개인정보보호위원회의 조직과 권한에 관한 연구

김일환 ( Ilhwan Kim ),김재현 ( Jaehyoun Kim ) 한국인터넷정보학회 2015 인터넷정보학회논문지 Vol.16 No.4

개인정보보호위원회는 대통령 소속으로 그 권한에 속하는 업무를 독립적으로 수행하며, 장관급인 위원장과 차관급인 상임위원을 포함하여 총 15명의 위원(대통령 지명 5, 국회 선출 5, 대법원 지명 5)으로 구성된다. 개인정보 보호위원회의 주요 기능은 개인정보 보호 관련 주요 정책 심의 의결 및 법령·제도 개선, 개인정보 보호 관련 공공기관 간 의견 조정, 중앙행정기관, 지방자치단체 및 헌법기관의 침해행위 중지 등 개선권고, 개인정보 보호에 관한 연차보고서의 국회 제출 등이다. 현행 개인정보보호법제는 독립된 형태의 외부감독기관인 개인정보보호위원회와 소관 부처들이 동시에 개인정보보호에 관하여 규율하는 다중규율체계가 특징이다. 현행법에 규정된 개인정보보호위원회의 기능과 역할은 국제적 기준이나 그동안 논의되었던 수준에 비하면 보호기구의 독립성과 권한 등에서 많이 부족하다. 이러한 위원회는 효율적인 개인정보보호를 위한 독립된 기구로서 충분한 역할을 하기 어렵다고 판단된다. 따라서 개인정보보호위원회의 설립취지를 살리는 법개정작업을 제안하고자 한다. The Personal Information Protection Commission shall be established under the direct jurisdiction of the President and shall independently perform affairs under its authority. It shall be comprised of total 15 members (5 members designated by the President, 5 members elected at the National Assembly and 5 members designated by the Chief Justice of the Supreme Court), including one minister-level Chairperson and one vice-minister-level standing member. Main functions of the Personal Information Protection Commission include deliberation and resolution of major policies and improvement of ordinances and systems related to personal information protection, coordination of opinions among public institutions in regards to the management of personal information, recommendation of improvement such as suspension of infringement by a central administrative agency, a local government and a constitutional institution, and submission of annual reports on personal information protection to the National Assembly. The function and role of the Personal Information Protection Commission regulated by the current law are insufficient in terms of independence and authorities of protection agencies compared to the international standard or level of discussion. The Commission thus cannot play a sufficient role as an independent agency for efficient protection of personal information. Therefore, there is a need for law revision that revives the purpose of the establishment of the Personal Information Protection Commission.

개인정보의 보호와 이용법제의 분석을 위한 헌법상 고찰

김일환(ILHWAN KIM) 한국헌법학회 2011 憲法學硏究 Vol.17 No.2

헌법상 개인정보자기결정권은 원칙적으로 자기의 개인정보를 공개하고 이용하는 것에 관하여 스스로 결정할 개개인의 권리를 뜻한다. 그러나 이러한 개인정보자기결정권은 자기의 정보에 관한 절대적인 지배권을 개인에게 부여하지는 않는다. 개인정보자기결정권과 개인정보의 공개와 이용에 관한 권리들 간에 갈등이 있음은 물론 부인될 수는 없다. 그럼에도 불구하고 가능한 한 양자 모두 그 작용을 발현하고 한 권리가 다른 권리를 통하여 절대적으로 차단되지 않을 것이 요구된다. 따라서 이 양자 간에 존재하는 이러한 긴장관계를 조정하는 것은 우선적으로 입법자의 과제이다. 그리고 입법자가 이러한 과제를 충실히 수행한 경우에 개개 경우에 구체적으로 개인정보보호가 우선되는지 아니면 개인정보의 공개나 이용이 중요시되는지를 판단해야만 하는 것이다. 헌법상 개인정보의 보호와 이용에 관한 다양한 기본권들이 있는 바, 이에 대한 고찰은 매우 중요하다. 왜냐하면 이러한 분석과 연구가 선행되어야만 관련 법제의 정비방향과 내용들이 체계적이고 구체적으로 제시될 수 있기 때문이다. 특히 2004년 이후 개인정보보호법 제정논의가 지루하게 이루어지는 과정 속에서 공공부문과 민간부문에서 개인정보보호 및 이용과 관련하여 일관된 원칙과 기준없이 많은 법률들이 만들어졌다. 이제부터 새로 제정된 개인정보보호법에 맞추어 기존의 관련 법률들을 재검토해야 한다. In principle, the constitutional right to self decision of personal information is the right to decide to open and use personal information for themselves. However this right to self decision of personal information doesn’t vest absolute control respecting own information to each individual. We can not deny, of course, that there exist conflicts between the right of decision for personal information and the right of opening and using personal information to the public. Nonetheless, both rights need to function desirably as far as possible. And it is required that one right should not disturb the other right. Therefore, it is a lawmaker’s tasks to arbitrate a dispute between the two. When lawmaker faithfully carries out one’s such duties, we have to judge concretely whether the protection of personal information should take precedence over opening and utilization of personal information to the public or not. Constitutionally, there are diverse rights concerning the protection and utilization of personal information. It is very important to study about these protection and utilization. The importance of preceding this study in advance lies in the fact that the improvement direction and contents of related legal system can be concretely and systematically suggested afterward. Later, particularly since 2004, many regulations were enacted without consistent principle and standard concerning the protection and utilization of personal information in the field of public and private sectors during the tedious process of enacting the personal information law. From now on, several established laws should be reconsidered according to the new personal information protection law.

개인정보보호 법제도의 인식이 개인정보보호 태도와 행동에 미치는 영향에 관한 연구

이종주,추현호,오인하 한국혁신학회 2024 한국혁신학회지 Vol.19 No.1

데이터가 기업의 경쟁우위를 좌지우지하는 데이터 경제에서 개인정보의 수집, 보관, 활용은 중요한 문제이다. 기업은 보유하고 있는 개인정보의 유출・침해 문제로 인해 정보주체에게는 돌이킬 수 없는 손해를 가하고, 그로 말미암아 법적 책임을 지거나 고객으로부터 신뢰를 잃는다. 개인정보보호법은 개인정보처리자의 책임과 의무를 강화하였지만, 조직 구성원의 개인정보보호 행동을 도모하는데 현실적인 한계가 있다. 그래서 개인정보보호법 은 개인정보 처리방침 등 조직 내부규정을 마련하고 준수하도록 강제하고 있다. 본 연구는 개인정보보호 법과 조직 내부규정이 개인정보보호 태도와 행동에 미치는 영향에 대해 연구하였다. 총 242명의 설문서 답변을 SPSS 을 통한 회귀분석과 SPSS Process macro를 통해 매개효과 분석을 실시하였다. 그 결과 개인정보보호 법제도가 개인정보보호 태도와 개인정보보호 행동에 유의한 영향을 미치는 것을 확인할 수 있었다. 또한, 개인정보 보관 및 활용태도 개인정보보호 행동에 유의한 영향을 미치는 것을 밝혔다. 그리고 개인정보보호 법제도 인식과 개인정보보호 행동 사이에서 개인정보 보관태도의 매개효과를 통계적으로 검증하였다. 본 연구 결과를 통해 기술혁신을 달성하고자 하는 조직에게 개인정보보호 행동을 강화하는 방안을 제시하였다. Companies take data very seriously in the data economy and are interested in the collection, storage, and utilization of privacy data. Due to leakage and infringement of the privacy that companies possess, they cause serious damage to the subject of privacy, take legal responsibility, or lose trust from customers. Although the Privacy Protection Act has strengthened the responsibility and obligations of the privacy man- ager, it has limitations in strengthening the personal information protection behaviors of organization members. Therefore, the Privacy Protection Act compels companies to prepare and comply with internal regulations such as a privacy notice. This study empirically analyzed the effect of Privacy Protection Act and internal regulations on privacy protection attitudes and behaviors. A total of 242 questionnaire re- sponses were analyzed for regression analysis through SPSS and mediation effect analysis through SPSS Process macro. As a result, it was confirmed that the privacy legal system perception had a significant effect on privacy protection attitudes and behaviors. In addition, among the privacy protection attitudes, it was revealed that the storage and utilization attitudes had a significant effect on privacy protection behaviors. And, the mediating effect of the privacy protection attitude between the perception of the privacy legal system and the privacy protection behavior was statistically verified. Through the results of this study, it is proposed to strengthen privacy protection behavior for companies that want to achieve technological innovation.

個人情報保護에 대한 國際的 動向 分析 : 3가지 執行모델과 그 統合論을 中心으로

李仁皓 법무부 2003 선진상사법률연구 Vol.- No.18

In these days, we see a worldwide consensus about the values of personal information protection and the fundamental principles of information processing. The informational privacy is an essential value of democratic society. The fundamental principles of information processing are included in the OECD Guidelines (1980), the Convention No 108 of Council of Europe (1980), the UN Guidelines (1990), and the EU Directive 95/46/EC (1995). There are, however, three models of implementing the fundamental principles of information protection: rights-dominated, market-dominated, and technology-dominated model. These models come from three distinct perspectives: political, economic, and technological. In Europe, informational privacy is an inherently political right and is guaranteed by comprehensive legal mechanisms. By contrast, in the United States, information protection is left basically to the marketplace and the desire to have market-based protections for consumers. Across these two policy models, technological rules and defaults define information practices for network interactions. Respectively each of the three models has inherent deficiencies that circumscribe effective protection of personal information. The technical approach, standing alone, does not assure the fair information practices. The U.S. approach leaves aside important aspects of information privacy such as non-market democratic values, while the European comprehensive legislative model faces significant specific problems. The legal, technological and market models are, in fact, interdependent as tools for effective information protection. The three models need to be channeled in the same direction so that the approaches support each other rather than frustrate each other. 정보사회로 진입한 세계의 민주국가들에서 이제 개인정보보호(information privacy)는 중요한 인간의 가치임과 동시에 민주적 정치질서의 핵심적인 요소로 인식되고 있다. 아울러 개인정보보호는 인터넷과 전자상거래를 활성화시키는데 필수적인 요소라는 점 또한 분명히 인식되고 있다. 이러한 개인정보보호의 가치는 "개인정보자기결정권" 내지 "정보적 자기결정권"(right of information privacy; Recht auf informationelle Selbstbestimmung)이라는 구체적인 권리로 표현되고 있다. 그 결과 지난 30여년에 걸쳐, 세계의 각 정부와 이론가들은 개인정보보호를 위해 요구되는 개인정보처리의 기본원칙들을 확인하여 왔다. 이들 원칙은 1980년의 OECD 가이드라인을 비롯해서 여러 국제규범과 각국의 개인정보보호법 및 산업계의 자율규제규범에 구현되어 있다. 그러나 이 기본원칙을 구체화하는 개인정보보호정책은 국가마다 매우 다양하다. 예컨대, 미국은 개인정보보호에 대해 시장중심적 정책(a market-dominated policy)을 가지고 있고, 개인정보에 대해 제한적으로만 의회제정법상의 보호나 판례법상의 권리를 인정해주고 있을 뿐이다. 반면에, 유럽연합은 권리중심적 접근방법(a rights-dominated approach)을 취하면서, 각 회원국들이 포괄적인 보호입법을 갖추도록 요구하고 있다. 이러한 보호정책의 불일치는 국경이 없는 온라인공간에서 개인정보보호의 가치와 자유로운 정보유통의 가치를 조화하는 것을 더욱 어렵고 복잡하게 만든다. 분산된 네트워크 구조가 확산되고 범세계적인 개인정보유통이 일상화되면서 개인정보 보호가 범세계적 성격을 띠게 되었고, 이에 따라 개인정보보호는 이제 새로운 차원으로 전개되고 있다. 본 논문은 이러한 맥락에서 전개되고 있는 국제적 논의와 그 흐름을 짚어 봄으로써, 개인정보보호의 새로운 성격을 이해하고 앞으로의 적절한 대응방안을 모색하기 위한 비전을 제시한다.

개인정보보호 관련법의 해석에 있어서 이익형량론과 일반적 이익형량 규정의 필요성에 관한 고찰

최경진 사법발전재단 2017 사법 Vol.1 No.40

In the emerging data-driven economy, human beings are the focal point through which all technologies and services are connected. Creation of added values and diverse social values originate in the data on human activities or the multi-faceted environments surrounding humans. This trend underlines the importance of the value of data. Of these, personal dataeither connected or related to humanswill likely take on the most significant value. This is where the importance of legislations regulating personal data comes in. As the influence of personal information grows in the data-driven economy, so also the interpretive gap on personal information protection widens, depending on the position and viewpoint thereon, calling for the reconciliation of the two conflicting interests. In a data-driven economy, personal information is neither something to be entirely protected nor something to be entirely utilized. It is inevitable that efforts should be made to harmonize personal information protection and utilization. To this end, the following steps are to be taken: (a) clearly define the purpose and basic ideals of the laws protecting personal data; (b) reasonably interpret the laws on personal information protection by accurately reflecting the social demand; and (c) in the event the current laws are too strict for any reasonable interpretation, consider inserting a new interest-balancing provision so as to adjust the conflicting interests. This article intends to examine the following: (a) major issues of personal information protection laws and the need for the balancing of interests; (b) the concept and legal nature of personal information; (c) the purpose and regulatory direction of personal information protection laws; (d) the need for an interest-balancing theory; and (e) the need to introduce a general provision on interest-balancing from a legislative perspective. In conclusion, this article argues for the need to utilize an interest-balancing theory allowing for the reasonable and adequate interpretation of personal information protection laws consistent with their inherent goal of reconciling the protection and processing of personal information, as well as arguing for the legislative need to introduce a general statutory provision on interest-balancing. 새롭게 발전하고 있는 데이터 기반 경제(data-driven economy)하에서는 사람을 중심으로 모든 기술과 서비스가 연결되면서 사람의 활동과 관련되거나 사람을 둘러싼 다양한 환경에 대한 정보를 바탕으로 부가가치가 창출되고 다양한 사회적 가치가 창출될 수밖에 없다. 이러한 흐름은 정보의 가치를 더욱 중요하게 만들게 되는데, 그러한 정보 중에서도 사람과 연결되거나 사람에 관한 정보가 더욱 중요한 가치를 가지게 될 것이다. 여기에서 개인정보(personal data 또는 personal information)를 규율하는 법제의 중요성이 부각된다. 정보 기반 경제에서 개인정보의 영향력이 증대되는 만큼 개인정보보호에 대한 입장이나 시각에 따라서 해석에 대한 입장차도 커질 수밖에 없다. 여기에서 충돌하는 두 개의 법익 사이의 조화에 대한 노력의 필요성을 제기할 수 있다. 개인정보는 데이터 기반 경제 환경에서 반드시 보호만 하여야 할 대상도 아니고 활용만 고집할 대상도 아니다. 어쩔 수 없이 우리는 개인정보의 보호와 활용을 조화시키는 노력을 하여야 한다. 이를 위해서는 개인정보의 성격 및 개인정보를 보호하는 법률의 목적과 기본 이상을 명확히 정립하고, 사회가 요구하는 수요가 무엇인지도 정확하게 반영하여 개인정보보호 관련법을 합리적으로 해석할 필요가 있다. 나아가 현행법이 너무 엄격하여 합리적 해석을 하기 어렵게 만든다고 판단된다면, 사후적으로 충돌하는 이해관계를 조정할 수 있는 이익형량 규정을 신설하는 방안을 고려할 필요가 있다. 이 글에서는 현행 개인정보보호 관련법의 주요 쟁점과 이익형량의 필요성을 검토한 후, 개인정보의 개념, 법적 성격, 개인정보보호 관련법의 목적과 규율방향, 개인정보보호 관련법의 해석 시 이익형량론의 필요성과 입법적 측면에서 일반적 이익형량 규정의 도입 필요성 등을 차례로 검토하였다. 결론적으로 개인정보보호 관련법이 개인정보의 보호와 처리의 조화라는 본질적 목적에 부합하도록 합리적이고 적정하게 해석될 수 있는 이익형량론을 활용하고 입법론적 측면에서도 일반적 이익형량 규정의 도입을 검토할 필요가 있다.

정합성의 입장에서 본 「개인정보보호법」 제6조와 「정보통신망법」 제5조의 ‘다른 법률에(서) 특별한 규정’에 대한 소고

임규철 서울시립대학교 서울시립대학교 법학연구소 2018 서울법학 Vol.25 No.4

The Personal Information Protection Act and the Information and Communication Network Act have a relationship between general law and special law. The general law and the special law do not guarantee the absolute superiority of the special law unless it is exclusively regulated or interpreted exclusively. It only recognizes the relative superiority of the two judges in view of the overall situation. If man is confronted with contradictions or conflicts, man should review the legislative history, legislative purpose, legislative system, regulation(content) and scope of application in a comprehensive manner. The Supreme Court's judgment in Korea is also applicable to the Personal Information Protection Act and the Information Communication Network Act, which are two pillars of the personal information legal system, because the ruling is applied without any distinction of the area and it is rational. If it exists only in each law like Article 8-2 and 25 of the Personal Information Protection Act or Article 63 of the Information and Communications Network Act, only those regulations apply. However, the provisions of Article 15, Paragraph 1, Item 2 of the Personal Information Protection Act, ‘inevitable cases due to statutory obligation to comply’ are applied to the personal information processor and the information communication service provider simultaneously. The personal information protection officer regulations in Article 31 of the Personal Information Protection Act also apply to the Information and Communication Network Act. On the other hand, Articles 30 and 36 of the Personal Information Protection Act or Article 27-2, 44-2 and 44-3 of the Information and Communications Network Act should be individually applied. The difficulty of the work due to the multiple regulation of the personal information processor and the information and communication service provider should be overcome In order to reduce the burden on business operators, it is necessary for the legislator to actively try to reduce the burden on the operators through the abolition of the same or similar clause in the Information and Communications Network Act after the abolition of the same or similar clause in the Personal Information Protection Act. 「개인정보보호법」과 「정보통신망법」은 일반법과 특별법의 관계를 가지고 있다. 일반법과 특별법의 우열에 있어 2017년 「신용정보법」 개정안 및 독일의 BDSG처럼 배타적으로 명문의 규정의 존재 혹은 해석이 되지 않는 한 특별법의 절대적 우위는 없다고 보는 것이 타당하다. 두 법사이의 전체적인 상황을 종합적으로 고려해 상대적 우위를 인정할 뿐이라는 의미다. 대법원도 ‘입법목적을 달리하는 법률들이 일정한 행위에 관한 요건을 각각 규정하고 있는 경우에는 어느 법률이 다른 법률에 우선하여 배타적으로 적용된다고 해석되지 않는 이상 그 행위에 관하여 각 법률의 규정에 따른 요건을 갖추어야 한다.’는 전제하에서 ‘일반법과 특별법과의 관계에서 발생하는 문제해결은 일괄적 해결이 아닌 동일한 형식의 성문법규인 법률이 상호 모순 및 저촉되는 경우로 한정해서 법 적용판단을 해야 한다. 상호 모순 및 저촉 여부에 해당되는 경우 입법연혁, 입법목적, 입법체계, 규정사항(내용) 및 적용범위 등을 종합적으로 검토하여 판단해야 한다.’는 입장이다. 즉, 일반법 일괄배제의 해석은 무리가 있다는 것이다. 또한 규범내용은 서로 달라야 한다. 이러한 대법원의 판단은 개인정보법제의 두 기둥인 「개인정보보호법」과 「정보통신망법」의 내용적으로 중복유사한 규범의 해석의 경우에도 적용이 가능하다. 해당 판결 자체가 특정 영역에 대한 판단이 아니라 일반적인 일반법과 특별법 관계에 대한 합리성이 있는 판례이고, 2018 BDSG처럼 「개인정보보호법」과 「정보공개법」이 상당히 유사한 관계에 있는 법이기 때문이다. 「개인정보보호법」 제8조의2 및 제25조와 제58조처럼 혹은 「정보통신망법」 제63조 제2항처럼 각자의 법에만 존재한다면 각각 해당 규정만이 적용된다. 그러나 「개인정보보호법」 제15조 제1항 제2호의 ‘법령상 의무준수를 의한 불가피한 경우’의 규정은 개인정보처리자 및 정보통신서비스제공자에게 동시에 적용이 된다. 「개인정보보호법」 제31조의 개인정보보호책임자 규정은 「정보통신망법」에도 적용이 된다. 반면에 「개인정보보호법」 제30조와 「정보통신망법」 제27조의2의 개인정보처리방침은 각각의 적용대상자에 따라 내용을 정하면 된다. 행정안전부 및 방송통신위원회의 ‘고시’를 통한 비밀번호 등 안전성 조치에 관한 개별적인 규정 그리고 삭제권을 다루고 있는 「개인정보보호법」 제36조와 「정보통신망법」 제44조의2 및 제44조의3의 규정도 동일하다. 입법론적으로 보면 정합성의 원칙에 따라 일반법 중심으로 즉, 「정보통신망법」상의 동일 혹은 유사한 조항의 대폭폐지 후 「정보통신망법」 제63조의 제2항, 제22조, 제27조, 제27조의2 및 제30조 등 폐지 후 합리적인 내용수정과 함께 혹은 「정보통신망법」상의 이용자 보호규정의 일괄폐지 후 특수한 상황에 맞는 개별조항과 함께 「개인정보보호법」으로의 편입 등을 통해 사업자의 부담을 경감시켜줄 수 있는 입법자의 적극적인 노력이 필요하다. 현실에서는 정반대로 방송통신위원회 주도하에 각 개별법의 구체화를 강화시키는 입법안이 나타나고 있다.

최근 개인정보보호법 개정 동향과 보호조직 개선과제 연구

김진영 ( Kim Jin Young ) 한남대학교 과학기술법연구원 2019 과학기술법연구 Vol.25 No.3

4차 산업혁명 주요 기술인 사물인터넷과 블록체인 등이 활성화되면 사람과 사물 그리고 공간이 연결·소통하게 되어 다양한 정보가 축적된다. 이러한 정보는 초기에는 단순 정보조각에 지나지 않지만 상당 기간 축적되고 수치화되면 유의미한 자료가 생성 된다. 따라서 4차 산업혁명을 성공적으로 구현하기 위해서는 다양한 빅데이터가 요구되며, 특히 이를 개인 삶에 적용하려면 개인정보가 축적 및 활용되어야 한다. 하지만 금융, 통신 등 국민생활과 밀접한 분야에서 개인정보 대량유출사고가 발생하고 있기 때문에 활용만큼 보호조치가 강화되어야 한다. 개인정보보호법 제정 당시 세밀하게 규정하지 못한 사항을 보완하고 또한 산업기술 발달에 따른 개인정보침해요소 등장에 규제를 강화하는 방향으로 개정이 이루어져 왔다. 역대 정부에서는 개인정보에 관한 산업적 중요성을 인식하고 개별법에서 활용 방안을 검토하였으나 실질적인 개인정보보호조직 개편은 이루어지지 못하였다. 2017년 출범한 현 정부는 개인정보의 활용과 보호를 위해 빅데이터 산업활성화 정책 추진과 보호조직체계를 개편하고자 한다. 다만, 이번 정부개정안을 검토해 보면 산발적으로 흩어져 있는 보호조직을 통합하고 체계화하였다는 점에서 의미 있지만 여전히 독립기구로서의 역할을 수행하기에는 부족하다. 개인정보보호기구 개편은 우선 개인정보보호위원회를 중앙행정기관으로 설정하는 등 법적지위를 강화하여야 한다. 특히 국무총리 등의 감독권한 배제 및 집행권한 부여 등을 통하여 실질 권한을 확보하여야 한다. 더불어 인사권한의 보장 및 개인정보보호위원회 위원 추천기구를 다양화하여야 한다. 그리고 보호위원 신분보장 규정을 마련하여 독립성을 확보하고 기술적 식견을 가진 전문인력 참여를 통하여 보호뿐만 아니라 개인정보 활용을 강화한다. 마지막으로 현행 보호체계 개편 및 효율화를 통하여 분산된 조직을 유기적으로 통폐합하여야 한다. 개인정보보호위원회의 실무를 담당하기 위하여 인터넷진흥원의 개인정보보호본부를 이관하고 한국개인 정보보호원 등 전문기관을 신설하는 등 적극적 방안을 검토하여야 한다. 최근 국회에 계류된 다양한 개정안은 개인정보 활용뿐만 아니라 보호조치를 강화하였다는 점에서 의미가 있다. 하지만 개인정보보호위원회 체계개편이 여전히 미흡한 수준에 머물러 있기 때문에 향후 법안소위 등 국회 논의과정에서 적극적인 검토가 이루어져야 할 것이다. In order to successfully implement the Fourth Industrial Revolution, various big data is required. Especially, personal information must be accumulated and utilized to apply it to personal life. However, since there is a massive leakage of personal information in areas closely related to people's lives protection measures should be strengthened as much as they are used. In the past, the government recognized the industrial importance of personal information and reviewed the utilization plan in individual laws, but the actual reorganization of personal information protection organization was not achieved. Moon Jae-in, who was launched in 2017, intends to reorganize the Big Data Industry Activation Policy and Protection Organization System to utilize and protect personal information. However, considering the revision of the government, it is still not enough to play a role as an independent organization. The reorganization of the Personal Information Protection Organization should strengthen the legal status by setting the Personal Information Protection Commission as the central administrative agency. In particular, the government should secure real authority through the exclusion of supervisory authority by the Prime Minister In addition, it will strengthen the use of personal information as well as protection through the participation of professional manpower with technical insight. Finally, the distributed organization should be organically integrated through the reorganization and efficiency of the current protection system. The Internet Promotion Agency should be transferred and the Korea Personal Information Protection Agency should be newly established. Recently, various amendments are meaningful in that they have strengthened protection measures as well as personal information utilization. However, since the reorganization of the Personal Information Protection Commission is still insufficient, it should be actively reviewed during the parliamentary debate process.

개인정보 보호법의 문제점과 실효성 확보방안에 관한 연구

이인곤(Lee, In-Gon) 한국법이론실무학회 2014 법률실무연구 Vol.2 No.2

21세기 과학기술의 급속한 발전으로 인한 급격한 사회변화가 발생하고 있는 현대사회에서 특히 정보기술의 발달은 한편으로는 정보의 효율적인 활용을 통해 인간생활의 편리성을 도모하지만, 다른 한편으로는 개인정보의 오남용을 통해 개인정보의 침해위험성을 점점 증대시키고 있다. 고도화된 정보기술에 의한 개인정보침해는 피해의 대규모성, 동시다발성, 피해사실의 인식곤란성, 확대손해의 유발가능성, 피해구제의 곤란성 등의 특성을 가진다. 개인정보의 강력한 보호에 대한 여론의 요구에 힘입어 개인정보의 무분별한 오남용에 의해 나타난 개인정보보호의 흠결을 메우기 위해 ‘개인정보 보호법’이 2011년 3월 29일에 제정되어 같은 해 9월 30일부터 시행되었다. 동법은 공공부문뿐만 아니라 민간부문에서의 개인정보 보호를 위한 통합법으로서 이전보다 진일보한법이라는 긍정적인 평가를 받는다. 그럼에도 불구하고 동법은 제정과정에서 개인정보의 효과적인 보호를 위한 법리적 논의가 우선되어야 함에도 불구하고 정부부처 이기주의, 여야의 힘겨루기 등에 의해 체계정합성의 문제, 규율방식의 문제, 타 법률과의 중복 문제 등 많은 문제점을 가지고 있는 정치적 타협의 산물이라는 비판을 받고 있다. 여기서 가장 중요한 것은 장시간의 우여곡절 끝에 어렵게 제정된 개인정보보호법이 제대로 안착륙하여 개인정보의 효과적인 보호와 안전한 활용에 기여할 수 있도록 보완하는 것이다. 따라서 동법에 대한 개정논의를 공론화하여 동법과 개인정보 관련 개별법의 모순 및 충돌문제들이 하루 빨리 해결하고 헌법상 보장되는 정보적 자기결정권의 보호대상인 개인정보가 무분별하게 오남용되지 않도록 이러한 개정논의를 실질적인 개정작업으로 연결시키는 것이 절실히 요구된다. 이러한 의미에서 본 논문은 먼저 개인정보의 보호를 위한 통합법으로서의 개인정보 보호법의 긍정적인 사항들을 살펴본다. 그리고 여러 가지 요인에 의해 반쪽짜리 법률로 왜곡된 동법의 문제점들을 고찰한 다음, 동법이 제대로 기능하여 명실상부한 개인정보의 보호법으로 거듭날 수 있도록 현행 개인정보 보호법의 보완 및 개선방안을 제언 하고자 한다. The contemporary society of the 21th century has made a rapid progress in information and communications technologies and rapidly developed into information-oriented society through the Internet. As numerous personal information infringement has still been happening the government has been trying to prevent the personal information infringement by amending the act on promotion of infringement and communications network utilization and information protection several times. Also the government has been trying to pretect personal information by enacting personal information protection act. However, the huge number of personal information infringements have happened so far. Hence, the thesis is tried to find the improvement of personal information protection by studying what are the problems and current state of dispute relating to personal information in personal information dispute mediation committee, and also what are current state of the damage compensation lawsuit and the related regulations of law. The rights of informational self-determination directly originated from the privacy act, article 17 of the constitutional law. Similar to tranquility of the habitat, personal information falls into the area of privacy and therefore is the subject of constitutional protection. Even though the protection for personal information is the fundamental human rights prescribed by the constitutional law, the absence of practical act to support its protection led to deal its violation only by civil means as personal information protection law is enacted along with corresponding penalty, the rights of informational self-determination became one of the fundamental human rights that is directly protected by the constitutional law. In conclusion, personal information should be understood as an inherent right of individuals. Accordingly, it involes the criminal protection against the infringement of self-determination. In order to respond the ever-changing information society, lawmaking policies should rather focus on a general and principle legal basis than a case-by-case basis influenced by techological chances. and also it is important to take criminal measures which focuses not on the protection of personal information itself but on types and similarities of its infringement. In addition, it is necessary to develop IT technology to protect individual’s privacy an ever-changing information society.

개인정보보호법 위반행위에 대한 형사제재

이정념(Lee, Jungnyum) 숭실대학교 법학연구소 2020 法學論叢 Vol.48 No.-

2020년 2월 4일 일부 개정된 개인정보보호법이 공포되었다. 개인정보보호법의 개정은 우리 정부가 4차 산업혁명시대로 전환되는 과정 속에 인공지능 · 클라우드 · 사물인터넷 · 빅데이터 등 데이터 기반의 기술을 토대로 하는 새로운 산업을 육성하기 위한 정책들을 추진하는 가운데, 다양한 데이터의 활용을 가능하게 하는 법적 근거의 필요에 따른 것으로 이해할 수 있다. 2020년 8월 5일부터 효력을 발휘하는 개인정보보호법은 개인정보의 이용 범위와 영역을 확대하면서도 개인정보를 보호하고자 하는 여러 장치를 두면서, 동법 위반행위의 유형을 세분화하여 이에 따른 형사제재를 체계화하고 있다는 점에서 특징적이다. 본 논문은 개인정보보호법이 규정하고 있는 동법 위반행위의 유형에 따른 형사제재의 타당성을 검토하는데 중점을 두면서, 구체적으로 법문에 따라 개인정보보호법 위반행위에 대한 형사제재의 유형과 요건 및 효과를 살펴보는 한편, 개인정보보호법 위반행위에 대한 형사제재가 담고 있는 문제들을 분석하여 종국적으로 개인정보보호법상 벌칙규정이 그 정당성을 띠며 실효성 있게 적용될 수 있도록 앞으로 논의되어야 하는 내용들을 언급하고 있다. The revised Personal Information Protection Act in South Korea was promulgated on 4 February 2020. The amendment of the Personal Information Protection Act establishes the necessary legal basis to extend the scope of use of personal information, because governmental policies in South Korea concentrate on fostering new industries based on data-based technologies such as Artificial Intelligence, Cloud Services, Internet of Things, and Big Data in the course of the transition to the 4th Industrial Revolution. The Personal Information Protection Act, coming into effect on 5 August 2020, is characteristic in that it regulates various devices for the protection of personal information, while specifying violations and criminal sanctions under the penalties section of the Act. This article focuses on examining the legal validity of criminal sanctions for violations of the Personal Information Protection Act. Furthermore, this article reviews types, requirements, and effects of criminal sanctions for violations of the Personal Information Protection Act. Finally, this article provides concrete suggestions for the lawful and effective application of the Personal Information Protection Act by analysing legal problems related to the criminal sanctions stipulated in the penalties section of the Act.

개인정보보호법상 과징금의 활용에 관한 연구

노윤경,오병철 한국정보법학회 2020 정보법학 Vol.24 No.3

The penalty surcharges that are imposed by the Personal Information Protection Act are set at higher amounts, in accordance with the recently enforced General Data Protection Regulation(GDPR) of the EU. However the government acquires revenue that is generated from damages caused to data subjects, it is questionable whether penalty surcharges are being put to appropriate use, as intended by the Personal Information Protection Act. This is because they belong to national funds and are used in matters that are unrelated to the redress of victims or personal information protection. Building on such critical awareness, this paper aims to suggest a plan that utilizes the collected penalty surcharges in accordance with the Personal Information Protection Act, to suit the legal purpose. Penalty surcharges are designed to retrieve the disgorgement of unlawful profits that occurred through violations therefore the funds collected should be spent on behalf of those data subjects who were victimized or they should be used to protect personal information, as intended by the fundamental purpose of the law. As its research, this paper first surveys the system of penalty surcharges in South Korea. Thereafter, it examines the system of penalty surcharges on the Personal Information Protection Act, the penalty surcharges imposed thus far on violations of personal Information protection in South Korea, and the relevant instances of regulation for violations of personal information protection, in Japan and in the GDPR of the EU. By exploring how the appropriate use of the penalty surcharges are conducted, this study examines special accounts or special funds in which penalty surcharges are imputed, and the uses of examples that are limited to particular purposes by law. Thereafter, the study analyzes legal characteristics of penalty surcharges on the Personal Information Protection Act, to find the appropriate use for penalty surcharges of this law. Based on such research, it is drawn that the most appropriate way forward is to specify the specific uses of the penalty surcharges on the Personal Information Protection Act. This study suggests that the legislature insert into the Personal Information Protection Act a provision that limits the use of the penalty surcharges collected, in accordance with the fundamental purpose of the Personal Information Protection Act, to subsidize the redress for damage, the victim’s litigation over breaches of personal information, and the education and promotion of personal information protection, and to finance the training of personnel and the expansion of facilities related to personal information protection. 개인정보보호법상 과징금은 최근 시행된 EU의 General Data Protection Regulation (GDPR)의 기준에 맞추어 보다 높은 수준으로 그 액수를 상향하여 위반행위를 규제하고 있다. 그러나 이러한 과징금이 정보주체의 피해를 원인으로 하여 얻어지는 수익이라는 점에도 불구하고, 국고로 귀속되어 피해자의 구제나 개인정보보호와 무관한 곳에 사용되고 있다는 점에서 과징금이 개인정보보호법의 근본 취지에 알맞은 용도로사용되고 있는지에 대해서는 의문이다. 본 논문은 이러한 문제의식에서 출발하여 개인정보보호법상 과징금이 법의 취지에적합한 용도로 활용되는 방안을 제안하는 것이 목적이다. 과징금이 위반행위에 대한부당이득환수의 성격을 갖는다면 그렇게 환수된 자금은 국가가 아니라 피해자인 정보주체를 위하여 활용되거나 법의 취지에 맞게 개인정보보호를 위한 목적으로 사용되어야 할 것이다. 이러한 연구를 위하여 본 논문에서는 우선 과징금 제도에 대하여 살펴보고, 개인정보보호법상 과징금 제도, 개인정보보호 위반에 대한 국내의 과징금 부과현황, 그리고해외의 개인정보보호 위반에 대한 규제의 예로 일본의 개인정보보호법 및 EU의GDPR에 대하여 살펴본다. 그 후 과징금의 적절한 활용 방안을 모색하기 위하여 과징금이 특별회계 혹은 기금으로 귀속되는 활용사례와 법률에 용도를 제한하는 규정을두고 활용하는 사례들을 살펴본 후, 개인정보보호법상 과징금의 법적 성격을 분석하여, 이를 근거로 앞선 활용 유형에 대입하여 검토한다. 이러한 연구를 토대로 개인정보보호법에 과징금의 용도를 한정하여 규정하는 방법이 가장 적절하다고 판단한바, 피해구제를 위한 손해 지원금, 개인정보 침해에 대한 피해자의 소송 지원금, 개인정보보호와 관련한 교육 및 홍보 자금, 개인정보보호와 관련한 인력의 육성 및 시설의 확충을 위한 사업 등에 한정하여 과징금이 사용되도록 하는 규정을 개인정보보호법에신설하는 방안을 제시한다.