「개인정보 보호법」상의 ‘개인정보’ 개념에 대한 해석론

이인호(Lee Inho) 한국정보법학회 2015 한국정보법학회 정기세미나 발표자료 Vol.- No.40

(1) 아래 <표 1>과 같이 匿名化한 환자의 處方箋 정보는 「개인정보 보호법」(2011. 9. 30. 시행. 이하 ‘법’이라 함) 제2조 제1호에서 규정하는 ‘개인정보’에 해당하는가? 그리하여 동 법률의 규율대상이 되는가? 만일‘개인정보’에 해당한다면, 이 정보는 ‘건강에 관한 정보’로서 법 제23조1)의 ‘민감정보’에 해당하여 정보주체의 사전 동의를 받거나 법령이 처리를 허용하는 경우 외에는 그 처리(수집‧이용‧제공)에 대해 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지게 된다(제71조 제3호).

지적재산권법에서 바라본 개인정보 보호

박준석(Park, Jun-seok) 한국정보법학회 2013 정보법학 Vol.17 No.3

한국은 물론 세계의 거의 모든 각국은, 널리 무형(無形)의 정보에 대해 가장 효율적인 관리를 하기 위하여 직접적인 관련자에게 마치 민법상 소유권과 비슷한 독점권을 부여하는 방식으로 규율하는 법률체계를, 이미 지적재산권법 제도의 수립과정에서 체험한 바 있다. 이런 경험은 현재 치열하게 다투어지면서 점점 중요문제가 되고 있는 ‘개인정보’라는 또 하나의 무형적 정보에 관해 장차 올바른 보호체계를 각국이 정립해나가는 데 소중한 밑거름이 될 것이다. 본래의 개인정보는 프라이버시권 혹은 인격권의 규율이 적합한 대상에 불과하더라도 그런 개별적인 개인정보들이 대거 집합된 이른바 ‘집합개인정보’는 비경쟁적인 재산권의 성질을 가지고 있기 때문에, 그 보호체계를 장차 바르게 정립하는데 있어 입법 당국은 과거 지적재산권법 수립의 경험을 잘 활용하여야만 할 것이다. 이에 따르면 생래적인 개인정보보유자보다 아직 소홀히 취급되고 있는 집합개인정보의 작성자 에게, 별도의 독점권을 부여하거나 적어도 부당한 침해로부터 소극적인 보호를 구할 권리를 부여하는 등, 지금보다는 더 튼튼한 법적 지위를 부여하는 것이 향후 한국의 개인정보 법제에서 필요한 방향이라고 사료된다. Not only Korea but also almost all countries in the world have already experienced, through the adoption of intellectual property law system, a new legal protection system whose purpose is to achieve the most effective management of intangible information by granting exclusive rights similar to the ownership under the civil law to the closely related person or entity. Such experience will be an important foundation for each country to establish a proper legal protection system in the future for another type of intangible information as personal information which is becoming increasingly important but still under severe debate. Because so-called collective personal information which is the result of massive gathering of personal information has non-rivalrous nature of intangible property even though the original personal information is no more than the object of privacy right or moral rights, the legislature should refer to the past experience from adoption of intellectual property law when it considers the proper protection system in the future especially for collective personal information. According to this perspective, the future appropriate amendment of present legal system for personal information in the Korea would be to give more strong legal status by granting exclusive rights or at least passive protection from unfair infringement to the aggregator of collective personal information who has been relatively neglected than inherent holder of personal information.

블록체인 기술과 개인정보 쟁점

이대희(Dae-Hee Lee) 한국정보법학회 2018 정보법학 Vol.22 No.3

블록체인은 P2P로 연결되어 있는 노드들의 합의에 의하여 인증된 거래 자료들이 블록으로 저장되고 블록들이 연결되어 각 노드에 분산되어 저장되어 있는 원장 내지 데이터베이스이다. 블록체인기술은 정보가 신뢰기반 제3자에 의하여 관리되는 것이 아니라 각 노드에 인증ㆍ저장되어 관리ㆍ운영되는 탈중앙ㆍ분산원장 기술이다. 또한 블록체인 참여자는 누구나 거래정보를 생성할 수 있고 생성된 거래정보는 모든 노드들에게 공개되고 동기화되므로, 거래정보는 모든 노드들에게 분산되어 저장되어 일종의 분산원장이 된다. 블록체인은 탈중앙화에 바탕을 두고 있고, 거래내역(정보)이 체인으로 연결된 블록의 형태로 모든 노드들에 저장되고, 블록체인 참여자들은 서로 연결된 모든 블록상의 거래내역(정보)에 접근할 수 있고, 블록에 일단 입력된 정보를 변경하거나 삭제하는 것이 불가능하다. 블록체인의 이러한 특성은 개인정보규범상의 의무를 준수하고 책임을 부담하는 신뢰기반 제3자에 바탕을 둔 현재의 개인정보 규범 체계와 충돌하고, 개인정보 최소화원칙 등 개인정보보호원칙을 송두리째 흔들 수 있고, 개인정보주체의 권리를 행사를 어렵게 하고, 개인정보 규범을 준수하고 그 위반에 대하여 책임을 묻는 것도 어렵게 한다. 따라서 특히 공개 블록체인이 현재의 개인정보규범 체계에 조화될 것인지 의문을 불러일으킬 수밖에 없다. 이 글은 블록체인을 중심으로 야기되는 개인정보규범상의 쟁점을 고찰하는 것을 목적으로 한다. 다만 블록체인 기술이 완전히 적용되는 경우 개인정보규범과의 근본적인 충돌은 피할 수 없다. 따라서 이 글은 블록체인상의 개인정보 쟁점에 대한 해결책을 제안하기보다는 쟁점을 고찰하는 것에 초점을 맞추어 논의를 진행하고자 한다. 이러한 논의를 함에 있어서 블록체인이 처음으로 활용된 것이라 할 수 있는 비트코인 블록체인과 개인정보 규범과 많은 충돌을 야기할 수 있는 공개형 블록체인을 중심으로 논의를 진행하고자 한다. A blockchain is composed of blocks chronologically linked together using cryptography, and records of transactions are synchronized all across nodes. Blockchains are designed to be immutable, meaning that once transactions are written to a blockchain, it cannot be altered. The main characteristics of a blockchain technology is decentralization, and there is no trusted third party. Decentralization through blockchains raises quite difficult personal data issues because the current personal data regulation is based upon the trusted third party called data processors or data controllers. It is unclear who data processors are, i.e., who controls personal data in a blockchain. Transactional data on blocks as well as bitcoin addresses are personal data under the definition of the personal data regulation. While the personal data regulation applies to blockchains, blockchain technologies, if fully deployed, cannot but be in conflict with the personal data regulation. They runs afoul of the principles of data protection set up by the regulation such as principle of data minimization. Because they are non-editable, it is almost impossible to reconcile rights to erasure or rights to be forgotten with personal data regulations. This paper argues that the application of personal data regulation to blockchains be relaxed because the regulation might restrict the wide deployment of blockchain technologies. This paper emphasizes that the development of blockchain technologies should not be impeded just because of the regulations.

한국 개인정보보호법 상정당한 이익 확대도입 방안에 관한 연구

김현숙 한국정보법학회 2018 정보법학 Vol.22 No.1

The controller who intends to use personal information should be given a qualified prior consent from the data subject the information belongs to. This major principle is consistently accepted not only in the GDPR(General Data Protection Regulation) but also in the Korean PIPA(Personal Information Protection Act). Consent should be done by freely given, specified, informed and unambiguous conditions Because of these strict requisites for prior consent, businesses have to bear considerable compliance cost. By contrast, in the hyper connected society based upon advanced digital technologies, more businesses need large data processing such as big data. Therefore, lawmakers as well as decision makers are responsible to give feasible and plausible solutions for securing fundamental rights and freedom of data subjects from one side and for utilizing data effectively to prepare for the advent of the fourth Industrial Revolution from the other side. Extending application of legitimate interests is emerging as the alternative to this issue. Reflecting recent revised bills on relevant personal information protection acts, they count in reforming legitimate interests as the same way EU GDPR regulates. Businesses may consider legitimate interests as safe harbour that data processing can be legal without data subjects’ consent.Reviewing the GDPR, however, businesses are required to meet requisites to process by legitimate interest ground and legitimate interests can be possible only in several exhaustive cases. Particularly, commercial activities are conditionally approved to be legal when a controller processes data based upon legitimate interests. On top of that, according to the recent official opinion of European Commission, it criticizes open-ended exceptions such as legitimate interest ground and therefore should be avoided. In conclusion, we need to contemplate to extend legitimate interests in the PIPA taking into overall studies on GDPR and opinions of EU. In this sense, this paper includes studies on ways of legislation and interpretation of legitimate interests in the GDPR, specifically on the issues of big data and direct marketing. 개인정보의 수집 등 처리가 필요한 처리자는 해당 처리 이전에 정보주체에게 일정한 요건을 갖춘 동의를 받아야 하다는 전제는 한국과 유럽연합의 개인정보 보호법 체계에서 일관되게 고수하고 있는 원칙이다. 그러나 동의의 엄격한 요건은 민간사업자에게 적지 않은 이행비용(compliance cost)을 요구한다. 요즘과 같은 초연결사회(hyper-connected society)에서는 빅 데이터 등과 같이 개인정보를 대량으로 처리해야하는 경우가 많아 민간사업자는 더욱 어려운 상황에 처하게 되었다. 입법자와 정책결정자들은 정보주체의 실질적 자기정보자기결정권은 보장하면서 제4차 산업혁명에 대한 대비가 절실한 현재 시점에서 정보 활용의 기반을 합리적으로 제시하여야 할 부담이 늘어난 것이다. 이에 대한 대안으로 등장하고 있는 것이 정당한 이익의 확대 방안이다. 최근의 「개인정보 보호법」 개정에 대한 입법동향을 보면 우리도 유럽연합처럼 정당한 이익을 수집뿐만 아니라 처리 전반에 확대 적용해야 한다는 내용을 포함하고 있다. 정당한 이익에 근거한 개인정보 처리는 민간사업자들에게는 동의 없이 개인정보롤 활용할 수있는 안전한 항구로 생각될 수도 있을 것이다. 그러나 GDPR의 정당한 이익 규정을살펴보면, 정당한 이익이 인정되기 위해서는 민간사업자에게 까다로운 요건을 요구하고 있고, 적용되는 경우도 한정적으로 열거하고 있다. 특히, 영리활동에 대해서는정당한 이익이 인정될 수도 있다는 조건부 기술을 하고 있다. 또한 최근의 유럽연합의 의견서에는 정당한 이익 조항과 같이 열린 방식으로 기술하는 법 규정 방식에 대하여 비판한 바 있다. 따라서 빅 데이터 활용이나 직접 마케팅과 같이 정당한 이익 적용 요구가 활발한 영역에 대하여는 유럽연합의 입법방식과 해석동향을 고려한 신중한 접근이 필요하다. 본 고에서는 유럽연합과 한국의 정당한 이익에 관한 법 규정을분석하고 빅 데이터 활용과 직접 마케팅 분야에 대해서 집중적으로 논의하였다.

전자거래기본법 개정방안 연구

최경진(Choi Gyeongjin) 한국정보법학회 2011 한국정보법학회 정기세미나 발표자료 Vol.- No.2

우리 사회의 변화에 많은 영향을 주었던 요인 중의 하나가 정보화다. 정보화는 사회․경제의 변화를 가져왔을 뿐만 아니라 우리 산업의 발전 및 국제적인 경쟁력 확보에도 많은 기여를 하였다. 그러한 변화의 기초에 자리 잡고 있는 것이 전자문서 및 전자문서를 활용한 전자거래이다. 전자문서나 전자거래라는 관념이 생겨난 후 본격적으로 활용되기 시작한 것은 1990년대 중반부터 2000년대 초반이다. 이 시기에 전자거래 및 관련 산업의 폭발적 성장을 가능케 한 법제도적 기초로서 “정보화촉진기본법”, “전자거래기본법”, “전자서명법”, “전자정부구현을위한행정업무등의전자화촉진에관한법률”, “정보통신망이용촉진및정보보호등에관한법률”(개정), “전자상거래등에서의소비자보호에관한법률”, “온라인디지털콘텐츠산업발전법”등이 입법되었다.1) 이러한 법률들로 인하여 비로소 국가발전이 이루어졌다고 할 수는 없지만, 정보산업을 바탕으로 한 국가의 발전을 견인한 중요한 기초 중의 하나라는 것에는 이론의 여지가 없다. 그러나 불과 10여년이 흐르는 동안 기술과 산업은 비약적으로 발전하였고, 종래의 정보화 관련 법제도에도 변화가 불가피하게 되었다. 그에 따라 종래 법률의 개정이나 변화된 사회에 맞는 법률의 제정이 이어져왔다. 2000년대 중반부터 최근까지 개정된 법 률로는 “저작권법”. “정보통신망이용촉진및정보보호등에관한법률”, “전자정부법”, “콘텐츠산업진흥법”, “정보통신산업 진흥법” 등이 있으며, 새로이 제정된 법률로는 “전자금융거래법”,“위치정보의보호및이용등에관한법률” 등이 있다. 이외에도 입법의 수요는 끊이지 않고 있으며, 특히 융합환경 하에서의 정보산업의 혁신을 통한 지속적인 국제경쟁력 확보라는 국가적차원의 과제로부터 최근에도 입법을 위한 노력이 계속되고 있다. 즉, 미래 기술의 개발과 신산업의 촉진을 위하여 입법을 위한 기초연구나 실제 입법의 추진이 진행되고 있다. 예를들면, “가상세계산업 진흥법(안)”, “사물정보지능통신 진흥법(안)”, “클라우드컴퓨팅 서비스이용촉진법(안)”, “전자거래기본법 전면개정법률안” 등이 있다. 이 글은 사법적(私法的)인 측면에서 정보화혁명의 법제도적 기초를 제공하였던 “전자거래기본법”을 논의의 대상으로 삼고자 한다. 정보산업 분야의 새로운 도약을 위한 입법 노력으로서의 전자거래기본법 전면 개정의 필요성과 입법방향․내용에 대하여 검토․제언을 함으로써 바람직한 방향으로 입법이 이루어지는데 조금이나마 기여하고자 하는 것이 연구의 취지이다. 이러한 목적에 맞게 이하에서는 전자거래기본법 전면개정의 필요성을 살펴본 후 입법방향을 설정하고자 한다. 이를 기초로 중요한 개별 규정별로 검토하여 개정방안을 도출하고자 시도하겠다.

빅데이터 산업 활성화를 위한 법적 과제: 비식별화를 중심으로

고학수(Ko Haksoo) 한국정보법학회 2015 한국정보법학회 정기세미나 발표자료 Vol.- No.43

개인정보 수집, 이용 등에 대한 규제 개인정보 •“살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼수 있는 것을 포함한다)” (개인정보보호법 제2조) •“생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.” (정보통신망법 제2조)

｢개인정보 보호법｣상의 ‘개인정보’ 개념에 대한 해석론

이인호(Lee, Inho) 한국정보법학회 2015 정보법학 Vol.19 No.1

‘암호화된 주민등록번호를 가진 1966년 8월 30일(생년월일)에 출생한 여자(성별)가 2014년 1월 10일 진해연세병원 정형외과에서 질병기호 S934의 병으로 대웅제약의 알비스정을 5일치 처방받았다.’는 내용의 處方箋(처방전) 정보가 있다. 이 匿名化한 환자의 處方箋 정보는 ｢개인정보 보호법｣ 제2조 제1호에서 규정하는 ‘개인정보’에 해당하는가? 그리하여 동 법률의 규율대상이 되는가? 이 정보의 주체가 ‘누군가 특정한 개인’이라는 점은 분명하다. 그런데 이 정보가 만일 그 특정한 개인을 알아볼 수 있는 ‘개인정보’에 해당한다면, 이 정보는 ‘건강에 관한 정보’로서 법 제23조의 ‘민감정보’에 해당하게 되고 따라서 정보주체의 사전 동의를 받거나 법령이 처리를 허용하는 경우 외에는 그 처리(수집⋅이용⋅제공)에 대해 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해지게 된다(제71조 제3호). 아니면, 이러한 정보는 그 정보주체가 누구인지 알아볼 수 없는 정보이기 때문에 ‘개인정보’에 해당하지 않고, 따라서 그 정보주체의 동의 여하에 관계없이 의약품의 연구나 통계분석 목적을 위해 정보보유자(약국 등)와 통계분석자(데이터마이닝회사) 사이의 제한적인 공유를 통해 이 정보를 활용하는 것이 현행법의 해석론으로 허용될것인가? ｢개인정보 보호법｣ 제2조 제1호는 “개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”고 개념정의하고 있다. 이 사안에서의 핵심쟁점은 ‘암호화된 주민등록번호, 생년월일과 성별’을 가지고 그 특정의 누군가를 식별해낼 수 있느냐 하는 것이다. 이 쟁점은 단순하게는 법 제2조 제1호의 ‘개인정보’ 개념의 해석⋅적용에관한 문제이지만, 좀 더 넓은 관점에서 보면, ‘익명화한 처방정보에 대해 연구⋅통계목적으로 전문적인 분석을 자유롭게 허용할 것인가’에 관한 문제이다. 물론 익명화의방식에 있어서 그 식별성이 쉽게 복원될 수 있는 것이라면 문제가 되겠지만, ‘복호화가 불가능한 암호화된 주민등록번호’는 그 식별성의 복원이 불가능하고, 또한 ‘생년월일과 성별’ 정보는 개인식별자(identifier)가 아니어서, 이런 수준의 익명화처리라면 ‘연구⋅통계 목적’으로 일반 공개가 아닌 제한적인 유통이 허용되어야 할 것으로 생각된다. 이 글은 비교법적 분석을 통해 한국 ｢개인정보 보호법｣ 상의 ‘개인정보’의 개념에 대한 해석론을 밝히면서위 익명화한 처방전 정보가 ‘개인정보’에 해당하지 않는다는 점을 논증한 것이다. There is a set of medical prescription data which indicates that an orthopedic surgeon at the Jinhae Yonsei Clinic prescribed five day doses of ALBIS TAB made by the Daewoong Pharm for a woman born in August 30th, 1966 whose resident registration number was encrypted. Do the anonymized prescription data fall under the category of ‘personal data’ under the Personal Data Protection Act of Korea? Or not? It is apparent that the data is about some particular person. But the problem is whether she can be identified from the data or other information which is in the possession of, or is likely to come into the possession of, the data controller. Under the Act of Korea, the term “personal data” means “information that pertains to a living person, including the full name, resident registration number, images, etc., by which the individual in question can be identified, (including information by which the individual in question cannot be identified but can be identified through simple combination with other information).” The main issue of this paper is whether a particular woman as the above data subject can be identified by the encrypted resident registration number, date of birth and sex. It concludes that an encrypted resident registration number which can not be deciphered, birth date, and sex themselves can not be used as personal identifiers. In its final analysis, the above anonymized prescription data fall out of the category of ‘personal data’ under the Act.

개인정보 보호 및 활용 방안으로서의 가명⋅비식별정보 개념의 연구

이대희 한국정보법학회 2017 정보법학 Vol.21 No.3

Korean government introduced and published the Guidelines on the De-identification of Personal Information in 2016. The goal of the Guidelines is to promote the free movement of personal information in Korea. According to the Guidelines, de-identified information is presumed to be non-personal, which allows the processor of personal information to use the information. This study, however, argues that de-identified information under the Guidelines is still personal information under the Korea’s Personal Information Protection Act. This study conducts a comparative analysis of de-identification, pseudonymization, and annonymization used in Korea, UK, and the United States. Through the analysis, this study suggests that Korea’s personal information statutes regulate personal information proportional to the risk and its likely impact. 한국의 개인정보 규범은 “알아볼 수 있는”이라는 용어로 개인정보를 정의하고 있다. 알아본다는 것이 ‘식별’이라고 한다면 비식별정보는 개인을 알아볼 수 없는 정보가 되어 개인정보 규범이 적용되지 않아야 한다. 그러나 정부가 발표한 가이드라인이상정하는 비식별 정보는 여전히 개인정보라 할 수 있으므로, 비식별정보를 개인정보가 아닌 것으로 추정하는 가이드라인은 법적으로 큰 제약을 안게 되고, 그 의도에도불구하고 정보의 활용을 제고하는 데에 근본적인 한계가 있는 것으로 보인다. 또한비식별화 조치는 적정성 평가 등 많은 거래비용을 소요할 수밖에 없다. 정보의 활용은 데이터 산업에만 관계되는 문제가 아니라 산업 전반을 활성화시킬 수 있는 중요한요소이다. 2018년 5월 발효가 예정되어 있는 유럽연합의 개인정보보호규정은 익명정보 및 가명정보의 개념을 도입하고, 익명정보는 개인정보가 아닌 것으로 하여 규범의적용에서 배제하는 대신 가명정보를 일정한 한도에서 활용토록 하는 접근방식을 취하고 있다. 또한 미국의 HIPAA는 비식별화의 개념에 의하여 의료보건분야의 정보를활용을 비교적 광범위하고 합리적으로 허용하고 있다. 이 글은 가이드라인과 여러 국가들이 사용하고 있는 비식별정보, 익명 및 가명정보 등을 비교법적으로 분석하여, 한국의 개인정보 규범이 정보를 활용할 수 있도록하기 위한 접근방법을 제시하고자 하였다.

정보의 웰-다잉(Well-dying)을 위한 입법론적 검토

이경규(Lee, Kyung Gyu),안세훈(An, Se Hoon) 한국정보법학회 2014 정보법학 Vol.18 No.3

인류의 역사는 ‘자유 신장을 위한 전쟁’이라 단언해도 좋을 만큼, 자유는 인류에게 중요한 가치이다. 그러나 스마트폰의 출현으로 어디서든 인터넷 접속이 가능한 유비쿼터스 시대가 도래하였고, 인간의 편의를 위해 발전된 정보통신기술로 인해 장구한 역사 속에서 인류가 피 흘리며 쌓아온 자유가 침해되고 있다. 이미 빅데이터에 대해 사람들은 두려움을 느끼고 있으며, 메시지를 보내는 사람이 수신자가 1∼10초내 메시지를 볼 수 있도록 제한한 ‘스냅챗’까지 등장하였다. 2014년 5월 이런 현실을 인식한 ECJ이 판결이 등장하였다. 이미 온라인서비스제공자의 정책, 각 국의 법에 알게 모르게 ‘잊힐 권리’가 녹아들어 있음에도 불구하고 ‘잊힐 권리’가 논의된 첫 판결이라는 점에서 이번 ECJ 판결의 의의가 크다. 많은 나라가 ‘잊힐 권리’의 필요성을 인정하면서도 이를 명시적으로 인정하지 않는 이유는 정보를 어떻게 통제하며, 누가 통제권을 행사할 것인지, 어떻게 행사할 것인지 등의 많은 문제들이 산재되어 있기 때문이다. 즉 ‘정보의 Well-dying’이 우리의 발목을 잡고 있는 것이다. 이에 본 논문에서는 ECJ판결과 우리나라의 관련 현행법을 간략히 살펴본 후, ‘잊힐 권리’와 함께 ‘정보를 어떻게 Well-dying시킬 것인지’를 정보유형별로 나누어 논의하겠다. ‘잊힐 권리’를 포괄적으로 인정하게 되면 인류의 중요 가치인 자유가 과도하게 침해될 뿐만 아니라, 정보의 성격에 따라 ‘잊힐 권리’의 행사가 차별적으로 인정되는것이 타당하기 때문이다. 그러므로 ‘잊힐 권리’ 행사여부에 초점을 맞추기 보다는, 정보유형을 나눈 후 이에 따라 개별적으로 판단하여 ‘정보의 Well-dying’을 위한 입법적⋅ 기술적 해결방안을 논의하겠다. 정보의 Well-dying문제는 누가 정보통제권을 행사할수 있는지, 어느 정도의 범위까지 인정할 것인지, 현재 기술 및 자치적 규정으로 해결 가능한지 여부 등에 관한 것으로 정보의 Well-dying에 대한 논의가 선행되어야 ‘잊힐권리’가 실질적으로 행사될 수 있다. 현 ECJ판결도 ‘잊힐 권리’를 전면적으로 인정하지 않은 데에는 현재 구체적 개념, 근거, 내용 및 한계가 불명확한바 현실적으로 도입하기에 많은 문제가 있음을 인식한 결과이다. 그러므로 규제자의 책임성이 새로운 사회적 문제가 될 수 있음을 인식하고 이를 견제하기 위하여 우리에게 가장 중요한 가치가 무엇인지를 상기하며, 이러한 구체적인 정보의 유형에 따라 삭제권 인정여부를 법제화 한다면 ‘정보의 Well-dying’과 함께 잊힐 권리와 관련된 문제들을 보다 합리적이고 명확하게 해결할 수 있을 것이다. As affirmed in the human history, Freedom is of very much importance; in the ubiquitous era, however, human rights and liberty are paradoxically threatened by the advanced information and communication technologies for the convenience of human beings; and for fear of big data abuses, people need a defensive application, such as ‘Snapchat’ where a message recipients are allowed only 1 to 10 seconds to see it. Under this climate, there comes a recent judgement of ECJ, the first case on the ‘right to be forgotten’. While many countries recognize the needs for a ‘right to be forgotten’, yet does not acknowledge it explicitly, there are many problems not to be solved, such as how to control the information; who and how to exercise control; in other words, the ‘Well-dying of information’. In this paper, after briefly discussed the current laws and the relevant judgement of ECJ, some legal aspects of the ‘right to be forgotten’ will be discussed; dividing the information type and how the information well die. The ‘right to be forgotten should be recognized as limited and discriminatory depending on the type of the information, rather than comprehensive right; therefore, we discuss the legislative and technological solutions for the’ Well-dying of information’ at each type of information divided by the subjects and controller of the informations; that are, who can exercise control over the information, whether to admit the extent of the degree, the current technology and autonomous regulation to resolve the debate about the ‘Well-dying of information’. Recent ECJ ruling also does not accept the ‘right to be forgotten’ as a comprehensive right; because the concept, legal basis, scope and limitation of the ‘right to be forgotten’ is not clear and much to be left for future discussion. Therefore, it should be appreciated that the responsibility of the information controller and regulation thereon; the legislation associated with the ‘Well-dying of information’ and ‘right to be forgotten’ based on the type of specific information will be able to clearly resolve the problems.

빅데이터 시대 중국의 개인정보보호법률제도 현황과 입법과제 연구

김종우 한국정보법학회 2019 정보법학 Vol.23 No.2

절대다수의 국가에서 입법을 통해 식별형 정의를 채택하여 개인정보를 정의하고 있으나, 도리어 개인정보라는 개념에 대해서는 구체적인 판정기준을 제공하지 않고 있다. 따라서 개인정보와 관련한 구체적인 판정기준을 확립하는 것이 당면과제가 된 다. 독일을 대표로 하는 EU에서는 개인정보권을 구체적인 인격권으로 보호하고 있으 며, 개인정보에 대한 정부기관의 지배와 통제를 강조하고 있다. 개인정보에 대한 학설 과 관련하여, 중국 법학계 내 존재하는 다수설은 개인정보를 인격권으로 인식하고 있 다. 차세대정보기술은 개인정보의 사회적 가치를 강화하는데 특히 공공정책 및 공 공안전에 대한 법적 보호가 그것이다. 비록 중국 「헌법」 제38조, 중국 「민법통칙」 제120조는 중국 국민의 인격권에 대한 보호를 규정하으나, “개인정보의 정의”와 “개인정보권의 법적 성질”에 대해 더 분 명하고 상세한 규범이 제정되지는 않았다. 다른 법률에 개인정보 관련조문이 부분적 으로 규범되어 있기 때문에, 중국은 외국 개인정보의 “식별가능성”에 근거하여 개인 정보에 대해 규정을 하고 있다. 조만간 개선되어야 할 부분이다. 그리고 중국의 개인정보보호 관련 법률이 다수가 중국 국무원이 반포한 행정규장 으로 되어 있는 등, 법률문서의 효력이 상대적으로 낮다는 문제가 있다. 이와 함께 개인정보침해가 발생하는 경우 민사소송 제기를 통한 법적 구제를 생각 할 수 있다. 그러나 개인정보침해행위가 관련된 전문적인 기술 및 개인정보주체와 정 보관리자 간의 정보비대칭은 정보주체로 하여금 입증책임을 더욱 더 어렵게 만든다. 이러한 문제를 해결하기 위해서는 특별법 형식의 단행 법률이 하루라도 빨리 제정 되어야 한다. 또한 개인정보보호법의 기본이념과 개인정보의 범위를 분명히 규정해 야 한다. 중국의 경우 개인정보보호법 제정 시에는 개인정보를 민감한 정보와 민감하 지 않은 정보 두 가지로 분류하는 것이 바람직할 것이다. 중국 중앙정부와 성 일급 지 방정부가 행정등급에 따른 개인정보보호 전문기관을 새로 확립하는 것도 좋은 방법 이다. 결국 중국 전역의 개인정보보호 및 감독업무는 해당업무를 담당하는 중국정부 부처가 통일적으로 지도하고 협조해야 한다. 개인정보보호의 사법구제와 관련해서는 입증책임을 새로 제정해야 한다. 정보주체 로서의 개인의 증거제시능력이 다소 처진다는 점을 감안하여, 소송에서의 입증책임 에 대해서는 부분적으로 새로운 법리를 제정해야만 한다. 개인정보 권리를 침해한 피 고에 대해서는 권리침해주체가 상이한 점에 근거하여 서로 상이한 귀책원칙을 확정 하면 된다. 과실추정책임은 개인의 입증책임을 경감시킬 수 있을 뿐만 아니라, 정보처 리자가 철저하게 안전보장의무를 이행하도록 경고할 수 있으며 결과적으로 개인정보 의 신중한 사용이 확립될 수 있다. 빅 데이터시대에 중국의 개인정보보호법률문제는 상술한 것 외에 개인정보소유권 의 귀속문제, 빅데이터 주체의 책임문제, 중요한 데이터의 소각문제, 빅 데이터 감독 관리법률규범의 부실, 빅 데이터 거래시장체제문제, 빅 데이터 거래 독점문제, 불법데 이터거래문제, 빅데이터 정보의 프라이버시문제, 빅 데이터 가격책정문제, 데이터자 원 획득의 문제, 빅 데이터자원 이용의 문제, 빅 데이터자원 보호문제 등이 주요쟁점 으로 등장하고 있다. 이러한 문제들을 ... In many countries, personal information is defined by adoption of an identification type through legislation, but it does not provide specific criteria for the concept of user privacy. Therefore, it is a challenge to establish specific criteria for user privacy. In Germany, the EU protects user privacy rights with specific moral rights and emphasizes the control and control of government agencies on user privacy. Regarding the theory of user privacy, the majority of the opinions in the Chinese legal profession regard user privacy as personal right. The next generation of information technology has strengthened the social value of user privacy, particularly the legal protection of public policy and public safety. Although Article 38 of the Chinese Constitution and Article 120 of the Chinese Civil Law General Provision stipulate the protection of the moral rights of the Chinese people, there is a clear and detailed standard for the definition of "user privacy" and "legal nature of user privacy rights" Was not enacted. Since other provisions of the law on user privacy are partly normative, China has set out user privacy on the basis of "identifiability" of foreign user privacy. It should be improved soon. In addition, there is a problem that the legal documents are relatively ineffective, for example, many of the user privacy protection laws of China are issued by the State Council of China. In addition, in the event of infringement of user privacy, legal remedies through civil lawsuits can be considered. However, the information asymmetry between the professional technology and the user privacy subject related to the infringement of user privacy and the information manager makes the information subject more difficult to verify. In order to solve these problems, a special law type law should be enacted as soon as possible. In addition, the basic idea of user privacy protection law and the scope of user privacy should be clearly defined. In China, it is desirable to classify user privacy into two categories: sensitive information and non-sensitive information. It is also a good idea to establish a professional agency for the protection of user privacy according to the administrative level of the Chinese central and provincial level local governments. Ultimately, user privacy protection and supervision throughout China should be guided and co-ordinated by the Chinese government departments responsible for the work. Regarding the judicial relief of user privacy protection, a new burden of proof should be established. In view of the fact that the individual's ability to present evidence as an information subject is somewhat inferior, a new jurisprudence must be established in part regarding the burden of proof in litigation. For defendants who infringe on the right of privacy, the principle of differentiating between the different types of defendants can be determined on the basis of different points of infringement. In addition to alleviating the burden of proof of negligence, negligence assumption responsibility can also warn the information processor to fulfill its obligation to thoroughly comply with the security obligations, and consequently prudent use of user privacy can be established. In the Big Data era, China's user privacy protection law issues include, besides those mentioned above, the problem of ownership of user privacy, the responsibility of big data subject, the incineration of important data, the failure of big data supervision administrative law, Big data transaction monopoly problem, illegal data transaction problem, big data information privacy problem, big data pricing problem, data resource acquisition problem, big data resource utilization problem, big data resource protection problem, etc. In order to solve these problems, it is necessary to establish clear responsibility of big data transaction entity, improve important data incineration norm, improve big data supervision management system, regulation ...