개인정보자기결정권과 잊혀진 헌법재판소 결정들을 위한 변명

채성희(Chae, Sunghee) 한국정보법학회 2017 정보법학 Vol.20 No.3

개인정보자기결정권은 헌법재판소 및 대법원에 의하여 공법 및 사법 영역에서 각 명시적으로 인정된 권리이다. 헌법재판소에 따르면, 개인정보자기결정권은 헌법 제10조, 헌법 제17조, 자유민주질서, 국민주권의 원리 등을 근거로 하며, 정보화 시대에 개인의 결정의 자유가 침해당할 가능성이 높아짐에 따라 개인을 보호하기 위하여 인정된 권리이다. 개인정보자기결정권은 절대적인 권리는 아니고 비례원칙과 명확성의 원칙 등 기본권 제한의 일반 원칙에 따라 제한 가능하고, 다른 기본권과의 충돌이 발생하는 경우에도, 적어도 표현의 자유와는 우열을 가릴 수 없는 권리로서, 기본권 충돌의 일반 법리의 적용을 받는다. 대법원이 파악하는 개인정보자기결정권 개념도 헌법재판소의 그것과 유사하며, 민사적으로는 인격권의 하나로 관념된다. 그 침해 판단은, 인격권 침해의 일반적 판단기준에 따라, 개인정보자기결정권과 충돌하는 권리간의 구체적 형량에 따른다. 즉, 개인정보자기결정권은 공법적으로는 헌법 제37조 제2 항의 적용을 받는 기본권의 하나이고, 사법적으로는 일반적 인격권의 하나이다. 그러나 일부 학설은 개인정보자기결정권이 공법적으로 그 제한이 좀처럼 허용되지않는 ‘소유권 유사의 강고한 권리’일 뿐 아니라, 완전히 합리적이고 어떠한 상대와도대등하게 협상할 수 있는 개인을 전제로 한다고 하면서 개인정보자기결정권 개념 자 체를 재고할 필요가 있다고 주장한다. 또 다른 학설은 개인정보자기결정권은 사법적으로 ‘절차적⋅형식적 권리’로 그 침해 자체만으로는 불법행위에 의한 손해배상책임을 발생시키지 않는 특수한 권리라고 본다. 필자의 견해에 따르면 이들 학설은 각각 개인정보에 대한 실질적 보호의 필요성을 강조한다는 점과 개인정보보호법 위반이 있다고 하여 바로 손해배상책임이 성립하지 않을 수 있다는 점을 주장한다는 점에서 타당성이 있으나, 개인정보자기결정권 개념 의 이해에 관해서는 위 헌법재판소 결정과 대법원 판례의 태도와 맞지 않는 문제점이있다고 본다. 필자가 생각하기로는 현재의 개인정보보호법을 둘러싼 여러 가지 난점들은 위 학설들이 각 주장하는 바와 같이 개인정보자기결정권 자체에 현실과 부합하지 않는 한계가 있다거나, 개인정보자기결정권이 사권으로서 일반적인 인격권과 다른 것이라는 데서 오는 것이 아니다. 오히려 개인의 보호와 대립하는 법익의 보호를비례원칙에 따라 조화한다는 개인정보자기결정권의 본래 취지를 현실적인 법령들이제대로 살리지 못하는 점이 문제이다. 그러므로 개인정보보호법의 개정에 관한 논의는 우리 헌법상의 개인정보자기결정권의 테두리 안에서 이루어져야 할 것으로 본다.

개인정보자기결정권의 헌법상 근거와 보호영역

전상현(Jeon, Sang-Hyoen) 한국법학원 2018 저스티스 Vol.- No.169

헌법재판소는 개인정보자기결정권을 헌법상 열거되지 않은 기본권의 하나로 인정한 이래로 개인정보자기결정권의 적용영역을 계속해서 확대해 오고 있다. 그러나 개인정보자기결정권의 헌법상 근거에 대해서는 구체적인 논증을 제시하지 않았고, 다른 기본권들과의 관계에서 개인정보자기결정권이 갖는 고유한 보호영역도 명확하게 확정하지 않았다. 개인정보자기결정권의 고유한 보호영역을 확정하지 않은 채 그 적용범위를 확대하는 것은 다른 기본권들의 의미와 기능을 저하시킬 뿐 아니라 기본권침해의 적정한 심사를 위해서도 바람직하지 못한 결과를 초래한다. 개인정보자기결정권은 자신의 정보에 대한 통제권이라는 점에서 우리 헌법이 이미 명시하고 있는 사생활의 비밀에 근거하는 기본권이다. 다만, 개인정보자기결정권은 두 가지 점에서 사생활의 비밀과 자유와 구별되는 독자적 기본권으로서의 의미를 갖는다. 하나는 문제된 정보 그 자체만으로는 사생활의 비밀과 자유에 대한 진지한 제한으로 인정되기 어려운 내용의 정보, 즉 이른바 중립적 정보에 대한 통제권을 기본권 차원에서 보장한다는 것이고, 다른 하나는 정보의 통제에 필요한 적극적 권리로서의 청구권 행사도 포함한다는 것이다. 개인정보자기결정권에 대해 그 헌법적 근거와 고유한 보호영역을 분명히 인식하여야만 다른 기본권들과의 관계에서 개인정보자기결정권의 적용범위를 적정하게 설정할 수 있고 기본권침해 여부에 대한 심사의 타당성도 보장할 수 있는 것이다. In order to recognize rights that are not listed in the Constitution as fundamental rights, the constitutional grounds must be clarified, and the protection areas of newly recognized rights should be clearly defined. The Constitutional Court recognized the right to control personal information as one of the fundamental rights not enumerated in the Constitution. But the Court did not provide a detailed argument on the grounds of the Constitution and did not clearly establish the inherent protection area of the right. In addition, the Court has continued to expand the scope of the right to control personal information. The right to control personal information is derived from the Clause 17(confidentiality and freedom of privacy) in the Constitution. The right to control personal information has been recognized to guarantee the confidentiality and freedom, which was not able to be fulfilled by the Clause 17 under the social circumstance named as the data-computerized era. The right to control personal information includes the right to control so-called “neutral information” and the right to access to personal information which is used by the government, and to require correction or deletion of the information. In this sense, the right to control personal information is distinguished from other fundamental rights.

형사절차상 정보자기결정권의 보호에 관한 연구

이성대(LEE, SUNGDAE) 대검찰청 2017 형사법의 신동향 Vol.0 No.56

우리 형사소송법을 비롯한 관련법은 형사절차에 관여하는 개인의 정보자기결정권을 보호하는 문제에 대한 일반적인 규율체계를 마련하지 않고 있다. 여기에는 개인정보보호에 대한 사회적ㆍ법률적 관심이 여전히 미성숙하다는 점에 그 원인이 있겠으나, 이를 감안하더라도 형사절차상 정보자기결정권의 보호에 대한 논의는 특히 부족하다. 이 논문에서는 우리 형사절차상 정보자기결정권의 보호와 관련하여 형사절차에 참여하는 피의자ㆍ피고인과 피해자 등의 정보자기결정권을 효율적으로 보호하는 방안을 모색하였다. 먼저, 형사절차상 정보자기결정권의 의미에 대하여 살펴보았다. 형사절차상 정보자기결정권의 문제는 피해자를 비롯한 소송관계인의 프라이버시를 어떻게 보호할 것인지와관련하여 논의가 시작되었지만, 최근 들어서 새롭게 논의 및 등장하고 있는 절차적 권리는개인정보의 소극적 보호를 넘어 형사절차상 자신과 관련한 정보에 대한 적극적인 통제권까지 문제되고 있음을 지적하였다. 다음으로, 현행 형사절차법상 개인정보자기결정권의 고려형태를 개관하였다. 다만 서로 대립하는 방향에서 정보자기결정권을 보유하고 행사하게 될 피의자ㆍ피고인과 범죄피해자의 형사소송법상 권리를 중심으로 하였다. 이에 따라 피의자ㆍ피고인의 정보자기결정권, 피해자의 정보자기결정권, 기타 소송관계인 등의 정보자기결정권 등에 대하여 차례로 살펴보았는데, 결론적으로 우리 형사소송법을 비롯한 관련법률들은 범죄피해자의 정보자기결정권을 비교적 충실하게 반영하고 있음을 알 수 있었다. 마지막으로, 형사절차상 정보자기결정권 보호체계의 문제점과 정보자기결정권보장의강화방안에 대하여 살펴보았다. 한국의 형사절차상 정보자기결정권 보호체계의 문제점으로는 ① 형사절차상 개인정보의 취급과 그 보호에 대한 기본이념의 부재, ② 형사절차상 개인정보 관리과정의 비체계성, ③ 개인정보자기결정권 제한기준의 불명확성, ④정보자기결정권과 기타의 절차적 권리의 충돌가능성 등을 언급하였다. 그리고 이러한 문제점을 해결하기 위한 방안으로는 ① 형사절차상 개인정보자기결정권의 보장을 위한 이념규정의 마련, ② 형사절차상 정보주체에 대한 통지제도와 단계별 정보보호의 강화,③ 형사절차상 정보자기결정권 충돌에 대한 이익형량의 기준정비, ④ 기타 개별규정의 정비를 통한 정합성확보 등을 제안하였다.

개인위치정보의 수집으로 인한 손해배상책임 - 대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결

권태상 이화여자대학교 법학연구소 2020 法學論集 Vol.24 No.4

(1) 개인정보자기결정권 침해만으로 바로 비재산적 손해에 대한 배상 책임을 인정 할 수 없다는 견해는, 다른 실체적인 권리에 대한 침해나 위험이 발생하여야 비재산 적 손해에 대한 배상 책임을 인정할 수 있다고 한다. 그런데 이러한 견해에 의하면 개 인정보자기결정권이라는 독립된 권리를 인정하는 의미가 상실될 수 있다. 개인정보가 유출된 경우 그 개인정보는 범죄에 악용될 위험성이 있다. 또한 개인정 보는 단순한 정보라도 다른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 단 순한 개인정보라 하더라도 유출되지 않게 보호할 필요가 있고, 이를 위한 권리로 개 인정보자기결정권이 인정되는 것이다. 인격권에 의하여 보호하려는 것은 사람이 자신과 관련된 사항에 대해서 가지는 자 기결정권이라고 이해할 수 있다. 개인정보자기결정권은 사람이 자신의 개인정보에 대 해서 가지는 자기결정권을 보호하는 권리이다. 초상권, 성명권 등이 실체적 권리인 것과 마찬가지로, 개인정보자기결정권 역시 실체적 권리로 보아야 할 것이다. 그리고 비재산적 손해는 그 성질상 사실적으로 파악하기 쉽지 않으므로 규범적으 로 파악되어야 한다. 개인정보자기결정권이 침해된 경우, 이로 인해 피해자가 어떠한 정신적 고통을 입었는지 또는 어떠한 정신적 이익을 상실했는지 사실적으로 증명할 것을 요구하는 것은 바람직하지 않고, 그러한 권리 침해 자체를 규범적으로 평가하여 비재산적 손해를 인정해야 할 것이다. (2) 개인위치정보는 그 자체가 바로 사생활을 의미하거나 행동의 자유와 관련될 수 있다. 그리고 개인위치정보는 개인의 생명, 신체의 안전이나 사생활과 밀접하게 관련 되는 민감성이 높은 정보이다. 또한 개인위치정보 역시 단순한 정보로 보이더라도 다 른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 설령 개인정보에 대한 자기결정권 침해만으로는 비재산적 손해의 배상책 임을 인정할 수 없다는 입장을 취하더라도, 개인위치정보에 관한 자기결정권이 침해 된 경우는 비재산적 손해의 배상책임을 인정하는 것이 바람직하다. 개인위치정보는 일반적인 개인정보에 비해 강화된 보호를 받아야 할 필요가 있기 때문이다. 대상판결은 개인위치정보가 동의 없이 수집된 경우 그로 인해 바로 손해배상책임 이 인정되지는 않는다는 입장을 취하였다. 그러나 정보주체에게 2차적으로 피해가 발 생하였는지 여부와 무관하게 개인위치정보에 관한 자기결정권 침해로 인한 비재산적 손해배상을 인정하는 것이 바람직하다. (1) If personal information is leaked, the personal information is at risk of being abused in a crime. In addition, personal information, even simple information, can have great meaning when combined with other information. The object to be protected by the personality rights is the right of self-determination. The right to self-determination of personal information is the right to protect the self-determination right that a person has about his or her personal information. Just as portrait right and name right are substantive rights, the right to self-determination of personal information should be viewed as a substantive right. Non-pecuniary loss is not easy to grasp realistically in nature, so it should be identified normatively. If the right to self-determination of personal information is violated, it will be necessary to acknowledge the non-pecuniary loss by normatively evaluating the infringement of such right itself. (2) Personal location information itself can mean privacy or can be related to freedom of action. And personal location information is highly sensitive information that is closely related to personal life, body safety, and privacy. In addition, personal location information can also have great meaning when combined with other information, even if it appears to be simple information. Therefore, personal location information needs to be more protected than general personal information. Supreme Court of Korea took the position that if personal location information was collected without consent, liability for damages would not be recognized immediately. However, it is desirable to recognize non-pecuniary loss caused by infringement of the right to self-determination concerning personal location information, regardless of whether or not secondary damage has occurred.

개인정보보호의 헌법적 기초와 과제

권건보(Kwon, Geon-Bo) 한국법학원 2014 저스티스 Vol.- No.144

본 연구에서는 헌법상 보장되는 개인정보자기결정권의 내용과 한계 등에 관한 논의를 토대로 하여 개인정보의 보호를 헌법적 과제의 하나로서 부각하고자 하였다. 이러한 관점에서 분석한 주요 내용은 다음과 같다. 개인정보보호의 문제는 헌법상 개인정보자기결정권의 보장이라는 관점에서 접근할 필요가 있다. 여기서 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로 정의될 수 있다. 개인정보자기결정권은 정보주체가 자신에 관한 정보의 수집?이용?제공 등에 대해 동의 또는 반대할 수 있는 권리를 핵심적 내용으로 하며, 경우에 따라 자신에 관한 정보에 통제력을 행사하기 위하여 자신의 개인정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 처리정지 등을 요구하는 권리로 발현될 수도 있다. 그런데 개인정보자기결정권은 무한정 보장되는 절대적 기본권은 아니다. 자신에 관한 정보라 할지라도 개인의 무제한적 지배는 허용되지 않는다. 하지만 개인정보자기결정권의 제한에도 일정한 한계가 따른다. 우선 그 제한은 반드시 법률에 의거해야 할 뿐만 아니라, 과잉금지의 원칙을 준수하여야 한다. 이는 개인정보보호에 있어서 특히 목적구속의 원칙, 최소수집의 원칙, 정확성?안전성의 원칙 등으로 구체화된다. 언론에 의한 개인정보의 취급에 있어서 개인정보자기결정권과 언론의 자유는 서로 상충되는 측면이 있다. 언론매체는 보도를 위한 경우라 하더라도 원칙적으로 정보주체의 의사에 따라 개인정보를 수집하고 처리하여야 한다. 정보원에 대한 접근은 적법한 절차에 따라 이루어져야 하고, 가능한 한 익명이나 가명으로 처리하여 보도하려는 자세를 견지하여야 한다. 공표된 개인정보가 부정확한 것일 때에는 반론보도나 정정보도를 청구할 수 있다. 다만 국민들의 알 권리를 충족시킬 필요가 크다고 인정될 때에는 그 예외가 인정될 수 있을 것이다. 개인정보자기결정권과 정보공개청구권은 독자적인 의의와 성격을 가지고 있지만, 부분적으로는 서로 중첩적으로 기능하기도 한다. 개인정보보호의 이익과 정보공개의 이익이 서로 충돌하는 경우에는 성급하게 양자택일을 할 것이 아니라 부분공개의 법리나 정보주체에 대한 통지제도 등을 통해 대안적 해결을 충분히 모색할 필요가 있다. 최근 일반법인 개인정보보호법이 제정되었으나, 기존의 개인정보보호에 관한 조항들이 개별법이 다수 산재하고 있어 규범간에 중복 내지 충돌의 문제를 야기하고 있다. 개인정보보호법의 입법취지에 부합하지 않는 조항은 특별한 규율의 필요성이 있다고 인정되지 않는 한 삭제하는 등의 입법적 정비가 필요하다. 특히 정보통신서비스를 이용한 개인정보의 처리가 사회 전반에 걸쳐 일반화되고 있는 상황을 감안할 때 정보통신망법상의 개인정보보호 관련 규정들은 개인정보보호법으로 흡수하는 것이 바람직하다고 본다. This study set out to examine the possibility to establish the right of self-control over personal information as one of the fundamental rights guaranteed by the constitution. The research efforts lead to the following conclusions; The protection of personal information issue needs to be approached from the perspective of guaranteeing the right of self-control over one"s own personal information(Personal Information Control Right) in the constitution. This right can be generally defined as individual"s constitutional right to control the circulation of information related to oneself. On the basis of the Personal Information Control Right(PICR), the data subject has the right to consent or object to the processing of personal information. S/he also has the right to access to the personal information, as well as the right to demand rectification, deletion or blocking of personal information etc. The PICR can be restricted for the sake of national security, social order, and public interest, but in its restriction should the government comply with the principle of statutory reservation and proportionality. And also the processors of personal information have to comply with purpose specification principle, collection limitation principle, principle of accuracy and security, system openness principle etc. In the cases where the PICR conflicts with the Freedom of Speech, it is desirable to respect the choice of the data subject. However, we can offer an exceptions when the need to satisfy the right to know of the public is greater. If the PICR conflicts with the Freedom of Information, It is necessary to search for alternatives through the legal principle of partial disclosure or notification system to the data subject. There are not only confusion of personal information processors but also overlapping of regulations for personal information protection because of many acts and regulations to protect personal informations, so the PIPA should be reformed to actually function as the general act vis-a-vis protecting personal information both on-line and off-line.

개인정보자기결정권 보호의 한계의 관점에서 본 「개인정보보호법」 개정의 문제점

강달천(Dal-Cheon Kang) 중앙법학회 2020 中央法學 Vol.22 No.3

관련 전문가와 이해관계자들은 「개인정보보호법」이 (구)「개인정보보호법」의 비합리적으로 경직된 동의제도와 형사처벌 규정 등 규제 체계를 그대로 유지하고 있고, 이러한 기존제도와 맞물려 가명정보 개념 도입 등 신설된 규정들도 그 기능을 다하기 어려울 것이라는 문제를 지적하고 있다. 사실 이러한 문제점들의 주요 원인의 하나는 정보주체의 ‘동의 여부를 결정하는 권리’와 ‘개인정보자기결정권’이 동일한 권리라고 잘못 이해되고 있다는 점이다. 이는 개인정보자기결정권의 보호법익을 부당하게 확대할 뿐 아니라, ‘동의’ 이외의 정당한 개인정보 이용(흐름)에 장애로 작용한다. 이에 개인정보자기결정권의 본질에 대한 종합적 검토가 필요하다. 개인정보자기결정권은 정보주체의 절대적 권리는 아니다. 헌법재판소가 개인정보자기결정권을 간단히 “자신의 개인정보를 스스로 결정할 권리”라고 정의하고 있지만, 이에는 “정보주체의 동의거부권, 열람권 등 절차적·형식적 위험규제등 통제권을 보장함으로써 궁극적으로 정보주체가 향유하는 사생활의 비밀과 자유 뿐만 아니라 인격권 및 민사적 계약상의 권리 등 실체적 권리의 총체”라는 의미와 “정보주체가 다양한 인격적, 경제적 이익 등을 향유하기 위해 자신의 개인정보 유통을 적극적으로 형성할 수 있는 권리”라는 의미가 포함되어 있다고 해석할 수 있을 것이다. 그러나 개정 후에도 고수되고 있는 고지와 동의 기반의 ‘사전동의 = 형식적 동의’ 및 ‘동의의무 위반 = 형사처벌’이라는 공식은 ‘동의 만능주의’를 더욱 견고하게 할 뿐 아니라, 개인정보의 과잉보호를 초래하여 정당한 개인정보 처리까지 규제하는 원인이 된다. 특히 빅데이터 분석을 통한 추론데이터 이용 등 전에 없던 새로운 유형의 개인정보 이용 환경은 지금까지 고수되어 오고 있는 ‘고지에 입각한 동의’라는 개인정보보호법제의 전통적 규제방식을 무력화시키고 있으며, 새로운 규제방식을 요구하고 있다. 「개인정보보호법」은 핵심은 개인정보자기결정권의 본질을 희생시키기 않으면서, 데이터 활용에 따른 개인에게 주어지는 편익뿐만 아니라 기업과 국가 전반에 미치는 편익 등을 고려한 적합하고 효과적인 규제에 있다. The right to self-determination of personal information is not an absolute right of the data subject, and legal interests of the right must not be unreasonably expanded. This right is a right recognized as a new protection system for areas outside the scope of normal privacy right protection, because it is not appropriate to apply the laws related to privacy protection to general personal information. Though the Constitutional Court defines the right to self-determination of personal information simply as “the right to decide on their own personal information”, the definition shall be construed that it means “the totality of tangible rights such as personal rights and civil contract rights, as well as the right of privacy that the data subject ultimately enjoys by guaranteeing the rights of control such as procedural and formal risk regulation such as the right to refuse consent and the right to access” and that it means furthermore “the right of information subjects to actively form their own personal information distribution in order to enjoy various personal and economic benefits.” Therefore, the Personal Information Protection Act , which specifies the right to self-determination of personal information, is a law that contains regulations for personal information protection such as legality standards and procedural requirements for personal information processing, and that, in addition, personal information is not only the object of protection, but a balance between protection and use is promoted, premising the free movement of personal information as a “medium that identifies and evaluates the information subject or as a medium that establishes social relations.” But the formulas of ‘prior consent = formal consent’ and ’violation of consent obligation = criminal punishment’ based on notice and consent, which have been adhered to even after the revision, not only strengthens the ’universalism of consent’, but also causes excessive protection of personal information, which is the cause of regulating even legitimate personal information processing. In particular, the use of new types of personal information, such as the use of inferred data through big data analysis, not only increased the risk of personal information, but also changed the nature of the risk. In addition, it is defeating the traditional regulatory method of the Personal Information Protection Act, which has been adhered to so far, “informed consent,” and is demanding a new regulatory method. While the EU and the UK still adhere to the principle of ’notice and consent’ as a core principle, on the other hand, through the collection of public opinions on the legal handling of personal information in the AI and big data environment, and publication of guidelines, notifications suitable for the new environment and it provides detailed information on cases related to the method of consent. As such, it is urgent for Korea to seek practical solutions to cope with the big data environment. In addition, although not mentioned in this paper, it is necessary to review the legal system and policy on matters to be considered in the big data environment, such as the right to veto automated decision-making such as profiling and the right to move personal information in GDPR. The Personal Information Protection Act is a law that aims to protect individual freedom and rights and ultimately realize individual dignity and values by setting matters on the processing and protection of personal information as specified in its purpose. To this end, efforts are needed to prepare an appropriate and effective regulatory method in consideration of not only the benefits given to individuals from using data, but also the benefits to companies and the country as a whole, without sacrificing the nature of the self-determination of personal information.

헌법상 개인정보자기결정권과 성범죄자 신상등록·신상공개·신상고지 제도

여경수(Yeo, Gyeongsu) 대검찰청 2017 형사법의 신동향 Vol.0 No.54

본 논문에서는 신상정보 등록, 고지와 공개제도와 관련된 성범죄자의 개인정보자기 결정권을 다루고자 한다. 우리나라에서는 성범죄에 대한 규율은 일반법인 형법 이외에도 성범죄를 규율하는 특별법이 다수 존재한다. 이들 법령에 따른 성범죄의 법정형의 강화, 화학적 약물치료나 전자장치 부착과 같은 중첩적인 보안처분의 부과, 신상정보 등록과 공개 또는 고지 제도가 있다. 이처럼 우리나라의 법제도는 성범죄자에 대한 처벌과 의무를 강화하는 데에 초점이 있다. 본 연구에서는 성범죄자의 신상정보등록과 공개, 고지제도와 관련해서 성범죄자의 개인정보자기결정권을 다룬다. 기본권을 제한하는 입법을 함에 있어서 지켜야 할 헌법적 한계인 과잉금지의 원칙 내지는 비례의 원칙을 준수해야 한다. 개인정보자기결정권의 제한과 한계에서 헌법상 비례의 원칙을 주로 다룬다. 성범죄자에 대한 신상공개제도가 범죄인의 인격을 황폐화시키고, 형벌을 통한 교화라는 근대 형법의 기본정신 훼손한다는 헌법재판소 재판관 소수의 견해를 주목할 필요가 있다. 성범죄 예방을 위해서는 성폭력범죄자에 대한 보다 적극적인 치료와 교육 또는 재활프로그램의 실시와 같은 다양한 수단을 종합적으로 활용하는 것이 얼마든지 가능하다. 성범죄자의 개인정보자기결정권을 지나치게 제한하는 것보다는 성범죄에 대한 근본적인 예방책에 치중하는 것이 더 바람직하다. 이 글을 통해서는 성범죄자의 개인정보자기결정권에 관한 제한과 헌법적 한계를 검토한다. 이번 연구를 통해서 헌법재판소가 제시한 법리를 토대로 향후 성범죄자자의 신상정보 등록과 공개, 고지 제도에 관한 입법개선 자료에 참고가 되리라 본다. This study focuses on the registration, disclosure & notification on sex offenders. In recent some special laws against sex-crimes, especially sexual violence crimes were enacted in Korea. Most of them go into effect now and the one is supposed to be in force before long, which regulates medical treatment against sex drive of sexual violence offenders. The personal information disclosure under the provision is executed through information and communication networks. This is not just a matter of stigma or exclusion against ex-offenders of sexual abuse. The disclosure is highly likely to foreclose the possibility of the offenders’ normal return to society ; may cause mental pain even to innocent family members and deprive them of their foundation for livelihood. Sex offender registration, disclosure & notification violate the rule against excessive restriction and infringes sex offenders’ right to personal liberty and self- determination over personal data. This study tries to compare and review the characteristics of the systems of sex offender registration, disclosure & notification by constitutional court.

개인정보 자기결정권과 동의 제도에 대한 고찰

권영준 전남대학교 법학연구소 2016 법학논총 Vol.36 No.1

개인정보 보호법이 제1조에서 선언하듯이, 개인정보 보호는 “개인과 존엄의 가치를 구현”하는 문제로 여겨지고 있어 마치 성역처럼 여겨질 위험성도 없지 않다. 그러나 대부분의 법적 문제들이 그러하듯 어떤 가치를 추구함에 있어서는 늘 그 하위 가치들의 세밀한 형량과 조정이 요구된다. 개인정보 보호도 예외가 아니다. 개인정보 자기결정권은 헌법 제10조와 제17조에 기초하여 인격권의 하나로 인정되는 권리로서, 개인정보 보호법의 이념적 토대를 이룬다. 개인정보 자기결정권은 전통적인 권리 분류법에 따르면 절대권 내지 지배권의 성격을 가지기 때문에 개념상 강한 권리라고 할 수 있다. 하지만, 개인정보 자기결정권 역시 이를 둘러싼 수많은 가치나 이익들의 균형 있는 고려와 세밀한 조정을 요구한다. 개인정보 자기결정권이 정보 통제권이자 표현 통제권의 속성도 가진다는 점, 개인정보 자기결정권과 같은 인격권의 보호범위는 소유권과 같은 절대권과 비교할 때 형량과 조정의 필요성이 훨씬 크다는 점, 개인정보 자기결정권의 전제가 되는 합리적 인간상은 현실적 인간상과 거리가 있다는 점 등을 고려하면 개인정보 자기결정권의 보호범위는 좀 더 균형감 있는 조정 작업을 통하여 확정해 나가야 한다. 또한 정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 원칙을 구현한 동의 제도는 개인정보 자기결정권의 이념을 가장 잘 구현하는 제도로서 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있다. 개인정보 자기결정권의 이념적 정당성을 인정하는 이상 동의 제도도 그 이념적 정당성을 인정할 수 있다. 나아가 권리 보호 방식에 관한 동의 규칙(property rule), 보상 규칙(liability rule), 양도불가능 규칙(rule of inalienability)의 틀에 비추어 검토하더라도 동의 제도의 정당성은 원칙적으로 인정된다. 하지만 동의 제도가 현실 속에서도 정당성을 획득하려면 정보주체의 정보력, 인지력, 판단력, 협상력이 충분히 담보되어야 하는데, 그 동안의 실증적인 연구결과에 따르면 현실 속에 나타난 정보주체의 모습은 그렇지 않다. 이로 인해 정보주체의 동의가 형식적으로 이루어지고 있고, 그 동의의 가공할 만한 법적 힘에 기대어 오히려 개인정보의 오남용이 이루어질 가능성도 커지고 있다. 또한 사물인터넷의 발달로 인하여 개인정보 수집과 이용에 대한 사전 동의는 부분적으로 비현실적인 것이 되고 있어 동의 제도를 기계적으로 관철하거나 확장하는 것은 과학기술의 발달에 장애가 될 우려도 있다. 이러한 점에서 동의 제도를 재검토하고 그 개선방향을 모색하여야 한다. 동의 제도의 문제점과 이와 유사한 약관 제도의 개선에 관한 논의 현황을 참조하면 동의 제도는 다음과 같은 방향으로 개선될 수 있다. 첫째, 정보제공의 단순화와 실질화를 통해 동의의 형식화를 방지하는 방향이다. 이는 정보주체가 알고 하는 동의(informed consent)를 할 가능성을 높이기 위한 것이다. 다만 정보제공의 단순화는 개인정보 보호법에서 요구하는 정보제공 기준에 배치될 위험이 있으므로 기존 정보제공과 병행하여 행할 수밖에 없을 것이다. 이러한 단순화된 정보는 텍스트(text) 요약판으로 제공할 수도 있고, 표(table)나 이미지(image)를 사용하여 제공할 수도 있다. 나아가 개인정보취급방침 등에 대한 등급제나 인증제를 통해 제3의 전문기관이 개인정보 보호 정도를 1차 ... As declared in the first Article of the Personal Information Protection Act in Korea, personal information protection purports to materialize inner value of human dignity. This poses possibility of viewing personal information protection as nearly non-negotiable issue. However, as is the case with other legal issues, pursuing certain value almost always requires subtle balancing in regard to other values. The matter of personal information protection is no exception to this. The self-determination right to personal information, which forms a normative foundation for personal information protection regime, springs from personality right which in turn grounds itself on the Article 10 and 17 of the Korean Constitution. The self-determination right to personal information, according to a typical taxonomy, is categorized as absolute or dominion right, and thus regarded as a ‘strong right’ by its nature. Yet, it is also the right that controls and curbs information and expression, and thus creates tension against other personal legal interests. In that sense, it is to be differentiated from typical absolute right such as ownership right over things. Therefore, it is important that one reasonably delineate the scope of protection for personal information, thereby striking an appropriate balance among relevant values and interests. In order to realize the idea of self-determination, the current legal regime in principle requires the consent of the information subject in collecting or processing personal information. As long as the idea of self-determination can be justified, the consent regime can also be justified. Further, from the perspective of property rule / liability rule dichotomy, the consent regime which embodies the idea of property rule is justified. However, in order for such regime to work well in practice, lack of information, judgment capacity, and bargaining power of the information subject need to be addressed. Without such basis, the consent regime only justifies exploitation of personal information of personal information controller from less-informed information subject. The empirical studies show that it is so in reality. Moreover, the consent regime needs to be revisited in the wake of “Internet of Things”, in which obtaining individual consent from information subject becomes almost impracticable. Against this backdrop, this article proposes several ways to respond to these challenges. First, it points out necessity to enhance informed decision of the information subject by simplifying and materializing information-disclosure on the meaning and the scope of personal information collection and processing. The summary of the text of a privacy policy or relevant boilerplates may be provided. Tables and images may also be used, as one can find out similar examples in other areas such as revealing energy efficiency on electronic appliance. A rating or certification of a privacy policy by competent authorities may also serve as a simple way of delivering information. Second, it addresses the possibility of relaxing current consent regime, including turning current opt-in regime to opt-out regime, while strengthening other means of personal information protection, including fortifying control right of information subject in the processing stage, utilizing technical measures such as PETs(Privacy Enhancing Technologies), and encouraging self-imposed control in the private sector. Such efforts may lead to substantial and practical protection of personal information.

데이터 주도 혁신 시대의 개인정보자기결정권 ― 정보통신망법과 EU GDPR의 동의 제도 비교를 통한 규제 개선방향을 중심으로 ―

김태오 행정법이론실무학회(行政法理論實務學會) 2018 행정법연구 Vol.- No.55

Data is a key factor in the 4th Industrial Revolution era, and new value creation possibilities and global competitiveness depend on the data use environment and capabilities. The personal-related data are also subject to protection as personal information. It is essential that, in principle, the prior consent is essential to the use of data. This consent is based on the constitutional right to informational self-determination. By the way, the right to informational self-determination tends to be absolute. Therefore, if you do not obtain prior consent, as the core of personal information protection regulations that specify the constitutional right to informational self-determination, the availability of data is effectively blocked. However, the development of big data, the Internet of Things, and artificial intelligence technologies will be limited by this prior consent regime. It is time to harmonize the use of data with the protection of personal information. This paper examines the nature and limitations of personal information self-determination rights in order to provide direction for harmony and to find out a basis to improving privacy regulations through the EU GDPR consent system. First, since informational self-determination and privacy protection are both problematic, the right to self-determination and the protection of privacy should be considered simultaneously. Therefore, on the basis of the judicial logic of informational self-determination, it is necessary to evaluate the interests of the state or the judiciary according to the jurisprudence of privacy, while respecting the self-determination of the information subject. Second, the focus of privacy regulation has been on the collection stage of personal information. At the collection stage, the purpose of the personal information collected is specified. However, it is more important how personal information is used and how it affects the subject of information than whether it is based on consent. It is necessary to shift the focus of privacy regulations on data uses and impact, and risk management approach areas. Third, the system of prior consent is not the only correct proposition, as the basic setting of personal information self-determination assumes the ability of the data subjects to make rational decisions. Rather, given these abilities, an information subject can control his or her personal information sufficiently with an opt-out basis. Depending on the circumstances and importance, data collection and utilization based on prior consent and opt-out basis should be mixed. Fourth, we need to think about privacy regulations considering the behavior of the information subjects. Data subjects are fundamentally indifferent about the purpose for which personal information is collected and used, and exercise consent in such indifference situations. However, the right of consent is the most powerful source to the business and the basis of immunity. Therefore, it is reasonable to mix the prior consent and opt-out basis, considering the consent exercise behaviour of the information subjects when sufficient information is given. 데이터는 4차 산업혁명 시대의 핵심적인 원료이다. 데이터 이용은 산업발전과 새로운 가치창출의 촉매이다. 동시에 개인과 관련성이 있는 데이터는 개인정보로서 보호의 대상이기도 하다. 데이터의 이용을 위해서는 원칙적으로 정보주체의 사전동의(opt-in)가 필수적이다. 이러한 동의제도는 헌법상 개인정보자기결정권에 근거하고 있다. 그런데 개인정보자기결정권이 절대시되는 경향이 있다. 이에 따라, 개인정보자기결정권을 구체화한 개인정보보호규제의 핵심인 사전동의를 받지 않으면 데이터의 이용가능성이 사실상 봉쇄된다. 그러나 빅데이터, 사물인터넷, 인공지능 기술 등은 사전동의 제도로 인해 큰 제약을 받을 수밖에 없다. 데이터의 이용과 개인정보보호의 조화가 필요한 시점이다. 본 논문은 이러한 조화의 방향을 제시하기 위해 개인정보자기결정권의 본질과 한계를 살펴보고, EU GDPR의 동의제도를 통해 개인정보보호규제의 개선을 위한 단초를 찾고자 하였다. 첫째, 규범조화적인 개인정보보호 규제가 필요하다. 개인정보보호는 개인정보자기결정권과 프라이버시 보호 모두가 중첩적으로 문제가 되기 때문에, 개인정보자기결정권의 법리와 프라이버시 보호 법리가 동시에 고려되어야 한다. 그러므로 개인정보자기결정권 법리에 따라 정보주체가 스스로 보호범위를 설정한 것을 존중하면서도, 프라이버시와 인격권 침해의 법리에 따라 국가나 사법부에 의한 이익형량과 평가도 여전히 필요한 상황이다. 둘째, 개인정보자기결정권에 기반한 개인정보보호 규제의 초점은 그간 개인정보의 수집단계에 있었다. 수집단계에서는 수집 대상인 개인정보의 이용 목적이 특정된다. 그러나 동의에 기초한 개인정보 이용인지 여부보다, 개인정보가 어떻게 이용되고 그 이용으로부터 정보주체에게 어떠한 영향을 미치는 지가 더 중요하다. 개인정보보호 규제의 초점을 이용 중심, 리스크관리 중심으로 전환할 필요가 있다. 셋째, 개인정보자기결정권의 기본설정에 따르면 정보주체는 합리적이고 이성적인 결정을 내릴 능력을 전제한다. 그렇다면, 사전동의 제도만이 올바른 명제는 아니다. 오히려 이러한 능력을 전제하면, 정보주체는 사후거부(opt-out)로도 충분히 자신의 개인정보를 통제할 수 있다. 데이터 이용 상황과 중요성에 따라 사전동의와 사후거부에 따른 데이터 수집ㆍ이용을 안분하면 될 것이다. 넷째, 정보주체의 행태를 고려한 개인정보보호 규제를 고민할 필요가 있다. 근본적으로 정보주체는 개인정보가 어떠한 목적으로 수집되고 이용되는지에 대해 근본적으로 무관심하며, 이러한 무관심 상황에서 동의권을 행사하고 있다. 그런데 동의권은 사업자에게 개인정보 이용의 가장 강력한 권원이자 면책의 근거이다. 따라서 충분한 정보가 주어졌을 때 정보주체의 동의권 행사 행태를 고려하여, 사전동의제와 사후거부제를 혼합하는 방안이 합리적이다.

AI시대에서의 개인정보자기결정권의 재검토 : EU 개인정보보호법을 소재로 하여

함인선(Ham In-Seon) 전남대학교 공익인권법센터 2021 인권법평론 Vol.0 No.26

21세기 이후 엄청나게 증가한 컴퓨터 처리성능과 방대한 데이터를 수집 할 수 있게 되고 다양한 머신러닝(Machine Learning ; ML)기법들을 사용하여 방대한 데이터에서 유용한 정보를 추출할 수 있게 되어, AI는 이른바 4차산업혁명의 핵심적인 위치를 차지하게 되었다. 최근의 AI 발전은 컴퓨터 처리능력의 증가, 알고리즘의 향상, 디지털 데이터의 양 및 다양성의 기하급수적인 증가, 그리고 자금조달 증가의 성과물이라고 할 수 있다. 한편, 우리 헌법재판소가 2005년 5월 이른바 지문날인사건에서 개인정보 자기결정권을 도입한 이후, 이 개념은 개인정보와 관련한 헌법상의 기본권으로서의 위치를 확고히 구축하였다. 이러한 개인정보자기결정권은 4차 산업사회가 진전됨에 따라 AI의 활용이 더욱 광범위하게 이루어지고, 그로 인해 인간의 개입이 배제된 채로 개인에게 중요한 결정이 이루어지는 상황이 발생하게 되었다. 이처럼 대규모의 데이터를 기반으로 하는 인공지능시대에는 데이터주체인 개인의 개입이 없는 상황에서 개인과 관련된 중요한 결정들이 이루어지고, 그로 인해 예상하지 못한 불이익을 받을 수 있기 때문에 이의 보호가 요청된다 할 것이다. 그러나, 다른 한편으로 현대는 데이터를 기반으로 하는 인공지능(AI), 사물인터넷(IoT), 자율주행차 및 빅데이터 분석 등을 이용한 기술이 산업 전반에 걸쳐 활용되고 발전을 주도하고 있는 데이터경제(Data Economy)의 시대이며, 여기에서 우위에 서기 위해 세계 주요국들이 이에 대한 발전전략의 수립과 투자에 집중하고 있다. 이와 같은 상황에서 개인정보(personal data)도 데이터의 하나로서 그 활용이 데이터경제의 우열을 가름하는 하나의 요인이 될 것이라고 할 수 있다. EU는 1995년에 정보보호지침을 제정한 이후, 과학기술 등의 발전에 의 한 새로운 환경에 대응하기 위해 2016년에 일반정보보호규칙(General Data Protection Regulation ; GDPR)을 제정하여 시행하고 있다. EU의 1995년 정보보호지침은 그 목적과 관련하여, “이 지침에 따라, 회원국들은 자연인들의 기본적 권리 및 자유와, 개인정보의 처리와 관련하여 특히 프라이버시권을 보호하여야 한다.”(제1조제1항)고 규정한데 대하여, 2016년 GDPR은 “이 규칙은 자연인들의 기본적 권리 및 자유와 특히 개인정보보호권을 보호한다.”(제1조제2항)고 개정하여, 프라이버시권에 대체하여 개인정보보호권을 도입하였다. EU GDPR의 이러한 전환에 대해 필자는 개인정보자기결정권(또는 프라이버시권)적 관점을 폐기하고, 새로운 ‘개인정보보호권’의 관념을 채택한 것으로 해석한다. 이러한 해석의 결과, 우선, 전자의 입장에서는 ‘개인정보=프라이버시’라는 관점에서 그것은 ‘보호’의 대상일 뿐 ‘이용’의 대상으로는 상정하기 어려우며, 일신전속적인 성격으로서 ‘자기결정권’의 대상으로 된다고 하지만, 후자의 입장에서는 ‘개인정보=개인데이터’로서 그것은 데이터의 하나로서 기본적으로 ‘유통(이용)’의 대상이 되며, 침해의 우려 등 일정한 경우에 ‘보호’를 하여야 하는 것으로서 파악된다고 할 것이다. 다음으로, 전자의 입장에서는 개인(정보주체)의 의사에 개인정보의 유통(이용)이 의존하게 되지만(opt-in), 후자의 관점에서는 ‘선 유통(이용)’을 전제로 한 ‘보호’(opt-out)에 친하기 쉬운 개념이라고 할 것이다. 이러한 EU GDPR의 기본적 관점의 전환은 EU가 데이터의 활용에 의한 인공지능(AI) 등 이른바 4차 산업혁명을 선도적으로 리드하여 EU의 신성장 동력으로 삼기 위한 시도의 하나라고 볼 수 있다. 이러한 관점에서의 접근은 우리나라의 경우에도 요청되며, 개인정보자기결정권에 대체해서 ‘개인정보보호권’의 관념을 도입하여야 할 것으로 보며, 이러한 변화된 관점에 입각하여, ‘보호’와 ‘이용’이 적정하게 조화된 개인정보 관련입법의 근본적인 재구성이 요청된다고 본다. Since the 21st century, AI has become a key player in the so-called Fourth Industrial Revolution, as it has been able to collect huge amounts of data and extract useful information from a wide range of machine learning (ML) techniques. Recent AI developments have been the result of increased computer processing power, improved algorithms, exponential growth in the amount and variety of digital data, and increased funding. Today, AI is used in many areas, such as transportation, communication, and healthcare. On the other hand, since the Constitutional Court introduced the right to self-determination of personal data in the so-called fingerprinting case in May 2005, this concept can be said to have firmly established its position as the fundamental right related to personal data. As the 4th Industrial Society progresses, the use of AI has become more widespread, and as a result, a situation has arisen in which important decisions are made to individuals without human intervention. In this age of artificial intelligence(AI) based on large-scale data, important decisions related to individuals are made in the absence of personal intervention, and this may result in unexpected disadvantages, so protection is required. However, on the other hand, in an era of data economy that is using data-based artificial intelligence (AI), Internet of Things (IoT), autonomous vehicles and big data analytics, major countries around the world are focusing on establishing and investing in development strategies of AI. In such a situation, personal data is also one of the data, and its use can be said to be a core factor that determines the superiority of the data economy. Since establishing the 1995 Data Protection Directive, the EU has enacted the General Data Protection Regulation(GDPR) in 2016 to respond to new environments due to advances in science and technology. While EU s 1995 Data Protection Directive, for its purposes, stipulated that “In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.”(Article 1(1)), 2016 GDPR revised that “This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.”(Article 1(2)) For this transformation in the EU GDPR, I interpret it as abolishing the view of the right to self-determination of personal data(or right to privacy) and adopting the concept of “right to the protection of personal data”. As a result of this interpretation, first of all, from the point of view of ‘personal data = privacy’ from the former standpoint, it is only an object of ‘protection’, but it is difficult to assume as an object of ‘use’. However, from the latter s point of view, as ‘personal information = personal data’, it is generally one of the data and is mainly the object of ‘use’, and it is understood that it should be ‘protected’ in certain cases. Next, from the former point of view, the use of personal data depends on the intention of the individual (data subject) (opt-in), but from the latter point of view, ‘protection’ is based on the premise of ‘use’. It would be an concept to be familiar with(opt-out). This transformation in the basic view of EU GDPR can be regarded as one of the EU s attempts to lead the so-called Fourth Industrial Revolution, such as artificial intelligence (AI) by the use of data, and make it the EU s new growth engine. The approach from this viewpoint is also appropriate for Korea, and the concept of ‘right to the protection of personal data’ should be introduced in place of ‘right to the selfdetermination of personal data’.