 원유로 일컬어지는 데이터를 활용할 수 있는 근거가 마련 되었습니다.

• 가명정보 데이터 활용
• 마이데이터 산업

기업의 데이터 활용은 모두 데이터3법의 적용을 받습니다. 따라서 법의 규제 안에서 데이터 활용이 이루어져야 합니다. 개인정보에 대한 오남용은 큰 문제가 될수 있기 때문에, 가공범위, 저장범위, 기간 등을 정확히 알고 활용해야 합니다.

비식별화가 필요한 부분을 결정하고, 어떻게 식별정보를 담아둘것인가? 암호화를 단방향으로 할 것인가? 양방향이 필요한 부분인가? 를 결정하는 것이 모두 데이터3법안에서 이루어져야 합니다.

특히나 데이터 가공을 많이 하는 데이터 엔지니어 들이 많이 부딪히는 문제 입니다.

보안팀 역시 가이드를 할때 정확히 알고 가이드를 해야하는데, 데이터 3법을 정확히 숙지하지 못하는 보안 담당자들도 많이 봤습니다.

이런 부분은 각 기업의 보안 엔지니어 뿐만 아니라, 서비스를 개발하는 개발자와 데이터베이스를 다루고 설계하는 DBA들도 기본적으로 숙지하고 있어야 하는 내용입니다.