데이터 주도 혁신 시대의 개인정보자기결정권 ― 정보통신망법과 EU GDPR의 동의 제도 비교를 통한 규제 개선방향을 중심으로 ―

김태오 행정법이론실무학회(行政法理論實務學會) 2018 행정법연구 Vol.- No.55

Data is a key factor in the 4th Industrial Revolution era, and new value creation possibilities and global competitiveness depend on the data use environment and capabilities. The personal-related data are also subject to protection as personal information. It is essential that, in principle, the prior consent is essential to the use of data. This consent is based on the constitutional right to informational self-determination. By the way, the right to informational self-determination tends to be absolute. Therefore, if you do not obtain prior consent, as the core of personal information protection regulations that specify the constitutional right to informational self-determination, the availability of data is effectively blocked. However, the development of big data, the Internet of Things, and artificial intelligence technologies will be limited by this prior consent regime. It is time to harmonize the use of data with the protection of personal information. This paper examines the nature and limitations of personal information self-determination rights in order to provide direction for harmony and to find out a basis to improving privacy regulations through the EU GDPR consent system. First, since informational self-determination and privacy protection are both problematic, the right to self-determination and the protection of privacy should be considered simultaneously. Therefore, on the basis of the judicial logic of informational self-determination, it is necessary to evaluate the interests of the state or the judiciary according to the jurisprudence of privacy, while respecting the self-determination of the information subject. Second, the focus of privacy regulation has been on the collection stage of personal information. At the collection stage, the purpose of the personal information collected is specified. However, it is more important how personal information is used and how it affects the subject of information than whether it is based on consent. It is necessary to shift the focus of privacy regulations on data uses and impact, and risk management approach areas. Third, the system of prior consent is not the only correct proposition, as the basic setting of personal information self-determination assumes the ability of the data subjects to make rational decisions. Rather, given these abilities, an information subject can control his or her personal information sufficiently with an opt-out basis. Depending on the circumstances and importance, data collection and utilization based on prior consent and opt-out basis should be mixed. Fourth, we need to think about privacy regulations considering the behavior of the information subjects. Data subjects are fundamentally indifferent about the purpose for which personal information is collected and used, and exercise consent in such indifference situations. However, the right of consent is the most powerful source to the business and the basis of immunity. Therefore, it is reasonable to mix the prior consent and opt-out basis, considering the consent exercise behaviour of the information subjects when sufficient information is given. 데이터는 4차 산업혁명 시대의 핵심적인 원료이다. 데이터 이용은 산업발전과 새로운 가치창출의 촉매이다. 동시에 개인과 관련성이 있는 데이터는 개인정보로서 보호의 대상이기도 하다. 데이터의 이용을 위해서는 원칙적으로 정보주체의 사전동의(opt-in)가 필수적이다. 이러한 동의제도는 헌법상 개인정보자기결정권에 근거하고 있다. 그런데 개인정보자기결정권이 절대시되는 경향이 있다. 이에 따라, 개인정보자기결정권을 구체화한 개인정보보호규제의 핵심인 사전동의를 받지 않으면 데이터의 이용가능성이 사실상 봉쇄된다. 그러나 빅데이터, 사물인터넷, 인공지능 기술 등은 사전동의 제도로 인해 큰 제약을 받을 수밖에 없다. 데이터의 이용과 개인정보보호의 조화가 필요한 시점이다. 본 논문은 이러한 조화의 방향을 제시하기 위해 개인정보자기결정권의 본질과 한계를 살펴보고, EU GDPR의 동의제도를 통해 개인정보보호규제의 개선을 위한 단초를 찾고자 하였다. 첫째, 규범조화적인 개인정보보호 규제가 필요하다. 개인정보보호는 개인정보자기결정권과 프라이버시 보호 모두가 중첩적으로 문제가 되기 때문에, 개인정보자기결정권의 법리와 프라이버시 보호 법리가 동시에 고려되어야 한다. 그러므로 개인정보자기결정권 법리에 따라 정보주체가 스스로 보호범위를 설정한 것을 존중하면서도, 프라이버시와 인격권 침해의 법리에 따라 국가나 사법부에 의한 이익형량과 평가도 여전히 필요한 상황이다. 둘째, 개인정보자기결정권에 기반한 개인정보보호 규제의 초점은 그간 개인정보의 수집단계에 있었다. 수집단계에서는 수집 대상인 개인정보의 이용 목적이 특정된다. 그러나 동의에 기초한 개인정보 이용인지 여부보다, 개인정보가 어떻게 이용되고 그 이용으로부터 정보주체에게 어떠한 영향을 미치는 지가 더 중요하다. 개인정보보호 규제의 초점을 이용 중심, 리스크관리 중심으로 전환할 필요가 있다. 셋째, 개인정보자기결정권의 기본설정에 따르면 정보주체는 합리적이고 이성적인 결정을 내릴 능력을 전제한다. 그렇다면, 사전동의 제도만이 올바른 명제는 아니다. 오히려 이러한 능력을 전제하면, 정보주체는 사후거부(opt-out)로도 충분히 자신의 개인정보를 통제할 수 있다. 데이터 이용 상황과 중요성에 따라 사전동의와 사후거부에 따른 데이터 수집ㆍ이용을 안분하면 될 것이다. 넷째, 정보주체의 행태를 고려한 개인정보보호 규제를 고민할 필요가 있다. 근본적으로 정보주체는 개인정보가 어떠한 목적으로 수집되고 이용되는지에 대해 근본적으로 무관심하며, 이러한 무관심 상황에서 동의권을 행사하고 있다. 그런데 동의권은 사업자에게 개인정보 이용의 가장 강력한 권원이자 면책의 근거이다. 따라서 충분한 정보가 주어졌을 때 정보주체의 동의권 행사 행태를 고려하여, 사전동의제와 사후거부제를 혼합하는 방안이 합리적이다.

개인위치정보의 수집으로 인한 손해배상책임 - 대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결

권태상 이화여자대학교 법학연구소 2020 法學論集 Vol.24 No.4

(1) 개인정보자기결정권 침해만으로 바로 비재산적 손해에 대한 배상 책임을 인정 할 수 없다는 견해는, 다른 실체적인 권리에 대한 침해나 위험이 발생하여야 비재산 적 손해에 대한 배상 책임을 인정할 수 있다고 한다. 그런데 이러한 견해에 의하면 개 인정보자기결정권이라는 독립된 권리를 인정하는 의미가 상실될 수 있다. 개인정보가 유출된 경우 그 개인정보는 범죄에 악용될 위험성이 있다. 또한 개인정 보는 단순한 정보라도 다른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 단 순한 개인정보라 하더라도 유출되지 않게 보호할 필요가 있고, 이를 위한 권리로 개 인정보자기결정권이 인정되는 것이다. 인격권에 의하여 보호하려는 것은 사람이 자신과 관련된 사항에 대해서 가지는 자 기결정권이라고 이해할 수 있다. 개인정보자기결정권은 사람이 자신의 개인정보에 대 해서 가지는 자기결정권을 보호하는 권리이다. 초상권, 성명권 등이 실체적 권리인 것과 마찬가지로, 개인정보자기결정권 역시 실체적 권리로 보아야 할 것이다. 그리고 비재산적 손해는 그 성질상 사실적으로 파악하기 쉽지 않으므로 규범적으 로 파악되어야 한다. 개인정보자기결정권이 침해된 경우, 이로 인해 피해자가 어떠한 정신적 고통을 입었는지 또는 어떠한 정신적 이익을 상실했는지 사실적으로 증명할 것을 요구하는 것은 바람직하지 않고, 그러한 권리 침해 자체를 규범적으로 평가하여 비재산적 손해를 인정해야 할 것이다. (2) 개인위치정보는 그 자체가 바로 사생활을 의미하거나 행동의 자유와 관련될 수 있다. 그리고 개인위치정보는 개인의 생명, 신체의 안전이나 사생활과 밀접하게 관련 되는 민감성이 높은 정보이다. 또한 개인위치정보 역시 단순한 정보로 보이더라도 다 른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 설령 개인정보에 대한 자기결정권 침해만으로는 비재산적 손해의 배상책 임을 인정할 수 없다는 입장을 취하더라도, 개인위치정보에 관한 자기결정권이 침해 된 경우는 비재산적 손해의 배상책임을 인정하는 것이 바람직하다. 개인위치정보는 일반적인 개인정보에 비해 강화된 보호를 받아야 할 필요가 있기 때문이다. 대상판결은 개인위치정보가 동의 없이 수집된 경우 그로 인해 바로 손해배상책임 이 인정되지는 않는다는 입장을 취하였다. 그러나 정보주체에게 2차적으로 피해가 발 생하였는지 여부와 무관하게 개인위치정보에 관한 자기결정권 침해로 인한 비재산적 손해배상을 인정하는 것이 바람직하다. (1) If personal information is leaked, the personal information is at risk of being abused in a crime. In addition, personal information, even simple information, can have great meaning when combined with other information. The object to be protected by the personality rights is the right of self-determination. The right to self-determination of personal information is the right to protect the self-determination right that a person has about his or her personal information. Just as portrait right and name right are substantive rights, the right to self-determination of personal information should be viewed as a substantive right. Non-pecuniary loss is not easy to grasp realistically in nature, so it should be identified normatively. If the right to self-determination of personal information is violated, it will be necessary to acknowledge the non-pecuniary loss by normatively evaluating the infringement of such right itself. (2) Personal location information itself can mean privacy or can be related to freedom of action. And personal location information is highly sensitive information that is closely related to personal life, body safety, and privacy. In addition, personal location information can also have great meaning when combined with other information, even if it appears to be simple information. Therefore, personal location information needs to be more protected than general personal information. Supreme Court of Korea took the position that if personal location information was collected without consent, liability for damages would not be recognized immediately. However, it is desirable to recognize non-pecuniary loss caused by infringement of the right to self-determination concerning personal location information, regardless of whether or not secondary damage has occurred.

개인정보보호법상의 형사처벌 규정에 관한 연구

정혜욱(Choung, Hye-Uk) 중앙대학교 법학연구원 2011 法學論文集 Vol.35 No.3

Previously, Korean personal information protection was considered to be incomplete for covering only the public affairs. On September 30th, 2011, however, Korea enacted personal information protection act and extended its coverage by including private affairs. Since then, Korean personal information protection has become an intact system. The momentum for this extension of the protection range was served by the major personal information leakages centered on the private enterprises. ‘SK Broadband’, ‘Auction online auctioning site’, ‘Hyundai Capital’ cases are the few examples. legal benefit the personal information protection act essentially protects is the rights of informational self-determination. The rights of informational self-determination directly originated from the privacy act, article 17 of the constitutional law. Similar to tranquility of the habitat, personal information falls into the area of privacy and therefore is the subject of constitutional protection. Even though the protection for personal information is the fundamental human rights prescribed by the constitutional law, the absence of practical act to support its protection led to deal its violation only by civil means.as personal information protection law is enacted along with corresponding penalty, the rights of informational self-determination became one of the fundamental human rights that is directly protected by the constitutional law. Violation of the rights of informational self-determination has the property of intruding the control of personal information by the subject of rights. According to this property, the collection and processing of the personal information under the subject’s consent is exempted from the punishment.there exists an opposition between how one would describe the exemption of the penalty under consent of the subject of information. One is by distinguishing between agreement which removes the elements of an offense and approval which precludes the wrongfulness. The other one is by deciding either on the circumstances of the removing the elements of an offence or the circumstances precluding wrongfulness. For the latter case, it is often said that it is practically impossible to distinguish between approval and agreement and that no benefit arises from such distinction. However, this is not the case. the violation of the rights of informational self-determination, the consent of the information subject should be considered as agreement that removes the elements of an offence. This is analogous to theft where the violation of ownership of the goods occur. For example, if the owner of goods gives consent and the other acquires them, the elements of an offence are not comprisable.offender of the violation of the rights of informational self-determination is fundamentally the information processor. Here, the information processor can be public institution, corporation, organization, or individuals, etc. who, for business purposes, wish to process personal information by themselves or through the means of other people. According to this definition, all the people who process personal information is the offender. The basic structure of the system is as follows. The person in charge of the information processing is subjected to punishment as offender and the corresponding corporation or organization is fined only when it is subjected to penalty against employer and employee.the violation of the rights of informational self-determination is subjected to punishment except the collection of information without consent. In regards to collection, if the collector does not receive consent from the information subject, only the fine will be levied on him. However, if he commits fraud while obtaining consents, he is subjected to punishment.

개인정보자기결정권 보호의 한계의 관점에서 본 「개인정보보호법」 개정의 문제점

강달천(Dal-Cheon Kang) 중앙법학회 2020 中央法學 Vol.22 No.3

관련 전문가와 이해관계자들은 「개인정보보호법」이 (구)「개인정보보호법」의 비합리적으로 경직된 동의제도와 형사처벌 규정 등 규제 체계를 그대로 유지하고 있고, 이러한 기존제도와 맞물려 가명정보 개념 도입 등 신설된 규정들도 그 기능을 다하기 어려울 것이라는 문제를 지적하고 있다. 사실 이러한 문제점들의 주요 원인의 하나는 정보주체의 ‘동의 여부를 결정하는 권리’와 ‘개인정보자기결정권’이 동일한 권리라고 잘못 이해되고 있다는 점이다. 이는 개인정보자기결정권의 보호법익을 부당하게 확대할 뿐 아니라, ‘동의’ 이외의 정당한 개인정보 이용(흐름)에 장애로 작용한다. 이에 개인정보자기결정권의 본질에 대한 종합적 검토가 필요하다. 개인정보자기결정권은 정보주체의 절대적 권리는 아니다. 헌법재판소가 개인정보자기결정권을 간단히 “자신의 개인정보를 스스로 결정할 권리”라고 정의하고 있지만, 이에는 “정보주체의 동의거부권, 열람권 등 절차적·형식적 위험규제등 통제권을 보장함으로써 궁극적으로 정보주체가 향유하는 사생활의 비밀과 자유 뿐만 아니라 인격권 및 민사적 계약상의 권리 등 실체적 권리의 총체”라는 의미와 “정보주체가 다양한 인격적, 경제적 이익 등을 향유하기 위해 자신의 개인정보 유통을 적극적으로 형성할 수 있는 권리”라는 의미가 포함되어 있다고 해석할 수 있을 것이다. 그러나 개정 후에도 고수되고 있는 고지와 동의 기반의 ‘사전동의 = 형식적 동의’ 및 ‘동의의무 위반 = 형사처벌’이라는 공식은 ‘동의 만능주의’를 더욱 견고하게 할 뿐 아니라, 개인정보의 과잉보호를 초래하여 정당한 개인정보 처리까지 규제하는 원인이 된다. 특히 빅데이터 분석을 통한 추론데이터 이용 등 전에 없던 새로운 유형의 개인정보 이용 환경은 지금까지 고수되어 오고 있는 ‘고지에 입각한 동의’라는 개인정보보호법제의 전통적 규제방식을 무력화시키고 있으며, 새로운 규제방식을 요구하고 있다. 「개인정보보호법」은 핵심은 개인정보자기결정권의 본질을 희생시키기 않으면서, 데이터 활용에 따른 개인에게 주어지는 편익뿐만 아니라 기업과 국가 전반에 미치는 편익 등을 고려한 적합하고 효과적인 규제에 있다. The right to self-determination of personal information is not an absolute right of the data subject, and legal interests of the right must not be unreasonably expanded. This right is a right recognized as a new protection system for areas outside the scope of normal privacy right protection, because it is not appropriate to apply the laws related to privacy protection to general personal information. Though the Constitutional Court defines the right to self-determination of personal information simply as “the right to decide on their own personal information”, the definition shall be construed that it means “the totality of tangible rights such as personal rights and civil contract rights, as well as the right of privacy that the data subject ultimately enjoys by guaranteeing the rights of control such as procedural and formal risk regulation such as the right to refuse consent and the right to access” and that it means furthermore “the right of information subjects to actively form their own personal information distribution in order to enjoy various personal and economic benefits.” Therefore, the Personal Information Protection Act , which specifies the right to self-determination of personal information, is a law that contains regulations for personal information protection such as legality standards and procedural requirements for personal information processing, and that, in addition, personal information is not only the object of protection, but a balance between protection and use is promoted, premising the free movement of personal information as a “medium that identifies and evaluates the information subject or as a medium that establishes social relations.” But the formulas of ‘prior consent = formal consent’ and ’violation of consent obligation = criminal punishment’ based on notice and consent, which have been adhered to even after the revision, not only strengthens the ’universalism of consent’, but also causes excessive protection of personal information, which is the cause of regulating even legitimate personal information processing. In particular, the use of new types of personal information, such as the use of inferred data through big data analysis, not only increased the risk of personal information, but also changed the nature of the risk. In addition, it is defeating the traditional regulatory method of the Personal Information Protection Act, which has been adhered to so far, “informed consent,” and is demanding a new regulatory method. While the EU and the UK still adhere to the principle of ’notice and consent’ as a core principle, on the other hand, through the collection of public opinions on the legal handling of personal information in the AI and big data environment, and publication of guidelines, notifications suitable for the new environment and it provides detailed information on cases related to the method of consent. As such, it is urgent for Korea to seek practical solutions to cope with the big data environment. In addition, although not mentioned in this paper, it is necessary to review the legal system and policy on matters to be considered in the big data environment, such as the right to veto automated decision-making such as profiling and the right to move personal information in GDPR. The Personal Information Protection Act is a law that aims to protect individual freedom and rights and ultimately realize individual dignity and values by setting matters on the processing and protection of personal information as specified in its purpose. To this end, efforts are needed to prepare an appropriate and effective regulatory method in consideration of not only the benefits given to individuals from using data, but also the benefits to companies and the country as a whole, without sacrificing the nature of the self-determination of personal information.

데이터 경제 시대의 개인정보 보호와 사적 자치

이해원 한국정보법학회 2020 정보법학 Vol.24 No.2

With the advent of the intelligent information society and the 4th industrial revolution, the paradigm of economy system is rapidly shifting into the data economy. Since personal information is the majority of data, it is an urgent task to establish a legislation that enables to lead the data economy while promoting balance and harmony between the use and protection of personal information. The directing point of the personal information protection legislation should be derived from a review of the nature of personal information self-determination right, which is the constitutional basis for the protection of personal information, and the level of its guarantee. The protection of personal information in the public sector should be based on strict legal grounds and control mechanisms in light of the nature of the right to self-determination of personal rights, while the protection of personal information in the private sector should be based on the principle of private autonomy and finding the optimal point to regulate the market at an appropriate level without violating the free market order. Nevertheless, the Personal Information Protection Act uniformly regulates the level of use and protection of personal information without considering the difference in the essential ideology of the public sector and the private sector regarding the protection of personal information and the level of guarantee. The protection of personal information in the public sector should be legislated to protect p ersonal freedom and rights from abuse of p ublic p ower and to strengthen resp onsibilities and provide practical control measures to ensure the right to self-determination of personal information. The protection of personal information in the private sector should restore the balance between the principle of private autonomy and the right to self-determination of personal information by normalizing regulations that have been unevenly inclined to the public rather than the public and restoring the autonomy of the private sector that has been contracted. In particular, regulations imbalanced against information and telecommunication service providers and criminal punishment regulations should be promptly revised. 지능정보사회의 출현과 4차 산업혁명의 촉발로 인하여 경제사회의 패러다임이 데이터 경제로 전환되고 있다. 데이터의 상당수는 개인정보에 해당하므로 개인정보의이용과 보호 사이에 균형과 조화를 도모하면서 데이터 경제를 견인할 수 있는 개인정보 보호 법제의 정립이 시급한 과제이다. 개인정보 보호 법제가 추구해야 할 지향점은 개인정보 보호의 헌법적 근거인 개인정보자기결정권의 본질 및 그 보장 수준에 대한 재검토에서 도출할 수 있다. 공공 부문의 개인정보 보호는 대국가적 방어권이라는 개인정보자기결정권의 본질과 법치행정의 원리나 민주성의 원리와 같은 공법적 원리에 비추어 엄격한 법적 근거 및 통제장치를 기초로 이루어져야 한다. 반면 민간 부문의 개인정보 보호는 사적 자치의 원칙과 자유시장경제질서라는 민간 영역의 본질적 이념과 기본 질서를 침해하지 않으면서 시장을 적절한 수준에서 규제할 수 있는 최적점을 찾는 것을 그 이념으로 해야한다. 그럼에도 불구하고 개인정보 보호법은 개인정보 보호에 관한 공공 부문과 민간부분의 본질적 이념 차이 및 보장 수준의 상이성에 대한 고민 없이 개인정보의 이용과 보호 수준을 획일적으로 규정하고 있고, 특히 공공보다 민간에 과중한 개인정보보호 수준을 요구하고 있어, 데이터 경제 시대에 요구되는 개인정보의 이용과 보호양 측면에서 모두 미흡하다. 공공 부문의 개인정보 보호는 공권력의 남용으로부터 개인의 자유와 권리를 보호하고 개인정보자기결정권이 두텁게 보장될 수 있도록 책임을 강화하고 실질적인 통제 장치를 마련하는 방향으로 법제가 정비되어야 한다. 민간 부문의 개인정보 보호는공공보다 민간에 불균등하게 기울어진 규제를 정상화하고 위축되어 온 민간의 자율성을 적정한 수준으로 회복함으로써 사적 자치의 원칙과 개인정보자기결정권 사이의균형을 달성하여야 한다. 특히 정보통신서비스 제공자에게 불균형하게 기울어진 규제와 형사처벌 규정은 신속히 정비될 필요가 있다.

정보통신기술의 발달과 한국의 프라이버시권 관련 주요 쟁점

권건보 헌법재판연구원 2021 헌법재판연구 Vol.8 No.1

국가에 의한 개인정보의 처리는 어떤 면에서 시민들의 더 많은 자유를 보장하는 데 기여할 수도 있다. 하지만 개인에 대한 국가의 무분별한 감시는 민주주의와 인권에 대한 근본적 위협이 될 수 있다. 이러한 점에서 민주주의의 이념과 법치국가의 원리에 입각하여 국가의 감시행위를 효율적으로 통제할 수 있는 법적 장치가 필요하다. 그리고 이것은 시민들이 국가가 어떤 개인정보를 수집할 것인지, 개인과 집단의 행동을 어떻게 추적하고 기록할 것인지 결정하는 과정에 참여하고 통제할 수 있는 권리를 헌법적 차원에서 보장될 때 실질적인 의미를 가질 수 있다. 정보프라이버시 또는 개인정보자기결정권은 자신에 관한 정보의 노출을 억제하는 데만 중점이 있는 것이 아니라 그 흐름을 적극적으로 형성하는 측면도 있다. 따라서 개인이 자신에 관한 정보를 필요에 따라 자의에 의하여 제공하거나 타인에게 알릴 수 있고 타인이 보유하고 있는 자신에 관한 정보의 상태를 파악하여 그것이 그 상태로 계속 보유되거나 활용되어도 좋을 것인지 아니면 새로운 내용으로 변경되어야 할 것인지를 결정할 수 있어야 한다. 이러한 점에서 정보의 상태와 흐름을 일반인이 자유롭게 확인하고 이용할 수 있는 권리인 알 권리와 더불어 개인정보자기결정권은 의사소통의 활성화와 원활화에 기여하며, 궁극적으로는 시민의 의사소통능력과 민주사회의 기능촉진을 위하여 기능한다고 할 수 있다. 개인정보자기결정권은 다른 기본권이나 헌법적 가치와 견주어서 항상 우선시되어야 할 만큼 절대적 의미를 갖는 기본권으로 이해될 수는 없는 것이다. 이에 따라 개인정보자기결정권은 국방, 경찰, 수사, 재판, 통계, 조세, 복지 등을 위하여 제한될 수 있으며, 언론의 자유, 알 권리 등 타인의 기본권과 충돌되는 경우에 일정한 제약을 받을 수 있다. 이러한 점에서 개인정보자기결정권도 다른 기본권과의 관계에서 적절한 조화를 이루는 한도에서 그 구체적인 보장의 수준이 결정되어야 할 것이다. 그러한 한계 속에서 개인정보자기결정권이 실효적으로 보장되기 위해서는 입법적으로 충분한 뒷받침이 이루어져야 한다. 나날이 고도화되는 정보통신 테크놀로지의 등장으로 개인정보보호의 과제는 항상 새로운 도전에 직면하게 된다. 이에 따라 새로운 개인정보침해의 양상에 대처하기 위한 입법적 보완조치를 지속적으로 강구해나갈 필요가 있다. 지능정보기술의 적용으로 인하여 인간의 주체성과 존엄성이 침해될지 모른다는 우려를 불식하기 위해서는 무엇보다도 정보처리에 대한 정보주체의 자율적 통제권, 즉 개인정보자기결정권이 실효적으로 보장되도록 입법적으로 뒷받침하는 것이 중요하다. Monitoring by the government through the handling of personal information may be suppressive to individuals, but from a wider perspective, it may also contribute to guaranteeing the freedom of more people. However, given that indiscreet monitoring is a fundamental threat to democracy and human rights, it may be necessary to develop legal and institutional mechanisms to effectively control monitoring by the government and civil society based on the principles of democracy, separation of powers and the guarantee of basic rights. By doing so, people should be able to participate in and control the process of establishing the plans regarding what forms of personal information should be collected and how the activities of individuals and groups should be tracked and recorded as part of the administrative functions of a government. This legal status of the people would have meaning when incorporated into legislation for the guarantee of basic rights. Data privacy or the right to self-determination of personal information not only focuses on containing the exposure of personal information but also actively forms and leads the flow of personal information. Therefore, it is important that an individual should be able to provide his or her personal information to other people voluntarily when there is a need, to identify the status of his or her personal information held by others and to decide whether to allow it to be retained and used by others or to change it into new information. In this respect, it can be said that the right to self-determination of personal information, along with the right to know that enables ordinary people to freely check the status and flow of information and use it, contributes to the facilitation of communication and ultimately serves to promote the communication capabilities of people and to facilitate the functions of a democratic society. The right to self-determination cannot be an absolute right that can never be restricted under any circumstances or for whatever reason. As such, the right to self-determination can be restricted to some degree when doing so is necessary for the sake of national defense, policing, investigation, court trials, statistics, taxation and welfare, etc., and also when it is in conflict with the basic rights of others, such as the freedom of information and the right to know, etc. In this regard, a harmonious balance between the necessity of handling personal information and the potential for human rights infringement could be found by guaranteeing the right to self-determination to an appropriate degree. In order for the right to self-determination to be effectively guaranteed, there must be a sufficient legislative foundation. With the advent of ICT that becomes more sophisticated each day, the task of protecting personal information faces new challenges. Against this backdrop, it would be necessary to continuously seek measures to supplement legislation in order to cope with the new patterns of personal information infringement. In Korea, opinions have been raised to modernize legislation regarding the protection of personal information in order to protect the rights and interests of data subjects in preparation for the Fourth Industrial Revolution, to rationalize regulations regarding personal information in response to ICT innovations and to secure the international applicability of legislation regarding personal information. The higher our expectations for the intelligent information society, the greater the necessity to devise effective measures to protect and control personal information to deal with the expanding use of personal information. In order to dispel the concerns that the application of intelligent information technology may infringe upon the identity and the dignity of humans, it is most important to provide legislative foundations so that data subjects’ autonomous control over the handling of information, or the right to self-determination, could...

디지털 미디어 환경 변화에 따른 개인정보 자기결정권 및 인격권의 보호

정다영 언론중재위원회 2017 미디어와 인격권 Vol.3 No.1

The propagation of the Internet and the rapid development of information communication services make it difficult for people to control their personal information once it is available online. Personal information has proliferated on the Internet in recent years, as have the issues and problems that surround it. Self-determination right to personal information is understood as a right to information privacy in the United States. However, it is recognized more as a personal right in Germany. Decisions on whether information should be removed from search engines depend on the nature of the information in question, its sensitivity for the information subject's private life, and the interest of the public in having that information. The so-called “right to be forgotten” has become a firestorm of controversy in today’s Digital Age. Indeed, in the context of a constantly-evolving medium such as the Internet, the shared context of concepts such as privacy and data protection is limited. The EU drafted a right to erasure(a right to be forgotten) law providing an avenue for EU citizens to ask online search engines to remove certain links from their results. If a way can be found for it to be implemented, the right to delete could have a very positive impact, giving individuals more control over their data and hence more autonomy. Protection of personal data and the right to be forgotten should be incorporated into personal rights. Personal data are inseparable from the information subject and making the decision to disclose personal information is a manifestation of one’s personality. Personal information has certain similarities to personal rights in the field of civil law. However, considering that in reality personal information is circulated and used economically, the right to self-determination of personal information should be regarded as a personal right that also protects property. A standard for balancing conflicting interests in erasure rights is similar in structure to injunctive relief for infringement of personal rights. The Personal Information Protection Act, the Act on Promotion of Information and Communication Network Utilization and Information Protection, Etc., and the Act on Press Arbitration and Remedies, Etc., for Damage Caused by Press Reports provide for the right to self-determination or deletion of personal information. These acts were enacted based on a prohibitory injunction related to personal rights. On the other hand, the Civil Act does not directly regulate personal rights, but an owner may demand the cessation of disturbance from a person who disturbs his/her personal rights, and may demand either prevention of the disturbance or security for damages from the person who might disturb his/her personal rights by applying the article 214 of the Civil Act. Changes should be made to the Civil Act to provide general provisions for personal rights to achieve broader protection. Thus far, considerable effort has been invested into protecting personal information and personal rights. Nevertheless, a great deal of work remains to expand self-determination right to personal information and personal rights in the changing digital media environment. 현대 사회에 있어 언론보도의 내용이 디지털화됨에 따라 해당 내용들은 온라인상에 데이터로써 축적되고, 내구성과 원본 복원력을 지니고 있기 때문에 시간의 흐름에도 영향을 받지 않는다. 이에 따라 개인정보에 관한 삭제권 내지 잊혀질 권리의 중요성이 더욱 강조되게 되었다. 개인정보 보호와 관련하여 미국에서는 정보 프라이버시권의 개념을 발전시켰고, 독일의 경우 일반적 인격권의 한 내용으로서 정보자기결정권 내지 개인정보 자기결정권을 인정하였는바, 개인정보는 오히려 사법의 영역에서 인격권적 성격이 강하다고 할 것이며, 다만 경제적으로 유통ㆍ이용되는 현실을 고려하여 재산적 이익 또한 보호하는 특수한 인격권으로 보아야 할 것이다. 특히 개인정보는 해당 정보주체와 불가분의 관계에 있으며 개인정보의 공개와 이용에 대해 결정하는 것 자체가 인격의 발현이라고 볼 수 있고, 삭제청구권의 경우에 사용되는 비교형량의 구조는 인격권에 기한 금지청구권과 유사하다. 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 「언론중재 및 피해구제 등에 관한 법률」 등에서는 개인정보 자기결정권 내지 삭제청구권을 규정하면서, 실질적으로 인격권에 기한 금지청구권의 요건을 요구하고 있다. 한편, 우리 민법에서는 인격권에 관하여 직접적으로 규정하고 있지 아니한바, 소유권에 기한 방해배제 내지 예방청구권(제214조)을 본떠, 일반법인 민법에 우선 일반적 인격권에 관한 일반규정을 둠으로써 보다 폭넓은 보호를 하도록 할 수 있을 것이다. 사회환경이 변화함에 따라 보호받아야 하는 권리가 새롭게 등장하고 권리침해의 형태가 다종다양해지는 것은 당연한 일이지만, 이를 개별적으로 규율할지를 정하기에 앞서 포괄적인 법리를 정립할 필요가 있다. 특히 개인정보 자기결정권에 기초한 삭제청구권 내지 잊혀질 권리는 인격권에 기한 금지청구권과 맞닿아 있는 부분이 있는바, 개인정보 자기결정권의 침해에 대하여 인격권 침해로 인한 금지청구권을 인정하기 위해 정보주체의 이익(인격권)과 그 정보에 접근하는 일반대중의 이익(언론의 자유)을 비교형량함으로써 논의의 접점을 찾아 나가야 할 것이다.

개인정보 자기결정권과 동의 제도에 대한 고찰

권영준 전남대학교 법학연구소 2016 법학논총 Vol.36 No.1

개인정보 보호법이 제1조에서 선언하듯이, 개인정보 보호는 “개인과 존엄의 가치를 구현”하는 문제로 여겨지고 있어 마치 성역처럼 여겨질 위험성도 없지 않다. 그러나 대부분의 법적 문제들이 그러하듯 어떤 가치를 추구함에 있어서는 늘 그 하위 가치들의 세밀한 형량과 조정이 요구된다. 개인정보 보호도 예외가 아니다. 개인정보 자기결정권은 헌법 제10조와 제17조에 기초하여 인격권의 하나로 인정되는 권리로서, 개인정보 보호법의 이념적 토대를 이룬다. 개인정보 자기결정권은 전통적인 권리 분류법에 따르면 절대권 내지 지배권의 성격을 가지기 때문에 개념상 강한 권리라고 할 수 있다. 하지만, 개인정보 자기결정권 역시 이를 둘러싼 수많은 가치나 이익들의 균형 있는 고려와 세밀한 조정을 요구한다. 개인정보 자기결정권이 정보 통제권이자 표현 통제권의 속성도 가진다는 점, 개인정보 자기결정권과 같은 인격권의 보호범위는 소유권과 같은 절대권과 비교할 때 형량과 조정의 필요성이 훨씬 크다는 점, 개인정보 자기결정권의 전제가 되는 합리적 인간상은 현실적 인간상과 거리가 있다는 점 등을 고려하면 개인정보 자기결정권의 보호범위는 좀 더 균형감 있는 조정 작업을 통하여 확정해 나가야 한다. 또한 정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 원칙을 구현한 동의 제도는 개인정보 자기결정권의 이념을 가장 잘 구현하는 제도로서 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있다. 개인정보 자기결정권의 이념적 정당성을 인정하는 이상 동의 제도도 그 이념적 정당성을 인정할 수 있다. 나아가 권리 보호 방식에 관한 동의 규칙(property rule), 보상 규칙(liability rule), 양도불가능 규칙(rule of inalienability)의 틀에 비추어 검토하더라도 동의 제도의 정당성은 원칙적으로 인정된다. 하지만 동의 제도가 현실 속에서도 정당성을 획득하려면 정보주체의 정보력, 인지력, 판단력, 협상력이 충분히 담보되어야 하는데, 그 동안의 실증적인 연구결과에 따르면 현실 속에 나타난 정보주체의 모습은 그렇지 않다. 이로 인해 정보주체의 동의가 형식적으로 이루어지고 있고, 그 동의의 가공할 만한 법적 힘에 기대어 오히려 개인정보의 오남용이 이루어질 가능성도 커지고 있다. 또한 사물인터넷의 발달로 인하여 개인정보 수집과 이용에 대한 사전 동의는 부분적으로 비현실적인 것이 되고 있어 동의 제도를 기계적으로 관철하거나 확장하는 것은 과학기술의 발달에 장애가 될 우려도 있다. 이러한 점에서 동의 제도를 재검토하고 그 개선방향을 모색하여야 한다. 동의 제도의 문제점과 이와 유사한 약관 제도의 개선에 관한 논의 현황을 참조하면 동의 제도는 다음과 같은 방향으로 개선될 수 있다. 첫째, 정보제공의 단순화와 실질화를 통해 동의의 형식화를 방지하는 방향이다. 이는 정보주체가 알고 하는 동의(informed consent)를 할 가능성을 높이기 위한 것이다. 다만 정보제공의 단순화는 개인정보 보호법에서 요구하는 정보제공 기준에 배치될 위험이 있으므로 기존 정보제공과 병행하여 행할 수밖에 없을 것이다. 이러한 단순화된 정보는 텍스트(text) 요약판으로 제공할 수도 있고, 표(table)나 이미지(image)를 사용하여 제공할 수도 있다. 나아가 개인정보취급방침 등에 대한 등급제나 인증제를 통해 제3의 전문기관이 개인정보 보호 정도를 1차 ... As declared in the first Article of the Personal Information Protection Act in Korea, personal information protection purports to materialize inner value of human dignity. This poses possibility of viewing personal information protection as nearly non-negotiable issue. However, as is the case with other legal issues, pursuing certain value almost always requires subtle balancing in regard to other values. The matter of personal information protection is no exception to this. The self-determination right to personal information, which forms a normative foundation for personal information protection regime, springs from personality right which in turn grounds itself on the Article 10 and 17 of the Korean Constitution. The self-determination right to personal information, according to a typical taxonomy, is categorized as absolute or dominion right, and thus regarded as a ‘strong right’ by its nature. Yet, it is also the right that controls and curbs information and expression, and thus creates tension against other personal legal interests. In that sense, it is to be differentiated from typical absolute right such as ownership right over things. Therefore, it is important that one reasonably delineate the scope of protection for personal information, thereby striking an appropriate balance among relevant values and interests. In order to realize the idea of self-determination, the current legal regime in principle requires the consent of the information subject in collecting or processing personal information. As long as the idea of self-determination can be justified, the consent regime can also be justified. Further, from the perspective of property rule / liability rule dichotomy, the consent regime which embodies the idea of property rule is justified. However, in order for such regime to work well in practice, lack of information, judgment capacity, and bargaining power of the information subject need to be addressed. Without such basis, the consent regime only justifies exploitation of personal information of personal information controller from less-informed information subject. The empirical studies show that it is so in reality. Moreover, the consent regime needs to be revisited in the wake of “Internet of Things”, in which obtaining individual consent from information subject becomes almost impracticable. Against this backdrop, this article proposes several ways to respond to these challenges. First, it points out necessity to enhance informed decision of the information subject by simplifying and materializing information-disclosure on the meaning and the scope of personal information collection and processing. The summary of the text of a privacy policy or relevant boilerplates may be provided. Tables and images may also be used, as one can find out similar examples in other areas such as revealing energy efficiency on electronic appliance. A rating or certification of a privacy policy by competent authorities may also serve as a simple way of delivering information. Second, it addresses the possibility of relaxing current consent regime, including turning current opt-in regime to opt-out regime, while strengthening other means of personal information protection, including fortifying control right of information subject in the processing stage, utilizing technical measures such as PETs(Privacy Enhancing Technologies), and encouraging self-imposed control in the private sector. Such efforts may lead to substantial and practical protection of personal information.

개정 개인정보보호법의 분석과 평가- 개인정보자기결정권의 범위와 한계를 중심으로 -

정혜영 동아대학교 법학연구소 2024 東亞法學 Vol.- No.102

The right to self-determination of personal information is the right to allow others to use one's personal information or to restrict their use. In the information society, the key is what procedures and conditions should be used to use personal information, and the content and limits of the right to self-determination of personal information are determined within the personal information protection order. If too much emphasis is placed on protecting personal information, the efficiency of personal information decreases. On the other hand, if personal information is allowed to be used without restrictions, the right to self-determination of personal information becomes useless. Therefore, we need to find and legislate the contact points where personal information can be protected and used. In this sense, the Personal Information Protection Act can be said to specify the scope and limits of protection of the right to self-determination of personal information. The most recently revised Personal Information Protection Act significantly improved the controversial points after a long discussion. The main contents are (i) the rights of data subjects are protected by newly establishing the right to request transmission of personal information, the right to request explanations for automated decisions, and the right to refuse; (ii) eliminating most of the special provisions for information and communication service providers, etc., and (iii) changing sanctions from punishment to economic sanctions such as fines. The revised Personal Information Protection Act broke away from the existing framework and strengthened the rights of data subjects while complementing the rigid consent system. In addition to preparing countermeasures for new technologies, it also presented regulations that meet the standards of major countries regarding data protection and use. There is great significance in this.

개인정보보호법상 처벌규정에 관한 형법적 고찰

이인곤(Lee, In-Gon) 한국법학회 2014 법학연구 Vol.55 No.-

오늘날 현대사회를 정보화 사회라고 부른다. 우리는 일상생활 속에서 수많은 정보를 접하고, 정보는 인간의 삶의 질을 결정하는 중요한 변수로 작용하고 있다. 급속한 정보통신기술의 발전으로 보다 빠르고 많은 정보를 얻을 수 있는 긍정적인 측면도 있으나 그 이면에는 개인정보의 무차별적 수집, 이용, 제공, 불법적인 유출로 발생하는 사회문제는 이미 우려의 도를 넘어서서 심각한 사회문제로 인식되고 있다. 최근 개인정보 침해문제는 대형화 · 지능화 · 다양화 추세로 개인정보보호에 관한 사회적 이슈는 지난 10여 년간 약 1억건(07~10)의 개인정보 침해사고가 발생하였다. 그 주요원인은 해킹, 내부직원의 유출, 담당자의 부주의 등 다양하게 나타나고 있다. 여기서 개인정보 침해 문제는 금전적 피해뿐만 아니라 개인의 인격과 명예에 악영향을 미칠 수 있다는 점에서 중요하게 다루어져야 하는 심각성을 느껴야 한다. 2011년 9월 30일부터 개인정보보호법이 시행됨으로써 우리나라의 개인정보보호법제는 그간의 공공부문만을 대상으로 하던 미완성 상태에서 벗어나 민간부문까지 포괄하는 온전한 법체계를 가지게 되었다. 이 법은 2013년에 개인정보에 관한 일반법으로 개정되었으나 ‘정보통신망법’, ‘위치정보의 보호 및 이용 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 법률 상호간 어떠한 법률에 우선하여 적용되어야 하는 것인지에 관한 모호함이 존재하고 있어 논란도 있다. 개인정보보호법이 보호하고자 하는 법적 이익은 정보자기결정권이다. 정보자기결정권은 헌법 제17조의 사생활 보호 규정으로부터 직접 연유된다. 주거의 평온과 함께 사생활의 영역에 포함되어 있는 개인적인 정보도 헌법적 보호의 대상이 되는 것이다. 개인정보를 보호받을 권리는 헌법상의 기본권인데 이를 보호받기 위한 법률이 없는 상태에서는 정보자기결정권 침해 행위에 대해서 민사적 대응을 하는 것 이외는 방법이 없었다. 그러나 개인정보보호법이 제정되고 형사처벌 규정도 함께 입법됨에 따라 정보자기결정권은 형법에 의해서 직접 보호되는 기본권이 되었다. 정보자기결정권 침해행위는 개인정보에 대한 정보주체의 사실상의 지배를 침해하는 범죄로서 속성을 가지고 있다. 이처럼 개인정보침해 발생시 구제방법 역시 미흡한 편이며 대중의 권리의식도 부족하다. 실제로 SK브로드밴드 사건등 대형사들의 개인정보 침해 사고는 빠른 속도로 증가하는 추세에 있다. 따라서 개인정보를 효과적으로 보호하기 위해 본 논문에서는 이와 같은 정보사회에서 개인정보 침해 시 형사법적 대응 방안을 논의 · 모색하고 그 개선방안을 제시하고자 한다. Previously, Korean personal information protection was considered to be incomplete for covering only the public affairs. On September 30th, 2011, however, Korea enacted personal information protection act and extended its coverage by including private affairs Since then, Korean personal information protection has become an intact system. The momentum for this extension of the protection range was served by the major personal information leakages centered on the private enterprises. SK Broadband, Auction online auctioning site’, Hyundai Capital’ cases are the few examples. legal benefit the personal information protection act essentially protects is the rights of informational self-determination. The rights of informational self-determination directly originated from the privacy act, article 17 of the constitutional law. Similar to tranquility of the habitat, personal information falls into the area of privacy and therefore is the subject of constitutional protection. Even though the protection for personal information is the fundamental human rights prescribed by the constitutional law, the absence of practical act to support its protection led to deal its violation only by civil means. as personal information protection law is enacted along with corresponding penalty, the rights of informational self-determination became one of the fundamental human rights that is directly protected by the constitutional law. Violation of the rights of informational self-determination has the property of intruding the control of personal information by the subject of rights. According to this property, the collection and processing of the personal information under the subjects consent is exempted from the punishment. there exists an opposition between how one would describe the exemption of the penalty under consent of the subject of information. One is by distinguishing between agreement which removes the elements of an offense and approval which precludes the wrongfulness. The other one is by deciding either on the circumstances of the removing the elements of an offence or the circummstances precluding wrongfulness. For the latter case, it is often said that it is practically impossible to distinguish between approval and agreement and that no benefit arises from such distinction. However, this is not the case. the violation of the rights of informational self-determination, the consent of the information subject should be considered as agreement that removes The elements of an offence. This is analogous to theft where the violation of ownership of the goods occur For example, if the owner of goods gives consent and the other acquires them, the elements of an offence are not comprisable offender of the violation of the rights of informational self-determination is fundamentally the information processor. Here, the information processor can be public institution, corporation, organization, or individuals, etc who, for business purposes, wish to process personal information by themselves or through the means of other people. According to this definition, all the people who process personal information is the offender. The basic structure of the system is as follows The person in charge of the information processing is subjected to punishment as offender and the corresponding corporation or organization is fined only when it is subjected to penalty against employer and employee the violation of the rights of informational self-determination is subjected to punishment except the collection of information without consent. In regards to collection, if the collector does not receive consent from the information subject, only the fine will be levied on him. However, if he commits fraud while obtaining consents, he is subjected to punishment. In regards to sensitive information and identification number, on the other hand, the validity requirements have been tightened up such that additional consent is needed to