온라인에서의 아동의 개인정보보호에 관한 연구

최혜선(CHOI, Hye Seon) 유럽헌법학회 2013 유럽헌법연구 Vol.13 No.-

최근 미국 및 유럽연합에서는 온라인상의 아동 프라이버시의 보호에 관한 논의가 활발해지고 있다. 미국에서는 1998년 아동온라인프라이버시보호법(Children`s Online Privacy Protection Act, COPPA)에 근거하여 연방통상위원회규칙의 개정제안이 검토되고 있고, 그 과정에서 ‘개인정보’의 범위 등의 COPPA의 개정상의 문제 외에 Safe Harbor Program의 실효성의 확보 등 규제의 합리화 및 실효성의 확보에 대해 논의되고 있다. EU에서는 2012년 1월 25일 유럽위원회에서 1995년의 데이터보호지침을 개정한 “일반데이터보호규칙안(General Data Protection Regulation)”이 공표되어, 당 규칙안에서 온라인상 아동의 프라이버시를 보호하기 위한 규정을 포함하고 있다. 아동이 각종 단말기를 통하여 쉽게 인터넷상의 서비스를 이용하는 요즘에 온라인상의 아동의 프라이버시보호가 중요한 것에는 이론은 없다. 특히, 최근에는 스마트폰으로 대표되는 모바일단말기가 급속하게 보급되고 인터넷상의 여러 서비스를 언제나, 누구나, 어디서나 이용할 수 있도록 되고 있어 생활을 보다 편리하게 하는 한편, 이러한 현상은 인터넷상에서 취득한 이용자의 개인정보를 포함한 다양한 정보가 점점 많아져가는 것을 의미한다. 이러한 상황에 비추어 최근에는 미국 및 EU에서 종래의 규칙을 정보 통신기술의 발전을 근거로 재검토 및 온라인상의 아동 프라이버시 보호에 관한 새로운 규칙을 정하는 움직임이 있다. 먼저 주목해야 하는 것은 미국에서는 2010년 4월 이후, 1998년에 책정된 온라인상의 아동 프라이버시보호를 확보하기 위해 연방법에 근거하여 규칙이 개정되려고 하고 있는 것이다. 또한, EU에서는 2012년 1월 25일 유럽위원회에서 1995년에 책정된 데이터보호지령을 개정하고 가맹국에의 구속력이 보다 강하게 “규칙”으로 하는 새로운 개인정보보호의 구조가 공표되어, 그 안에 온라인상의 아동의 프라이버시보호를 확보하기 위한 규정이 포함되어 있다. 아동이 휴대전화등에서 쉽게 인터넷상의 서비스를 이용하는 것이 일반화된 현재, 판단능력이 불충분한 아동의 프라이버시보호가 중요하다는 것에는 국제적으로 이론은 거의 없으며, 2012년 2월에 OECD는 “온라인상의 아동의 보호에 관한 이사회권고”를 채택하고 정부에 대해서 프라이버시보호를 포함한 온라인상의 아동을 보호하는 정책을 정해야한다는 권고를 하였다. 우리나라에서는 2010년 1월 방송통신위원회가 「SNS 사업자ㆍ이용자 개인정보보호 수칙」을 발표하였다. 이는 SNS사업자 및 이용자에 대하여 개인정보보호를 위하여 각각 10가지 수칙으로 구성되어 있는데, 이 중에서 아동의 개인정보보호와 관련하여 SNS사업자에 대한 수칙에서는 “미성년자의 개인정보를 보호하기 위해 서비스 제한 등 적절한 보호수단을 마련하고 이행한다. SNS사업자는 개인정보보호에 대한 인식이 상대적으로 취약한 아동ㆍ청소년 등 미성년자를 보호하기 위해 미성년자의 서비스 이용범위 제한 및 아동의 서비스 가입 금지, 미성년자 전용의 서비스제공 등 적절한 보호조치를 강구하여 시행하도록 한다”라고 되어 있다. 또한, 이용자에 대하여는 “미성년자인 자녀가 SNS를 이용하는 경우 SNS에 대해 충분히 이해시키고 무분별하게 자신이나 타인의 개인정보를 공개하지 않도록 지도해야 한다. 일부 사이트에서는 미성년자의 SNS 가입이 제한되어 있으므로 부모님(법정대리인 포함)과 선생님의 주의 깊은 감독이 필요하며, 아울러 성인들을 대상으로 하는 콘텐츠나 서비스에 자녀들이 노출되지 않도록 부모님의 지속적인 관심이 필요하다”라는 내용이다. 그러나, 외국에서는 아동의 개인정보보호를 위해 법률의 레벨에서 규정하고 있는것에 비하여 우리나라의 상기와 같은 지침에서의 규정을 강제성이 없고 실효성 또한 확보되지 못하고 있는 실정이다. 아동의 인터넷상의 서비스 이용은 앞으로도 높은 증가율을 보일 것으로 예상되므로 우리나라에서도 이러한 국제동향을 참조하여 아동ㆍ청소년에 대한 개인정보보호 수준에 대한 일관적인 법정책 및 이에 대한 지속적인 관리ㆍ감독이 가능한 정책이 나와야 할 것이며, 개인정보보호를 위한 정책적 대응 뿐만 아니라 인터넷 관련 기업에서도 자율적으로 이에 맞는 기업 나름의 자율규제의 룰을 가지는 것이 필요하다. Recently the discussion on the protection of children’s privacy becomes active in U.S.A and European Union. In U.S.A, amendment proposal for the rules of Federal Trade Commission is being reviewed based on Children`s Online Privacy Protection Act (COPPA) of 1998, and in the process, discussions are being made on the rationalization of the regulations and securing of effectiveness such as securing of effectiveness of safe harbor system, besides the matters of assessment by COPPA, such as the range of ‘personal information’. In EU, General Data Protection Regulation came forth on Jan. 25, 2012 by European Commission, which includes provisions to protect children’s online privacy, revising the Data Protection Guideline of 1995. It is unarguably important to protect children’s online privacy in these days when children use internet services quite easily. Recently mobile terminals represented by smart phone have come into wide use, and anyone may use a variety of internet services at any time and at any places. This makes our lives very convenient, whereas it means that a variety of information obtained on internet, including personal information of internet users, keeps increasing. Recently in U.S.A and EU, there are some movements to have a new understanding of the existing regulations according to the development of information and communication technology or to establish new regulations for protecting children’s online privacy. We should first pay attention to the plan in U.S.A to revise the rules established to protect children’s online privacy in 1998, based on federal laws, after April 2010. Furthermore in EU, European Commission published a new personal information protection structure on Jan. 25, 2012, amending the Data Protection Order established in 1995 into a “regulation” to strengthen the binding force to the member countries, which comprises provisions to secure children’s online privacy. It is not arguably important across the world to protect privacy of children, who lack the ability of perception, in these days when children may easily use internet services on mobile phones and other devices. In Feb. 2012, OECD adopted “a recommendation of the Council for protection of children online”, an gave an advice to the government to establish policies to protect children online including the protection of privacy. In our country, Korea Communications Commission announced「Personal Information Protection Regulations to SNS service providersㆍ users」 in Jan. 2010. It consists of 10 regulations to each of SNS service providers and users, among which, following provisions are contained for protecting personal information of children and adolescents. The regulations to SNS service providers say, “Proper measures of protection, such as restriction of services, should be taken and implemented to protect personal information of minors. SNS service providers shall figure out and implement proper protection measures, such as restriction of service range for minors, prohibition of service subscription of children and provision of services for exclusive use of minors, to protect minors including children and adolescents, who have relatively low recognition of the importance of personal information protection.” And also, the regulations to users say, “Users should make their children of minors understood sufficiently on SNS in using the service and should guide them not to disclose the personal information of themselves and others thoughtlessly. As the subscription of SNS by minors is restricted on some sites, parents (including a legal representative) and teachers need to supervise them carefully, and in addition, parents need to constantly pay attention to prevent their children from being exposed to the contents or services for adults.”

목적외 이용과 프로파일링 관련 규제에 관한 비교법적 검토 - EU 개인정보보호지침, 규칙안, 정보통신망법 및

채성희 서울대학교 기술과법센터 2016 Law & technology Vol.12 No.1

최근 유럽 의회와 이사회가 합의한 유럽연합 개인정보보호 규칙안은 정보처리기술의 발달에 따른 다양한 개인정보 활용 태양에 대하여 기존의 유럽연합 개인정보보호지침보다 세분화된 규정들 을 두고 있다. 이 중 빅데이터의 활용과 관련하여 특히 주목할 만한 부분은, 목적외 이용과 프로파 일링을 비롯한 자동화된 개인정보처리 및 이에 근 거한 개인에 대한 중요 결정에 대한 취급에 관한 사항들이다. 이에 본고에서는 현행의 유럽연합개 인정보보호지침과 새로운 규칙안, 그리고 우리나 라의 정보통신망법과 개인정보보호법의 관련 규 정을 비교해 보았다. 특히 규칙안과 우리나라법을 비교하여 볼 때, 규칙안은 목적외 이용에 관하여 우리나라 법보다 다소 유연한 규정을 두고 있으며, 프로파일링은 물론 프로파일링에 근거한 개인에 대한 자동화된 개별 결정에 대한 규정을 따로 두고 있다. 또한, 목적외 이용 및 프로파일링, 자동화된 개별 결정 과 관련하여 정보주체의 권익을 보호하기 위한 보호조치를 강조하고 있다. 이와 같은 접근은 정 보처리기술의 발달로 다양한 방식 및 내용의 개 인정보처리가 가능해지고, 이로 인하여 정보주체 의 권익에 미치는 영향이 커지는 현실을 감안할 때 우리 법의 입법론으로서도 참고할 만하다고 생각된다. In December 2015, European Parliament and the Council informally agreed on a new European Data Protection Regulation. The agreed Regulation contains many rules to deal with new data processing practices that came with the recent developments in information technology. Among these, provisions on purpose limitation and profiling and automated individual decisions have important implication in connection with the use of Big Data. This paper compares these provisions with the corresponding ones in European Data Protection Directive and Korean law. The most prominent features of the newly agreed Regulation, compared to Korean laws, are as follows: 1) the purpose limitation rules of the Regulation give more room for the data controller to use the data for purposes different from those specified at the time of initial collection; 2) while Korean laws do not have a specific rule that handles profiling and automatic individual decisions based on profiling, the Regulation includes detailed rules on these practices, which goes much further even compared with the Directive. 3) In realtion to the purpose limitation and profiling and the automated individual decision, the Regulation seems to focus on the measures to be taken by the controllers to safeguard data subjects’ rights and interests. This approach makes a contrast to Korean laws which tend to put more emphasis on the legitimate ground of data processing, in particlar data subjects’ consent.

의료정보 이용 및 공개에 관한 법적기준

김진경(Kim, Jinkyung),한우석(Han, Woo Sok) 한양법학회 2009 漢陽法學 Vol.28 No.-

In response to the Health Insurance Portability and Accountability Act of 1996, the U.S. Department of Health and Human Services issued the Privacy Rule in 2003. Since the Privacy Rule allows for the use and disclose of ‘protected health information (PHI)’ under certain circumstances, we reviewed when and how PHI could be disclosed and, to that end, how the individual right is protected under the Privacy Rule. The Privacy Rule permits the use and disclose of PHI with individual’s authorization. However, health services research which usually deal with population-level data would be impracticable if millions of individual authorizations are required. Thus, in addition to the individual’s authorization, the Privacy Rule further allows for the following ways to use and disclose PHI for research purposes: 1) obtain waiver or alteration of the authorization requirement by and IRB or Privacy Board, 2) use de-identified data set, and 3) use limited data set under data use agreement. The Privacy Rule also grants individuals rights, including access to their protected health information, the right to amend, and the right to an accounting of the disclosures of their information. To this end, the Privacy Rule protects the privacy of individual health information, while at the same time allows researchers to have access to the individual health information necessary to conduct the research. The review of federal individual information protections in the U.S. provides insights on establishing appropriate laws and regulations in Korea on individual privacy protection and the use and disclose of personal information for public interest.

개인정보 유통에 관한 국제규범과 우리의 대응 -EU BCRs와 APEC CBPR을 중심으로-

박훤일 국제거래법학회 2014 國際去來法硏究 Vol.23 No.2

One of the most complex issues facing multinational companies today is how to manage the personal data of their customers in an effective manner while maintaining compliance with applicable law. Data protection and privacy regulators are fearful that personal data which is adequately protected and safeguarded under the laws of their jurisdiction will lose those protections once transferred to a foreign jurisdiction. In light of this fear, many countries have enacted data protection and privacy laws which regulate the transfer of personal data. Under the European Data Protection Directive (Directive 95/46/EC), personal data may only be exported from the European Economic Area to entities located in destinations that are considered to have adequate data protection law, as determined by the EU Commission. If an entity is not located in a destination with adequate data protection law, then the data exporter must comply with one of the exemptions provided for by the Directive such as Binding Corporate Rules, EU Model Contractual Clauses and user consent, among others. Binding Corporate Rules allow for an organization to bind itself to a set of policies through a binding intra-group agreement which is then approved by the different Member States in which the organisation is active. The benefit of Binding Corporate Rules is that it makes the organization a safe harbour in the sense that it is then considered “adequate” under European data protection law and may receive personal data without the use of EU Model Contractual Clauses. On the other hand, APEC’s Data Privacy Subgroup worked to create a policy environment that favours free flow of information across borders while at the same time providing effective and meaningful protection for personal information, essential to trust and confidence in the online marketplace. APEC CBPR system makes use of accountability agents that verify an organization’s data privacy policies and practices meet the APEC CBPR program requirements. 오늘날 전세계적으로 영업을 하는 기업들은 국경을 넘는 개인정보의 이전에 대하여 각별한 주의를 요한다. 상대국의 개인정보보호의 수준이 자국에 못 미칠 때에는 개인정보보호 대책을 수립해야 하기 때문이다. 특히 다국적 기업이 EU를 비롯한 세계 각국에서 사업을 수행하는 경우에는 EU의 개인정보보호 기업규칙(BCRs)에 관심을 가질 필요가 있다. 회원국 간에 정보화 격차가 심한 APEC에서도 전자상거래를 원활히 하기 위해 프라이버시준칙 및 국경간 프라이버시 집행규칙(CBPR)을 시행하고 있다. 그러나 개인정보보호를 너무 강조하면 전자상거래 자체가 위축될 수 있으므로 개인정보의 보호와 원활한 전자상거래의 균형점을 찾기 위해 많은 나라가 개별적으로 또는 국제협력을 통하여 여러 방안을 모색하고 시행 중이다. EU의 BCRs이나 APEC의 CBPR이나 모두 개인정보가 제3국에서 처리될 때 관계당국의 승인을 받도록 하고 있다. 양자 간에는 유사점이 많으므로 이를 이용하게 될 다국적 기업을 위하여 EU에서는 BCRs와 APEC CBPR을 대조한 참조문서(BCR/CBPR referential document)를 2012년 말 공표한 바 있다. 그러므로 EU와 APEC 영역을 넘나드는 정보유통이 필요한 기업은 27개 항목에 달하는 체크리스트를 보고 양쪽에 필요한 서면, 어느 한쪽에 필요한 자료, 예외 사유를 정리해 두어야 한다. 그리고 EU에서는 관할국의 개인정보감독당국(DPA)에 승인을 신청하고, APEC에서는 관할국의 공인 책임기관(AA)의 인증서를 받도록 한다. 한-EU FTA가 시행되고 있는 우리나라에서는 현지 진출기업이 BCRs나 표준계약서 채택에 따른 시간과 비용을 줄일 수 있도록 EU 기준으로 개인정보보호의 적합성 평가를 받거나 유럽회의협약(CoE 108)에 가입하는 것도 고려할 만하다. 그 동안 미국 기업들은 한-미 FTA와 관련하여 국내 개인신용정보의 국외처리를 허용해 줄 것을 줄기차게 요구해 왔다. 그러므로 APEC 회원국들과 공동보조를 취하여 CBPR의 시행을 위해 노력함으로써 EU나 미국과의 협상에 있어 우위를 점하여야 한다. 아울러 현행 정보통신망법이나 개인정보보호법이 개인정보의 국외 이전을 엄격하게 규제하고 있는 것을 완화하는 대신 안전조치를 강화할 필요가 있다.

의료연구에 있어서 개인건강정보 보호 및 활용: 미국 HIPAA의 프라이버시 규칙을 중심으로

박종현 ( Jong Hyun Park ) 법과사회이론학회 2009 법과 사회 Vol.0 No.37

빅데이터 시대의 개인정보 보호방안

손영화(Young-Hoa Son) 한국기업법학회 2014 企業法硏究 Vol.28 No.3

빅데이터란 과거 아날로그 환경에서 생성되던 데이터에 비하면 그 규모가 방대하고, 생성주기도 짧고, 형태도 수치 데이터뿐 아니라 문자와 영상 데이터를 포함하는 대규모 데이터를 말한다. 빅데이터의 활용은 기업에게는 무척 새로운 사업기회를 제공하는 등의 장점이 있다. 빅데이터는 사회 전체의 이익을 향상시키는 용도가 있으므로 적극적으로 빅데이터의 이로운 활용을 추진할 필요성이 있다. 또한, 신산업 창출에 의한 기업의 경쟁력 강화에 있어서도 빅데이터의 유용성은 인정된다. 그 반면에 빅데이터는 대량의 개인정보의 유출로 인하여 개인의 프라이버시 등을 침해할 여지가 커진다. 개인정보보호법상의 개인정보 보호가 빅데이터 시대의 특징과 맞지 않는 부분이 존재한다. 즉, 빅데이터는 대량의 정보를 수집하여 이를 분석하여 새로운 정보를 창출해 낸다. 그런데 정보의 수집과정이나 정보의 분석결과에 따라 개인의 프라이버시가 침해되기도 한다. 이 논문에서는 합리적인 개인정보 보호를 위하여 다음과 같은 4가지의 방안을 제시하였다. 첫째, 빅데이터 시대의 개인정보의 보호범위의 문제이다. 타정보와 결합하여 개인을 특정할 수 있는 이른바 결합식별정보(제2조 제1호)를 개인정보보호법의 보호범위에서 제외할 것인가의 여부가 문제된다. 빅데이터 산업의 발전을 위해 그 필요성이 인정되는 경우 법률을 제정하거나 개정하여야 한다. 둘째, 개인정보에 대한 정보주체의 동의문제이다. 다양한 정보의 프로파일링에 의하여 생성된 이른바 2차 개인정보에 대한 동의를 어떻게 하는 것이 합리적인가에 대해 검토해 보았다. 2차 개인정보가 프라이버시와 관련되는 경우에는 옵트인 방식으로 사전동의를 요하도록 하고, 그렇지 않은 경우에는 옵트아웃 방식으로 사후에 이의제기를 하는 방법이 합리적일 것으로 생각된다. 셋째, 개인정보보호법상의 최소수집의 원칙과 빅데이터의 특성인 대량정보수집의 조화이다. 하나의 대안으로서 이른바 익명화(비실명화)방법을 제시하였다. 개인정보의 유출에 따른 프라이버시의 위험을 경감하기 위해 필요한 경우에는 데이터의 익명화(Data Anonymization)를 취하도록 할 필요가 있다. 마지막으로, 잊혀질 권리의 도입과 관련된 문제이다. 현 단계에서는 직접 도입하기 보다는 종래의 정보삭제권(제4조 제4호)을 활용하는 것이 바람직해 보인다. 다만, 죽은 사람의 개인정보는 현행 개인정보보호법의 보호대상이 아닌데, 이 부분에 대하여서까지 보호범위를 확대하는 문제는 앞으로 보다 더 신중한 검토가 있어야 할 것으로 생각된다. We live in an age of big data. Compared to the data generated by the analog ages, the big data has a huge scale, a short period of generation and a diversity forms. The use of big data, there is an advantage such as to provide a very new business opportunities for companies. Take advantage of big data, it is possible to improve the public interest of society as a whole. Usefulness of big data is also recognized in the competitiveness of companies by the creation of new industries. On the other hand, big data has a greater possibility such as personal privacy will be violated by the leakage of personal information to a large scale. The protection of personal information does not match the features of the Big Data. Therefore, we need to reform the Personal Information Protection Act. The purpose of the Personal Information Protection Act should be balanced with the proper use of personal data and reasonable protect of personal data. In this paper, for the protection of personal information reasonable, has presented a draft of the following four. First, the problem is the scope of protection of the personal data. Is a whether or not to exclude the combined identification information from the scope of protection of the Personal Information Protection Act. If we need to exclude the combined identification information for the development of big data industry, we should be enacted or amended legislation. Second, the problem is the consent of the data subject regarding personal information. How to recognize the agreement of the data subject for secondary information of his or her identification. If the personal information of the secondary is related to privacy, requiring prior consent to opt-in. If the personal information of the secondary does not depend on the privacy, so as to appeal to the post in the opt-out method. Third, it is a harmony of collecting a large amount of information in big data era and principles of minimum collection of Personal Information Protection Act. If necessary to reduce the risk of privacy due to the leakage of personal information, it is necessary to take anonymity of the data(Data Anonymization). Fourth, it is a problem associated with the introduction of right to be forgotten. By leveraging information eraser rights of conventional is desirable rather than to introduce at this stage. However, we need to careful consideration whether or not the protect of the dead men’s personal information by the Personal Information Protection Act.

의료정보 이용 및 공개에 관한 법적기준 -미국 프라이버시 규칙과 피험자보호 규칙의 검토-

김진경,한우석 한양법학회 2009 漢陽法學 Vol.28 No.-

In response to the Health Insurance Portability and Accountability Act of 1996, the U.S. Department of Health and Human Services issued the Privacy Rule in 2003. Since the Privacy Rule allows for the use and disclose of ‘protected health information (PHI)’ under certain circumstances, we reviewed when and how PHI could be disclosed and, to that end, how the individual right is protected under the Privacy Rule. The Privacy Rule permits the use and disclose of PHI with individual’s authorization. However, health services research which usually deal with population-level data would be impracticable if millions of individual authorizations are required. Thus, in addition to the individual’s authorization, the Privacy Rule further allows for the following ways to use and disclose PHI for research purposes: 1) obtain waiver or alteration of the authorization requirement by and IRB or Privacy Board, 2) use de-identified data set, and 3) use limited data set under data use agreement. The Privacy Rule also grants individuals rights, including access to their protected health information, the right to amend, and the right to an accounting of the disclosures of their information. To this end, the Privacy Rule protects the privacy of individual health information, while at the same time allows researchers to have access to the individual health information necessary to conduct the research. The review of federal individual information protections in the U.S. provides insights on establishing appropriate laws and regulations in Korea on individual privacy protection and the use and disclose of personal information for public interest.

미국의 최근 개인정보보호법제 동향에 대한 고찰

남정아 유럽헌법학회 2019 유럽헌법연구 Vol.0 No.31

With the start of the Trump administration, the U.S. recently shifted its focus to business-friendly use of information rather than privacy protection, completely different from the previous Obama administration's privacy policy. Thus, friction between the U.S. and the European countries that want to trade with the U.S. without much awareness of the protection of personal information under the "Opt-out" stance has naturally increased. Such differences have also affected Korea, and Korea, which is following the "Private Privacy Act" such as Europe, has increased the possibility of a trade dispute if it forces U.S. companies to ask for the same level Against this backdrop, it is very meaningful to identify the key differences in the privacy protections of Europe and the U.S. and to identify recent changes in the U.S. administration's privacy laws. Therefore, for this purpose, this paper analyzed the years and recent trends of the personal information protection Act of the U.S.. First of all, since the privacy laws have undergone changes in the U.S., we need to look at the trend of the information protection laws in chronological order. In particular, This article first reviewed aspects of the collection, utilization and regulation of behavioral information, and recently reviewed the trends in U.S. privacy laws, including the Obama administration's Consumer Privacy Bill (2012), the FTC's Protecting Privacy in an Era of Rapid Change (2012), and the FCC's ISP Privacy Rule (2016). And as President Trump signed a bill to scrap FCC privacy rules on April 3, 2017, serious concerns arose over privacy in the U.S.. While the development of the personal information utilization industry was expected due to the easing of regulations on personal information for Internet service providers, concerns over the reckless use of personal information and the violation of privacy were also spread. Thus, in order to obtain the necessary implications for Korea by analyzing the direction of the Trump administration's privacy policy, the U.S. data utilization and privacy policy related to new technologies such as biometric information, big data, and the Internet of Things, and the restrictions imposed by the EU GDPR, the U.S. government and corporate efforts to respond to them, stressing the need for a balanced and balanced discussion on the protection and utilization of personal information during the fourth industrial revolution. 최근 미국은 트럼프 행정부의 시작과 더불어 종래 오바마 정부의 개인정보 보호정책과 궤를 완전히 달리하여 개인정보 보호보다는 기업친화적인 정보활용에 중점을 두는 방식으로 전환하였다. 따라서 Opt-out을 기조로 하여 개인정보의 보호를 크게 의식하지 않고 무역을 희망하는 미국과 Opt-in을 기조로 하는 유럽지역 국가들 간에는 당연히 마찰이 증가하게 되었으며 이러한 상황은 유럽과 같은 개인정보 보호방식을 따르고 있는 우리나라에도 영향을 미쳐, 미국 기업에게 동일한 수준의 개인정보 보호요청을 강요하는 경우 무역 분쟁이 발생할 소지가 커졌다. 이와 같은 상황에서 유럽과 미국의 개인정보 보호제도의 핵심적인 차이를 파악하고 최근 미국 행정부의 개인정보 보호법제의 변화와 동향을 파악하는 것은 매우 의미 있는 일이라고 할 수 있다. 따라서 이러한 목적 하에 본 논문은 미국의 개인정보 보호법제 제·개정 연혁 및 최근 동향을 분석하였다. 먼저 미국에서도 개인정보 보호법제는 변화를 겪었으므로, 연대기 순으로 정보보호 법제의 흐름을 살펴볼 필요가 있다. 특히 행태정보의 수집·활용 및 규제에 관한 측면을 먼저 검토하고, 오바마 행정부의 소비자 프라이버시 권리장전(2012), FTC의 Protecting Privacy in an Era of Rapid Changing(2012), FCC의 ISP privacy rule(2016) 등 미국의 개인정보 보호관련 법제의 흐름과 최근 동향을 살펴보았다. 그리고 2017년 4월 3일 트럼프 대통령이 FCC 프라이버시규칙을 폐기하는 법안에 서명함에 따라, 미국 내 개인정보보호에 대한 심각한 우려가 발생하게 되었다. 인터넷서비스사업자들에 대한 개인정보 규제 완화로 개인정보 활용 산업의 발전이 기대되는 한편, 개인정보의 무분별한 사용과 프라이버시 침해에 대한 우려도 확산되었다. 따라서 트럼프 행정부의 개인정보 보호 정책의 방향을 분석하여 우리에게 필요한 시사점을 얻기 위하여, 생체정보, 빅데이터, 사물인터넷 등 신기술 관련 미국의 데이터 활용 및 개인정보 보호정책과 EU GDPR 발효에 따른 제약과 이에 대응한 미국 정부, 기업의 대응노력 등을 분석하면서, 제4차 산업혁명의 시기에 개인정보의 보호와 활용을 균형 있고 조화롭게 양립하기 위한 논의가 필요하다는 점을 강조하였다.

의료정보의 관리와 비식별화에 관한 법적 과제

박민영(PARK Min Young),최민경(CHOI Min Kyung) 유럽헌법학회 2016 유럽헌법연구 Vol.21 No.-

The development in Healthcare Information and the progress in a discussion about implementing the health & Healthcare Information infrastructure in the national dimension are leading to computationally inputting and delivering all the documents and images, resulting in having been increased convenience and immediacy. Meanwhile, according to being available for a remote access to medical record, the riskiness on leakage and exposure of personal information came to be bigger. Moreover, a rise in a research of using medical information, which corresponds to sensitive information, leads to a situation that even an interest in the personal healthcare information protection is getting greater. In many researches, medical information is being used with diverse terms such as health & medical information, medical information, medicine information, clinical information, health information, and health care information without a clear division. It is difficult to clarify a de-identification measure scope of personal medical information, thereby being inevitably very confused depending on the detailed sphere and on the person concerned about the application to the field. In this way, it is very important and necessary to explicitly describe definition, difference and scope of terminology. The United States is having the specific regulation pertinent to the personal Healthcare Information protection in the HIPAA Privacy Rule and HIPAA. France in Europe, the United States and Canada had been running an independent Healthcare Information laws are enacted. On the other hand, our country is enacting and enforcing 「Personal Information Protection Act」 and 「Enforcement Decree of the Act on Promotion of Information and Communications Network Utilization and Information Protection Etc.」 as a general law, and is additionally prescribing the information protection of individuals who participate in a research of targeting a human being in 「Medical Service Act」, 「National Health Insurance Act」, and 「Bioethics and Safety Act」. Also, as a plan available for minimizing a personal information infringement risk in our country, a measure of personal information de-identification is being positioned these days as a very important method. Guideline and casebook on this were released. However, to apply this for general purpose to the medical field, in which a prospect for expectation is growing day by day, even out of the big-data utilization area, a division is needed that has an example as the practical use item on identifiable information by clarifying definition, scope and division of terms such as medical information, Healthcare Information kind, and personal Healthcare Information and by easily combining it with the information of having identification and the other information as the corresponding information itself even out of personal medical information. There is also a need to be preceded an agreement among various main agents in terms of this. Accordingly, the specialized guideline is needed in medical data like the Anonymization of HIPAA in America. And our country is prescribed the protection of personal Healthcare Information including an individual s medical history & family history, gene information, and other private information like HIPAA in the US and is in a situation of being not arranged yet the regulations pertinent to definition of a clear concept on medical information, to object & range, to duty of responsibility in the person concerned, to procedure & method of using management, and to security method. Hence, the enactment of the tentatively-named Personal Healthcare Information Protection Act in relation to this is needed. 의료정보화가 발전되고 국가차원의 보건의료정보 인프라 구축 논의가 진전되어감에 따라 모든 문서와 영상을 전산으로 입력·전달하면서 편의성과 신속성은 증대되었지만 한편으로는 의무기록에 대한 원격접속이 가능해짐에 따라 개인정보 유출 및 노출의 위험성은 더 커지게 되었다. 더욱이 민감정보에 해당하는 의료정보를 이용하는 연구가 증가하면서 개인의료정보보호에 대한 관심도 커지고 있는 상황이다. ‘의료정보’는 많은 연구에서 보건의료정보, 의료정보, 의학정보, 진료정보, 건강정보, 헬스케어정보 등 다양한 용어로 명확한 구분 없이 사용되고 있으며, 개인의료정보 비식별화 조치범위 등을 명확하기가 어려워 현장에서는 세부영역에 따라, 적용하는 관계자에 따라 매우 혼란스러울 수밖에 없다. 이와 같은 용어에 대한 정의, 차이, 범위 등을 명확히 규정하는 것은 매우 중요하고도 필요하다. 미국은 HIPAA와 HIPAA 프라이버시 규칙에서 개인의료정보보호에 관한 구체적인 규정을 두고 있다. 또한, 프랑스는 의료정보보호를 위한 공공보건법을 시행하였고, 캐나다는 독립된 의료정보보호법이 실행되고 있다. 반면, 우리나라는 일반법으로서 「개인정보 보호법」과 「정보통신망법」을 제정·시행하고 있고, 여기에 「의료법」, 「국민건강보험볍」, 「생명윤리 및 안전에 관한 법률」 등에서 인간대상연구에 참여하는 개인의 정보보호를 규정하고 있다. 또한 최근에 우리나라에서는 개인정보 침해위험을 최소화할 수 있는 방안으로 ‘개인정보 비식별화’ 조치는 매우 중요한 수단으로 자리잡아가고 있으며 이에 대한 가이드라인, 지침, 사례집 등이 발표되었다. 그러나 빅데이터 활용영역 중에서도 기대전망이 나날이 증가하고 있는 의료분야에서 이를 범용적으로 적용하기 위해서는 의료정보, 의료정보 종류, 개인의료정보 등과 같은 용어의 정의 및 범위, 구분 등을 명확히 하고, 개인의료정보 중에서도 해당정보 자체로 식별성을 지닌 정보 및 타 정보와 쉽게 결합하여 식별 가능한 정보에 대한 실 사용항목을 예로 한 구분이 필요하며 이에 대해 다양한 주체 간 합의 또한 선행되어야 한다. 따라서 미국의 HIPAA의 익명화 가이드라인과 같은 의료 데이터에 특화된 가이드라인이 필요하다. 그리고 우리나라는 미국 HIPAA와 같이 개인의 병력과 가족력, 유전정보, 그리고 기타 사적인 정보를 모두 포함하는 개인의료정보의 보호를 규정하고 의료정보의 명확한 개념 정의, 대상과 범위, 관계자 책임의 의무, 관리 이용 절차와 방법 보안 방법에 대한 법규는 아직 마련되지 않은 상황이다 이에 대해 가칭 의료정보보호법의 제정이 필요하다.

EU의 ‘1995년 개인정보지침’에 관한 법적 고찰

함인선 전남대학교 법학연구소 2013 법학논총 Vol.33 No.1

The developments of ICT(Information & Communication Technology) havebrought new challenges for the protection of personal data. The scale of datasharing and collecting has increased dramatically. Technology allows both privatecompanies and public authorities to make use of personal data on anunprecedented scale in order to pursue their activities. Individuals increasinglymake personal information available publicly and globally. Technology hastransformed both the economy and social life. This is why it is time to build a stronger and more coherent data protectionframework that will allow the digital economy to develop across the internationalmarket, put individuals in control of their own data and reinforce legal andpractical certainty for economic operators and public authorities. The centrepiece of existing EU legislation on personal data protection,Directive 95/46/EC3, was adopted in 1995 with two objectives in mind: to protectthe fundamental right to data protection and to guarantee the free flow of personaldata between Member States. This article is composed of 4 Chapters as follows ; Chapter Ⅰ Introduction,Chapter Ⅱ The Enactment Process of 1995 Directive of EU, Chapter Ⅲ The MainContents of 1995 Directive of EU, Chapter Ⅳ The Implications of 1995 Directive of EU 현대정보사회의 발달은 최근 스마트기기의 보급과 모바일통신의 발달로 인하여,정보의 생성, 전송, 재생, 결합, 저장 등이 거의 실시간으로 글로벌차원에서 활발히 이루어지고 있다. 이로 인하여, 개인정보 보호를 위한 한 국가의 법제도는 그 실효성을확보하는데 커다란 제약을 가지지 않을 수 없다. 이러한 경우에, 한 국가의 개인정보보호입법은 그 실효성을 발휘하는 데 일정한 한계를 가지게 된다. 개인정보를 둘러싼 위와 같은 환경의 변화는 국제적 차원에서 관심을 가지고 개인정보 보호와 관련하여 그 해법을 제시하고자 노력하여 왔다. 그 최초의 노력이 1980년 9월의 이른바 OECD가이드라인이라고 할 수 있으며, 이어서 1981년 1월 유럽평의회(Council of Europe)의 개인정보보호조약이 성립되었다. 또한, 1990년 12월에 UN총회(General Assembly)는 개인정보파일의 규제를 위한 가이드라인을 채택하였다. 한편, 유럽연합(EU) 1995년 10월에 개인정보지침(95/46/EC)(이하 ‘1995년 지침’이라한다.)을 입법하였는바, 동 지침은 유럽평의회의 1981년 조약을 그 모델로 하여 더욱발전시킨 것으로서, 국제관계에서 주목이 되는 것은 ‘개인정보의 제3국에로의 이전’에 관한 규정이다. 동 규정에 의하면, 회원국은 처리 중이거나 이전 후 처리를 예정하고 있는 개인정보의 제3국에의 이전은 이 지침에 따라서 채택된 회원국법규정과 부합되고, 그 제3국이 적정한 보호수준을 보장하는 경우에만 허용된다는 것을 규정하여야 한다. 이로 인하여, 유럽연합(EU)과 무역 등 거래관계를 갖고 있는 여러 국가들은 이에 대한 대책이 요청되었으며, 우리나라도 종래 「공공기관의개인정보보호에관한법률」을 제정하여, 1995년 1월부터 시행하였다. 그 후, 동법을 폐지하고, 공공부문과 민간부문을 일원적·포괄적으로 규율대상으로 하는 「개인정보 보호법」이 2011년3월 29일에 제정되어, 2012년 3월 30일부터 시행되고 있다. 그런데, 유럽연합(EU)은 2012년 1월에 1995년 지침을 대체하는 새로운 개인정보보호법안(이하 ‘2012년 규칙안’이라 한다.)을 공표하였는바, 동 규칙안은 아직 유럽의회와 이사회에서 심의중이지만 1995년 지침이 그러하였듯이 성립되는 경우에 우리나라를 비롯한 많은 국가에 중대한 영향을 미칠 것이 예상된다. 그런데, EU의 개인정보법제는 상당히 복잡한 성립과정과 절차를 거쳐서 현행 1995년 지침에 이르렀다. 따라서, EU의 개인정보보호법제를 보다 체계적으로 이해하기 위해서는 EU의 현행 1995년개인정보지침의 성립과정과 그 주요내용을 파악할 필요가 있을 것이다. 이러한 검토를 토대로 우리나라 개인정보보호법제에 주는 시사점을 고찰하고자 하는 것이 본고의 목적이다.