개인정보의 헌법적 보호에 관한 연구

윤기열 서울대학교 대학원 2022 국내박사

Advancements in information technology have quantitatively and qualitatively enhanced our ability to process personal information. However, they also exposed us to new threats against our personal information. To address these threats, we need to protect personal information in the form of constitutional rights. Individually identifiable information has not been protected by traditional rights such as the right to honor or privacy, nor is it listed in the constitution. Regardless, we still need protection from threats against this type of information. Precedents of the Constitutional Court of Korea and the vast majority of commentators on this issue characterize this new type of constitutional right as the “right to self-determination of personal information,” that is, the right of a data subject to determine the disclosure and use of their own personal information. However, this ‘right to self-determination of personal information’ approach poses a number of issues, including the hollowing-out of the very concept of informational self-determination, negligence of the need to protect personal information, and excessive dependence on consent. The theory of the ‘right to self-determination of personal information’ seems to have been influenced by the theory of information privacy in the United States, the theory of self-information control in Japan, and the theory of informational self-determination in Germany. However, these theories are the end results of attempts to recognize constitutional rights not listed in the constitution by inferring them from similar traditional rights. These theories reflect the characteristics and needs of the written constitutions of the respective countries. However, we do not have to adhere to these theories when interpreting the Korean Constitution, which offers a larger space to recognize non-listed rights than its foreign counterparts. The issues raised against the theory of self-determination of personal information, including the ambiguity of its content and boundaries, are widely recognized in the three countries mentioned above. As such, the U.S. and Japanese Supreme Courts are hesitant to recognize it as a constitutional right. Attempts to identify and overcome these issues can be found in the academia as well. Apart from the supreme courts’ position on whether to recognize it as a constitutional right, parliaments across the world are actively engaged in legislative discussions aimed at protecting personal information on the statutory level. These legislative approaches usually seek to achieve balance between protection and utilization of personal information under specific circumstances, rather than focusing on macroscopic issues such as the right to self-determination of personal information, privacy, or human dignity. In light of the discussions above, this researcher deems it reasonable to understand the constitutional right regarding personal information as the ‘personal information right,’ that is, the right to protection of personal information. This approach offers a number of benefits: it offers a way to overcome the issues with the self-determination theory; and it is consistent with the latest trend in written constitutions that stipulate the constitutional right to personal information as ‘the right to be protected.’ The content of personal information rights should include the right to have one’s personal information processed in accordance with the purpose, the right to have one’s personal processed in a secure manner, and the right to request access one’s personal information to realize the first two rights. However, this researcher considers it inappropriate to include the right to consent to the processing of one’s personal information in the the content of the personal information right. Other benefits of the ‘personal information right’ approach include: predictability can be improved by identifying the content of the right in terms of objective interests rather than the subjective intentions of data subjects; the strictness of review can be flexibly adjusted in consideration of various factors such as the quantity and quality (sensitivity) of personal information and whether identifiability declines during the processing of the information; the seemingly contradictory rulings from Korean civil courts on the leakage of personal information and the use of disclosed information can be reconciled; and the theory allows for more accurate constitutional assessment of new information issues such as the pseudonymous information and the right to data portability. 정보통신 기술의 발전으로 개인정보의 처리능력이 양적으로나 질적으로나 성장함에 따라 정보주체가 놓인 위협에 대응하기 위해 개인정보를 헌법적 권리로서 보호할 필요가 있다. 명예권이나 사생활의 비밀과 자유 등 기존의 법적 권리로는 보호하지 못했던, 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 보호받을 권리는, 비록 헌법에 열거되어 있지는 않으나 보호받을 필요성이 있다. 이러한 새로운 권리의 내용에 대하여, 우리나라의 판례 및 통설은 개인정보에 대한 헌법적 권리를 “개인정보자기결정권”, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 가리킨다고 본다. 그러나 개인정보자기결정권 이론은 개인정보자기결정권 개념이 공동화된다는 문제, 개인정보의 보호 필요성을 경시한다는 문제, 동의에 대한 과도한 의존을 야기한다는 문제가 있다. 개인정보자기결정권 이론은 미국의 정보프라이버시 이론이나 일본의 자기정보컨트롤권 이론, 독일의 정보자기결정권 이론의 영향을 받은 것으로 보인다. 그런데 세 나라의 이론은 각각 열거되지 않은 헌법상의 권리를 기존의 유사한 권리으로부터 유추하여 인정하려는 시도 끝에 구축된 것이다. 각국 실정헌법의 특색과 필요성에 따른 것임을 알 수 있으며, 열거되지 않은 권리를 더 여유 있게 인정할 수 있는 우리 헌법의 해석상 반드시 이에 따라야 할 필요는 없다. 개인정보자기결정권 이론에 대해 제기되는 문제점, 무엇보다 그 내용과 한계가 불분명하다는 문제점은 각 나라에서도 인식되고 있고, 이 때문에 미국이나 일본의 최고법원에서는 이를 헌법상의 권리로 인정하는 데 주저하고 있다. 학자들 가운데에도 개인정보자기결정권 이론의 문제점을 인식하고 이를 극복하기 위한 이론적 시도가 발견되고 있다. 헌법상의 권리로 인정할 것인지에 대한 최고법원의 판단과는 별개로, 개인정보를 법률의 수준에서 보호하기 위한 입법논의는 어느 나라에서나 활발하다. 이들 입법론은 대개 개인정보에 대한 자기결정권이나 프라이버시, 인간의 존엄과 같은 거대담론보다는 구체적인 상황에서 개인정보의 보호와 활용 사이에서 적절한 형량을 모색하고 있다. 위와 같은 사정을 종합하여, 개인정보에 대한 헌법적 권리를 개인정보를 보호받을 권리, 즉 “개인정보권”으로 파악하는 것이 타당하다고 본다. 개인정보자기결정권 이론의 문제점을 극복할 수 있고, 최근 개인정보에 대한 헌법적 권리를 “보호받을 권리”로 명문화하는 여러 성문헌법의 경향과도 상응한다. 개인정보권의 내용으로는 목적에 부합하도록 개인정보가 처리되도록 보호받을 권리, 개인정보가 안전하게 처리되도록 보호받을 권리, 그리고 이러한 권리를 실현하기 위한 열람청구권 등 적극적 청구권이 포함될 것이다. 그러나 처리에 대한 동의권은 개인정보권의 내용으로 보기에 부적절하다고 본다. 정보주체의 주관적 의사보다는 객관적 이익을 통해 권리의 내용을 파악함으로써 사회적 예측가능성을 높일 수 있고, 다른 가치와의 이익형량에 있어서도 개인정보의 양과 질(민감성), 처리과정에서 식별성의 저하 여부 등 다양한 요소를 감안하여 심사강도를 유연하게 조절할 수도 있다. 개인정보의 유출이나 공개된 정보 이용에 대한 민사법원의 모순적으로 보이는 판결도 개인정보권 이론에 의할 때 정합적으로 해결이 가능하다. 가명정보나 개인정보전송요구권과 같은 새로운 이슈에 대한 헌법적 평가 역시 개인정보권 이론에 의할 때 더 정확한 판단이 가능하다.

개인정보 전송요구권의 본질과 입법방향에 대한 연구

전영균 서울과학기술대학교 2022 국내박사

With the implementation of the EU GDPR on May 25, 2018 which includes the right to data portability, major countries are considering introducing the right to data portability into the policy system. As the Credit Information Act was revised in January 2020, Korea has also implemented the MyData system in the financial sector since December 1, 2021 after extending the grace period and the amendment of the Personal Information Protection Act, which includes the right to request transmission of personal information, was also proposed to the National Assembly in September 2021. The problem is that the introduction of the right to request transmission of personal information is in too much of a hurry. The MyData system in the financial sector was postponed to be implemented due to the insufficient preparation, and there exist concerns over introducing the right to request transmission of personal information in such a rush which includes even a wider range of information provided for transmission and information providers. With the awareness of this problem, it is necessary to consider the nature of the right to request transmission of personal information and the legislative directions. The right to request transmission of personal information has been discussed to strengthen the rights of data subjects due to expanded scope of the right to informational self-determination, but in other respects, it may infringe on the freedom of business the basic legal rights of personal information controllers. However, since the necessity of this right is clear in two aspects: enhancing the rights of data subjects and vitalizing the data economy, it is not appropriate to unconditionally oppose to introduce the system because of guaranteeing freedom of business. Therefore, the legislative direction of the right to request transmission of personal information should turn on the nature of this right harmonizing two basic rights(the right to informational self-determination and freedom of business) and two essential purposes(enhancing the rights of data subject and vitalizing the data economy). As a result of reviewing the domestic and international legislation, four different Acts in Korea – the Credit Informtation Use and Protection Act, Personal Information Protection Act, Electronic Government Act, and Civil Petitions Treatment Act – structured the system to serve the purpose of each Act. In the case of the Credit Information Use and Protection Act, the MyData System was implemented focusing on vitalizing data economy. The Personal Information Protection Act organized system of the right to request transmission of personal information which brings the issue of enhancing the rights of data subjects to the front in an effort to strengthening the rights of control of data subjects. In the case of Electronic Government Act and Civil Petitions Treatment Act, the right to request personal information provision was institutionalized with the sole object of enhancing the rights of data subjects as public information is handled under the legislation. The GDPR formed the system of the right to data portability for the purpose of vitalizing the data economy along with strengthening the rights of data subjects. In the case of the United States, where data flow is smoother than in Korea or the EU, it operates the system on the right of access to information that focuses on strengthening rights of data subjects and consumers rather than vitalizing the data economy. In the meantime, in the domestic and international data portability system, problems such as insufficient effectiveness: data concentration, reduced data flow, and lack of promoting competition effect; technical issues: interoperability, securing infrastructures, and abuse of access right; unsystematic execution system: fragmentation of the data management system and operation of the organization for practical discussion were identified. As a basic direction for legislation, it is necessary to priorly consider implementing a step-by-step system to perform a practical system suitable for the nature of the right to request transmission of personal information. The first phase will be the implementation of the right of access to personal information by downloading the data in a transmission-available form. The second phase will be realizing the right to request transmission of personal information which enables data subjects or personal information controllers to request transmission of personal information to other personal information controllers. The legislation of the right to request transmission of personal information should be led by the Personal Information Protection Commission but revision of the principle of personal information protection bringing protection and utilization into harmony, re-establishment of the role of the Personal Information Protection Commission and institutionalization of a practical discussion body are needed. In addition, in order to unify the promotion system, it seems necessary to strengthen the management and supervision authority of the Personal Information Protection Committee on the execution of the right to request transmission of data in the public sector. Information provided for transmission of the right to request personal information transmission should include all personal information processed by the personal information controller but any information infringing on the others’legitimate interest and rights or related to copyright and trade secret must be excluded. Information providers should be all personal information controllers in principle but small businesses below a certain standard need to be excluded from the list. In addition, it is necessary to induce personal information controllers to actively engage in the system by preparing exemption requirements for personal information controllers with prescribed safety measures at the stage of enforcement of the law. It is also needed to form a working group to supplement the identified problems of the right to data portability system and prepare for the enactment of subordinate legislation and guidelines. Lastly, the institutionalization of the integrated MyData business as the next step of the right to request personal information transmission is necessary to be considered. The integrated MyData business aims to integrate and utilize data from various fields such as general personal information, public sector, finance sector, and health care sector, focusing on vitalizing the data economy. And regulations should be introduced to a minimum to reach the key objective. Before institutionalizing, however, it is necessary to subdivide data, establish the jurisdictional department and legal grounds, review regulations and make policy decisions on MyData business operators’ entry and scope of business. The integrated MyData business is thought to be able to generate greater social utility such as discovering new data markets based on extensive data in a variety of fields. 개인정보 이동권이 포함된 EU GDPR이 2018년 5월 25일 시행된 이후 세계 주요국에서도 데이터 이동권 제도의 도입을 검토하고 있다. 우리나라는 2020년 1월 신용정보법 개정을 통해 금융분야 마이데이터 제도가 도입되어 유예기간을 연장한 끝에 2021년 12월 시행되었으며, 개인정보 전송요구권을 담은 개인정보 보호법 일부개정법률안이 2021년 9월 국회에 제출된 상태이다. 그러나 앞선 금융분야 마이데이터 제도가 준비 미비로 시행이 연기 된 상황에서 대상정보 및 제공 대상기관 범위 등 영향력이 더 클 것으로 예상되는 개인정보 전송요구권이 사전 준비가 부족한 상태로 제도화가 추진되는 것에 대한 우려가 존재하는 상황이다. 따라서 제도화의 중요성을 감안하여 개인정보 전송요구권의 본질을 중심으로 입법방향에 대한 심도 깊은 고찰이 필요하다. 개인정보 전송요구권은 헌법상 기본권인 개인정보자기결정권의 권리범위 확대로 인한 정보주체의 권리 강화 측면에서 도입이 논의되고 있다. 그러나 다른 측면에서 보면 개인정보처리자의 기본권인 영업의 자유를 침해할 가능성도 있는 제도이다. 하지만 개인정보 전송요구권은 정보주체의 권리 강화, 데이터 경제 활성화라는 2가지 측면에서의 의의가 명확하므로, 영업의 자유 보장을 이유로 제도의 도입을 무조건 반대하는 것은 적절하지 않다. 따라서 개인정보 전송요구권의 입법방향은 두 가지 기본권(개인정보자기결정권, 영업의 자유) 및 두 가지 본질적 목적(정보주체의 권리 강화, 데이터 경제 활성화)이 상호 조화를 이루는 개인정보 전송요구권의 본질을 중심으로 검토할 필요가 있다. 국내외 법제를 살펴본 결과, 신용정보법의 경우 데이터 경제 활성화 중심의 금융분야 마이데이터 제도를, 개인정보 보호법 개정안은 정보주체의 통제권 강화를 도입취지로 정보주체 권리 강화를 전면에 내세운 개인정보 전송요구권 제도를, 전자정부법 및 민원처리법의 경우 공공정보를 다루는 만큼 정보주체의 권리 강화를 유일한 목적으로 하는 본인정보 제공요구권 제도를 각각 구성하였다. GDPR의 경우 정보주체의 권리 강화와 함께 데이터 경제 활성화 모두를 제도의 목적으로 하는 개인정보 이동권 제도를 구성하였다. 우리나라나 EU에 비하여 데이터 흐름이 원활한 미국의 경우, 데이터 경제 활성화 보다는 정보주체 및 소비자에 대한 권리 강화에 중점을 둔 정보접근권 제도를 운영하고 있다. 한편, 국내외 데이터 이동권 제도에서는 데이터 집중·데이터 흐름 감소·경쟁 활성화 효과 미비 등 실효성의 미흡, 상호운용성·인프라 확보·접근권한 악용 등 기술적 문제, 데이터 관리 체계의 파편화 및 실무 논의 기구 운영 문제 등 집행체계의 비체계화와 같은 문제점도 확인되었다. 입법추진의 기본방향으로는 우선 개인정보 전송요구권의 본질에 맞는 실질적 제도 이행을 위하여 단계별 제도 시행을 고려할 필요가 있다. 1단계로 전송 가능한 형태로의 다운로드를 주요 권리로 하는 개인정보 접근권을 시행하고, 2단계로 다른 개인정보처리자에게 개인정보 전송을 요구할 수 있는 개인정보 전송권을 구현하는 방안이다. 그리고 개인정보 전송요구권은 개인정보보호위원회 중심으로 입법화를 추진하되, 보호와 활용이 조화를 이루는 개인정보 보호원칙 개정, 개인정보보호위원회의 역할 재정립, 실무 논의 기구의 제도화가 요구된다. 또한 추진 체계 일원화를 위하여 공공부문 전송요구권 집행에 있어 개인정보보호위원회의 관리·감독 권한을 강화하는 체계도 필요하다. 개인정보 전송요구권의 대상정보의 경우 개인정보처리자가 처리하는 모든 개인정보를 포함하되 다른 사람의 정당한 이익이나 권리를 침해하거나 저작권 및 영업비밀과 관련된 정보는 그 전부를 대상에서 제외해야 한다. 제공 대상기관은 모든 개인정보처리자를 원칙으로 하되 일정기준 이하 영세사업자는 그 대상에서 제외할 필요가 있다. 또한 법 이행 단계에서 일정 기준 이상의 안전조치를 갖춘 개인정보처리자에 대한 면책 요건을 마련하여 개인정보처리자들이 제도에 적극적으로 임하도록 유도할 필요도 있다. 이와 함께 실무 논의 기구 산하에 작업반을 구성하여 이미 시행된 데이터 이동권 제도에서 확인된 문제점을 보완하고 법령 및 가이드라인 제정 준비에 나설 필요가 있다. 마지막으로 개인정보 전송요구권의 다음 단계로 통합 마이데이터 사업의 제도화를 고려할 필요가 있다. 통합 마이데이터 사업은 데이터 경제 활성화에 중점을 두고 일반 개인정보·공공·금융·의료 등 다양한 분야의 데이터를 통합하여 활용하는 것을 목표로 한다. 그리고 중점 목적에 맞도록 규제는 최소화하는 방향으로 도입되어야 한다. 다만, 이를 제도화하기에 앞서 데이터의 세분화, 관할부처 및 법적 근거 마련, 마이데이터 사업자의 진입규제 및 업무 범위에 대한 검토와 정책적인 결정이 필요하다. 통합 마이데이터 사업은 다양한 분야의 광범위한 데이터를 바탕으로 새로운 데이터 시장의 발굴 등 더 큰 사회적 효용을 발생시킬 수 있을 것으로 생각된다.

디지털 시대의 개인정보 이동권에 대한 연구

정승인 연세대학교 법무대학원 2022 국내석사

디지털 사회로의 환경 변화로 인해 우리 개인정보는 다양한 디지털 기기에 의해 우리가 인지하지 못하는 수준으로 수집·생성되고 있으며, 데이터 저장·관리 및 분석 기술의 발달로 ‘데이터 경제’라는 새로운 시장과 새로운 가치에 대한 기대가 높아짐에 따라, 기업들이 그동안 보유해왔던 개인정보를 보다 적극적으로 활용하고자 하는 유인도 높아지고 있다. 이러한 시대의 변화 속에서도 2011년에 제정된 「개인정보 보호법」 체계에서의 개인정보 통제권은 아날로그 시대를 전제로 사전적 통제수단(동의제도)과 사후적 통제수단(열람, 정정·삭제, 처리정지 등)을 운영하고 있을 뿐이며, 디지털 전환 시대에 이러한 오남용 방지 중심의 수동적이며 방어적인 통제권만으로는 정보주체의 실질적인 개인정보 자기결정권을 보장하기 어렵다는 한계를 보여주고 있다. 해외 여러 나라에서는 이러한 시대의 변화에 적응하고자 데이터 이동에 대한 제도 개선을 추진하였는데, EU GDPR이나 싱가포르의 PDPA 등에서는 데이터 보호에 관한 일반법에 정보주체의 통제권 강화를 중심으로 데이터 이동권을 규정하여 정보주체의 권리와 데이터 활용을 달성하고자 하였으며, 영국 midata 정책이나 일본의 정보은행 제도의 경우 데이터 활용 및 유통 활성화 중심의 마이데이터 정책으로 디지털 시대에 적응하려고 하고 있다. 국내의 경우에도 금융, 공공 등 분야별 마이데이터 사업을 정책적으로 추진하고 있으며, 「신용정보법」, 「전자정부법」등의 개정을 통해 각 분야별 정보에 대한 전송요구권을 도입하였다. 하지만 이렇게 개별법 중심의 데이터 활용 및 유통 활성화 정책 추진은 자칫 정보주체의 통제권 강화라는 측면을 간과할 우려가 있을 수 있고, 특정 분야별로 개인정보 이동권이 도입되는 경우 특정 산업별로 한정되는 사일로 효과(Silo Effect)로 인해 우리가 데이터 경제에서 기대하는 혁신적 서비스 창출 및 디지털 신산업 발전에 한계가 있을 것이라는 우려가 있었다. 이러한 배경을 바탕으로 정부는 2021년 ‘마이데이터 발전 종합정책’을 발표하면서 일반법인 「개인정보 보호법」에 개인정보 이동권을 도입하여 전 분야의 마이데이터 산업 발전을 지원하면서도 디지털 시대에 정보주체의 실질적인 통제권을 보장하는 법적 기반을 마련하고자 하였다. 디지털 시대에 정보주체의 실질적인 통제권 강화와 데이터 경제 활성화를 고려한 「개인정보 보호법」개정안을 제안하고 개인정보 이동권 제도가 나아가야할 방향을 살펴보고자 한다. 첫째, 개인정보 이동권은 디지털 시대에 살고 있는 우리에게 가장 새롭고 기본적인 개인정보 통제권이 될 것이며, 별도의 새로운 통제권으로 작용하는 것이 아니라 열람권이나 정정·삭제권, 처리정지권과 같은 전통적인 사후적 통제권과도 시너지 효과를 보면서 디지털 시대 정보주체의 통제권을 전반적으로 강화하는 방향으로 운영되어야 할 것이다. 둘째, 개인정보 이동권은 데이터 경제 활성화를 위한 개인정보의 안전하고 자유로운 이동 체계를 만들어주는 역할을 하게 될 것으로, 복잡한 디지털 시대에 실질적으로 개인정보를 보유하고 통제권을 행사하고 있는 기업들이 자율적으로 참여할 수 있도록 이동권 행사 요건, 대상 정보의 범위, 의무 대상자의 범위, 개인정보관리 전문기관의 도입 등 세부 운영에 관한 사항에 대해 다양한 이해관계자들의 의견을 수렴하고 단계적인 과정을 거쳐 추진해야 할 것이다. 셋째, 개인정보 이동권 제도 정착을 위한 거버넌스는 정부를 중심으로 개인정보 전송지원 플랫폼 구축·운영이나 산업별 개인정보관리 전문기관 지원 등을 통해 기반을 마련하되, 산업계와 시민단체, 학계 및 전문가 등이 자율적으로 참여하여 정보주체와 개인정보처리자 간의 신뢰 관계를 형성할 수 있도록 모니터링하고 제도를 점진적으로 개선해 나갈 수 있는 방향으로 거버넌스를 구축해야 할 것이다. 이 논문을 통해 전통적인 정보주체의 개인정보 통제권에 대한 의미와 한계를 살펴보고, 디지털 시대에 정보주체의 실질적인 개인정보 통제권을 강화하면서도, 데이터 경제 성장을 위해 기업의 개인정보 활용 및 유통을 활성화할 수 있는 새로운 정보주체의 권리인 ‘개인정보 이동권’의 법제도 도입방안을 논의하는 것에 의의가 있다.

「개인정보 보호법」 상 데이터 이동권 및 프로파일링 관련 권리의 도입에 대한 연구

임용현 연세대학교 법무대학원 2020 국내석사

「개인정보 보호법」 상 데이터 이동권 및 프로파일링 관련 권리의 도입에 대한 연구 본 논문에서는 4차 산업혁명 및 데이터 경제 시대를 맞아 개인정보 보호와 활용의 조화와 균형이 중요시되는 시점에서 EU GDPR에서 신설한 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 우리나라 일반법인 「개인정보 보호법」에 도입하는 것이 적절한지 여부를 검토하였다. 이를 위해 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리의 도입 배경 및 입법 취지를 분석하고 우리나라를 포함한 주요국의 입법례를 비교법적으로 분석한 후 국내 도입방안을 제시하였다. 우리나라를 포함한 주요 국가에서는 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 법제화 하려는 노력을 하고 있으며, 데이터 산업 발전과 함께 구체화되는 추세이다. 특히, 우리나라에서는 2020년 1월 개정되어 8월 시행 예정인 「신용정보의 이용 및 보호에 관한 법률」에서 데이터 이동권과 유사한 개인신용정보의 전송요구권, 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리와 유사한 자동화평가 결과에 대한 설명 및 이의제기 등의 권리를 신설하여 도입하였다. 이를 통해 개인정보 보호와 활용의 균형을 도모하는 법제를 마련하였다는 평가와 더불어 개인정보자기결정권의 특성, 권리의 실질적인 보장, 법적 안정성 등을 고려하면 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 일반법인 「개인정보 보호법」에 도입해야 한다는 견해가 있다. 살피건대, 데이터 이동으로 인하여 발생할 수 있는 보안상의 문제, 데이터 이동 체계 구축으로 인한 기업의 부담, 우리나라 개인정보 보호 법제 특성 등을 고려하면 데이터 이동권은 우선 개별 분야에 도입한 후 일반법인 「개인정보 보호법」에 도입하는 것을 검토할 필요가 있다. 또한, 프로파일링을 포함한 자동화된 개별 의사결정으로 인하여 발생할 수 있는 정보주체의 권익 침해를 위한 보호 수단 마련도 중요하지만 프로파일링 관련 권리의 도입이 프로파일링 관련 산업이 가져올 사회적, 경제적 이익을 감소시키고 해당 산업 육성을 위축시키는 등 데이터 경제 활성화를 저해할 우려가 있으므로 데이터 이동권과 마찬가지로 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리 역시 우선 개별 분야에 도입한 후 일반법인 「개인정보 보호법」에 도입하는 것을 검토할 필요가 있다. 결국 4차 산업혁명 시대에서 데이터 경제 활성화가 피할 수 없는 시대적 흐름임을 고려하면 정보주체의 권익 보호와 산업 발전의 균형을 추구할 필요가 있으므로 데이터 이동권과 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리를 일반법인 「개인정보 보호법」에 도입하는 것은 신중하게 검토되어야 한다. -------------------------------------------------------------------------------- 핵심되는 말 : EU GDPR, 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률, 데이터 이동권, 프로파일링을 포함한 자동화된 개별 의사결정에 반대할 권리, 개인신용정보의 전송요구권, 자동화평가 결과에 대한 설명 및 이의제기 ABSTRACT A study on the introduction of right to data portability and profiling under the “Personal Information Protection Act” Lim, Yong Hyun Dept. of Law The Graduate School Yonsei University In this paper, I reviewed whether it is appropriate to introducing the “Personal Information Protection Act” of EU GDPR's right to data portability and profiling. To this end, I analyzed the background of the introduction of rights, purpose of legislation. Also, I comparatively analyzed legislation in major countries, including Republic of Korea. As a result, Considering the security problems that may occur due to the movement of data, the burden of the company due to the construction of the data movement system, and the characteristics of Korea's personal information protection legislation, It is necessary to introduce the right to data portability into individual fields. And then, It is necessary to consider the introduction of “Personal Information Protection Act”. Also, It is important to prepare a means of protection for the infringement of data subject's interests that may occur due to automated individual decision-making, including profiling. But, There is a concern that the data economy will be disrupted, by reducing the social and economic benefits of profiling-related industries and discouraging the development of those industries. Therefore, It is necessary to introduce the right not to be subject to a decision based solely on automated processing, including profiling, into individual fields. And then, It is necessary to consider the introduction of “Personal Information Protection Act”. In the end, Considering that data economy revitalization is an inevitable trend in the era of the 4th Industrial Revolution, it is necessary to pursue a balance between the protection of data subjects' interests and the industrial development. Therefore, The introduction of each right into the “Personal Information Protection Act” should be carefully considered. -------------------------------------------------------------------------------- Key words : EU GDPR, Personal Information Protection Act, Credit Information Use and Protection Act, Right to data portability, Right not to be subject to a decision based solely on automated processing, including profiling.