1.
지난 한 주 금융위원회가 내놓은 보도자료가 어마어마합니다. 무척이나 중요한 내용들이 많습니다. 그 중 핀테크와 관련한 규제완화가 큰 몫을 차지합니다. 그동안 시장이 요구했던 것들입니다.
먼저 클라우드와 관련한 금융권도 클라우드를 활용입니다.
□ 클라우드 이용 활성화를 위한 관련 규제 개선 (규정 §7의2)
ㅇ (현행) 정보보호의 중요성과 상관없이 금융회사의 모든 시스템에 대해 물리적 망분리 등 높은 수준의 보안 규제를 일률적으로 적용함에 따라,
– 고객정보 보호와 무관한 시스템*도 클라우드 이용이 어려운 과도한 측면이 있었음
* 예) 상품개발, 리스크관리, 경영지원 등 고객정보를 처리하지 않는 시스템→ (개선) 개인신용정보 등 고객정보 처리시스템을 제외한 전산시스템에 대해서는 금융회사가 자율적으로 클라우드를 이용할 수 있도록 개선
– 클라우드 이용 시스템에 대해서는 클라우드 활용을 어렵게 하는 물리적 망분리 등 일부 규제도 적용을 제외
신설하는 제7조의 2는 아래와 같습니다.
제7조의2(비중요 정보처리시스템 지정) ① 금융회사 또는 전자금융업자는 자체적으로 수립한 정보자산 중요도 평가기준에 따라 전자금융거래의 안전성 및 신뢰성에 미치는 영향이 현저히 낮은 정보처리시스템을 비중요 정보처리시스템으로 지정할 수 있다. 다만, 개인의 고유식별정보 또는 「신용정보의 이용 및 보호에 관한 법률」에 따른 개인신용정보를 처리하는 정보처리시스템은 비중요 정보처리시스템으로 지정할 수 없다.
② 금융회사 또는 전자금융업자는 제1항에 따라 비중요 정보처리시스템 지정시 제8조의2에 따른 정보보호위원회의 심의ㆍ의결을 거쳐야 한다.
③ 금융회사 또는 전자금융업자는 제1항에 따라 비중요 정보처리시스템을 지정한 날로부터 7일 이내에 금융감독원장이 정하는 양식에 따라 정보자산 중요도 평가기준, 지정 결과, 관리 방안 등을 포함한 보고서를 금융감독원에 제출하여야 한다.
④ 금융감독원장은 제3항에 따라 제출한 보고서를 검토한 결과, 평가 기준, 지정 결과, 관리 방안 등이 적합하지 않다고 판단되는 경우에는 금융회사 또는 전자금융업자에 대하여 개선ㆍ보완을 요구할 수 있다.
⑤ 제1항의 비중요 정보처리시스템만 위치한 전산실에 대해서는 제11조제11호 및 제12호, 제15조제1항제5호를 적용하지 아니한다.
반쪽의 클라우드, 고객과 무관한 금융시스템만의 클라우드로 얼마만큼 비용을 절감할 수 있을지 의문입니다.
미래에셋대우 스마트금융부 오인대 파트장은 “업무적 활용 범위가 넓어질 경우 클라우드에서 정보를 처리하는 과정에서 분리하지 못한 고객정보가 딸려 올라가는 경우가 있을 수 있고, 사내 기밀정보의 유출 가능성도 있어 실제 활용도가 크지 않을 수 있다”며 “각 금융기관 내부에서만 활용할 수 있도록 폐쇄형 클라우드를 사용한다고 해도 이 역시 완벽한 보안은 어려운데다 고객정보랑 엮여야만 업무 시너지가 높아지는 경우가 많기 때문에 이를 분리할 경우 실효성이 다소 낮아질 수 있다”고 지적했다.
또 다른 증권사 관계자 역시 “단순 외부 해킹만이 아니라 클라우드 시스템을 제공하는 측에서의 정보 접근이나, 개인적인 실수 등의 문제가 발생할 수 있다는 점에서 정보 유출의 위험은 항상 잔존한다”고 말했다.
클라우드 서비스 활용…증권사 변동시장 대응력 키운다중에서
2.
다음은 개인정보 비식별조치 가이드라인입니다. 빅데이타와 관련한 사항입니다. 우선 비식별조치가 무엇인지 알아보죠. 한국정보화진흥원이 내놓은 ‘개인정보 비식별화’용 소잭자에 담긴 설명입니다.
정보의 일부 또는 전부를 삭제·대체 하거나 다른 정보와 쉽게 결합하지 못하도록 하여 특정 개인을 알아볼 수 없도록 하는 일련의 조치
그리고 한국정보화진흥원 빅데이터전략센터가 발행한 ‘빅데이터 활용을 위한 개인정보 비식별화 기술 활용 안내서 (Ver 1.0)’입니다. 이상이 이번에 정부가 내놓은 ‘가이드라인’의 전제라고 할 수 있습니다.
‘개인정보 비식별화 가이드라인’은 개인정보를 비식별화조치를 한 후 활용할 때 프라이버시를 보장할 수 있는 조치를 확인할 수 있는 절차를 규정하고 있습니다.
3.
개인정보 비식별화는 프라이버시와 관련하여 무척이나 중요한 이슈입니다. 때문에 반대도 명확합니다.
개인정보 비식별화하면 괜찮다? 교차하면 다 나온다 도 반대를 대변한 기사이고 아래의 성명도 마찬가지입니다.
빅데이터 시대 소비자 권리 침해를 우려한다
– 홈플러스 개인정보 불법유상판매에 대응하는 시민/소비자단체,
행자부 「개인정보 비식별 조치 가이드라인」에 반대성명 발표 –1. 오늘(6/30) 행정자치부가 「개인정보 비식별 조치 가이드라인」을 발표하였다. 빅데이터 시대를 맞아 “비식별 정보는 추가 동의 없이 활용 가능”하게 한다는 요지이다. 홈플러스의 개인정보 판매 사건에 대응하고 있는 우리 단체들은 정부의 비식별 가이드라인이 빅데이터 시대 소비자 권리를 오히려 침해할 것을 우려한다.
2. 홈플러스 사건은 2천 4백만 건에 달하는 개인정보를 소비자 모르게 건당 1천9백8십원 혹은 2천8백원을 받고 보험사에 판매하여 무려 231억원의 부당이득을 올린 사건이다. 우리 단체들은 홈플러스의 개인정보 판매가 소비자의 권리를 중대하게 침해하였다고 보고 공익소송을 제기한 바 있다. 그러나 지난 1월 법원은 홈플러스가 소비자에게 유상판매 사실을 알릴 의무가 없다며 무죄판결을 내렸다.
3. 우리 소비자들의 개인정보가 처한 상황은 매우 위태롭다. 국민의 개인정보를 탐내는 곳이 국내 기업들만이 아니다. 다국적 빅데이터기업 IMS헬스가 병원, 약국 등지에서 우리 국민의 개인정보 4천4백만 건을 몰래 사들여 빅데이터 처리 후 제약회사에 재판매하여 70억원의 부당이득을 올린 사건도 발생하였다.
4. 현행 개인정보보호법은 소비자를 보호하기에 매우 부족하다. 익명화된 개인정보도 기술 발전에 따라서 재식별이 가능해질 여지가 있기 때문에 각국은 특별한 주의를 당부하는 것이 현실이다. 특히 우리나라는 인터넷, 스마트폰, 금융거래 등 모든 영역에서 실명 기반으로 개인정보가 축적되어 있기 때문에 아무리 강력한 익명화라도 재식별화의 가능성이 다른 어느 나라보다 높다. 통신·금융·의료 기업들은 거의 전국민 주민등록번호를 보유하고 있어 주민등록번호가 없는 다른나라에 비해 개인정보 오남용에 따른 국민적 피해가 매우 커질 것이다.
5. 그런데 국민의 개인정보를 보호하기 위해 대책을 마련해야 할 정부가 오히려 빅데이터 산업 활성화의 명목으로 소비자 개인정보를 위험에 빠뜨리는 내용의 가이드라인을 발표한 것이다.
6. 우리는 “비식별 조치를 하면 개인정보가 아닌 것으로 추정”해 주겠다고 장담하는 정부의 가이드라인에 반대한다. 기업은 소비자의 개인정보를 수집하고 이용하고 심지어 판매하는 데 대하여 명확하게 소비자의 동의를 받아야만 한다. 만약 소비자 개인정보를 동의없이 사용하려면 재식별화가 불가능한 ‘익명화’가 되어야 한다. 소비자 권리는 모든 분야에서 중요하고 빅데이터 시대에도 개인정보에 대한 소비자의 권리는 반드시 보장되어야 함을 정부는 명심해야 할 것이다.
2016년 6월 30일
경실련 시민권익센터, 진보네트워크센터, 참여연대 민생희망본부,
소비자교육중앙회, 한국여성소비자연합, 한국YWCA연합회, 한국소비자연맹, 소비자시민모임, 한국소비자교육원, 한국YMCA전국연맹, 녹색소비자연대, 소비자공익네트워크, 한국부인회총본부
빅데이터 시대 소비자 권리 침해를 우려한다중에서
빅데이타의 시대, 데이타의 산업화와 개인의 프라이버시사이에서 어떤 정책적 태도를 취할지 쉽지 않습니다. 이런 고민이 담긴 보고서가 있습니다. 개인정보보호위원회가 발주한 연구과제 보고서인 개인정보의 비식별화 처리가 개인정보보호에 미치는 영향에 관한 연구입니다. 결론중 일부입니다. 이런 취지가 이번 가이드라인에 반영된 듯 합니다.
개인정보를 토대로 한 빅데이터 분석 등 여러 가지 형태의 정보 수집 및 활용은 중요하고 불가피한 시대적 흐름이다. 무분별한 개인정보의 수집과 분석은 당연히 제어되어야 한다. 다른 한편, 비식별화의 기준을 비현실적으로 까다롭게 하여 정보의 유용한 활용 가능성을 차단하는 것은 시대의 흐름에 역행하는 결과를 가져올 것이다. 비식별화의 기준을 합리적으로 설정하고 적절한 규범적 통제를 하는 것은, 개인정보를 보호하는 동시에 유용한 정보의 활용가능성을 열어주는 유익한 기능을 할 것이다.
