개인정보의 헌법적 보호에 관한 연구

윤기열 서울대학교 대학원 2022 국내박사

Advancements in information technology have quantitatively and qualitatively enhanced our ability to process personal information. However, they also exposed us to new threats against our personal information. To address these threats, we need to protect personal information in the form of constitutional rights. Individually identifiable information has not been protected by traditional rights such as the right to honor or privacy, nor is it listed in the constitution. Regardless, we still need protection from threats against this type of information. Precedents of the Constitutional Court of Korea and the vast majority of commentators on this issue characterize this new type of constitutional right as the “right to self-determination of personal information,” that is, the right of a data subject to determine the disclosure and use of their own personal information. However, this ‘right to self-determination of personal information’ approach poses a number of issues, including the hollowing-out of the very concept of informational self-determination, negligence of the need to protect personal information, and excessive dependence on consent. The theory of the ‘right to self-determination of personal information’ seems to have been influenced by the theory of information privacy in the United States, the theory of self-information control in Japan, and the theory of informational self-determination in Germany. However, these theories are the end results of attempts to recognize constitutional rights not listed in the constitution by inferring them from similar traditional rights. These theories reflect the characteristics and needs of the written constitutions of the respective countries. However, we do not have to adhere to these theories when interpreting the Korean Constitution, which offers a larger space to recognize non-listed rights than its foreign counterparts. The issues raised against the theory of self-determination of personal information, including the ambiguity of its content and boundaries, are widely recognized in the three countries mentioned above. As such, the U.S. and Japanese Supreme Courts are hesitant to recognize it as a constitutional right. Attempts to identify and overcome these issues can be found in the academia as well. Apart from the supreme courts’ position on whether to recognize it as a constitutional right, parliaments across the world are actively engaged in legislative discussions aimed at protecting personal information on the statutory level. These legislative approaches usually seek to achieve balance between protection and utilization of personal information under specific circumstances, rather than focusing on macroscopic issues such as the right to self-determination of personal information, privacy, or human dignity. In light of the discussions above, this researcher deems it reasonable to understand the constitutional right regarding personal information as the ‘personal information right,’ that is, the right to protection of personal information. This approach offers a number of benefits: it offers a way to overcome the issues with the self-determination theory; and it is consistent with the latest trend in written constitutions that stipulate the constitutional right to personal information as ‘the right to be protected.’ The content of personal information rights should include the right to have one’s personal information processed in accordance with the purpose, the right to have one’s personal processed in a secure manner, and the right to request access one’s personal information to realize the first two rights. However, this researcher considers it inappropriate to include the right to consent to the processing of one’s personal information in the the content of the personal information right. Other benefits of the ‘personal information right’ approach include: predictability can be improved by identifying the content of the right in terms of objective interests rather than the subjective intentions of data subjects; the strictness of review can be flexibly adjusted in consideration of various factors such as the quantity and quality (sensitivity) of personal information and whether identifiability declines during the processing of the information; the seemingly contradictory rulings from Korean civil courts on the leakage of personal information and the use of disclosed information can be reconciled; and the theory allows for more accurate constitutional assessment of new information issues such as the pseudonymous information and the right to data portability. 정보통신 기술의 발전으로 개인정보의 처리능력이 양적으로나 질적으로나 성장함에 따라 정보주체가 놓인 위협에 대응하기 위해 개인정보를 헌법적 권리로서 보호할 필요가 있다. 명예권이나 사생활의 비밀과 자유 등 기존의 법적 권리로는 보호하지 못했던, 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 보호받을 권리는, 비록 헌법에 열거되어 있지는 않으나 보호받을 필요성이 있다. 이러한 새로운 권리의 내용에 대하여, 우리나라의 판례 및 통설은 개인정보에 대한 헌법적 권리를 “개인정보자기결정권”, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 가리킨다고 본다. 그러나 개인정보자기결정권 이론은 개인정보자기결정권 개념이 공동화된다는 문제, 개인정보의 보호 필요성을 경시한다는 문제, 동의에 대한 과도한 의존을 야기한다는 문제가 있다. 개인정보자기결정권 이론은 미국의 정보프라이버시 이론이나 일본의 자기정보컨트롤권 이론, 독일의 정보자기결정권 이론의 영향을 받은 것으로 보인다. 그런데 세 나라의 이론은 각각 열거되지 않은 헌법상의 권리를 기존의 유사한 권리으로부터 유추하여 인정하려는 시도 끝에 구축된 것이다. 각국 실정헌법의 특색과 필요성에 따른 것임을 알 수 있으며, 열거되지 않은 권리를 더 여유 있게 인정할 수 있는 우리 헌법의 해석상 반드시 이에 따라야 할 필요는 없다. 개인정보자기결정권 이론에 대해 제기되는 문제점, 무엇보다 그 내용과 한계가 불분명하다는 문제점은 각 나라에서도 인식되고 있고, 이 때문에 미국이나 일본의 최고법원에서는 이를 헌법상의 권리로 인정하는 데 주저하고 있다. 학자들 가운데에도 개인정보자기결정권 이론의 문제점을 인식하고 이를 극복하기 위한 이론적 시도가 발견되고 있다. 헌법상의 권리로 인정할 것인지에 대한 최고법원의 판단과는 별개로, 개인정보를 법률의 수준에서 보호하기 위한 입법논의는 어느 나라에서나 활발하다. 이들 입법론은 대개 개인정보에 대한 자기결정권이나 프라이버시, 인간의 존엄과 같은 거대담론보다는 구체적인 상황에서 개인정보의 보호와 활용 사이에서 적절한 형량을 모색하고 있다. 위와 같은 사정을 종합하여, 개인정보에 대한 헌법적 권리를 개인정보를 보호받을 권리, 즉 “개인정보권”으로 파악하는 것이 타당하다고 본다. 개인정보자기결정권 이론의 문제점을 극복할 수 있고, 최근 개인정보에 대한 헌법적 권리를 “보호받을 권리”로 명문화하는 여러 성문헌법의 경향과도 상응한다. 개인정보권의 내용으로는 목적에 부합하도록 개인정보가 처리되도록 보호받을 권리, 개인정보가 안전하게 처리되도록 보호받을 권리, 그리고 이러한 권리를 실현하기 위한 열람청구권 등 적극적 청구권이 포함될 것이다. 그러나 처리에 대한 동의권은 개인정보권의 내용으로 보기에 부적절하다고 본다. 정보주체의 주관적 의사보다는 객관적 이익을 통해 권리의 내용을 파악함으로써 사회적 예측가능성을 높일 수 있고, 다른 가치와의 이익형량에 있어서도 개인정보의 양과 질(민감성), 처리과정에서 식별성의 저하 여부 등 다양한 요소를 감안하여 심사강도를 유연하게 조절할 수도 있다. 개인정보의 유출이나 공개된 정보 이용에 대한 민사법원의 모순적으로 보이는 판결도 개인정보권 이론에 의할 때 정합적으로 해결이 가능하다. 가명정보나 개인정보전송요구권과 같은 새로운 이슈에 대한 헌법적 평가 역시 개인정보권 이론에 의할 때 더 정확한 판단이 가능하다.

사이버安保法制에 있어 個人情報權 制限의 基準과 限界

김법연 고려대학교 정보보호대학원 2020 국내박사

사이버안보에 관한 여러 쟁점과 이슈는 기술의 발전과 사회의 변화에 따라 개혁을 반드시 필요로 하는 매우 중요한 문제이다. 특히 사이버안보에 대한 원칙과 예외를 정하는 것은 법제도가 반드시 풀어야 하는 과제라 할 수 있다. 모든 사이버상의 제도적 이슈들이 그러하듯 사이버안보의 문제 또한 전통적 군사안보와 물리적 차원의 국가안보를 다루던 방식으로는 대응이 불가능하기 때문이다. 특히 IT인프라가 고도로 갖추어진 우리나라의 상황에서 사이버위협에 대한 대응체계를 마련하는 것은 아무리 강조해도 지나침이 없을 것이다. 그간 우리는 사이버안보에 관한 다양한 이슈들에 대하여 법제도적 근간을 마련하기 위하여 많은 노력을 하였지만, 오랜 기간의 논의 속에서도 특별한 해법을 찾지 못하고 있다. 사이버안보를 둘러싼 갈등요소들이 다양하게 전개되고 있지만, 그 중 가장 첨예하게 대립하고 있는 것은 개인정보권 침해에 대한 문제이다. 국가의 사이버안보 활동이 강화될수록 개인의 프라이버시와 개인정보권이 침해되며, 대규모의 국가감시가 실시될 것이라는 우려에서이다. 국가안보의 정도는 군사력과 물리력의 우위에 따라 결정되기도 하지만 정보력에 의한 안보의 확보에서 결정적 차이를 유발시킨다. 사이버상에서의 안보활동은 특히 정보수집의 역량이 절대적 역할을 하기 때문이다. 사이버공격이 어느 시점에 누구에 의하여 어떤 위력으로 나타날 것인지 예측이 어려우며, 그 피해 또한 한정적이지 못하기 때문에 위협정보를 인지하고 이를 사전에 예방하는 것이 가장 중요하다. 이러한 이유로 사이버안보의 법제는 국가로 하여금 사이버상에서의 다양한 정보수집 혹은 정보공유의 활동을 정당화시키게 된다. 한편, 데이터시대에 살고 있는 현대시민들은 매일 다양한 개인과 관련한 데이터를 만들어낸다. 그것이 자의적이든 타의적이든 데이터를 생산하고 또 누군가에게 그 정보를 제공한다. 통신사업자, 신용카드회사, 웨어러블 기기 사업자 등은 매일 개인이 통화한 기록, 물건을 구입한 기록, 이동한 위치의 기록을 보유하고 있다. 이렇게 축적된 정보들로 기업의 능력은 과거의 어느 때보다 커지게 되었으며, 이는 정부도 마찬가지이다. 사이버안보를 위한 국가의 정보수집 활동이 강화되었고, 국민 대다수의 개인정보와 사생활에 대하여 접근이 가능해졌다. 국가의 안전보장을 이유로 국가로 하여금 개인의 삶을 집합적으로 자세히 들여다 볼 수 있는 기회를 주게 된 것이다. 이러한 이유로 사이버안보와 개인정보권과의 갈등관계가 발생한다. 그러나 문제는 사이버안보의 활동과 개인정보권과의 갈등관계에서 개인정보권이 지나치게 침해되고 있는 불균형의 상황이라는 점이다. 오늘날의 기술이 국가는 물론 기업에게 엄청난 양의 정보를 수집할 수 있는 기능을 주었고, 이는 대량감시를 할 수 있는 기회가 되었다. 2013년 에드워드 스노든(Edward Snowden)은 이와 같은 국가의 대량감시가 우려가 아닌 현실임을 알게 해주었다. 우리는 국가감시가 인종, 종교, 정치적 신념 등을 이유로 차별을 가능하게 하고, 사람들이 보는 것과 하는 것, 말하는 것, 나아가 생각하는 것까지 통제하는 것에 이용될 수 있다는 것을 그간의 경험으로 익히 알고 있다. 그리고 이는 결국 민주주의에 대한 도전이 된다. 국가안보를 위한 정보의 수집활동 자체가 문제가 되는 것은 아니다. 문제는 이를 어떤 방식과 수단으로 가능하게 할 것인지에 대한 합의가 아직 이루어지지 못하였다는 점이다. 우리 헌법 질서는 국가안보를 위하여 국가로 하여금 개인의 기본권을 침해하는 것을 허용하고 있다. 그러나 그 행위가 허용되기 위해서는 개인의 기본적 권리의 본질적 요소를 침해하지 않아야 한다. 따라서 국가의 안전보장 활동을 보장하면서도 개인의 기본권을 합리적으로 제한할 수 있는 균형감 있는 제도의 설계가 필요하다. 이에 본 연구는 사이버안보와 개인정보권이라는 양 법익의 균형과 조화를 위해서 사이버안보법제에서의 개인정보권 제한의 기준과 한계에 대해서 다루었다. 기술과 사회의 변화 속에서 사이버위협으로부터 국가와 국민을 안전하게 보호하고 이에 따라 개인의 기본적 권리인 개인정보권을 얼마나 제한할 수 있는지에 대하여 합의가 필요한 시점이다.

개인정보의 처리에 관한 동의제도

주영선 전남대학교 2022 국내박사

개인정보는 4차 산업혁명과 데이터 중심사회에서 경제적 부가가치를 창출하는 핵심동력으로 자리 잡았다. 개인정보는 공공과 민간의 다양한 분야에서 활용되며, 이는 단순히 생산성을 높이는 것에 그치지 않고 각 분야의 혁신을 가져온다. 개인정보의 처리는 우리 일상에서 흔히 일어나며, 개인정보의 잠재적 가치로 인해 활용범위는 계속해서 증가할 것으로 보인다. 개인정보는 살아있는 개인에 관한 정보로서 개인의 인격적 이익과 매우 밀접한 관련이 있다. 따라서 일반정보와 달리 그 처리에 있어 신중하여야 하며, 각별한 주의가 요구된다. 한편, 정보주체의 동의는 개인정보처리자가 개인정보를 처리하는데 단초가 되는 것으로, 많은 경우 정보주체의 동의를 근거로 개인정보의 처리가 이루어진다. 따라서 동의는 개인정보보호법제에 있어 가장 핵심이라 할 수 있다. 동의권은 자신에 관한 정보가 언제, 누구에게, 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리인 개인정보권으로부터 발현된 것으로, 정보주체에게 자신의 개인정보에 대한 선택권과 통제권을 부여한다. 하지만 현재 동의제도는 무분별하고 관행적인 동의절차로 인하여 이와 같은 취지가 무색해지고 있으며, 오히려 개인정보처리로 발생하는 모든 문제에 대한 책임을 정보주체에게 부담 지우는 결과를 가져온다. 나아가 엄격한 사전동의제도로 인해 신기술발전과 데이터 경제로의 도약을 저해한다는 비판을 받기도 한다. 동의제도의 실효성 문제를 해결하고, 데이터경제시대에 기업과 국가의 경쟁력 확보를 위해서는 개인정보보호법상의 동의제도에 대한 연구가 필수적이다. 이에 본 논문에서는 개인정보보호법상 동의제도의 문제점을 분석하고, 정보주체의 동의가 형식적 동의에 머무르는 것이 아닌 실질적 동의가 될 수 있도록 개선방안을 도출하고자 하였다. 나아가 개인정보의 보호와 안전한 활용이라는 균형점을 찾아갈 수 있는 동의 방안을 제시하는 것을 목적으로 연구를 진행하였다. 현재 정보주체에게 직접적인 선택권과 통제권을 부여하는 것이 가장 좋은 개인정보의 보호수단이라고 생각하는 경향이 있다. 이러한 이유로 동의 이외의 적법처리요건을 엄격하게 규정하며, 동의규정을 위반할 경우 형사벌을 부과함으로써 매우 엄격하게 제재하고 있다. 그러나 이와 같은 노력은 동의의 형해화로 이어졌으며, 정보주체의 선택권을 보장하지 못한다. 또한 정보주체의 동의는 개인정보처리에 대한 책임을 전적으로 정보주체에게 부담 지운다. 따라서 동의만이 절대적 보호수단이 아님을 인정하고 다양한 보호방식을 수용할 필요가 있다. 한편, 정보주체로부터 진정한 동의를 얻기 위해서는 동의의 실질적 측면에 초점을 맞추어 살펴보아야 한다. 현재 형식적 측면에서 있어서는 다양한 규제가 존재하는 반면 실질적 측면에서 유효한 동의요건에 대한 규제는 부재한 실정이다. 따라서 동의의 형식적 요건만 충족할 경우 법상 유효한 동의로서 인정된다. 하지만 정보주체와 개인정보처리자 사이에 힘의 불균형으로 인하여 정보주체가 본인의 의사와 상관없이 동의하였다면 이는 진정한 동의로 볼 수 없다. 따라서 실질적 측면에서 유효한 동의요건을 마련할 필요가 있다. 또한 정보주체의 이해를 돕고 보다 많은 정보를 제공하려 할수록 동의내용은 복잡하고 길어진다. 이는 정보주체가 동의서의 내용을 제대로 확인하지 않고 동의하게 만든다. 따라서 현재의 복잡하고 형식적인 동의제도를 보다 간소화하고 단순화할 필요가 있다. 나아가 기술의 비약적 발전과 빠르게 변화하는 데이터의 처리환경은 정보주체의 사전동의를 받을 수 없는 상황을 만들어 내기도 한다. 따라서 개인정보의 보호와 적절한 활용의 균형점 모색을 위해 기존의 사전동의와 함께 사후거부권이라는 새로운 패러다임을 개인정보보호법에 접목시킴으로써 규제의 패러다임을 전환할 필요가 있다. Personal information has become a key driving force that creates economic added value in the era of the 4th Industrial Revolution and data-driven society. Personal information is used in various fields of the public and private sectors, and it not only increases productivity but also brings innovation in many fields. The processing of personal information is common in our daily lives, and its use is expected to diversify due to the potential value of personal information. Personal information is information relating to a living individual and is very closely related to an individual's personality. Therefore, unlike general data, it must be handled carefully with special attention. Most importantly, in most cases, the consent from the data subject is the basis for the personal information controller to process personal information. Therefore, getting consent is the most crucial part of the personal information protection legislation. The right to consent arises from the personal information right, which is the right of a data subject to decide for themselves to whom, and to what extent, and when their information will be given and used. Through consent, the data subject can exercise the right to choose and control their personal information. However, the current consent system is overshadowing this purpose due to indiscriminate and customary consent procedures. In addition, the responsibility for all problems arising from the processing of personal information is being passed on to the data subject. Furthermore, the strict prior consent system has been criticized for hindering the development of new technologies and the leap into the data economy. To solve the inefficiency and the problems of the consent system while securing the competitiveness of companies and countries in the era of the data economy, research on the consent system under the Personal Information Protection Act is essential. Therefore, this paper analyzes the problems of the consent system under the Personal Information Protection Act and derives improvement measures so that the consent of the data subject could become substantive consent- not just formal consent. Furthermore, the purpose of this study was to suggest a consent method that can find a balance between the protection of personal information and the safe use of personal information. There is a tendency to think that giving direct choice and control to the current data subject is the best means of protecting personal information. For this reason, the requirements for the legal processing of personal data other than the range of the subject’s consent are strictly stipulated, and in case of violations, criminal penalties are imposed with strict sanctions. However, such efforts led to the tendency where the data subject's right to choose is not guaranteed. In addition, the consent of the data subject can place the entire responsibility for the processing of personal information on the data subject. Therefore, it is necessary to accept various protection methods and acknowledge that consent is not an absolute means of protection. To obtain genuine consent from the data subject, it is necessary to focus on the practical aspects of consent. Currently, various regulations exist in forms, but in practical terms, there is no regulation on effective consent requirements. Therefore, if the formal requirements of consent are satisfied, it is being recognized as valid under the law. However, due to the imbalance of power between the data subject and the personal information controller, it cannot be considered valid consent if the data subject gives consent regardless of their own will. Therefore, it is necessary to prepare practical valid consent conditions. In addition, the more information is provided to help the information subject understand, the more complex and lengthy the consent content becomes. This causes the data subject to give consent without properly checking the contents of the consent form. Therefore, it is also necessary to further simplify the complex and formal consent system. Furthermore, the rapid development of technology and the fastly changing data processing environment create a situation where prior consent of the data subject cannot be obtained. Therefore, to find a balance between the appropriate usage of personal information and data protection, it is necessary to change the regulatory paradigm by grafting a new paradigm of the “right to opt-out together along with the existing prior consent” under the Personal Information Protection Act.

빅데이터시대 중국의 개인정보 보호에 관한 연구

강수연 서울대학교 대학원 2021 국내석사

2020년 중국은 개인정보보호법 초안을 공개하였고, 본격적인 개인정보보호법 제정 작업이 시작되었으며 현재 진행 중에 있다. 그 이전에는 소비자권익보호법, 네트워크안전법 등 개별법들에 의해 분산되어 있는 형태로 개인정보가 보호되어 왔다. 그러다가 2021년부터 시행된 민법전에 개인정보보호에 관한 포괄적인 규정이 도입되었다. 빅데이터 시대에서 개인정보에 대한 이용이 활성화되면서 그 침해에 대한 염려도 증가되었다. 이러한 문제에 주목한 중국의 이번 개인정보보호법 제정은 빅데이터 시대를 반영하여 개인정보에 대해 더욱 두텁게 보호하고자 하는 목적에서 시작된 것이다. 그럼에도 불구하고 개인정보권의 의미와 법적 성질에 관한 논쟁은 여전히 첨예하다. 개인정보 관련 규정은 오래전부터 존재하였고, 그 수가 적지 않지만 실무에서는 개인정보권을 프라이버시권과 유사한 의미로 취급하여 왔다. 최근에 와서야 개인정보권과 프라이버시권의 의미를 구별하기 시작하였다. 이 밖에 ‘동의’ 관련된 논쟁도 존재한다. 이 연구에서는 빅데이터 시대 개인정보 보호의 문제점을 찾아내고, 중국 관련 현황을 고찰함으로써 현재 제정 중인 개인정보보호법 초안의 내용을 분석한다. 마지막으로 중국의 개인정보보호법이 향후 나아가야 할 바람직한 방향에 대해서 제언한다. As the use of personal information is activated in the era of big data, concerns about its infringement have also increased. In 2020, China published the draft of the Personal Information Protection Law, which reveals that the work of enacting the Personal Information Protection Law has been officially launched. Prior to this, personal information has been protected by separate laws such as the Consumer Rights Protection Act and the Network Safety Act. With increasing attention to protection of personal information, comprehensive regulations related to personal information protection were introduced in the Civil Code which came into effect in 2021. Taking the features of the era of big data into consideration, the enactment of the Personal Information Protection Act in China is to address the issues newly raised and to protect personal information in a more comprehensive way. Although the work of law making is ongoing, the debates about the legal nature of personal information right is still sharp. Though regulations related to personal information have existed for a long time and the numbers are not small, the personal information right has been treated in a similar way to the right of privacy in practice. Only recently have the meaning of the personal information right and the right of privacy begun to be distinguished. In addition, the argument related to ‘consent’ to collection and use of personal information is also ongoing. In the last part, this study introduces the contents of the draft Personal Information Protection Act by analyzing the problems of personal information protection in the era of big data and examining the current situation related to personal information protection in China, followed by the suggestion for enactment of Personal Information Protection Law in the future in China.