[빅데이터 산업 발전방안 국회 토론회 강연자료] *일시 : 2015. 10. 27. (화) *주제 : 빅데이터산업과 개인정보보호

1. 빅데이터산업과 개인정보보호
법무법인 민후 김경환 변호사

2. - 2 -
목 차
빅데이터에 대한 규율 우리나라( )○
빅데이터에 대한 규율 해외( )○
빅데이터법안의 내용○
빅데이터법안의 몇 가지 쟁점○
적용범위ㆍ
비식별화 정보의 법적 취급ㆍ
공개정보의 개념ㆍ
비식별화의 개념ㆍ
새로운 정보의 생성ㆍ
비식별화된 정보의 제 자 제공3ㆍ
결 론○

3. - 3 -
빅데이터에 대한 규율 우리나라( )
방송통신위원회의 빅데이터 개인정보보호 가이드라인‘ ’○
가이드라인 안 이 등장2013. 12. 18. ( )○
공개된 개인정보의 동의 없는 이용 또는 제공-
최종안 발표2014. 12. 23.○
비식별화 전제-
비판○
비식별화 개념과 재식별화의 문제-
비식별화 정보의 동의 없는 처리 제공의 문제- ,
동의 없는 프로파일링 문제-

4. - 4 -
행정자치부 미래부의 안내서, (2014, 2015)○
방통위 가이드라인과 유사한 내용-
금융위원회의 금융권 빅데이터 활성화 방안‘ ’ (2015. 6. 3.)○
취지 핀테크 등의 산업 활성화- :
내용 비식별정보 에 대한 동의 없는 처리- : ‘ ’
근거 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정- :
개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 개인정보보호(
법 제 조 제 항 제 호18 2 3 )
비판 목적의 확대 적용 가능성- : ?

5. - 5 -
빅데이터에 대한 규율 해외( )
EU○
- GDPR(2012)
ㆍ가명처리 정보(pseudonymous data)에 대하여 개인정보성 인정 노력
the principles of protectionㆍ shall not apply to data rendered
anonymous in such a way that the data subject is no longer
지침도 동일함identifiable (95/46/EC )

6. - 6 -
작업반 의- (ARTICLE 29 DATA PROTECTION WORKING PARTY)
Opinion 05/2014 on Anonymisation Techniques
ㆍpseudonymisation is not a method of anonymisation. It merely
reduces the linkability of a dataset with the original identity of
a data subject, and is accordingly a useful security measure.
ㆍAnonymisation can be a result of processing personal data with
the aim of irreversibly preventing identification of the data
subject.

7. - 7 -
미국의 의‘BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES’○
‘Interim Report’ (2015. 2.)
가지 정책방향 제시- 6
Advance the Consumer Privacy Bill of Rights (“CPBR”)ㆍ
Pass National Data Breach Legislationㆍ
Ensure Data Collected on Students in Schools is used forㆍ
Educational Purposes
Expand Technical Expertise to Stop Discriminatory Impactsㆍ
(resulting from big data analytics)
Extend Privacy Protections to non-U.S. Personsㆍ
Amend the Electronic Communications Privacy Actㆍ

8. - 8 -
일본의 개정 개인정보보호법 (2015. 9. 3.)○ 출처 한은영< : , KISDI>
익명가공정보의 신설 특정 개인을 식별할 수 없도록 개인정보를 가공해- :
얻을 수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록
한 것으로서 해당 개인정보에 포함된 기술 등의 일부를 제거한) ( )記述ⅰ
것 해당 개인정보에 포함된 개인 식별 부호의 전부를 제거한 것, )ⅱ
익명가공정보 취급사업자-
익명가공정보에 대한 동의 없는 제 자 제공 허용함- 3

9. - 9 -
익명가공정보 취급사업자의 준수사항-
)ⅰ 안전관리를 위한 조치 유출방지 등의 이른바 정보보안 대책 를 행할 것( )
해당 익명가공정보에 포함된 개인정보의 항목을)ⅱ 공표할 것
제 자에게 제공할 때에는 제 자에게 제공되는 익명가공정보에 포함된) 3 3ⅲ
개인정보의 항목 및 그 제공방법을 미리 공표하고 제 자에게는 제공, 3
정보가 익명가공정보임을 명시할 것
해당 익명가공정보를 다른 정보와 조합 하거나 가공방법에 관한) ( )照合ⅳ
정보를 입수하는 등의 방법으로 재식별을 행하여서는 안됨

10. - 10 -
빅데이터법안의 내용
법명○ 빅데이터의 이용 및 산업진흥 등에 관한 법률 안 이하 빅데이터법: ( ) ( ‘
안 이라 함’ )
발의일○ : 2015. 9. 14.
발의의원○ 배덕광 의원 등 인: 10
소관○ 미래창조과학부:
의의○ 방송통신위원회의 빅데이터 개인정보보호 가이드라인: ‘ (2014. 12.
의 내용을 법률로 승격하고 산업진흥에 대한 부분을 부가함23.)’

11. - 11 -
목적 조(1 )○
빅데이터 이용활성화와 빅데이터산업 진흥-
타법과의 관계 조 조(2 , 4 )○
이 법에서 별도로 정의하지 아니한 용어는 정보통신망 이용촉진 및 정보- 「
보호 등에 관한 법률 로 정하는 바에 따른다.」
빅데이터 및 빅테이터산업에 관하여 다른 법률에 특별한 규정이 있는 경-
우를 제외하고는 이 법에서 정하는 바에 따른다.

12. - 12 -
정의 조(2 )○
공개정보 이용자 및 정당한 권한이 있는 자에 의하여 공개 대상이나 목- :
적의 제한 없이 합법적으로 일반 공중에게 공개된 부호 문자 음성 음향 및· · ·
영상 등의 정보
이용내역정보 이용자가 정보통신서비스를 이용하는 과정에서 자동으로- :
발생하는 서비스 이용기록 인터넷 접속정보 및 거래기록 등의 정보,
비식별화 데이터 값 삭제 가명처리 총계처리 범주화 데이터 마스킹- : , , , ,
등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른
정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치

13. - 13 -
빅데이터 컴퓨터 등 정보처리능력을 가진 장치를 통하여 공개정보 및 이- :
용내역정보를 수집 저장 조합 분석 등 처리하여 생성되는 정보· · ·
빅데이터산업 빅데이터의 생성 저장 이용 제공 등과 관련된 산업으로서- : · · ·
대통령령으로 정하는 산업
빅데이터서비스 빅데이터를 생성 저장하고 이를 다른 사업자가 이용하게- : · ,
하거나 제공하는 서비스

14. - 14 -
기본계획과 시행계획 조 조(5 , 6 )○
빅데이터산업진흥위원회 조(7 )○
미래부 소속 심의기구-
미래창조과학부장관이 위원장 차관이 간사위원- ,
위원은 민간 가능 부위원장은 위원 중에서 호선- ,

15. - 15 -
공개정보의 수집 이용 조 조(9 , 32 )○ ㆍ
이용자의 개인정보가 포함된 공개정보를 수집하는 경우에는 이를 비식별화-
한 이후 이용자의 동의 없이 저장 조합 분석 등 처리할 수 있다· ·
개인정보취급방침을 통한 공개 의무 미공개시 과태료 처분- ,
이용내역정보의 수집 이용 조 조(10 , 32 )○ ㆍ
개인정보가 포함된 이용내역정보를 수집하는 경우에는 이를 비식별화한 이-
후 이용자의 동의 없이 저장 조합 분석 등 처리할 수 있다· ·
개인정보취급방침을 통한 공개 의무 미공개시 과태료 처분- ,
이용자의 처리거부 가능한 방법과 절차 마련의무 미이행시 과태료 처분- ,

16. - 16 -
새로운 정보의 생성 조 조(11 , 32 )○
비식별화된 공개정보 및 이용내역정보에 대해서는 이용자의 동의 없이 이-
를 조합 분석하여 새로운 정보를 생성할 수 있다·
개인정보취급방침을 통한 공개 의무 미공개시 과태료 처분- ,
비식별화된 정보의 제 자 제공 조3 (12 )○
비식별화된 공개정보 이용내역정보 및 제 조에 따라 생성된 정보에 대- , 11
해서는 이용자의 동의 없이 제 자에게 이를 제공할 수 있다3

17. - 17 -
생성된 개인정보의 파기 및 비식별화 조 조(12 , 31 )○
제 조 제 조 또는 제 조에 따른 정보의 저장 조합 분석 등 처리 과정에- 9 · 10 11 · ·
서 개인정보가 생성되는 경우 이를 지체 없이 파기하거나 다시 비식별화
하여야 한다
제 조를 위반하여 생성된 개인정보를 지체 없이 파기하거나 다시 비식별- 13
화하지 아니한 경우는 년 이하의 징역 또는 천만원 이하의 벌금3 3

18. - 18 -
빅데이터산업의 진흥 조 조(14 ~20 )○
전문인력의 양성-
빅데이터 분석사 자격증의 발급 등-
국가시험-
기술개발 및 시범사업 등의 지원-
표준화의 촉진-
빅데이터 자산보호센터 설립의 지원-
빅데이터산업 진흥 전담기관-

19. - 19 -
빅데이터 활용의 촉진 조 조(21 ~27 )○
빅데이터의 활용 촉진을 위한 노력-
공공부문에서의 빅데이터 활용 확대-
세제지원-
중소사업자에 대한 지원-
빅데이터 자산의 임치-
지식재산권의 보호 등-
공정한 경쟁 환경 조성 등-

20. - 20 -
빅데이터법안의 몇 가지 쟁점
적용범위○
비식별화 정보의 법적 취급○
공개정보의 개념○
비식별화의 개념 ( )○ ★
새로운 정보의 생성○
비식별화된 정보의 제 자 제공3○

21. - 21 -
적용범위
빅데이터법안○
공개정보 이용내역정보로 한정함- ,
문제점○
핵심은 보유하고 있는 정보의 비식별화를 통한 처리임에도 이 부분에 대-
하여는 침묵하고 있음
이는 개인정보보호법 제 조 제 항 제 호의 목적 제한과 관련이 있음- 18 2 3
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을(
알아볼 수 없는 형태로 개인정보를 제공하는 경우)

22. - 22 -
개선제안○
방통위 가이드라인은 기존 법의 해석을 통한 정리물이라 할 수 있지만 본- ,
빅데이터법안은 법률인바 접근 방식을 달리 하여야 함
일반적인 목적의 보유 정보의 비식별화를 통한 정보 처리에 대한 규정이- ,
필요함

23. - 23 -
비식별화 정보의 법적 취급
빅데이터법안○
공개정보 이용내역정보의 비식별화 정보에 대하여 비식별정보와 동일하게- ㆍ
취급하고 있음
문제점○
비식별화정보의 재식별화 위험 때문에 비식별정보와 비식별화 정보를 동일-
시 볼 수 없음

24. - 24 -
개선제안○
식별정보와 비식별정보 사이의 중간 수준의 보호가 필요-
예컨대- 비식별화 정보에 대한 기본적 인 기술적 관리적 보호조치 필요‘ ’ ㆍ
방통위 가이드라인 비식별화 조치된 공개된 정보 및 이용내역정보를 정< >
보 처리시스템에 저장 관리하는 경우 다음 각 호의 보호조치를 취하여야·
한다.
일본 개인정보보호법 익명가공정보에 대한< > 안전관리를 위한 조치 유출방(
지 등의 이른바 정보보안 대책 를 행할 것)

25. - 25 -
공개정보의 개념
빅데이터법안 조2○
공개정보 이용자 및 정당한 권한이 있는 자에 의하여- : 공개 대상이나 목
적의 제한 없이 합법적으로 일반 공중에게 공개된 부호 문자 음성 음향 및· · ·
영상 등의 정보
문제점○
공개 대상이나 목적 제한 없는 정보가 얼마나 될 것인가- ?
등기 등록부에 공개된 개인정보와 같이 목적 제한이 있는 경우는 아예- ㆍ
이용할 수 없는가?

26. - 26 -
개선제안○
- 공중의 영역에 속하는 개인정보‘ (publicly available personal information)’
도 고려하여 범위를 확대 필요
공개 과정에서 목적 제한이 있더라도 비식별화 이후 그 공개 목적에 부합- ,
하게 이용할 수 있도록 하는 게 바람직함

27. - 27 -
비식별화의 개념
빅데이터법안 조2○
비식별화 데이터 값 삭제 가명처리 총계처리 범주화 데이터 마스킹- : , , , ,
등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른
정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치
문제점○
비식별화 와 익명화- (de-indentification) (anonymization)
가명처리 의 경우- (pseudonymization)
결합용이성의 문제-

28. - 28 -
비식별화와 익명화에 대한 여러 개념 정의○
정보화진흥원의 개인정보 비식별화 안내서- ‘ ’

29. - 29 -
작업반 의견서- EU
ㆍpseudonymisation is not a method of anonymisation. It merely
reduces the linkability of a dataset with the original identity of
a data subject, and is accordingly a useful security measure.
Anonymisation can be a result of processing personal data withㆍ
the aim of irreversibly preventing identification of the data
subject.
ㆍanonymisation is a technique applied to personal data in order
to achieve irreversible de-identification.

30. - 30 -
일본-
익명가공정보란 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻을
수 있는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것
으로서 해당 개인정보에 포함된 기술 등의 일부를 제거한 것) ( ) ,記述ⅰ
해당 개인정보에 포함된 개인 식별 부호의 전부를 제거한 것)ⅱ

31. - 31 -
미국에서의 두 용어의 정확한 차이-
ㆍ비식별화 식별자의 제거 로 인하여 원데이터에서 개인 식별이 매우 어: ‘ ’ ‘
려운 상태’ 참조(HIPAA Privacy Rule, Code of Federal Regulations, 45CFR164.514 )
익명화 개인과 식별자 사이의 링크가 비가역적으로 제거 되어서 원데: ‘ ’ㆍ
이터에서 개인 식별이 불가능한 상태 비식별화의 후속조치에 해당‘ ’ ,
이는 바람직한 상태를 의미하는 것이 아니고 의료데이터의 사용용도 또*
는 필요성에 따라 처리하는 정도를 나타내는 개념임

32. - 32 -
결합용이성의 문제 및 의 익명화 평가 기준EU○
빅데이터법안은 결합용이성 을 전제로 판단하기 때문에 원데이터와 비식별- ‘ ’
화 데이터가 같은 장소 같은 인력에 있는 경우는 비식별화나 익명화로 인,
정받을 가능성이 전혀 없는 문제점이 있음
작업반 의견서에서 제시한 가지 익명성의 기준- EU 3 robustness
데이터에서의 개인 식별성 (Single-out)ㆍ
개인과 데이터 사이의 링크 가능성 (Linkability)ㆍ
데이터의 개인 추론성 (Inference)ㆍ

33. - 33 -
개선제안○
비식별화 정도를 요구하는 것인지 익명화 수준을 요구하는 것인지 법률안-
에서 명확하게 개념정의할 필요가 있음
간접적 식별성이 유지되는 가명처리 의 경우는 달리 취급하는 것이 바람직- ‘ ’
한바 비식별화에서 제거
비식별화 또는 익명화의 기준을 법률에서 단편적으로 정하는 것은 바람직-
하지 않음
따라서 기준을 참조한 기준이나 비가역성 정도를 시행령- EU robustness
등에 위임하는 것이 바람직한바 이렇게 함으로써 재식별화 위험 도 같이‘ ’
고려할 수 있는 장점이 있음

34. - 34 -
비식별화나 익명화에 대하여 일의적인 기준보다는 정보의 유형이나 민감- <
성 정도 에 따라 기준이나 비가역성 정도를 달리하는 것도 고> robustness
려해 볼 수 있을 것임
- 더불어 결합용이성을 제거하고 이를‘ ’ 기준이나 비가역성 정도robustness 에
포섭시키는 것이 타당
예) 비식별화 데이터 값 삭제: , 가명처리 총계처리 범주화 데이터 마스, , ,
킹 등을 통하여 개인정보의 일부 또는 전부를 삭제하거나 대체함으로써
다른 정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치로
서 대통령령이 정한 기준을 충족하는 상태

35. - 35 -
새로운 정보의 생성
빅데이터법안 조 항11 1○
정보통신서비스 제공자는 비식별화된 공개정보 및 이용내역정보에 대해서-
는 이용자의 동의 없이 이를 조합 분석하여 새로운 정보를 생성할 수 있·
다.
문제점○
원칙적으로 수집이 금지되는 민감정보의 생성-

36. - 36 -
개선제안○
민감정보 생성 금지 필요-
방통위 가이드라인 특정한 개인의 사상 신념 노동조합 정당의 가입 탈< > · , · ·
퇴 정치적 견해 건강 성생활 등에 관한 정보 그 밖에 이용자의 사생활, , , ,
을 현저히 침해할 우려가 있는 정보의 생성을 목적으로 개인정보 등을 수
집 저장 조합 분석 등 처리하여서는 아니 된다 다만 이용자의 사전 동의· · · . ,
를 받거나 법률에 따라 허용된 경우에는 그러하지 아니하다.
더불어 위반시 제재 규정 필요-

37. - 37 -
비식별화된 정보의 제 자 제공3
빅데이터법안 조12○
정보통신서비스 제공자는 비식별화된 공개정보 이용내역정보 및 제 조- , 11
에 따라 생성된 정보에 대해서는 이용자의 동의 없이 제 자에게 이를 제3
공할 수 있다.
문제점○
탈법적 불법적 제공이 충분히 예상됨에도 이에 대한 제재 규정이 없음- ,ㆍ
제공받는 자나 목적을 취급방침에 공개하는 것이 바람직함-

38. - 38 -
개선제안○
탈법적 불법적 제공 유형을 열거하고 제재를 규정하는 것이 바람직- ㆍ
일본 개인정보보호법 해당 익명가공정보를 다른 정보와 조합 하거< > ( )照合
나 가공방법에 관한 정보를 입수하는 등의 방법으로 재식별을 행하여서는
안됨
제공받는 자나 목적을 취급방침에 공개함-
일본 개인정보보호법 제 자에게 제공할 때에는 제 자에게 제공되는 익< > 3 3
명가공정보에 포함된 개인정보의 항목 및 그 제공방법을 미리 공표하고,
제 자에게는 제공정보가 익명가공정보임을3 명시하게 함

39. - 39 -
결 론
No 'one size fits all'○
빅데이터는 빅데이터에 맞는 개인정보 법령이 필요한바 본 빅데이터법안은-
시의적절하다고 생각함
Generalize○
다만 본 법안이 빅데이터 일반법으로서 작용할 수 있도록 한정된 적용범-
위를 일반화하여야 할 것이고,
Harmonize○
더불어 가장 논란이 많은 비식별화 또는 익명화에 대하여는 시행령 등을-
통하되 데이터의 유형이나 민감도 등을 고려한 정밀한 사회적 합의가 있,
어야 할 것임

40. - 40 -
감사합니다.
oalmephaga@minwho.kr