개인정보의 개념의 차등화와 개인정보이동권의 대상에 관한 연구

이성엽 서울대학교 법학연구소 2019 경제규제와 법 Vol.12 No.2

With the development of technologies utilizing the 4th industry, such as big data and artificial intelligence (AI), operators can easily collect personal information, process it, and use it. Various products are released. However, the current law focuses on protection rather than use of personal information, focusing on various obligations and requirements when processing personal information, including consent. In particular, by using a single concept of 'personal information' as a unit of law application, it is not clear to what extent the scope of information subject to obligations from the operator's point of view. It has become a reason for limiting the use of personal information. Despite the different types of information and costs and manpower for regulatory compliance, interpreting all subjects of regulation equally imposes an excessive burden on the operator or imposes a duty that cannot be implemented. Therefore, it is necessary to discuss the necessity of differentiating the concept of personal information. To this end, it is necessary to first look at the ambiguity of the concept of personal information and see if it is possible to interpret the scope of the same concept of personal information within the same legislation. In addition, it is necessary to classify personal information by type in order to limit the scope of application of personal information regulation to a reasonable range. In particular, it is necessary to classify personal information in accordance with identification or identifiability criteria, which are key factors that obscure and broaden the concept of personal information. Personal identification information that is combined with personally identifiable information and personal identification information that is not combined with personally identifiable information can be distinguished in addition to personal identification information and non personal identification information In addition, the criteria may be whether the information provided by the operator, the information generated and processed by the operator, the operator's internal purpose, or the external purpose Based on this classification, it is necessary to see how appropriate the level of personal information protection is through a standard for balancing conflicting interests between personal information self-determination rights and freedom of operation for each regulation. The same applies to the right to data portability Personally identifiable information that is not combined with personal identification information, i.e., information that is attributed to one person, if the identifiability is maintained only to the extent that the information can be attributed to a specific person whose identity is unknown and information scattered so that it is difficult to attribute to specific person, should be excluded from the provision. In addition, information created by personal information processor such as work evaluation and credit evaluation should not be provided as long as it is used internally. As attempts to rationalize the scope of regulations related to personal information are accumulated and legislation and governmental interpretations are developed, the rights of both service providers and users should be adequately defended, and a regulatory environment suitable for the future ICT new industries should be established. 빅데이터, 인공지능(AI) 등 4차산업을 활용한 기술의 발 전에 따라 사업자는 개인정보를 용이하게 수집하고 이를 손 쉽게 가공하여 이용할 수 있게 되었고, 개별 이용자에 특화 된 서비스를 통해 이용자 편의를 극대화하는 다양한 상품이 출시되고 있다. 그러나 현행법은 동의를 비롯하여 개인정보 처리 시 각종 의무와 그 요건에 집중하면서, 개인정보의 이 용보다는 보호에 초점이 맞추어져 있다. 특히, ‘개인정보’라는 단일한 개념을 법 적용의 단위로 사 용함으로써 사업자의 입장에서 의무의 대상이 되는 정보의 범위가 어디까지인지 명확하지 않다는 점 이 개인정보의 이 용을 제한하는 사유가 되고 있다. 정보의 유형별로 규제 준 수를 위한 비용⋅인력 등이 다름에도 불구하고, 규제의 대 상을 모두 동일하게 해석할 경우, 사업자에게 과도한 부담 을 주거나 이행이 불가능한 의무를 강요하게 된다. 이에 개인정보 개념의 차등화 필요성에 대한 논의가 필요 하다. 이를 위해 먼저 개인정보 개념의 모호성과 관련해, 동 일한 개인정보의 개념에 대해 동일한 법령 내에서 그 범위 를 달리 해석하는 것이 가능한지를 살펴볼 필요가 있다. 더 불어 개인정보 규제의 적용 범위를 합리적인 범위로 한정하 기 위해서는 개인정보를 유형별로 분류하는 것이 필요하다. 특히, 개인정보의 개념을 모호하고 또한 광범위하게 만드는 핵심적인 요소인 식별 내지는 식별 가능성 기준에 따라 개 인식별정보와 개인을 식별할 수 없는 정보 외에 개인식별정 보와 결합되어 있는 상태의 개인식별가능정보와 개인식별정 보와 결합되지 않은 상태의 개인식별가능정보로 구분가능하 다. 그 외에 사업자가 제공받은 정보인지, 사업자가 생성, 가공한 정보인지, 사업자 내부적 목적인지, 외부적 목적인지 등도 기준이 될 수 있다. 이런 분류를 기준으로 법령상 각 규제별로 개인정보 자기 결정권과 영업의 자유의 비교형량을 통해 어느 정도의 개인 정보보호 수준이 적정한지를 볼 필요가 있다. 개인정보이동 권의 경우에도 마찬가지이다. 개인식별정보와 결합되지 않 은 상태의 개인식별가능정보 즉, 1인으로 귀속되는 정보에 해당하여 신원을 알 수 없는 특정한 1인으로 정보들을 귀속 시킬 수 있을 정도로만 식별가능성이 유지되어 있는 경우, 특정한 1인으로 귀속시키는 것조차 어렵도록 흩어져 있는 정보의 경우에는 제공대상에서 제외하는 것이 타당하다. 또 한 근무평가, 신용평가 등과 같이 개인정보처리자가 만들어 낸 정보의 경우에는 이를 내부적으로 활용하는 한 제공대상 이 아니라고 보아야 할 것이다. 개인정보 관련 규제의 적용 범위를 합리화하려는 시도가 축적되고 이것이 입법과 정부의 해석에 반영되어, 서비스 제 공자와 이용자 양측의 권리가 적절하게 수호되고, 향후 ICT 신산업 시대에 걸맞는 규제환경을 갖출 수 있어야 할 것이다.

개인정보보호법의 개인정보 전송요구권 도입에 따른 마이헬스웨이 사업과 디지털 헬스케어 활성화

박지원,이유리 한국의료법학회 2023 한국의료법학회지 Vol.31 No.1

On March 14, 2023, the Personal Information Protection Act introduced the right to request the transfer of personal information, enabling individuals to demand the transfer of their personal information to themselves or third parties from data controllers. The introduction of this right aims to enhance individuals' control over their personal information and facilitate the development of MyHealthway businesses and the activation of digital healthcare. It plays a crucial role in improving accessibility and transparency of individuals' medical data, fostering patient-centered healthcare management. This legal implementation supports medical innovation and individual health management, providing opportunities for qualitative improvement in healthcare services at a national level. It is a critical juncture that necessitates careful consideration of measures that ensure both personal data protection and the interoperability of medical data, while promoting medical innovation and enhancing healthcare services. This study aims to explore and propose legal measures for the implementation of the right to request the transfer of personal information in the healthcare sector, striving for a balance between privacy protection and medical innovation, thus contributing to a balanced approach. 2023년 3월 14일 개인정보호법에 개인정보 전송요구권을 새롭게 도입하여 정보주체가 개인정보처리자에 대하여 본인의 개인정보를 본인이나 제3자에게 전송하도록 요구할 수 있게 되었다. 개인정보 전송요구권 도입은 정보주체의 개인정보에 대한 통제권을 강화하고자 하는 조치로 환자가 본인의 의료정보를 직접 관리하고 활용하는 마이헬스웨이 사업과 디지털 헬스케어의 활성화를 가능하게 한다. 개인의 의료정보에 대한 접근성과 투명성을 높이고, 건강관리를 개인 중심으로 이끌어가는 데 중요한 역할을 한다. 이러한 법적 구현은 의료 혁신과 개인의 건강관리에 대한 개인 중심적 접근을 지원할 것으로 기대된다. 개인정보 보호와 의료정보의 상호운용성을 보장하면서도 의료혁신과 건강 서비스의 질적 향상을 도모하기 위한 방안을 고민해야 하는 시점이다. 이에 본 연구는 개인정보 전송 요구권 도입에 따른 보건의료분야의 마이헬스웨이 사업과 디지털 헬스케어 활성화를 위한 법적 구현 방안에 대한 고찰과 제언을 제시하고, 이를 통해 개인정보 보호와 의료 혁신의 균형을 추구하는데 도움을 줄 것으로 기대된다.

개인정보의 개념에 대한 논의와 법적 과제

김현경(Kim, Hyunkyung) 미국헌법학회 2014 美國憲法硏究 Vol.25 No.2

개인정보는 프라이버시 법규의 경계와 범위를 결정하는 핵심개념이다. 그러나 ‘개인정보’라는 개념의 광범위성과 불확실성은 관련 법률의 적용 및 집행을 불편하게 만들고 있다. 따라서 본 논문에서는 개인정보와 관련된 국제적 규범형성의 핵심이라 할 수 있는 미국과 EU의 개인정보에 대한 접근방식을 살펴본 후 ‘개인정보’ 라는 법적 개념이 가지는 특성을 반영한 향후 법적 과제를 도출하고자 한다. 개인정보가 법적 개념으로 등장하게 된 것은 정보처리기술의 발전으로 개인정보가 데이터베이스화되고 이렇게 수집된 개인정보의 오남용으로 인해 개인에게 피해가 발생하게 되었기 때문이다. 이렇듯 개인정보는 프라이버시 침해 이슈와 함께 법적 개념으로 자리 잡기 시작했지만, 이제는 인터넷과 관련된 비스니스를 영위하기 위해서는 없어서는 안 되는 영업재산이며 표현의 자유 보장을 위한 공개대상정보이기도 하다. 즉 개인정보는 일의적으로 정의내리기 곤란하며, 기술발달에 따라 사회변화를 수용하며 나타나게 된 법적 개념이라고 할 수 있다. EU는 ‘개인정보’를 개인을 식별할 수 있는 모든 정보를 포괄하도록 개념정의 하고 있으며 이는 매우 넓고 모호할 수밖에 없다. 반면 미국의 경우 개인정보의 개념이 통일되어 있지 않다. 따라서 이러한 경우 규제혼란을 증가시키며 이는 피규제기관의 규제비용을 증가시킬 수 있다. 우리나라 개인정보 보호법 상 개인정보의 개념정의는 EU의 방식을 거의 그대로 따르고 있다고 볼 수 있다. 그러나 신용정보, 의료정보, 교육정보 등에 대하여는 각각의 특별법에서 규정하고 있는 개인정보의 개념이 우선 적용되는바 미국의 세 번째 방식도 일부 복합적으로 취하고 있다고 할 수 있다. 해외 선진입법의 차용과 국내 상황을 적절히 조합하여 입법의 방향을 설정하였으나, 당시 개인정보의 개념, 본질, 보호법익 등에 대한 철저한 검토가 부족한 부분이 있었다고 볼 수 있다. 앞으로 개인정보가 가지고 있는 이러한 개념적 한계를 극복하기 위한 방안으로 본 논문에서는 세 가지를 제안하였다. 우선 ‘개인정보 해당성’에 대한 판단을 위한 구체적 가이드라인의 마련을 제안하였다. 다음으로 사인간의 개인정보의 재산적 가치의 활용은 당사자가 자율적으로 통제할 수 있도록 규율체계를 만드는 것이 바람직하다. 마지막으로 파일화 혹은 데이터베이스화되지 않은 단순 개인정보에 대하여서는 보다 낮은 규제가 도입되어야 함을 제안하였다. “Personal data” is a central concept in privacy regulation. This term defines the scope and boundaries of many privacy statutes and regulations. However, since the concept of "personal data" is too wide and uncertain, it is inconvenient to apply and enforce the laws. Therefore, in this Essay, after looking at the approach ways to the concept of personal information in the United States and EU, I try to suggest future legal challenges that reflect the characteristics of the legal concept of "personal information" The reason why personal data is more important as Legal concept is due to the development of information processing technology. Because of the abuse of personal data collected, personal or property damage was caused to the data subject. In addition, personal information is currently business asset indispensable in order to conduct business associated with the Internet and somtimes should be opened to the public in order to ensure the freedom of expression. In the United States, the law provides multiple explanations of this term. so that increases the regulatory maze and associated compliance costs for regulated entities, and as a consequence of the multiple possibilities flowing from the three classifications of personal data, the same information may or may not be personal data under different statutes and in different processing contexts. In contrast, in the European Union, there is a single definition, and one that defines personal information broadly to encompass all information that is identifiable to a person, so the EU’s definition of personal information risks sweeping too broadly. The Personal Data Protection Act of Korea adopts the way of EU defining the concept of personal data but since special laws regulating personal credit information, medical information, educational information, etc. are applied to the related cases in the first, it can be said that the third method of the United States is also taken as part of a combination. Therefore it can be appeared combination of defects in the United States and EU law in Korea. To make privacy law effective for the future, with regard to legislation on personal data, factors to consider are as follows: First specific guidelines should be provided to determine whether or not a certain information is personal information. Secondly it is desirable that the use on proprietary value of personal information is regulated by self-regulation between the parties. Finally lower level of regulation should be applied to the simple personal information that is not a file or database.

개인정보 유출로 인한 손해배상책임

송혜정 민사판례연구회 2015 民事判例硏究 Vol.- No.37

대상판결은 개인정보를 처리하는 자가 수집한 개인정보를 그 피용자가 해당 개인정보의 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 그 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 여부는, 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 그 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다고 판시하였다. 이 글에서는 먼저 논의의 기초로서 개인정보의 의미와 보호의 법적 근거, 다양한 개인정보 침해 사안의 분류를 살펴보고, 개인정보 유출로 인한 손해배상책임 전반에 관하여 대상판결 이전의 관련 판결들에서 판단한 내용들에 초점을 두어 살펴본 후, 대상판결을 검토하였다. 대상판결은 우선 개인정보에 대한 위법한 침해가 있다고 하여 당연히 위자료로 배상할 만한 정신적 손해가 인정되는 것은 아니라는 점을 명확히 하였다는 점에서 의미가 있고, 또한, 대상판결에서 제시한 정신적 손해 발생 여부의 판단기준은 대규모 개인정보 유출 사고가 반복적으로 발생하여 이로 인한 손해배상청구소송이 줄을 잇고 있는 상황에서 기본적인 판단기준으로 적용될 수 있다는 점에서도 큰 의미가 있다. 대상판결에서 제시한 기준은 향후 다양한 사실관계에 기초한 여러 건의 손해배상사건에 적용되면서 더욱 정교하게 발전해 나갈 것으로 생각된다. The Supreme Court’s decision at issue is a case where personal information collected by a person who handles the information was leaked out by the person’s employee against the intentions of the subject of the personal information(hereinafter‘data subject’). The decision held that when determining whether the leakage caused the data subject to suffer emotional distress which qualifies as compensable damages, the determination should be made after considering the following circumstances, and judged accordingly and specifically to each individual case. Firstly, the type and characteristic of the leaked personal information; whether the data subject is identifiable through the leaked information; whether a third party accessed the leaked information, and if it did not occur, whether there is probability that a third party had such access or will have access in the future; to what extent the leaked information was spread; whether the leakage possibly caused any additional infringement of rights; the actual reality of how the personal information was managed by the person who handled the information, and the specific circumstances in which the information was leaked; and what measures were taken to prevent injury caused by the leakage, and to prevent the spread of leaked information. This article examines the meaning of personal information, the legal ground for the protection of personal information and the various types of personal information infringement as a basis for discussion, and then reviews existing decisions on related issues, and finally reviews the Supreme Court’s decision at issue. The Supreme Court’s decision at issue is meaningful in the aspects as follows: Firstly, the Decision made it clear that the personal information infringement does not necessarily cause emotional distress which qualifies for compensation; Secondly, the standard on the data subject’s emotional distress which qualifies as compensable damages set in the Decision can be a basic standard for damage claims based on the personal information leakage accident. The standard will be developed more elaborately through the application to various types of personal information infringement cases.

개인정보, 가명정보, 익명정보에 관한4개국 법제 비교분석

전승재,권헌영 한국정보법학회 2018 정보법학 Vol.22 No.3

엑스레이 사진에 환자의 이름이나 고유번호 등 인적사항이 쓰여 있지 않다면 이것을 개인정보로 볼 수 있을까. 만약 이것을 개인정보로 분류한다면 의료 데이터를 기반으로 질병 진단 인공지능을 연구⋅개발하는 딥러닝 회사는 사업을 포기해야 할 수도 있다. 정보주체의 동의를 받지 못하면 이를 촬영한 의료기관 외 제3자에게 제공하거나 목적 외로 활용하는 것이 법상 금지되기 때문이다. 엑스레이 사진은 지문정보처럼 전산 관리되지 않기 때문에 현재로서는 개인 식별에 사용될 여지가 적다. 즉, 활용상의 리스크가 낮다. 반면에, 이것을 활용하여 폐암 등의 진단을 자동화함으로써 얻어지는 가치는 국가 경쟁력과 국민의 삶의 질을 좌우한다. 이 때문에 EU, 일본, 미국에서는 그러한 데이터 활용의 길을 제도적으로 열어주고 있다. 그런데 우리나라에서는그 간 개인정보의 범위를 상당히 넓게 해석하면서, 개인식별성이 극히 낮은 정보라할지라도 보수적으로 접근하여 개인정보로서 분류하는 경향이 있어 왔다. 광범위한규제는 신산업을 위축시킨다. 우리나라에서도 개인정보의 산업적 활용의 길을 열어주기 위한 시도가 있었다. 2016. 6. 30. 정부 6개 부처 합동으로 발표한 개인정보 비식별 조치 가이드라인이 그것이다. 그런데 이것을 받아들이는 사회주체들의 관점은 크게 엇갈린다. 산업계는 빅데이터 산업의 활로를 열었다며 환영하면서도, 다른 한편으로는 위 가이드라인은 개인정보를 비(比)개인정보로 만들면 규제 적용을 면해주겠다는 당연한 내용에 불과하여종전과 달라진 것이 없다고 평가한다. 그런데 오히려 시민단체는 비식별 정보가 여전히 개인정보에 해당한다고 보아 가이드라인에 따라 서비스를 하던 공공기관과 기업을 개인정보 보호법 위반으로 고발하는 사태까지 빚었다. 한편, 일선 법원은 기술에대한 이해 부족으로 재식별 위험이 현저한 정보를 가리켜 비식별 조치 완료된 정보로판단해버리는 혼란을 겪고 있다. 물론 비식별화 제도는 외국에서도 통일이 되지 않아국가별로 가명정보의 개념 및 활용 요건을 조금씩 다르게 규율하고 있기는 하다. 다만, 적어도 EU, 일본, 미국의 법제는 구체적 사안에서 재식별 리스크에 비추어 적정한통제를 요구한다는 방향성에 있어서는 공통된다는 점을 참고할 필요가 있다. 이상과 같은 문제의식을 반영하여 2018. 11. 15. 국회에 발의된 개정법안은 개인정보 정의규정을 정비하고 가명정보 활용 여지를 열어주는 내용을 담고 있다. 개정안에대한 논의 과정에서 우리 사회의 위험 통제 역량을 검증하며 개인정보 보호와 활용의균형점을 도출할 것을 간절히 기대한다. If the information such as the patient’s name or ID is not written to the x-ray photographs, can it be treated as personal information? If this is classified as personal information, a deep-running company that researches diagnostic artificial intelligence based on medical data may have to give up the business. If the consent of the data subject is not received, it is prohibited by law to provide it to a third party or use it in further research purpose. X-ray photographs are not computerized like fingerprint information, so there is little room for personal identification at this time. Thus, utilization risk is low. On the other hand, using this information to automate the diagnosis of lung cancer is very valuable. For this reason, the EU, Japan, and the US are institutionally opening the way to utilize such data. In Korea, however, the scope of personal information has been widely interpreted. For this reason, even if the possibility of individual identification of data is significantly low, there has been a tendency to approach conservatively and classify it as personal information. This widespread regulation undermines new industries. There has been an attempt to open the way of industrial utilization of personal information in Korea - “Guideline for Personal Information De-identification Measures” has been announced by the government on June 30, 2016. However, the viewpoints of the social actors who accept this guideline are very different. Industry welcomes the guildeline because it make big data industry legal. On the other hand, the above guidelines do not seem to be different from the previous status, because it is merely a reaffirmation of the content that the information will be exempted from regulation if personal information is made into non-personal information. However, NGOs have been accused of violating the personal information protection law of public institutions and companies that have been providing services according to the guideline, because de-identified information still belongs to personal information. Furthermore, the court confuses the information with significant re-identification risk with de-identified information. Of course, the de-identification legislation is not unified globally, concepts and of pseudonym information and legal obligation around it are slightly different by each country. But it should be noted that at least the EU, Japan, and the United States legislation are common in the direction of requiring appropriate control in light of re-identification risks in specific cases. The revision bill initiated by the National Assembly reflects the above-mentioned issues, and it contains the contents to improve the definition of personal information and to open the room for industrial utilization of pseudonymised information. In the process of discussing the amendment, we are eager to verify the risk control capacity of our society and to derive a balance of protection and utilization of personal information.

소비자유형별 개인정보의 주관적 가치평가 차이에 대한 분석 : 개인정보 제공 및 보호행동을 중심으로

여정성,김정은 한국소비자정책교육학회 2010 소비자정책교육연구 Vol.6 No.1

본 연구에서는 소비자의 관점에서 개인정보 가치에 대한 측정을 시도하였으며. 이와 함께 개인정보 관련 소비자행동 수준에 따라 소비자를 유형화때 각 유형별 특성을 알아보았다. 분석 결과 다음과 같은 결론을 얻을 수있었다. 첫째, 개인정보가치평가금액은 평균(약 149만원) , 중앙값(50만원) , 최빈값(1 00만원)인 것으로 나타나,개인정보유출 관련 판결에서의 현 보상수준을 상향조정할 필요가 있음을 알 수 있다. 둘째, 개인정보 제공습관 보호행동 수준의 ‘상(上)’, ‘하(下) 에 따라 응답자를 4가지 유형으로 분류하고, 각 유형들의 특성에 따라 모순형 (제공上-보호上), 제공주력형(제공上-보호下) . 보호주력형(제공下-보호上) , 방임형(제공下-보호下)이라 명명하였는데, 응답자들 대부분은 모순형에 속해 있었다. 셋째, 유형화된 소비자집단별 개인정보 가치평가의 차이를 분석한 결과, 다른 세 유형에 비해 보호주력형의 경우 가치평가 금액이 더 높게 나타났고(약 223만원) . 방임형은 가장 낮은 것으로 나타났다(약 124만원) . 각 소비자유형에 따른 세분화된 정책설계와 실행이 요구된다.

개인정보유출에 따른 위자료 배상 연구: 약학정보원 사건을 중심으로

구영신 이화여자대학교 생명의료법연구소 2019 Asia Pacific Journal of Health Law & Ethics Vol.13 No.1

It is hard to find a case where alimony was paid due to mental damage caused by the leakage of personal information, unless there is secondary damage. In the so-called Pharmacological Information Center case, the court rejected the mental damages claim by the analogy with an existing Supreme Court precedent on the basis of judging whether or not the data subject has suffered mental damage due to personal information leakage. However, the criteria for determining whether or not a data subject has suffered damage caused by personal information leakage is difficult to apply when the data subject claims damages against a third party who illegally collected his or her personal information. In addition, it appears that the nature of the damage caused by personal information leakage or the degree of sensitivity of personal information is not fully considered. Moreover, since the regulation on compensation for damages under the Personal Information Protection Act does not apply to claims for damages against those who are not personal information controllers, research on the criteria for determining whether or not any mental damages have occurred due to the leakage of personal information is still urgently needed. It will be said that judging whether there are any mental damages due to the leakage of personal information directly reflects the values and perceptions that our society places on personal information. Considering the situation in which the self-determination right of personal information is specified in the real law, and personal information is traded like a real product as a resource that generates economic value in the information society, the judgment criteria for the occurrence of mental damage should be reset to a more active and practical level. 개인정보 유출에 따른 정신적 손해로 위자료가 지급된 사례는 2차 피해가 없는 한 찾기 힘들다. 소위 약학정보원 사건에서 법원은 개인정보 유출에 따른 정보주체의 정신적 손해 유무의 판단기준에 관한 기존 대법원 판례 법리를 적용하여 정신적 손해배상청구를 기각하였다. 그러나 위 대법원 판례에서 제시하는 손해 유무의 판단 기준은 개인정보를 불법 수집한 제3자를 상대로 손해배상청구를 한 경우 적용하기 어려운 측면이 있다. 또한, 개인정보 유출에 따른 피해의 특성이나 개인정보의 민감성 정도 등이 충분히 고려되지 않은 것으로 보인다. 더구나 「개인정보 보호법」상의 법정손해배상 규정은 개인정보처리자가 아닌 자에 대한 손해배상청구에는 적용되지 않아 개인정보 유출에 따른 정신적 손해유무의 판단기준에 대한 연구는 여전히 절실하다. 개인정보 유출에 대한 정신적 손해 유무의 판단에는 우리 사회가 개인정보에 부여하는 가치와 인식이 반영된다고 할 것이다. 개인정보자기결정권이 실정법에 구체화되어 있고, 정보화 사회에서 개인정보는 경제적 가치를 창출해 내는 자원으로서 실제상품처럼 거래되고 있는 상황 등을 고려할 때, 정신적 손해 발생의 판단기준은 좀더 적극적이고 실질에 맞게 재설정되어야 한다.

개인정보 집단분쟁해결제도에 관한 연구

권수진 미국헌법학회 2019 美國憲法硏究 Vol.30 No.3

With the development of information and communication technology in modern society, the importance of personal information is emphasized. Damage due to leakage or misuse of personal information can occur to many people at the same time, and it is difficult to accurately predict or calculate the damage amount such as mental damage and property damage. It is difficult for the data subject to recognize and control the infringement or leakage of his or her personal information in advance, and once the invasion of personal information occurs, it can be spread to the secondary and tertiary damages, and the restoration of the original by the after-sale remedies is almost impossible. impossible. Infringement and leakage of personal information not only violates the constitutional right of privacy and personality of the data subject, but also causes many victims, damages to property, and affects the market economy. It is perceived as a national task rather than an individual problem. In particular, in the case of large-scale information leakage and damage, Korea introduced a collective dispute mediation system for personal information. Through such a system, the dispute resolution system for personal information will be resolved fairly and promptly. The aim was to contribute to the protection of the rights of information subjects through the prompt remedy of damages caused by abuse. However, unlike the existing legislative purpose, the actual performance of the collective dispute mediation system of personal information is very low. The reason why the utilization rate of the current personal information collective dispute settlement system is low is largely because the effect of the mediation is not compulsory and the advantages of the system are not saved. Along with efforts to improve the collective dispute settlement system, discussions on the introduction of a class action system appropriate for our situation should be embodied. In this paper, we will look into the personal information infringement remedies legislation, especially the personal information collective dispute mediation system and personal information group lawsuit, and suggest the legislative improvement direction for activation. 현대사회에서 정보통신기술의 발달함에 따라 개인정보에 대한 중요성이 강조되고 있다. 개인정보의 유출은 대규모로 일어나며 수많은 피해자에게 정신적・재산적 피해를 입힐 수 있다. 개개인의 정보주체는 사전에 자신의 개인정보의 침해나 유출을 인지하고 통제하기 어렵고, 일단 개인정보 침해가 일어나면 후속피해로 확산될 수 있을 뿐 아니라 사후적 구제조치를 통한 원상회복도 거의 불가능하다. 이러한 개인정보의 침해와 유출은 정보주체가 가지는 헌법이 보장하는 기본권인 개인정보자기결정을 침해한다. 다수의 피해자가 발생하는 점, 재산적 피해도 함께 입을 수 있다는 점, 시장경제질서에 영향을 미치는 점에서 개인정보의 보호는 중요한 사회적 문제이다. 대규모 정보유출과 피해를 방지하고 분쟁의 조속한 해결과 개인정보처리자의 불법 오・남용으로 인한 피해를 막기 위하여 우리나라는 개인정보 집단분쟁조정제도를 도입하였다. 개인정보 집단분쟁조정제도를 통하여 정보주체의 권익 보호에 기여하고자 하였다. 그러나 기존의 입법취지와는 다르게 실제 개인정보 집단분쟁해결제도의 이용실적은 매우 저조한 것이 현실이다. 집단분쟁조정제도의 활성화를 위하여 제도를 개선하기 위한 노력이 필요하며 우리나라의 현실에 맞는 집단소송제도의 도입을 논의하여야 한다. 본 논문에서는 개인정보 집단분쟁해결제도에 관하여 살펴보고, 특히 개인정보 집단분쟁조정제도와 개인정보 단체소송의 활성화를 위한 법제개선 방향을 제시하고자 한다.

개인신용정보 공유 방안에 관한 연구

정형권 한국은행 2005 經濟分析 Vol.11 No.3

금융기관들이 개인의 우량신용정보를 공유하여 동 정보를 대출심사에 활용하면 상대적으로 우량차입자에 대한 대출이 증가하게 되므로 개별금융기관의 자산 건전성이 제고될 뿐 아니라 소비도 늘어난다는 이론이 최근 설득력을 얻고 있다. 우리나라의 경우 금융기관들이 개인신용정보를 불량정보 위주로 공유하고 있는 점을 감안하여 본 연구에서는 먼저 개인신용정보 공유에 관한 주요국의 현황을 살펴보고 금융기관들이 우량신용정보를 자발적으로 공유할 유인이 있는지의 여부를 이론 모형을 통해 분석한 다음 우리나라의 경우 효과적인 개인신용정보 공유를 위한 정책과제를 모색하였다. 이론 모형의 분석 결과 사회후생 측면에서 보면 은행들이 개인의 불량 및 우량 신용정보를 모두 공유하는 것이 바람직하나 각 은행의 입장에서는 우량신용정보를 공유하는 경우 공유하기 이전에 비해 이윤이 낮아지기 때문에 자발적으로 우량신용정보를 공유하려는 유인은 낮은 것으로 나타났다. 한편 불량신용정보만을 공유하면 각 은행의 이윤이 증가하기 때문에 은행간에 자발적으로 불량신용정보를 공유하려는 유인은 존재하는 것으로 나타났다. 이러한 분석을 바탕으로 다음과 같은 정책과제를 고려하였다. 첫째, 우리나라와 같이 금융기관들이 전국망을 통해 가격 경쟁을 하는 상황에서는 금융기관간에 불량신용정보를 공유하려는 유인은 강한 반면 우량신용정보를 공유하려는 유인은 매우 약한 점을 감안할 때 개별 금융기관들이 우량신용정보를 공적 신용정보집중기관(PCR)에 집중하고 이를 상호 공유하도록 제도화할 필요가 있다. 둘째, 개인신용정보회사(CB)가 공적 신용정보집중기관에 집중된 개인의 신용정보를 바탕으로 개인에 관한 추가적인 신용정보를 수집, 가공 및 평가하는 경우 보다 충실한 신용보고서 작성이 가능하다는 점에서 현행 신용정보 관리체제에서와 같이 개인신용정보회사가 공적 신용정보집중기관에 집중된 개인신용정보를 제공받는 상호 보완관계를 유지하는 것이 바람직할 것으로 판단된다. We explore whether banks have an incentive to share credit information voluntarily in a duopoly model where they compete with each other in a Bertrand fashion over borrowers seeking consumer loans. We also analyse the extent of information-sharing that is desirable in terms of social welfare. The key characteristic of our model is that information-sharing increases the accuracy of each bank's screening technology but it also intensifies competition pressure. We show that two banks have an incentive to share only negative information, even though it is socially desirable for two banks to share both positive and negative information. The key policy implication of this result for Korea, where only negative credit information is exchanged, is that the Government should consider the sharing of positive credit information through a Public Credit Registry.

개인정보보호의 민사법적 쟁점

송재일(SONG, Jaeil) 한국법학회 2014 법학연구 Vol.54 No.-

개인정보의 보호가 점점 심각한 문제가 되고 있다. 2011년 개인정보보호법이 시행되었지만, 오히려 더 복잡해진 개인정보보호법제, 여러 법률이 각기 규율됨에 따른 규제의 혼란, 법원의 피해자 구제에 대한 소극적인 태도, 이에 기댄 기업의 개인정보에 대한 소홀한 관행 등이 IT 정보화의 후폭풍으로 국민들의 불안을 키우고 있다. 이 글에서는 개인정보침해에 따른 민사법상 쟁점과 그 피해예방 및 구제방안에 대하여 살펴보았다. 먼저 개인정보 보호에 관한 권리는 미국의 경우, 프라이버시권에서 확장된 정보 프라이버시 개념으로 인정되었다. 독일의 경우, 일반적 인격권에 의해 자기결정권을 보호해 왔고 이것이 발전하여 일반적 인격권의 내용으로 정보자기결정권으로 인정되었다. 개인정보는 그 자체가 정보주체와 분리되어 독립된 가치를 갖는 것은 아니므로 개인정보를 재산권이 대상으로 파악하는 것은 부적절하다. 오히려 개인정보의 공개와 이용이 인격의 발현과 인간의 존엄성에 직접 영향을 미칠 수 있으므로, 개인정보에 관한 자기결정권은 인격권으로 파악해야 할 것이다. 개인정보에 관한 인격권이 침해되었는지 여부는 우선 법률에 규정된 절차 등이 제대로 준수되었는지를 기준으로 판단해야 할 것이다. 그리고 이러한 법률이 직접 적용되지 않는 사안에서는 다른 이익과의 형량을 통하여 그 침해 여부를 판단해야 할 것이다. 개인정보에 관한 인격권이 침해된 경우, 사후적 구제로서 손해배상청구권뿐만 아니라 사전예방적 구제로서 금지청구권을 인정하는 것이 타당하다. 개인정보보호법에 규정된 열람요구권, 정정 ? 삭제요구권, 처리정지요구권 등도 금지청구권과 관련된 것으로 보인다. 또한 개인정보에 관한 인격권이 침해된 경우 피해자는 계약책임 또는 불법행위책임으로 손해배상을 청구할 수 있다. 개인정보에 관한 인격권이 침해되면 항상 정신적 손해에 대한 배상책임이 인정되는지 문제된다. 최근 이를 부정하는 취지의 판결이 선고되기도 하였으나, 정보주체의 결정권 자체가 침해된 것이므로 이로 인한 정신적 손해를 인정하는 것이 타당하다. 개인정보보호법상 피해예방 및 피해구제방안은 단체소송, 손해배상책임 및 분쟁조정으로 구성된다. 그러나 피해예방 및 피해구제의 실효성을 높이기 위해 해석론에서는 입증책임전환에서는 사업자가 실질적인 보호조치를 하였는지 여부를 판단하고, 정보안전조치에 대한 인증을 갖춘 경우 경감하는 해석 등으로 사업자의 주의의무를 환기시키는 것이 필요하다. 입법론으로는 분쟁조정의 활성화, 단체소송제도의 개선, 기금 및 보험 등의 도입도 적극적으로 고려할 필요가 있다. This article analyses the issues of private law on the personal information protection and remedies. The right on the personal information protection is accepted the ‘information privacy’ in U.S, and the ‘Recht auf informationelle Selbstbestimmung’ as general personality right in Germany. Personality right also originated from Constitution §10 or §17 in Korea. In case of infringement of personal information, injured parties deserve compensation as well as injunction. Though some trial court hold the deny of claim against alimony of leaked custom information for reason of not existing actual damage, I suggest actually non-monetary damage exists. Custom-friendly jurisprudence and regulatory policy mix work to alleviate suffering, build trust and prevent conflict. Korean Personal Information Protection Act 2011 consists of some articles on the damage prevention, civil action, dispute mediation committee, etc. It needs to be reformed in field of the protection certification system, foundation, and insurance, etc. in order to work effectively for the injured parties and to lessen damage.