GDPR(General Data Protection Regulation)
- GDPR은 EU에서 2018.5.25에 시행한 "EU 국민들을 위한 개인정보 보호규정" 이다.
- GDPR은 개인정보 보호 뿐만 아니라 빅데이터 산업 활성화를 위한 법제이기도 하다.
- EU는 개인정보 처리를 위한 동의방식으로 옵트인(Opt-in) 방식을 채택하고 있다.(우리나라도 EU와 같은 옵트인 방식)
*옵트인(Opt-in)방식
- 정보주체에게 개인정보 수집·이용·제공에 대한 동의를 먼저 받은 후에 개인정보를 처리할 수 있는 방식
*옵트아웃(Opt-out)방식
- 정보주체의 동의를 받지 않고 개인정보를 수집·이용한 후, 당사자가 거부 의사를 밝히면 개인정보 활용을 중지하는 방식
- 미국은 개인정보 처리를 위한 동의방식으로 옵트아웃을 채택하고 있어 개인정보 데이터를 활용한 사업이 비교적 자유로운 반면 EU는 옵트인방식으로 법률적 규제가 개인정보 데이터 사업의 장벽이 되었음.
- 이를 해소하기 위해 EU에서 "개인정보 보호", "빅데이터 산업 활성화"를 위한 새로운 개인정보 처리 규정를 발표한 것이 GDPR임.
GDPR 주요 내용
데이터 활용
GDPR은 개인정보의 식별가능성을 기준으로 데이터를 분류함으로써 데이터의 활용방안을 마련했다.
- 익명정보 : 개인을 식별할 수 없는 익명정보는 별도의 절차없이 자유롭게 활용
- 가명처리정보 : 개인을 식별할 수 있으나 식별을 위해서는 별도의 데이터를 요구하는 특성을 지닌 것
정보보호 강화
- 정보주체가 새로운 환경변화에 능동적으로 대응할 수 있도록 새로운 개인정보 자기결정권을 강화
- 주요 내용으로 1)프로파일링 대응권, 2)개인정보 이동권, 3)삭제권이 있음
1. 프로파일링 대응권
- 개인정보 활용 사업체가 개인정보 데이터를 활용하여 개인신용평가, 성향평가를 하는 경우 정보주체가 개인정보 처리 과정에 대해 이의, 설명을 요구할 수 있는 권리로 데이터 활용 결과 도출 절차를 확인할 수 있음.
(우리나라에선 GDPR의 프로파일링 대응권을 신용정보법개정을 통해 도입할 예정임)
2. 개인정보 이동권
- 정보주체인 개인이 자신의 개인정보를 금융회사, 핀테크사, 제3자 기업으로 금융정보를 이동시킬 수 있는 권리
(우리나라 마이데이터 산업의 핵심 권리)
3. 삭제권(=잊혀질 권리)
- 개인정보 활용 사업체에게 정보주체가 개인정보 삭제를 요구할 수 있는 권리
(우리나라 신용정보법개정에 도입될 예정)
데이터 보호주의
- GDPR은 EU내 사업장 운영 또는 EU 거주자에게 서비스를 제공하는 정보처리자에 적용됨.
- 적정성 평가 : 다른 국가의 정보처리자가 EU 수준으로 개인정보를 보호하는 지 평가
- EU 역내 개인정보이동은 촉진될 것으로 예상되나, EU 열외 이전은 제약.
- EU 이외의 국가가 EU 거주자에게 서비스를 제공하는 사업을 운영하는 경우 사업체 단위로 EU에게 적정성 평가를 받아야 사업체를 운영할 수 있음. 혹은, 해당 사업체 국가가 EU GDPR과 동일한 수준의 개인정보보호 법률을 갖추었다면 EU가 아닌 해당 국가의 승인으로도 사업 운영이 가능함.
- 그러나, 우리나라는 "독립성을 갖춘 통일된 감독기구가 없다는 것"을 이유로 두 차례 EU 집행위원회의 적정성 평가에서 탈락함. (일손 놓은 국회…빅데이터산업 육성은 '딴 나라'일)
Reference
1. [핀테크2018-금융위원회] 2019 디지털 금융전략 - 마이데이터
2. KISA_우리_기업을_위한_EU_일반_개인정보보호법(GDPR)_가이드북.pdf
3. 행안부_GDPR_리플렛.pdf
'금융 > 마이데이터(Mydata)' 카테고리의 다른 글
마이데이터 오픈 API (0) | 2019.06.19 |
---|---|
마이데이터 산업 활성화 (0) | 2019.05.07 |
PSD2란? (0) | 2019.05.07 |