개인정보보호에 있어 법과 기술, 정보시장의 통합적 운용

林奎哲(Lim Gyeo-Cheol) 한국법학회 2004 법학연구 Vol.17 No.-

변호사 보유의 의뢰인 정보에 대한 비밀유지와 국회 제공요구 시 문제해결을 위한 연구

임규철(Lim, Gyeo-Cheol) 강원대학교 비교법학연구소 2014 江原法學 Vol.41 No.-

변호사법 제26조 변호사의 비밀누설금지제도는 변호사제도 유지를 위한 기본적인 제도이다. 비밀누설 금지제도는 의뢰인과의 신뢰가 없이는 변호사제도의 유지는 힘들다. 여기에 있어 개인정보보호법 제59조 제2호나 변호사 윤리장전 제23조에 따라 ‘직무’를 ‘업무’로 볼 수가 있고, 국세기본법 제81조의13이나 독일의 변호사 직무규칙 혹은 개인정보보호법 해설서처럼 그 업무의 범위는 포괄적으로 볼 필요가 있다. 즉, 업무상 알게 된 의뢰인의 비밀로 굳이 한정할 필요는 없다. 또한 ‘비밀누설’의 개념은 대법원처럼 상황에 따라 한정적으로 볼 필요가 있다. 누설의 방법은 제한이 없다. 윤리장전의 ‘공개’ 외에도 제공 등 모든 정보처리가 해당된다. 법령에 금지규정이 없는 한 이미 해당 정보를 알고 있는 사람이나 본인에게 알리는 것은 누설이라고 보기는 힘들다. 신설된 변호사법 제89조의9의 제2항에 따라 법조윤리협의회는 비밀누설 금지조항인 제89조의8에도 불구하고 인사청문회법에 따른 인사청문회 또는 국정감사 및 조사에 관한 법률에 따른 국정조사를 위하여 국회의 요구가 있을 경우에는 제출받은 자료 중 수임일자ㆍ사건명ㆍ수임사건의 관할 기관, 수임일자 및 사건명에 한정되는 사건목록을 국회에 제출해야 한다. 관련 정보는 직접적으로 관련된 정보로 제한이 될 필요가 있다. 제공된다고 하더라도 인사청문회법 제12조에 따라 간접적인 관련 정보는 규정에 따라 제공될 수가 없고, 직접적으로 관련된 정보라고 하더라도 개인정보호법 제18조에 따라 의뢰인의 해당 정보 보호를 위한 통지나 오남용을 막기 위한 조치가 있어야 할 필요가 있다.

코로나 바이러스 극복대책 실행 시 개인정보 활용에 대한 비판적 논의

임규철(Lim, Gyeo-Cheol) 충남대학교 법학연구소 2020 法學硏究 Vol.31 No.4

2015년 ‘메르스 사태’ 이후 보건복지부의 백서발간을 통해 미흡된 것으로 의견이 모아진 시민의 자발적 협조를 위한 법적 근거의 명확화, 감염병 환자 및 의심자에 건강정보 처리의 투명성 확보, 정보통신기술의 적극적 활용 등이 「감염병 예방에 관한 법률」의 개정을 통해 어느 정도는 확보가 됐다. 그러나 광범위한 확진자에 대한 위치정보의 강제수집 및 제공 혹은 식별가능성이 가능한 정보공개 등의 혼란은 감염병의 1차 및 2차 대유행을 예상하지 못했기에 일정 부분 혼란을 피하기가 쉽지가 않았다. 감염병예방법 제40조의5에 따라 질병관리청장은 감염병의 예방·관리·치료업무에 필요한 각종 자료 또는 정보의 효율적 처리와 기록·관리업무의 전산화를 위하여 감염병 환자정보를 중심으로 감염병관리통합정보시스템 운영이 가능하다. 제2항 및 제3항에 따라 감염병 환자 등의 인적 사항 및 개인정보보호법 제24조에 따른 고유식별정보 처리 혹은 주민등록법상 주민등록전산정보시스템 등과의 연결이 가능하다. 주민등록법상의 지문정보에 대해 전산화를 통한 자동화 운영이 산업사회에서 만들어진 규정을 근거로 가능하다고 했던 2005년의 상황과 비교하면 2020년 확진자의 개인정보 처리 시 법적 안정성은 비교할 수 없을 정도로 높아졌다고 볼 수가 있다. 2020년 9월까지도 질병관리청 외에 지방자치단체장으로의 확진자 정보에 대한 공개권자의 명확화 및 QR code 등 전자명부제의 도입 등 지속적으로 법 개정이 이뤄지곤 했다. 그 와중에 QR code 및 수기식 명부에 대한 누출개연성으로 인해 개인정보처리자인 방역기관에 대한 불신감이 커져갔다. 또 법규성이 없는 가이드라인 혹은 지침 등으로 개인정보의 보호와 활용의 균형을 취하고자 했으나 개인정보의 전문가 집단인 개인정보 보호위원회 중심의 법규성이 있는 규범으로 정립할 필요성이 있다. 확진자에 대한 위치정보의 처리 시 그 주된 방향은 투명성을 확보를 통한 시민의 자발적 협조의 확대임에도 불구하고 일반 시민의 참여가 없거나 적은 상황에서 행정편의적인 전문가만의 의사결정은 문제다. 선제적인 대응없이 국가인권위원회나 개인정보보호위원회의 늦은 사후 대처도 논란이다. 확진자 정보에 대한 질병관리청의 삭제가 없이 보존기간의 장기화 결정은 법적 근거가 없거나 희박한 상황에서 논란이 되기에 법 개정을 통해 법령을 통해 삭제 기간을 구체화 할 필요가 있다. 또 유사한 상황을 대비하고자 민간기관과의 협업을 통해 확진자 정보 및 의심자 정보를 과학적 연구목적으로 활용 시 가명처리의 원칙과 개인정보호법 제29조에 따른 사전의 안전성 조치확보, 누출 및 오남용에 대한 처벌조항도 포함을 할 필요가 있다. The publication of a white paper by the Ministry of Health and Welfare clarified the legal basis for voluntary cooperation of citizens whose opinions were gathered to be insufficient, securing transparency in the handling of health information to infectious disease patients and suspicious persons, and actively using information and communication technology. The utilization, etc., has been secured to some extent through the amendment of the Infectious Disease Prevention Act. However, confusion, such as forced collection and provision of location information for a wide range of confirmed patients, or disclosure of information that could be identified, was not easy to avoid some confusion because the first and second pandemic of infectious diseases were not expected. In addition, we tried to balance the protection and use of personal information with guidelines or guidelines that do not have legal regulations, but in terms of mid- to long-term countermeasures, there is a need to establish a legal norm centered on the Personal Information Protection Committee, a group of experts in personal information. However, it has not been realized. Although the main direction in the processing of location information for confirmed patients is the expansion of voluntary cooperation of citizens through securing transparency, administrative-convenient decision-making only by experts is a problem in situations where there is little or no participation of ordinary citizens. It is also controversial that the National Human Rights Commission or the Personal Information Protection Commission"s is late response. The decision to extend the retention period without the deletion of the confirmed person information by the Korea Centers for Disease Control and Prevention is controversial in situations where there is no legal basis or is scarce. In addition, in order to prepare for similar situations, the principle of pseudonymization when using the information of confirmed persons and suspected persons for scientific research purposes through cooperation with private organizations, securing safety measures in advance pursuant to Article 29 of the Personal Information Protection Act, and preventing leakage and misuse. It is also necessary to include penal provisions.

전기통신사업자의 수사기관으로의 통신자료 제공에 대한 비판적 연구

임규철(Lim, Gyeo Cheol) 부산대학교 법학연구소 2016 법학연구 Vol.57 No.4

유럽사법재판소의 ‘Safe-Harbor-Principal’의 무효 판결과 그 영향

임규철(Gyeo-Cheol, Lim) 미국헌법학회 2015 美國憲法硏究 Vol.26 No.3

유럽연합과 미국사이의 상호 민간부분의 정보전송의 경우는 ‘safe-harbor’ 방식을 통해 이루어진다. 2015년 10월 6일 유럽사법재판소(EuGH/ECJ)는 그 safe harbor에 대한 2000년 유럽연합 집행위원회(European Commisson)의 결정에 대해 Richtlinie(Directive, 이하 준칙) 95/46/EG Art. 25 제6항에서 규정하고 있는 개인정보의 ‘적정한 보호수준(angemessenes Schutzniveau) 보장’이 안 되기에 무효이고, 유럽연합 각국의 개인정보호청은 완전히 독립성이 보장되는 상황에서 자국민의 개인정보가 미국으로 전송 시 유럽인만큼 적절한 보호수준을 누리는 지에 대한 독자적인 판단을 할 수 있다는 판결을 했다. 미국은 유럽사법재판소의 해당 판결에 대해 잘못이 있다고 주장하면서, 약 2년 전부터 진행해온 개정 작업의 구체적인 내용을 빠른 시기에 공개하겠다고 했다. 반면에 고위급 개인정보 실무전문가 모임인 유럽연합의 ‘Gruppe-29’(Arbeit Party 29)는 이후 유럽인 개인정보가 미국에서 적절하지 못한 보호수준에서 미국으로의 safe harbor에 근거한 정보 전체의 전송은 위법한 정보처리이며, 전송된 유럽인의 정보에 대해 무제한적인 미 공공기관의 감시를 억제하는 것은 유럽연합의 주요한 임무이기에 유럽사법재판소의 판단은 옳다고 지지입장을 밝히고 있다. 그 대안으로 각 국의 개인정보보호청의 독자적인 심사권 강화 및 유럽연합의 표준거래약관 및 의무적(규제적)인 자율규제(EU-Standardvertragsklauseln und Binding Corporate Rules)를 토대로 한 임시적인 전송허락을 주장하고 있다. 더불어 유럽연합 각 국의 개인정보보호청은 미국 기업들이 보유한 유럽인의 정보의 영구삭제는 반대하지만 비례성 및 투명성 확보나 보상 및 권리의 명시 등의 중심으로 실질적으로 적절한 보호수준 준수를 심사해야 한다고 보았다. 이 무효판결 후 safe harbor에 근거한 미국으로의 정보전송은 위법하다고 했다. 동시에 집행위원회는 2016년 말까지 미국과 판결에서 언급한 내용을 중심으로 새로운 규범체계를 만들어야 한다고 주장하고 있다. safe harbor에 대한 유럽사법재판소의 무효판결은 자국민의 정보를 국외에서 수집하면서 평가를 통해 영업수단으로 활용 혹은 감시 등의 정보처리를 하는 IT 민간기업의 규율에 대한 논의를 강하게 불러 올 것이다. 동시에 외국인에 대한 감시의 적법성 및 그 한계설정을 중심으로 한 국제적인 규범마련에도 영향을 줄 듯하다.

정보통신망법의 인터넷 실명제에 관한 비판적 고찰

임규철(Lim Gyeo-Cheol) 한국법학회 2012 법학연구 Vol.47 No.-

인터넷 공간에서 발생하는 부작용을 줄이기 위한 정책을 국가가 적극적으로 행하는 것은 공통적인 사항이다. 그러나 국내의 인터넷 실명제처럼 포괄적인 강력한 규제정책은 없거나 드물다고 볼 수가 있다. 인터넷 실명제는 사전검열 논란을 불러 오고 있다. 인터넷 산업의 갈라파고스 현상을 불러오면서 동시에 표현의 자유의 보호법익인 익명권을 과도하게 훼손하면서도 악성 댓글의 지속적인 감소를 적극적으로 보장하지 못하고 있다는 비판도 있다. 또한 방송통신위원회 결정을 통한 소셜 댓글 등에 대한 예외규정을 통한 국외 사업자와의 역차별정책은 시장의 공정한 경쟁을 해할 수도 있다. 더불어 실명제 게시판 또는 비실명제 게시판 등의 운영 혹은 휴대폰이나 이메일 등의 다른 확인수단을 통해 피해의 최소성을 달성할 수 있는 수단이 있음에도 불구하고 포괄적인 규정을 통해 실명제를 실시하는 것은 개인정보자기결정권의 제한의 한계인 최소성 원칙의 미충족 가능성이 높다. 실명확인을 위한 주민등록번호 등의 영리를 목적으로 하는 보안성이 취약한 민관기관으로의 제공은 정보의 불법수집으로 오남용을 하고자 하는 자(해커 등)에게 주민등록번호의 추가적인 획득가능성을 높여주고 있어 입법정책으로 바람직하다고는 보기가 힘들다. 2004년 공직선거법에 적용된 뒤 2007년 정보통신망법을 통해 적용대상이 확대된 정보통신망법의 인터넷 실명제가 달성하고자 하는 부작용 완화효과는 동 제도 외에도 형법 및 통신비밀보호법이나 전기통신사업법에 따라 일정 기간 보관되는 통신내역 등을 이용하여 행위자를 잡아낼 충분한 기술과 능력을 우리 사회는 가지고 있다. 방송통신위원회도 2012년 업무보고를 통해 방향선회를 검토를 할 정도로 동 제도는 득보다 실이 더 큰 제도다.

변호사의 인맥ㆍ승소율ㆍ전문성 지수정보에 대한 처리의 한계

임규철(Lim, Gyeo Cheol) 부산대학교 법학연구소 2013 법학연구 Vol.54 No.4

공개된 정보 혹은 그 정보를 바탕으로 한 새로운 평가정보 등에 대해 제3자에게의 제공 또는 공개 등의 정보처리는 정보통신망법의 주민등록번호처럼 법령에서 명문으로 수집 등의 처리금지를 하고 있거나 명확하게 비공개의사가 존재하지 않는 한 다른 법익과의 비교형량의 결과 해당 정보의 처리는 가능하다. 개인정보보호법의 표준지침에도 그런 방향으로 규정을 하고 있다. 따라서 변호사들의 인맥지수나 승소율 또는 전문성지수 등은 다른 직업군보다 상대적으로 높은 공공성을 갖고 있는 직업수행상황에서 해당 정보들이 재판절차의 결과물이면서 법률수요자들의 실질적인 선택권과 관련되어 있다면 상대적으로 변호사들의 보호보다는 수요자 활용측면의 정보처리의 우월성이 인정된다. 따라서 인맥지수나 승소율 또는 전문성 지수산정에 있어 법령을 통한 금지, 명확한 부동의 표시, 현저한 자의적 판단 등의 불합리성이 있지 않는 한 해당 정보의 처리의 합법성은 인정된다. 인맥지수에 대한 판단에 있어 그 부작용이 크다는 대법원의 입장이 있지만 소수의견의 입장처럼 이는 입법재량의 영역이지 사법영역의 판단으로는 부적합하다. 위 로마켓 사건은 공개된 정보에 대한 제3자에게 공개나 제공 등의 정보처리에 대한 것이다. 제1심은 ‘변호사들의 인맥지수는 이미 다른 인터넷 포털사이트 혹은 언론사 홈페이지 등을 통하여 일반인이 손쉽게 접할 수 있으며, 변호사들의 동의가 없었다고 하더라도 지수산정의 불합리성이 없다고 판단하면서 로마켓은 해당 인맥지수를 일반인에게 제공 및 공개 등의 정보처리를 할 수가 있다. 반면에 변호사들의 승소율이나 전문성지수 등에 대한 서비스 제공은 그 지수산정 과정의 자의성이 강하기에 그 부당성이 인정된다’고 판단을 했다. 제2심 또한 제1심과 유사하게 ‘변호사들의 인맥지수의 공개의 합법성을 주장한 반면, 동의 없이 개인정보를 이용하는 것이 위법성 및 이의 수집과정에서 위법성이 있는 점과 위 정보를 이용한 승소율이나 전문성 지수를 원고들의 개인정보자기결정권을 침해하는 것으로서 제공하는 것은 인정될 수 없다’고 판단하였다. 반면에 대법원의 다수의견은 ‘인맥지수 서비스 제공행위는 인맥지수의 사적, 인격적 성격, 산출과정에서의 왜곡을 할 가능성 등의 이유로 변호사들의 수인가능성을 넘는 인격권 침해가 있는 반면에, 변호사들의 승소율이나 전문성 지수를 공개한 행위에 대해서는 변호사의 직무수행 영역에서 형성된 공적 정보로서의 성격, 승소율이나 전문성 지수 등의 산출방법이 합리적이라 공개나 제공 등의 정보처리는 합법적이다’라고 판단을 했다.

수술실 내 폐쇄회로 텔레비전 설치 및 운영에 관한 비판적 소고 : 개정 의료법 제38조의2 제1항, 제2항, 제5항을 중심으로

임규철(Lim, Gyeo Cheol) 충북대학교 법학연구소 2021 과학기술과 법 Vol.12 No.2

In the debate on obliging the installation and operation of closed circuit televisions in operating rooms, there is an argument that it is necessary to make it mandatory because it can prevent ghost surgery, surrogate surgery for unqualified persons, and concealment of sexual crimes or medical accidents. The National Human Rights Commission of Korea also supports cases where patients or their guardians request and consent to the protection of the public interest, such as preventing illegal medical practices. This became possible with the newly established Article 38-2 of the Medical Act. It goes into effect on September 25, 2023. It is desirable for legal stability to unify the concept into an image information processing device as a subject of medical law application of operating room photographing devices rather than a closed television concept(CCTV). In accordance with Article 38-2 of the Medical Act, the head of a medical institution or medical staff must record the surgical scene without recording upon request by the patient or the patient s guardian. It is difficult to see that there is a superiority. The head of the medical institution or the medical staff is responsible for emergency surgery that endangers the patient s life or causes a serious disability , in case of a high-risk operation that requires active measures to save the patient s life , achieve the purpose of training for the major . It is possible to exercise the right to refuse recording. In the case of a request for inspection for investigation and trial by an investigative agency or court, the filmed information must be provided by inspection(the right to read and see) or issuance of a copy. Excessive billing is a problem. Also, When reading and issuing copies, the patient or the patient s guardian must be able to read and provide copies. There is no need to rely on a legal representative in the Civil Code for the scope of the ‘patient’s guardian’ for the person who has the right to request a filming. In accordance with the society concerned, it is necessary to clearly define the scope of ‘common-law spouses and cohabitants’ in the ｢Personal Information Protection Guidelines｣.

포털의 수사기관으로의 통신자료 제공 시 자체적 심사의무에 대한 비판적 연구

임규철 ( Gyeo Cheol Lim ) 건국대학교 법학연구소 2014 一鑑法學 Vol.0 No.27

Wer Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Telekommunikatiosinformationen(Name und Anschrift des Anschlussinhabers, Identifikationsnummer, Rufnummer, ID, Datum des Vertragsverhaltniss) bereitstellt hat nach § 83 Abs. 3 im KTKG die Daten fur Auskunftsersuchen der Behorden zu vergeben, auch soweit diese Daten fur betriebliche Zwecke nicht erforderlich sind. Fur das Auskunftsverfahren ist die Form freizustellen. Die dort genannten Voraussetzungen sind auch zu erfullen. Der Rechtsbegriff ‘Verkehrsdaten’ ist anders. Die Auskunft darf nur erteilt werden, soweit eine genannte Stelle dies im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren fur die offentliche Sicherheit oder Ordnung oder fur die Erfullung der gesetzlichen Aufgaben der genannten Stellen unter Angabe einer gesetzlichen Bestimmung verlangt. uber das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenuber den Betroffenen sowie Dritten Stillschweigen zu wahren. Wer Telekommunikationsdienste erbringt oder daran mitwirkt, hat nach Verordnung § 53 Abs. 3 die in seinem Verantwortungsbereich fur die Auskunftserteilung erforderlichen Vorkehrungen zu treffen. Also Telekommunikationsdienste sollen fur die Entgegennahme der Auskunftsverlangen sowie fur die Erteilung der zugehorigen Auskunfte eine gesicherte elektronische Schnittstelle Maßgabe bereithalten.

개인정보의 보호범위

임규철 ( Gyeo Cheol Lim ) 한독법률학회 2012 한독법학 Vol.17 No.-

개인정보의 보호는 정보사회의 전제조건이다. 그 보호범위는 개인정보의 개념과 정비례관계를 가지고 있지만 해당 개념은 정보매체의 영향을 크게 받는 유동성 및 보호의 포괄적 설정으로 인해 객관적으로 확정하기가 그리 용이한 것은 아니다. 그 개념설정의 핵심적인 관련어는 ``개인에 관한 특정가능성``이며 보호의 사각지대를 최소화하기 위한 포괄적인 보호의 필요성은 개인정보자기결정권의 종합적인 기본권의 속성과 단편정보의 중요성 덕분에 커지고 있다. 객관적인 정보외에도 특정개인에 대한 평가나 특정개인의 의견이 포함된 주관적 정보나 접근의 수월성이 확보되는 공개된 일반정보 또는 예측가능성이 높은 scoring 내지 신용등급정보 등의 확률정보나 의료법에서 관련당사자의 비밀준수의무가 규정된 태아정보, 정보매체의 도움으로 무한정의 활용을 가능하게 하는 사자(死者) 내지 1인회사와 같은 법인정보도 제한된 범위 내에서는 그 개인정보성을 적극적으로 인정할 필요가 있다. 특히 암호화된 정보의 해체가능성은 비용 및 시간상의 문제이고 논란이 많은 제한적 본인확인제도를 이용한 특정성은 별다른 노력을 기울이지 않고도 사실상 가능하기에 익명정보나 가명정보도 그 개인정보성성을 인정해야 한다. Personenbezogene Daten sind Angaben uber eine bestimmte oder eine bestimmbare Person. Der Begriff ist weit zu verstehen. Er entstammt dem Datenschutzrecht. Die Datenschutzgesetze definieren den Begriff jedoch unterschiedlich. In Korea fallen nur die Daten einer naturlichen Person unter die gesetzliche Definition, wahrend z.B. in Osterreich, Luxemburg und Danemark auch die Daten juristischer Personen in den Schutzbereich der entsprechenden Gesetze einbezogen sind.47) Der Begriff der Daten wird im Sinne von Einzelangaben oder Einzelinformationen verstanden. Er ist nicht mit dem Datenbegriff der Informationstechnik identisch, aber identisch mit dem Datensatz in der Datenverarbeitung. Daten sind personenbezogen, wenn sie eindeutig einer bestimmten naturlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten. Ein personenbezogenes Datum muss also nicht zwangslaufig ein korperliches Merkmal der Person sein. Es genugt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt(z.B. Er besitzt einen VW Golf). Wenn auch die Person, auf die die Angabe nicht namentlich genannt wird. ist sie bestimmbar, da allgemein bekannt ist. Auch Daten, uber die sich ein Personenbezug herstellen lasst, sind als personenbezogene Daten anzusehen (Kfz-Kennzeichen, Kontonummer, Rentenversicherungsnummer, Matrikelnummer), selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen. Besonders schutzbedurftig sind ``besondere Arten personenbezogener Daten``. Hierzu zahlen Gesundheitsdaten, Informationen uber die rassische oder ethnische Herkunft, politische, religiose, gewerkschaftliche oder sexuelle Orientierung. Ihre Verarbeitung ist an strengere Voraussetzungen gebunden als die Verarbeitung sonstiger personenbezogener Daten.