중국의 사법(私法)상 개인정보권에 관한 소고 ― 「민법총칙」의 제정을 중심으로 ―

임종천 ( Lim Jong Cheon ) 연세대학교 법학연구원 2018 法學硏究 Vol.28 No.2

중국은 2017년 통합 민법전 편찬을 위한 첫 단계로서 민법총칙을 제정하였으며, 이것은 중국 특색의 사회주의 법치체계의 완성을 위해서도 중요한 의미가 있다. 특히 민법총칙에서 개인정보권을 규정한 것은 개인정보의 보호와 이용의 중요한 계기가 될 것이다. 먼저, 개인정보권의 명문 규정은 개인정보보호법 제정에 올바른 방향을 제시할 수 있다. 중국은 개인정보보호법이 따로 없기 때문에 개별 법률, 결정, 사법해석 등을 통해서 개인정보와 관련된 사항들을 별도로 규율한다. 현재까지의 공통된 경향은 개인정보 처리자에게 개인정보의 처리와 관리에 대한 엄격한 의무를 부과한다는 점이다. 이것은 장래 개인정보보호법에도 상당부분 반영될 것으로 보이며, 이때 개인정보권이 개인정보의 보호와 이용을 적절하게 규율하는 이정표의 역할을 할 것으로 전망된다. 다음으로, 사법(私法)상 개인정보권의 확립은 개인정보의 보호와 이용의 명확한 법적 근거가 될 것이다. 그동안 중국 학계의 주류 관점은 개인정보와 관련된 권리를 인격권으로 파악하였고, 개인정보권을 확립하여 정보주체의 인격을 보호하고 개인정보의 이용도 고려할 것을 주장해왔다. 이런 노력은 개인정보권의 확립으로 이어졌고, 프라이버시권을 통해 개인정보권을 보호하던 판례의 태도에도 큰 변화를 줄 것으로 보인다. 끝으로, 장래 중국 통합 민법전에 법적 권리로서의 개인정보권 규정이 예정됨에 따라 대륙법계 민사법 이론에서 개인정보권을 포함한 새로운 권리 객체들을 어떻게 조화시키는지도 중요한 과제이다. China has enacted the General Provisions of the Civil Law as the first step for the compilation of the Civil Code in 2017, which is also important for the completion of the socialist legal system of China. In particular, the provision of personal information right in the General Provisions of the Civil Law will be an important opportunity for the protection and use of personal information. First, the clear provision of the personal information right can present the right direction to the enactment of the Personal Information Protection Act. Since there is no separate law on personal information protection, China separately regulates matters related to personal information through each several laws, decisions, and judicial interpretations. The common trend up to the present is that personal information processors are imposed strict obligations on the processing and management of personal information. It is expected that this will be reflected in the Personal Information Protection Act in the future. At this time, it is expected that the personal information right will play the role of milestones appropriately regulating the protection and use of personal information. Next, the establishment of personal information right under the private law will be a clear legal basis for the protection and use of personal information. The mainstream view of Chinese academic community identified personal information right as personality rights. And it has argued that personal information right should be established for the protection of the personality of the information subject and the consideration of the use of personal information. These efforts have led to the establishment of personal information right, and will also change the attitude of judicial precedent that protecting personal information right through the right of privacy. Finally, as it is certain that personal information right will be defined as a legal right in Civil Code of China in the future, it is also important to harmonize new rights objects including personal information right within civil law theory of the Continental legal system.

정보보호 관리체계 PDCA 모형에 기초한 정보보호경영 PDCA 모형 개발 및 사례분석 : A 생명보험회사 중심으로

이정하 보안공학연구지원센터(JSE) 2016 보안공학연구논문지 Vol.13 No.3

본 연구는 금융회사의 정보보호 관련 사고가 지속해서 증가하는 환경 속에서 정보보호 컴플라이언 스 강화를 통한 정보보호경영을 운영하는 사례를 연구해 전략을 제시하고자 했다. 이를 위해 정보보 호 관리체계 PDCA 모형을 응용한 정보보호경영 PDCA 모형을 개발했으며, 개발된 모형의 계획 (Plan), 실행(Do), 점검(Check), 개선(Act)을 기준으로 한 단계별 정보보호경영을 위한 수행 활동을 분석했다. 분석 결과 사례기업에서는 정보보호경영 PDCA 모형을 통해 성공적인 정보보호경영을 추진하고 있는 것으로 나타났다. 결국, 이러한 사례분석을 통해 금융회사가 성공적인 정보보호경영을 실행하기 위해 빠르게 적용할 수 있는 가이드를 제시해 정보보호경영을 수행하는 전략의 수립에 시사점을 제언할 수 있었다. This research is a case study that domestic foreign life insurance company operate information security management through enhanced information security compliance to respond to the incidents in the environment of continuous increasing them. I used information security management PDCA model which is modified from information security management system PDCA model as a research analysis tool. The information security management PDCA model is a iterative structure and suggests the activities carried out for the information security management. It proposed a strategy for enhancing the information security compliance through the information security management PDCA model.

유럽연합과 독일의 개인정보보호법의 비판적 수용을 통한 우리나라의 개인정보보호법의 입법개선을 위한 소고

임규철 경북대학교 법학연구원 2018 법학논고 Vol.0 No.61

유럽연합의 개인정보보호법(이하 GDPR)은 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 그 정보주체의 행동을 모니터링하는 우리나라의 개인정보처리자에게도 적용이 된다. 독일의 개인정보보호법도 동일하다. 그 개인정보처리자는 GDPR 제45조의 ‘적절한 보호수준’, 제46조와 제49조에 따른 ‘적절한 안전조치’ 및 ‘특례’의 인증을 통해 유럽인의 개인정보를 국외에서도 처리를 할 수가 있다. 감독기관의 독립성 미비로 적절성 인증을 받지 못했고 현재 정보통신망법 중심의 부분 적절성 인증을 받으려고 시도 중이다. GDPR의 개인정보 보호수준이 적절하고 유럽과 경제교류가 확대되는 상황에서 국내 사업자 부담의 경감을 위해 인증은 필요하다. 개인정보법제에서의 개인정보처리자에 대한 개념에 있어 우리의 ‘업무성 및 개인정보 파일’ 혹은 GDPR의 ‘개인정보 처리의 목적 및 수단’은 삭제가 바람직하다. 복잡한 개념설정은 입법의 신뢰도에 도움을 주지를 않는다. 가족 혹은 사적인 처리 혹은 통계 등 적용배제는 별도의 규정을 통해 정립하는 것이 입법의 효율성을 위해 좋다. 개인정보 개념에 있어 GDPR 제4조 제1항의 ‘‘식별가능한 정보주체는 직접 혹은 간접적으로 특히 이름, 식별번호, 위치정보, 온라인 식별자로 알아볼 수 있거나 하나 또는 그 이상의 구체적인 요소를 통하여 정보주체의 신체적, 생리적, 경제적, 문화적, 사회적 정체성이 식별될 수 있는 자’의 입법형식을 적극적으로 수용할 필요가 있다. 이를 통해 주민등록번호 외에도 mac이나 IP주소, cookie 및 즐겨찾기 등에 대한 개인정보성 유무와 관련해서 더 이상 논란이 없이 정보주체의 보호범위를 넓힐 수가 있기 때문이다. 빅 데이터 시대에 있어 법적 안정성 유지를 위해 기준의 유동성이 심한 비식별화조치보다는 법률로 익명 및 가명정보의 법제화가 필요하다. 익명정보의 개인정보성을 부인하지만 재식별화에 대한 개인정보처리자의 위험책임을 명기할 필요가 있다. 기술의 발달로 재식별은 시간의 문제이기 때문이다. 정부주도로 일본의 ‘익명가공정보’의 개념을 차용해와 ‘비식별화조치 가이드라인’을 통해 개인정보성을 부인하고 재식별 시 즉각적인 폐기 및 유출차단 등의 조치가 있으면 면제한다고 규정을 하면서 공공기관의 개인정보 유무상의 제공이 이뤄지고 있는 것은 위임의 한계를 일탈한 것으로 위법성이 짙다. 동의는 GDPR에 따르면 정보주체가 진술(구두, 문서) 혹은 명백히 긍정적인 행위를 통한 본인과 관련된 개인정보 처리의 승낙을 말한다. 동의의사는 명백하게 표시되어야 한다. 침묵이나 부작위 혹은 사전에 자동적으로 존재하는 처리동의는 동의로 볼 필요가 없다. 홍보 및 상업적 판매목적인 경우에는 GDPR 및 우리 개인정보보호법의 ‘명백한 기회제공’과 달리 ‘별도의 명백한 동의’의 입법이 바람직하다. 서면동의 시 명백하고 쉬운 언어이면서 접근의 수월성과 함께 동의거절 및 철회권이 적극적으로 보장되어야 한다. 우리의 개인정보보호법은 사전동의를 지향하면서 개인정보처리자에게 필수동의 및 임의정보의 구분과 법정 동의내용 고지의무를 부과하고, 개인정보의 유상판매 시 시행규칙을 통해 글자크기 및 색깔 혹은 밑줄 등의 표시를 강제화하고 있다. GDPR 전문 43번의 ‘정보주체와 개인정보처리자 간에 정보처리에 있어 명백한 불균형이 존재하는 경우 동의를 처리의 합 ... GDPR also applys to domestic personal data controllers that provide goods or services to EU resident data subjects or monitor the actions of data subjects. Domestic personal data controllers shall not be subject to the ‘adequate safeguards’ and ‘exceptions’ could be in accordance with Article 46 or 47 and 49 of GDPR. Certification is required to reduce the burden on personal data controllers. Of course, it is clear that an independent supervisory authority should be urgently needed. It is desirable to delete the ‘workability and personal information file’ in the concept of the personal data controllers in the Korean Personal Data Act. In the concept of personal data, the ‘identifiable data subject’ in Article 4 (1) may be directly or indirectly identified by name, identification number, location data, online identifier or through one or more specific elements, It is necessary to reflect positively the 'person' who can identify the physiological, economic, cultural, social identity. This is because, in addition to the resident registration number, there will be no further controversy regarding whether or not personal data about the mac, IP address, cookie, and favorites is. In order to maintain legal stability in the Big Data era, legislation of anonymity and pseudonym data is needed. Consent means the consent of an information entity to process personal data related to data subject through verbal or explicit affirmative action, according to GDPR. The consent of the consent must be clearly marked, so no silence or omission, or consent to the treatment automatically pre-existing, is not considered consent. Electronic consent means only written consent. In the case of promotional purposes, separate and explicit consent is required. Written consent is a clear and easy language, with access excellence as well as assurance of rejection and withdrawal. The domestic Personal Data Act imposes the obligation of notifying the personal data controllers of the necessary consent and discretionary data and notifying the consent of the court, while aiming for prior consent. When selling personal data for sale, it enforces the display of character size, color or underline through enforcement regulations. The amendment to the Information and Communications Network Act stipulates that the declaration of commercial sale is a public obligation.

공공기관의 개인정보보호를 위한 정보시스템 운영감리 점검항목 개발

박대하,유상녕,염흥열 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.1

본 논문에서는 공공기관의 정보시스템 운영 단계에서 필요한 개인정보보호 관점의 운영감리 점검 항목을 개발하였다. 기존 정보시스템 운영감리의 점검항목과 개인정보보호관리 인증제도인 PIMS 및 PIPL의 심사항목을 비교 및 분석하고, 일반적으로 개인정보처리시스템에 대한 관리를 외부에 위탁하 는 공공기관의 특성을 고려하여 개인정보보호법의 위탁자 관련 조항을 근거로 점검항목을 도출하였 다. 도출된 점검항목은 정보시스템 감리원 및 개인정보보호 관련 업무 종사자를 대상으로 설문조사를 통하여 적합성을 검증하였다. In this paper, we developed an operational audit checklist with regard to personal information protection for information systems in public organizations. We derived the checklist from subcontractor relationships based on Korea Personal Information Protection Act, as well as from comparison and analysis of the current checklist for information system operational audit with the checklist for Korean personal information protection certifications such as PIMS and PIPL. By interviewing information system auditors and professionals in personal information protection area, we validated suitability of our checklist.

연구논문(硏究論文) : 개인정보보호법제(個人情報保護法制)의 법적(法的) 문제점(問題點) 및 개선과제(改善課題) -특히 개정(改正) 개인정보보호법(個人情報保護法)에 대한 비판(批判)을 겸하여-

( Nam Chul Chung ) 법조협회 2015 法曹 Vol.64 No.1

현대정보화사회에 있어서 개인정보보호는 중요한 구성요소이다. 최근에 들어와서 금융기관이나 통신회사 등이 보관하고 있던 개인정보가 유출되는 사고가 발생하여 개인정보보호에 관한 논의는 다시 부각되고 있다. 이러한 경우에 개인정보처리의 오용 방지뿐만 아니라 개인의 사생활이나 인격권의 보호가 문제되고 있다. 이에 정부는 근본적인 대책을 마련하기 위해 고심 중이나, 여전히 성과가 없는 상태이다. 이와 관련하여 「개인정보보호법」의 개정 법률은 2013년 8월 7일부터 시행 중이다. 개정 법률은 주민등록번호의 보호를 강조하고 있다. 지금까지 개인정보보호에 관한 문제는 대부분 국가와 시민의 관계를 전제로 하였으나, 근래에는 민간기관에 의한 개인정보침해가 증가하고 있다. 「개인정보보호법」은 공공부문과 민간부문을 구분하지 않고 있는데, 이는 법리적으로 문제가 있어 보인다. 개인정보보호는 헌법적으로 개인정보자기결정권에 근거를 두고 있기 때문에, 개인정보의 수집에 있어서 이해관계인의 ‘동의’가 중요하다. 「개인정보보호법」에서는 공법상 쟁송에 대한 권리구제수단이 매우 제한적이다. 그 밖에 기업 내부의 개인정보 보호책임자의 지위를 강화해야 하고, 이에 대한 감독기관의 권한을 확대할 필요가 있다. Der Datenschutz ist ein wesentliches Gestaltungselement in der modern en Informations- gesellschaft. Aufgrund der Skandals von Dienstleistungs- Unternehmen der Telekommunikations oder Kreditanstalten hat die Disku ssion um den Schutz personenbezogener Daten in jungster Zeit zunehmen de Bedeutung. Dabei handelt es sich sowohl um den Schutz vor missbrau licher Datenverarbeitung als auch um den Schutz der Privatsphare oder d en Schutz des allgemeinen Personlichkeitsrechts bei der Datenverarbeitun g. Die koreanische Regierung hat zwar eine ubergreifende Losung dafur versucht, aber es ist jedoch erfolglos geblieben. Diesbezuglich trat die No velle im koreanischen Datenschutzgesetz bereits zum 7. 8. 2014 in Kraft. Dieses Anderungsgesetz betont den Schutz der Einwohner-Registrierungsn ummer(residence registration number). Die bisherigen Falle zum Datensch utz haben sich im Allgemeinen nur auf die Staat-Burger-Kostellation bez ogen, aber es geht vor kurzem vielmehr um den Datenschutz zwischen Pr ivaten. Dennoch erscheint es problematisch, dass es keine Unterschied zw ischen offentlichem und privatem Datenschutz im koreanischen Datenschu tzgesetz gibt. Da der Schutz personenbezogenen Daten verfassungsrechtlic h auf dem Recht auf informationelle Selbstbestimmung basiert ist, ist ein e Einwilligung der Betroffenen bei Datenerhebung immer sinnvoll. Im ko reanischen Datenschutzgesetz ist der Rechtsweg bei den offentlich-rechtlic hen Streitigkeiten sehr beschrankt. Des Weiteren soll m. E. die Stellung des unternehmensinternen Datenschutzbeauftrgten verstarkt werden. Diesb ezuglich ist auch notwendig, dass die Befugnis der Aufsichtsbehorden er weitert wird.

위치정보의 보호를 위한 형법적 고찰 -범죄수사를 위한 위치정보의 수집 및 활용에 대한 통제방안를 중심으로-

김봉수 전남대학교 법학연구소 2012 법학논총 Vol.32 No.3

As IT technology develops further and the use of smart phones become popular, the potential for utilization of the personal information contained in the location information is increasing. On the other hand, The possibility of misuse of the personal information and location information is also increasing more and more. Some representative examples of information misuse are the collecting and tracking of personal location information without the concurrence of a principal agent of information. Recently, Korea have enacted 「Law on the protection and use of location information」to protect privacy against the leak, abuse and misuse of location information, promote a safe environment for using location information andre invigorate the use of location information, and thus contribute to the improvement of national life and the promotion of public welfare. Especially, the law prohibits from collecting of location information(Article 15) and circumscribe collecting of personal location information within the consent of personal location information subjects(Article 18). But, exceptionally, to protect life and bodies from imminent dangers, the law allows using of personal location information for emergency relief(Article 29). However there’s a limit and vacuum as to the application of this law. First of all,there is no mention of the use and limit of personal location information for a criminal investigation. Today, the investigative agency, using personal information and location information, rides down the suspect and gathers evidence. The collection routes of personal location information for a criminal investigation can be segment broadly into three groups as ① ‘direct-collection method’ , ②‘indirect-collection method’ and ③ ‘personal information-collation method’. Of course, the procedural control methods by a seizure and search warrant in the Criminal Procedure Code can be one of the alternatives. But because of ‘ex-ante’trait of the location tracing and detection by collecting and collating a personal information, the existing procedural control to seize material evidences is not sufficiently complete merely. In my opinion, referencing to communications restriction measures of 「Protection of Communications Secrets Act」, it is keenly necessary to regulate concretely ① the legal grounds, ② the agreement procedure as the requisite of permission, ③ the scope and limits of collecting and collating informations for a criminal investigation and ④ ex-post control devices as the ‘notice system’. 기술-사회의 연동적인 변화 속에서도 우리나라는 「개인정보보호법」, 「위치정보의 보호 및 이용 등에 관한 법률」등의 다양한 입법을 통해서 발빠르게 대응해 왔고, 이는 외국의 입법례와 비교해 봤을 때도 상당히 진보적인 의미를 담고 있다. 하지만 이와 동시에 입법의 신속성 및 진보성만으로는 정보보호의 사회적 요구와 필요를 완전히 충족시킬 수는 없다는 점도 함께 보여주고 있다는 점에서 이에 관한 지속적인 관심과 연구가 필요하다고 판단된다. 특히 ‘수사기관이 개인의 위지정보를 탐지하거나 이를 활용하여 추적하는 문제’와 관련해서는, 내용상의 한계가 지적되고 있다. 이러한 문제의식에서 출발하여 본 논문은 최근 애플의 위치정보 무단 수집사건과 수원살인사건을 계기로 조명되고 있는 ‘위치정보’를 중심으로 (1) 위치정보의 보호와 활용에 관한 국내외의 관련 법제를 비교법적으로 살펴본 후, (2) 위치정보의 이용 및 보호와 관련하여 규범적 공백상태에 놓여있는 ‘수사기관에 의한 위치정보의 탐지 및 수집행위’의 법적 성격을 재탐색해 보고, 수집루트의 유형화 작업을 통해서 현행 관련법규의 규범적 한계를 비판적으로 검토해 보았다. 생각건대, 수사목적으로 위치정보를 탐지·수집하는 수사기관의 행위, 즉 전술한 위치정보를 수사기관이 직접 수집하는 경우(제①유형)나 위치정보사업자 및 위치기반서비스업자를 대상으로 요청하는 경우(제②유형)는 물론 개인정보를 활용하여 위치를 탐지하는 경우(제③유형) 등을 기존의 압수·수색으로 접근하는 것보다는, (현행 통신비밀보호법의 통신제한조치와 유사한) 일종의 ‘정보제한조치’로 규정하고, 지금처럼 포괄적인 협력차원이 아니라 영장발부요건(범죄혐의, 필요성, 보충성 등)에 준하는 허용요건과 절차 그리고 법원에 의한 사후통제장치를 마련하여 정보주체의 권리와 범죄수사의 공익적 목적의 조화를 모색하는 것이 필요하다고 판단된다.

근로자의 개인정보 보호에 대한 법적검토

유각근 法務部 商事法務課 2008 선진상사법률연구 Vol.- No.42

컴퓨터 네트워크에 의한 근로자의 개인정보 침해문제는 세계적으로 커다란 관심을 가지고 논의되어 온 과제로 최근 직장에서의 새로운 기술도입은 사용자의 근로감시를 강화하는 결과를 초래하였고 근로자의 개인정보 보호에 포괄적인 입법을 요청하기에 이르렀다. 향후, 근로관계에 있어서 기업의 무제한적인 개인정보 수집이나 활용은 근로자의 개인정보를 보호해야 할 의무를 법적으로 부과함과 동시에 기업에 있어서 노무·인사관리상의 감시와 조화롭게 조절하고 또한 근로자에 대한 인격적인 이익도 보호하기 위한 준칙을 모색해야 할 것이다. 최근, 우리나라에서도 서서히 관심이 높아지고 있는 「근로자의 개인정보에 관한 보호문제」에 대한 포괄적·체계적으로 규제하는 법제도가 아직 존재하고 있지 않기 때문에 이 논문에서는 먼저 한국에 있어서의 근로자의 개인정보와 관련되고 있는 현행 법규를 살펴보고 다음에 근로자의 개인정보 보호를 위한 가이드라인을 제시하여 향후 법적검토 과제로 제시하였다. 정보통신의 비약적인 발달에 의하여 생활의 중심이 오프라인 공간으로부터 온라인공간으로 이동하여 개인정보가 인터넷상에 광범위하게 이용되고 있다. 이러한 개인정보는 전자상거래, 기업의 고객관리, 인사관리 및 노무관리라고 하는 측면에서 보면 기업경영에 있어서 전략상의 자산적 부가가치를 높이고 있음에 틀림없다. 동시에 개인이나 근로자에게는 개인정보의 수집·축척·이용이라는 현실 속에서 프라이버시는 보호되지 못하는 실정이기도 하다. 여기서는 근로자의 개인정보 보호에 관련된 문제에 대하여 일정한 해결책을 제시하는 것을 목표로 하였다. 반드시 노동법 고유의 문제영역으로만 취급해 온 것은 아니지만 검토과정에서 노동법 분야에 관련되고 있는 근로자의 프라이버시권 보호를 위한 독자적인 법 영역으로 법 형성을 촉구하는 관련입법 및 노사관계로부터 발생되는 분쟁에 대하여 일정한 해답을 제시할 수 있는 선례적인 사례를 소개하였다. 한편, 우리나라의 근로관계를 규제하고 있는 노동법은 근로자의 인간의 존엄 및 가치를 실현한다고 하는 목적을 가진 헌법이념에 따라 형성되어 왔기 때문에 노·사·정의 3자 관계를 통해서 헌법상의 추상적인 이념을 구체화하기 위한 노동법의 독자적인 시점으로 부터 출발하고 있다. 그러므로 근로자의 개인정보보호 및 프라이버시권 문제를 검토할 필요가 있고 여기서는 그 기초적인 작업의 일환으로 집필하게 된 것이다. 향후 노동법의 이념에 입각한 포괄적 내지는 구체적인 「근로자의 개인정보 보호」에 대한 입법이 최종적으로 필요하다고 생각하지만, 앞으로 우리가 해결해야할 과제로 미루고 여기서 언급하고 있는 각론 부분을 개별적·구체적으로 검토하려 한다. Labor workers' personal information violation by computer network has been a big issue throughout the world. New technologies at work places required stronger surveillance systems for users and eventually requested comprehensive legislation regarding personal information protection of labor workers. In the future, labor workers' personal information must be protected from unlimited collection and use of information by their companies and companies' requirement of information for labor affairs and human resources management must be leveled to protect labor workers' human rights. 「Labor workers' personal information protection issue」 has become important in Korea, but there is no comprehensive legal system for it. This study first examined laws that relate to labor workers' personal information in Korea and then discussed legal guidelines to protect their personal information. With the exponential development of information communications, the center of life has shifted from offline space to online space and opened up personal information for varieties of use. Personal information enhances value added of corporate strategies in terms of electronic commerce, customer service, human resources management, and labor management. However, privacies of individuals or labor workers are not protected in collecting, accumulating, and using personal information. The purpose of this study was to provide solutions to problems regarding labor workers' personal information protection. The last part of the study introduced certain disputes that relate to the Labor Law and require legislation of independent laws for labor workers' privacy protection, and provided solutions. The Labor Law, which restricts Korea's labor relations, has been enacted based on the Korean Constitution whose purpose is to realize human rights and values of labor workers. Therefore, it is necessary to review labor workers' personal information and privacy issues based on the three-party relations of labor workers, the management, and the government from the Labor Law's view to specify abstract ideologies of the Korean Constitution. This study has only done the basic operation. Legislation of comprehensive or specific Labor Workers' Personal Information Protection Act that abides by the Labor Law would be necessary. For that purpose, various issues discussed in this study shall be expanded and discussed in a greater depth.

권리객체로서 정보의 법적 지위: 정보는 소유권의 대상이 될 수 있는가?

양환정 서울대학교 기술과법센터 2009 Law & technology Vol.5 No.4

지식이나 정보는 인류공동의 자산으로 인식되어 왔고 지식이나 정보에 대한 배타적인 지배는 발명과 창작을 유인하는 한도 내에서만 제한적으로 허용되어 왔다. 소유권의 객체인 물건은 그 내용이나 가치에 관계없이 소유자가 자유롭게 이를 사용, 처분하고 타인의 사용을 배제할 수 있음에 반해 지식이나 정보는 신규성, 진보성, 창작성, 비밀유지성등 지적재산권 관련 법률이 요구하는 요건을 갖춘 경우에 한해 일정한 기간동안만 보호의 대상이 될 수 있으며 공정사용(fair use) 등 타인의 사용을 배제할 수 없는 경우가 폭넓게 존재한다. 그런데 컴퓨터보안과 프라이버시에 관한 법률은 지적재산권 법률이 요구하는 요건을 갖추지 않는 정보라 하더라도 타인의 부당한 접근이나 사용을 금지한다. 소유권의 본질을 타인 사용의 배제라고 본다면 정보도 물건과 같이 소유권의 객체가 될 수 있는 것처럼 해석될 수 있다. 그러나 관련 법률이 정보에 대한 보호를 강화하는 것은 사실이지만 정보를 소유권의 대상으로 변환시킨다고 해석할 수는 없다. 본질적으로 정보는 창작성, 신규성, 진보성, 비밀성 등이 결여될 경우 법률의 보호와는 무관하게 제3자의 사용이나 접근을 막을 수 없다. 누구나 쉽게 생각해낼 수 있는 아이디어는 아무리 비밀을 잘 유지해도 다른 사람이 생각해 내는 것을 막을 수 없고 배타적인 지배도 가능한 것이 아니기 때문이다. 생명이 법률적으로 보호되지만 거래의 대상이 되는 것은 아닌 것처럼 제3자의 침해로부터 보호된다는 이유만으로 소유권이란 용어를 사용할 수는 없다. 소유권이란 용어의 사용은 그 대상이 거래될 수 있도록 하기 위해 필요한 권리를 부여할 때 사용되어야 한다. 지적재산권 관련 법률이 정보를 활용해 얻을 수 있는 경제적 이익을 보호할 수 있는 권리를 부여함에 반해 컴퓨터 보안이나 프라이버시 관련 법률은 권리를 침해한 자를 처벌하는데 그치고 해당 정보를 경제적으로 이용할 수 있는 권리나 침해한 자에 대하여 반환이나 원상회복을 요구할 권리를 제공하고 있지 않다. 오히려 컴퓨터보안 및 프라이버시 관련 법률은 부당한 침해행위의 도덕적 비난 가능성, 정보주체인 사람의 인격권 보호를 일차적인 목표로 하기 때문에 정보를 보호하면서도 정보의 거래는 제한할 가능성이 높다. 또한, 정보에 대한 배타적 지배를 허용하는 입법정책은 정보의 생산자와 이용자간의 균형관계를 현저하게 깨뜨리는 것으로써 헌법적으로 허용될 수 없으며 기존의 지적자산을 토대로 약간의 응용을 통해 이루어지는 정보의 생산에 오히려 장애가 될 수 있기 때문에 정책적으로도 바람직하지 않다. The computer security and privacy laws protect information. They prevent security breachessuch as interception, extraction, insertion, destruction and denial of service, without authorization orin excess of authorization. Even though these laws are about the right to exclude others to using it,they have not converted information into property. First, an idea that lacks requirements of intellectual property law such as novelty or secrecycannot be protected. Anyone can easily think of the idea in spite of the protection of the laws ortechnical safeguards. Such information cannot be property.Second, the property concept has been used to support commercial transactions involving thetransfer of rights connected to a particular asset. The protection of law itself cannot be interpretedas property rights. Even though criminal law protects life or honor, people cannot transact the life orhonor. Intellectual property law gives the owner of the information certain rights to make economicuse of it such as rights to license or to distribute whereas computer security and privacy laws donot give such rights. Moreover, the laws that protect information themselves may restrict thetransfer of information since the primary focus of the laws are to protect privacy. Third, legislation to convert information in general into property can be unconstitutional since thelaw breaches the constitutional harmony between the owner and the user of information andknowledge. Besides, too much protection of information may suffocate the invention and innovationsince it will raise the cost of gathering information that are essential for the creation of newinformation.

국가정보보호수준 측정 및 활용에 관한 연구

황철중,주용완,민경식,정경호 한국정보사회진흥원 2006 정보화정책 Vol.13 No.3

정보보호 수준을 측정하는 것은 매우 어려운 일로써 정보보호의 영역이 계속 확장됨에 따라 개념자체를 정의하기가 어렵고 아울러 다차원적인 요인을 포함하는 정보보호 지표 선정의 어려움, 시계열적인 통계 데이터 부족, 상이한 정보보호 지표를 하나의 지수로 통합하는 문제가 있기 때문이다. 그럼에도 불구하고 정보보호수준을 계량적으로 측정하기 위한 방법론으로 가장 적합한 것은 지수화하는 것이다. 이는 정책입안자나 정보보호 이해관련자들이 종합적인 측면에서 정보보호수준 목표를 결정하고 실행결과를 평가하는데 용이하기 때문이다. 본 연구의 목적은 정보보호정책 수립 및 평가의 기초 자료로 활용할 수 있는 지수를 산출하기 위한 종합적인 정보보호수준 평가지수 모델을 제시하고 지수를 산출하는데 있다. 지수산출결과, 정보보호수준은 2002년부터 2005년까지를 시계열적으로 보면 매년 평균 5.8%의 증가추세를 보이고 있다. 반면 역기능수준은 2003년 1.25 인터넷 대란으로 증가한 것을 제외하고 꾸준한 감소추세를 나타내고 있다. 특히 정보보호수준과 역기능수준이 발산하고 있어 정보보호정책이 유효하게 작용하고 있다고 판단되어진다.

균형성과표를 이용한 기업 정보보호 수준 평가에 대한 연구

고미현,김태성,공희경 에스케이텔레콤 (주) 2009 Telecommunications Review Vol.19 No.6

2009년 7월 7일에 발생한 분산서비스거부공격(DDoS: Distributed Denial of Service Attack)으로 우리나라의 주요 사이트 접속 등 인터넷 통신이 마비되었다. 이번 대란으로 금전적 손실은 최소 363억원에서 최대 544억원(현대 경제연구원, 2009년 7월 23일)으로 추정되고 있으며 이에 따른 향후 정보보호 관련 투자가 증가할 것이라는 전망이 나오고 있다. 인터넷의 영역이 확대되고 있는 만큼 이를 이용한 사이버 테러의 위험 역시 급속하게 증대되고 있으며 그 위협이나 피해는 점차 대형화되고 있다. 이에 따라 기업은 정보보호에 대한 투자의 필요성을 실감하고 정보보호를 기업경쟁력의 하나로 인식하면서 선진 기업들은 정보보호를 위해 점점 더 많은 자원을 투자하고 있지만 투자 효과가 불확실하고 효율적인 투자를 위한 구체적인 기준 및 방법이 마련되어 있지 않아 투자의 활성화에 많은 어려움이 있었 다. 국내외에서 국가, 기업 차원에서의 정보보호 수준 평가 관련 연구가 수행되고 있지만 다양한 정보보호 수준 평가 및 관리 관련 지수들이 혼재되고 대상이 중복되는 등 체계화가 되어 있지 않다. 본 연구에서는 기업 프로세스의 전사적 차원에서 정보보호 수준을 체계적으로 측정할 수 있도록 균형성과표(BSC: Balanced Scorecard)를 활용한 평가 모형의 개발 및 수준단계의 진단을 위한 정보보호 수준 통합 평가체계를 제시하 였다. 구체적으로 정보보호 전문가를 대상으로 설문조사를 통한 빈도분석을 실시하여 최종 평가지표를 도출하였으며 계층분석기법(AHP: Analytic Hierarchy Process)을 이용하여 정보보호 전문가를 대상으로 평가관점과 영역에 대한 가중치를 산출하였다. 제시한 방법론의 적용 가능성을 파악하기 위하여 한국정보보호진흥원에서 주관한 정보보호 대 상 수상업체 중 유통업체‘A’사를 대상으로 사례 연구를 실시하였다. 사례 연구의 결과, 제시된 평가방법론이 기업의 정보보호 수준 평가에 유용하고 적용가능함이 검증되었다.