마이데이터란 무엇인가....
현재 핀테크업계에 다니는 보안, 인프라 담당자인 저는 앞으로 회사의 비즈니스를 위해 마이데이터 인증을 진행하여야 합니다. 하여 마이데이터란 무엇인가? 마이데이터는 왜 나왔을까를 간단하게 정리하여 작성하도록 하겠습니다.
최근뿐만아니라 앞으로도 개인정보나 개인데이터들이 여기저기 떠돌아 다니는 것을 우리는 쉽게 볼 수 있습니다. 그러한 데이터를 잘 활용하여 많은 기업들이 비즈니스 활동을 했었는데, 최근 기술의 변화가 생기면서 개인정보, 개인데이터 즉 개인이 자기정보결정권을 강화하여 보다 적극적으로 데이터를 활용 하기 위해 만들어졌습니다.
저는 금융서비스를 제공하는 업체에 있으므로 금융거래에 관련한 모든 것에 대한 다양한 서비스를 이용하면서 생성되는 개인데이터에 대하여 개인들이 접근하고, 저장하고, 활용할 수 있는 환경을 제공하는 서비스를 제공하는것이 마이데이터의사업이라는 배경이라고 생각합니다.
마이데이터 관련해서 개인정보 현행법 상 개인정보 범위를 말씀드리자면
개인정보보호법 제2조
"개인정보란"란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 의미
정보통신망법 제2조
"개인정보"란 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호,문자,음성,음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 의미
신용정보법 제2조
"개인신용정보"는 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 특정 신용정보 주체를 식별할 수 있는 정보, 신용정보 주체의 거래내용을 판단 할 수 있는 정보, 신용정보 주체의 신용도를 판단할 수 있는 정보, 신용정보주체의 신용거래능력을 판단할 수 있는 정보, 그 외 유사 정보로 구분
GDPR 제4조 - 이 부분은 저도 아직 잘 모르는 분야지만 관련 법이므로 작성하겠습니다.
"개인정보"는 식별되거나 식별 가능한 데이터 주체와 관련된 일체의 정보를 의미한다. 식별 가능한 데이터 주체는 이름, 식별번호, 위치데이터, 온라인 식별자 뿐 아니라 신체적, 생리학적, 정신적, 유전적, 감정적, 경제적, 문화적 또는 사회적 정체성 중 하나 이상의 요소를 참조하여 직간접적으로 식별 가능한 사람을 뜻함
하여 마이데이터를 활용하기 위하여서는 동의하는 부분이 중요하다고 볼 수 있습니다.
마이데이터를 활용해도 좋다는 승인의사를 받아야하며, 개인 중심의 개인데이터 활용에 대한 허가를 받는 것이 가장 필수적인 절차입니다.
- 개인정보보호법 등에서도 개인데이터 수집, 이용, 제공 시 개인의 동의를 기반으로 하도록 명시
- GDPR은 개정 전보다 강화된 동의조건을 제시하여 개인의 통제권과 선택권 보장
개인의 통제권을 보장하면서 개인데이터 활용의 허가서로 통용될 수 있는 동의필요
- 동일한 의미인 동의는 서비스 간 개인데이터 공유 시 상호호환 가능한 형태로 관리되어야합니다.
- 특히, 제3자가 개인데이터 활용 동의를 받은 경우 개인데이터 보유자는 개인 본인의 제시한 동의가 맞는지 확인 할 수 있어야 제3자의 개인데이터 접근을 허용받아야 데이터를 활용 할 수 있습니다.
동의란?
정보주체가 진술하거나 적극적인 행동을 통해 자신의 개인정보처리에 대한 긍정적인 의사를 표현하는 것
유효한 동의의 조건
- 자유롭게 부여된 동의
정보주체에게 강압이나 불이익에 대한 두려움이 없는 상태로 동의에 대한 선택권이 주어져야하며, 컨트롤러는 정보주체가 불이익 없이 동의를 거부하거나 철회할 수 있다는 것을 입증하여야함
- 개별적으로 특정한 동의
개인정보 처리 목적을 사전에 명확하게 정의하고, 여러 개의 목적에 대해 각각에 대한 정보를 분리하여 제공한 뒤 개별적으로 동의를 받아야함
- 사전 정보가 제공된 동의
정보주체의 의사결정에 도움을 줄 수 있도록 동의의 의미, 영향에 대한 정보를 제공해야 하며, 정보제공 시 일반인이 이해할 수 있고 누구나 쉽게 접근 가능한 형태로 제시하여야 함.
- 정보주체의 명확한 의사표시
동의는 개인정보 처리 전 획득되어야 하며 다음과같은 명확한 긍정적인 행위가 있어야 함
(불인정 사례: 사전에 선택된 체크박스 제시, 암묵적 동의, 이용약관에 포괄적 수용 의사표시 등)
명시적 동의
- 정보주체가 서면진술, 동의 의사가 표명된 이메일 발송, 정보주체의 서명이 포함된 문서의 스캔본업로드, 전자서명, 동의에 대한 2단계 검증을 통해 명확한 의사 표시를 하는 것
- 민감정보처리, 역외 이전 시 특정 상황에 대한 예외조항, 프로파일링을 포함한 자동화된 의사결정 등에 해당하는 경우명시적 동의 필요
동의철회
컨트롤러는 정보주체가 동의를 획득한 행위와 동일한 방식으로 언제든지 동의를 철회할 수 있어야 함.
참고문헌
댓글
댓글 쓰기