빅데이터 시대 중국의 개인정보보호법률제도 현황과 입법과제 연구

김종우 한국정보법학회 2019 정보법학 Vol.23 No.2

절대다수의 국가에서 입법을 통해 식별형 정의를 채택하여 개인정보를 정의하고 있으나, 도리어 개인정보라는 개념에 대해서는 구체적인 판정기준을 제공하지 않고 있다. 따라서 개인정보와 관련한 구체적인 판정기준을 확립하는 것이 당면과제가 된 다. 독일을 대표로 하는 EU에서는 개인정보권을 구체적인 인격권으로 보호하고 있으 며, 개인정보에 대한 정부기관의 지배와 통제를 강조하고 있다. 개인정보에 대한 학설 과 관련하여, 중국 법학계 내 존재하는 다수설은 개인정보를 인격권으로 인식하고 있 다. 차세대정보기술은 개인정보의 사회적 가치를 강화하는데 특히 공공정책 및 공 공안전에 대한 법적 보호가 그것이다. 비록 중국 「헌법」 제38조, 중국 「민법통칙」 제120조는 중국 국민의 인격권에 대한 보호를 규정하으나, “개인정보의 정의”와 “개인정보권의 법적 성질”에 대해 더 분 명하고 상세한 규범이 제정되지는 않았다. 다른 법률에 개인정보 관련조문이 부분적 으로 규범되어 있기 때문에, 중국은 외국 개인정보의 “식별가능성”에 근거하여 개인 정보에 대해 규정을 하고 있다. 조만간 개선되어야 할 부분이다. 그리고 중국의 개인정보보호 관련 법률이 다수가 중국 국무원이 반포한 행정규장 으로 되어 있는 등, 법률문서의 효력이 상대적으로 낮다는 문제가 있다. 이와 함께 개인정보침해가 발생하는 경우 민사소송 제기를 통한 법적 구제를 생각 할 수 있다. 그러나 개인정보침해행위가 관련된 전문적인 기술 및 개인정보주체와 정 보관리자 간의 정보비대칭은 정보주체로 하여금 입증책임을 더욱 더 어렵게 만든다. 이러한 문제를 해결하기 위해서는 특별법 형식의 단행 법률이 하루라도 빨리 제정 되어야 한다. 또한 개인정보보호법의 기본이념과 개인정보의 범위를 분명히 규정해 야 한다. 중국의 경우 개인정보보호법 제정 시에는 개인정보를 민감한 정보와 민감하 지 않은 정보 두 가지로 분류하는 것이 바람직할 것이다. 중국 중앙정부와 성 일급 지 방정부가 행정등급에 따른 개인정보보호 전문기관을 새로 확립하는 것도 좋은 방법 이다. 결국 중국 전역의 개인정보보호 및 감독업무는 해당업무를 담당하는 중국정부 부처가 통일적으로 지도하고 협조해야 한다. 개인정보보호의 사법구제와 관련해서는 입증책임을 새로 제정해야 한다. 정보주체 로서의 개인의 증거제시능력이 다소 처진다는 점을 감안하여, 소송에서의 입증책임 에 대해서는 부분적으로 새로운 법리를 제정해야만 한다. 개인정보 권리를 침해한 피 고에 대해서는 권리침해주체가 상이한 점에 근거하여 서로 상이한 귀책원칙을 확정 하면 된다. 과실추정책임은 개인의 입증책임을 경감시킬 수 있을 뿐만 아니라, 정보처 리자가 철저하게 안전보장의무를 이행하도록 경고할 수 있으며 결과적으로 개인정보 의 신중한 사용이 확립될 수 있다. 빅 데이터시대에 중국의 개인정보보호법률문제는 상술한 것 외에 개인정보소유권 의 귀속문제, 빅데이터 주체의 책임문제, 중요한 데이터의 소각문제, 빅 데이터 감독 관리법률규범의 부실, 빅 데이터 거래시장체제문제, 빅 데이터 거래 독점문제, 불법데 이터거래문제, 빅데이터 정보의 프라이버시문제, 빅 데이터 가격책정문제, 데이터자 원 획득의 문제, 빅 데이터자원 이용의 문제, 빅 데이터자원 보호문제 등이 주요쟁점 으로 등장하고 있다. 이러한 문제들을 ... In many countries, personal information is defined by adoption of an identification type through legislation, but it does not provide specific criteria for the concept of user privacy. Therefore, it is a challenge to establish specific criteria for user privacy. In Germany, the EU protects user privacy rights with specific moral rights and emphasizes the control and control of government agencies on user privacy. Regarding the theory of user privacy, the majority of the opinions in the Chinese legal profession regard user privacy as personal right. The next generation of information technology has strengthened the social value of user privacy, particularly the legal protection of public policy and public safety. Although Article 38 of the Chinese Constitution and Article 120 of the Chinese Civil Law General Provision stipulate the protection of the moral rights of the Chinese people, there is a clear and detailed standard for the definition of "user privacy" and "legal nature of user privacy rights" Was not enacted. Since other provisions of the law on user privacy are partly normative, China has set out user privacy on the basis of "identifiability" of foreign user privacy. It should be improved soon. In addition, there is a problem that the legal documents are relatively ineffective, for example, many of the user privacy protection laws of China are issued by the State Council of China. In addition, in the event of infringement of user privacy, legal remedies through civil lawsuits can be considered. However, the information asymmetry between the professional technology and the user privacy subject related to the infringement of user privacy and the information manager makes the information subject more difficult to verify. In order to solve these problems, a special law type law should be enacted as soon as possible. In addition, the basic idea of user privacy protection law and the scope of user privacy should be clearly defined. In China, it is desirable to classify user privacy into two categories: sensitive information and non-sensitive information. It is also a good idea to establish a professional agency for the protection of user privacy according to the administrative level of the Chinese central and provincial level local governments. Ultimately, user privacy protection and supervision throughout China should be guided and co-ordinated by the Chinese government departments responsible for the work. Regarding the judicial relief of user privacy protection, a new burden of proof should be established. In view of the fact that the individual's ability to present evidence as an information subject is somewhat inferior, a new jurisprudence must be established in part regarding the burden of proof in litigation. For defendants who infringe on the right of privacy, the principle of differentiating between the different types of defendants can be determined on the basis of different points of infringement. In addition to alleviating the burden of proof of negligence, negligence assumption responsibility can also warn the information processor to fulfill its obligation to thoroughly comply with the security obligations, and consequently prudent use of user privacy can be established. In the Big Data era, China's user privacy protection law issues include, besides those mentioned above, the problem of ownership of user privacy, the responsibility of big data subject, the incineration of important data, the failure of big data supervision administrative law, Big data transaction monopoly problem, illegal data transaction problem, big data information privacy problem, big data pricing problem, data resource acquisition problem, big data resource utilization problem, big data resource protection problem, etc. In order to solve these problems, it is necessary to establish clear responsibility of big data transaction entity, improve important data incineration norm, improve big data supervision management system, regulation ...

인터넷상에서의 개인정보 보호행동에 관한 연구: 보호동기이론을 중심으로

박찬욱 ( Chanouk Park ),이상우 ( Sang-woo Lee ) 한국인터넷정보학회 2014 인터넷정보학회논문지 Vol.15 No.2

본 연구의 목적은 보호동기 이론을 기반으로 인터넷 사용자의 개인정보 보호행동의 변화를 설명하고, 사용자의 개인정보 권익을 보호하기 위한 방안에 대해 모색하는 것이다. 보호동기 이론은 위협메시지에 의한 보호행동의 변화과정을 설명하기 위한 대표적인 이론으로, 본 연구에서는 개인정보에 대한 위협과 개인정보 보호행동에 대한 개인의 인지적 평가가 보호동기를 형성하고 보호동기가 개인정보 보호행동에 어떠한 영향을 미치는지 확인하였다. 또한 개인정보 권리보장 및 권리구제와 관련된 법제도를 반영하여서 개인정보 권리인지 변인을 개발하였다. 즉 개인정보 관련 법률이 개인정보 보호에 대한 인식이나 행동변화에 어떠한 영향을 미치는지 알아보았다. 본 연구는 선행연구들과 달리 법제도를 반영한 개인정보 권리인지 변인을 개발하여 개인정보 보호행동의 변화에 대해 분석하였다. 연구의 결과 개인정보 권리인지 변인이 개인정보 보호행동에 유의미한 영향을 미치는 요인으로 밝혀졌으며, 법제도를 통한 정보주체의 권리보장이 개인정보 보호행동을 촉진시키는 것으로 나타났다. 본 연구의 결과가 추후 개인정보 관련 신규정책 확립에 있어서 도움을 줄 수 있을 것이라 생각한다. This study applied customer perspective to find out ways how to protect customers` privacy by themselves. It does so by examining the factors which affect customer privacy protection behaviors. Based on the Privacy Act, this study developed the construct of Privacy Rights awareness and finds the law`s effect on privacy awareness and behavioral change. The study finds that there exists a significant difference in privacy protection behavior according to privacy rights awareness. Independent variables are as follows: Five variables (Perceived vulnerability, Perceived severity, Perceived response effectiveness, Perceived barriers, Privacy Rights awareness) were tested as critical variables influencing Behavioral Intention in PMT model. Privacy awareness had a moderating effect on the relationship between perceived severity and privacy protection behavior. This study would contribute on theoretical expansion of Protection Motivation Theory and also provide practical implications for effective ways to promote behavioral changes.

개인정보취급방침 심사와 개인정보보호 감사제도 도입방안 : EU, 영국, 미국의 사례와 시사점

정찬모 조선대학교 법학연구원 2013 法學論叢 Vol.20 No.1

이 논문은 개인정보취급방침 심사제도와 개인정보보호 감사제도를 도입할 필요가 있다는 논지를 EU, 영국, 미국의 유사제도를 조감하고 시사점을 찾는 작업을 통하여 구체화하고자 한다. 개인정보 취급방침은 법인의 개인정보보호정책의 대외적 표현이므로 개인정보보호 수준을 확인하고 개선하기 위해 가장 먼저 조사하여야 할 대상임은 분명하다. 이에 대해서 약관심사와 같은 방식의 적정성 심사를 하는 것은 나름 의미 있는 작업이 될 것이다. 그러나 일반적 약관에서 보다도 개인정보처리에 있어서는 공식적으로 표명된 취급방침과 실제 운영 간에 괴리가 크리라는 것은 쉽게 예상되는 일이다. 이미 인터넷 상에는 개인정보취급방침 표준양식이 올라와 있으며, 온라인 자가진단이 가능하며, 각 정보처리자의 상황에 맞추어 십여 분 내에 자신의 개인정보 취급방침을 만들 수 있는 템플릿도 올라와 있다. 하지만 개인정보 취급방침에 대한 심사는 개인정보보호에 있어서의 문제점 발견과 개선책 마련의 극히 일부이며 첫 단계에 불과하다. 이 논문이 살펴본 주요 외국 사례는 정보처리자의 개인정보보호에 관한 감사제도를 운용할 필요성을 보여준다. 물론 개인정보보호감사의 대상이 형식적의미의 개인정보 처리방침에 한정되지 않으며 개인정보처리 직원의 교육, 기술적 보호조치, 조직구조, 관행 등과 같은 개인정보보호에 영향을 미치는 전분야에 걸쳐서 감사가 이루어진다. 따라서 우리나라도 개인정보 취급방침에 대한 심사 논의가 개인정보처리의 전반적인 실태에 대한 감사제도 도입 논의로 발전되는 것이 바람직하다고 할 것이다. This article argues that it is necessary for Korea to introduce a review system of privacy policies and an audit system of the practices of personal data processors. The author tries to draw lessons from surveying relevant laws and regulations of the European Union, the United Kingdom, and the United States. Privacy policies of entities may be the first target of privacy protection review but should not be the only target. It should be noted that there is discrepancy between what is stated in the privacy policy and what is actually carried out. Standard privacy policies may be easily found on the Internet. Self-assessment tools are also available. Personal data processors may draft their own privacy policies in a quarter of an hour by online templates. A review of those privacy policies may only be an initial step in the process of finding problems and solutions therefor in the current practices of personal data protection by the public and private entities. The experiences of major foreign countries that this article surveyed show the necessity to introduce a privacy audit system. The scope of audit of personal data protection should go beyond the formal privacy policies of entities into organizational structure, field practices, education of employees, technological privacy protection measures, etc. Measured steps should be taken to develop the discussion on the review of privacy policies into the discussion on the audit of general practices of personal data processors.

e-비즈니스 환경에서 기업의 개인정보보호 활동이 소비자 행위에 미치는 영향

박재영(JaeYoung Park),정우진(Woo-Jin Jung),이상근(SangKeun Lee),김범수(Beomsoo Kim) 한국전자거래학회 2018 한국전자거래학회지 Vol.23 No.4

최근 대다수 온라인 기업들이 고객의 개인정보에 기반한 맞춤형 서비스를 제공하기 위해 노력하고 있다. 하지만 고객들은 정보 유출에 대한 우려로 개인정보 제공을 꺼리고 있는 것이 현실이다. 이에 따라 기업들은 개인정보보호 인증마크 획득, 개인정보유출 배상책임보험 가입을 통해 고객들에게 개인정보보호를 보장함으로써 신뢰를 높이고자 한다. 이에 본 연구에서는 이러한 기업의 개인정보보호 활동이 소비자 행위에 어떠한 영향을 주는지 알아보고자 한다. 가상의 시나리오를 바탕으로 한 실험 연구 결과, 기업의 개인정보보호 인증마크 획득 혹은 개인정보유출 배상책임보험 가입이 프라이버시 신뢰를 높여주는 것으로 나타났다. 그리고 개인정보보호 인증마크의 경우, 프라이버시 신뢰를 매개로 개인정보 제공의도에 긍정적인 영향을 미치는 것으로 밝혀졌다. 마지막으로 신뢰 성향이 높은(낮은) 집단의 경우에는 개인정보보호 인증마크(개인정보유출 배상책임보험)를 통해 보다 높은 신뢰가 형성되는 것으로 나타났다. 본 연구결과는 개인정보보호 인증마크와 개인정보유출 배상책임보험의 필요성을 입증함으로써 기업 경영진의 정보보호 투자 관련 의사결정에 도움을 줄 수 있을 것으로 기대한다. Recently, most online firms are trying to provide personalized services based on customer’s data. However, customers are reluctant to give their information to online firm because of concerns about data breach. Online firms are seeking to increase their trust by ensuring the protection of personal information for customers through privacy seal (e.g. e-privacy) or data breach insurance. This research examines the effects of privacy assurance(i.e. privacy seal, data breach insurance) on consumer behavior in online environment. An experiment based on the hypothetical scenario was conducted using a between-subjects 2 (type of privacy assurance) + 1 (control) design. We found that both privacy seal and data breach insurance increased perceived privacy trust. In addition, privacy seal has a positive effect on the intention to provide personal information through perceived privacy trust. Finally, in the case of the group with a high (low) disposition to trust, higher perceived privacy trust is formed through privacy seal (data breach insurance). Theoretical and practical implications are discussed.

개인정보보호의 주요 사전예방제도 비교 및 개선방안 연구

신영진 단국대학교 융합사회연구소 2019 공공정책과 국정관리 Vol.13 No.1

본 연구는 EU의 일반개인정보보호법(GDPR)에서 명시하고 있는 개인정보보호 적용설계, 개인정보 영향평가, 개인정보보호 자율규제를 중심으로 한 사전예방제도에 관해 주요 국가의제도적 사례를 살펴보고, 우리나라에서의 현황을 검토하여 개선방안을 제언하고자 한다. 주요국가의 개인정보보호 사전예방제도를 살펴본 결과, 첫째, 개인정보 적용설계에 관하여미국, 캐나다, EU, 독일, 프랑스, 호주 등은 법률적 기본원칙으로 적용하고 있으며, 별도 개인정보보호 관리프레임워크를 설계하여 안전성을 높이고 있다. 둘째, 개인정보 영향평가에관하여 미국, 캐나다, 유럽, 독일 등은 별도 법률 및 지침을 마련하고 있었으나, 호주, 뉴질랜드, 일본 등은 법률적 근거 없이 가이드라인을 통해 운영하기도 하였다. 셋째, 개인정보보호 자율규제에 관하여 미국, EU, 독일 등은 자율규약실행을 위한 기구를 운영하여 실행지침을 제공하였으나, 영국, 프랑스, 일본 등은 민간 스스로 개인정보보호를 위한 자율적 공동규제를 실행하고, 그 외 개인정보보호업무를 지원하기도 하였다. 우리나라는 개인정보보호 적용설계에 관하여 「개인정보 보호법」에 개인정보보호원칙을 두어 안전성 확보를 위한 규정을 마련하고 있으며, 법률에 근거하여 개인정보 영향평가를 확대할 예정이다. 또한, 최근 법률에 근거하여 자율점검, 인증제도, 고충처리 등을 비롯한 민간분야의 자율적 활동을 지원하고 있다. 따라서, 개인정보보호 적용설계를 위한 관리체계의 정비, 개인정보 영향평가제도의 민간까지 확대 및 처벌규정 강화, 개인정보보호 자율규제를 위한참여 확대 및 최소한의 법적 의무를 강제화할 필요가 있다. This study examines the institutional cases of major countries on the prevention institutions, focusing on the privacy protection by design, privacy impact assessment, and privacy self-regulation. As the results of reviewing main prevention institution, first, USA, Canada, EU, Germany, France and Australia are applied privacy by design and separating privacy information management framework to improve safety of itself. Second, USA, Canada, Europe, and Germany have planned by separate guideline and regulation, but Australia, New Zealand, and Japan have operated through guidelines without legal basis. Third, regarding privacy self-regulation, USA, EU, and Germany have complied the implementation guidelines for self-regulation system, but UK, France and Japan have implied private self co-regulation and supported other privacy tasks. South Korea established privacy law based privacy by design, has expand DPIA, and supported privacy self-regulation by voluntary activities in the private sector, including self-check, certification, and grievance handling, based on recent laws and regulations. As related this, it is necessary to spread the prevention institution in accordance with the change of the privacy processing environment related to the new technology and the global privacy protection regulation.

통신산업에서 개인정보의 보호와 영업적 이용의 한계

홍명수 한국법제연구원 2011 법제연구 Vol.- No.41

The rapid changes in telecommunications have exercised an important influence on the telecommunications law system, including the protection of the privacy. It was a decisive assignment that telecommunications law protected the confidentiality of privacy. But in new digitalized telecommunications circumstance, every steps of the conveyance of the individual informations should be protected, in particular by telecommunications carriers as a subject of the protection of information. EU Privacy Directive in 2003 and the amendment of Communications Act in U. S. A. in 1996 have reflected the necessity of the privacy from a new point of view. In Korea, “Protection of Privacy Act” has been established as general law as to the protection of privacy and “Electronic Communications Net-work Act” and “Location Data Act” have been functioned as special law in telecommunications, and these laws have developed the legal systems about the protection of privacy in telecommunications. Such a legal system could be affirmatively evaluated. But the regulations should be reformed in a way that corresponds to the detailed types of the privacy and it should be devised a method, that the consent of users could be fulfilled practically. 통신산업에서 급격한 변화는 통신법 규제체계에 많은 영향을 미치고 있으며, 개인정보 보호의 측면에서도 이러한 변화가 요구되고 있다. 전통적인 통신법에서는 개인정보(privacy)의 비밀을 보호하는 것이 가장 중요한 정책 목표였지만, 디지털화된 통신 환경에서는 정보의 형성, 저장, 전송 등의 모든 과정에서 개인정보의 보호가 문제가 되고 있으며, 특히 통신사업자 등이 개인정보 보호의 주체로서 중요한 의미가 있다. 2003년 EU의 프라이버시 지침의 제정이나 1996년 미국 통신법의 개정을 통하여 새로운 관점에서 개인정보 보호의 필요성을 반영하고 있으며, 우리 통신법 체계에서도 이러한 제도 개선이 이루어져 왔다. 즉 개인정보 보호에 관한 일반법으로서 「개인정보보호법」이 제정되고, 통신산업에서의 특별한 규율의 의미가 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」과 「위치정보의 보호 및 이용 등에 관한 법률」 등이 특별법으로서 개인정보 보호의 근거가 되고 있다.주제어:개인정보, 통신산업, 프라이버시 지침, 개인정보보호법, 정보통신망법이와 같은 개인정보 보호를 위한 통신법 체계는 긍정적인 것으로 평가할 수 있지만, 개인정보 보호의 구체적인 유형에 상응하는 규제 내용을 보완하고, 개인정보 보호의 기본 요건으로서 정보주체의 동의를 실질화 하는 방안을 지속적으로 강구해야 할 것이다.

미국의 최근 개인정보보호법제 동향에 대한 고찰

남정아 유럽헌법학회 2019 유럽헌법연구 Vol.0 No.31

With the start of the Trump administration, the U.S. recently shifted its focus to business-friendly use of information rather than privacy protection, completely different from the previous Obama administration's privacy policy. Thus, friction between the U.S. and the European countries that want to trade with the U.S. without much awareness of the protection of personal information under the "Opt-out" stance has naturally increased. Such differences have also affected Korea, and Korea, which is following the "Private Privacy Act" such as Europe, has increased the possibility of a trade dispute if it forces U.S. companies to ask for the same level Against this backdrop, it is very meaningful to identify the key differences in the privacy protections of Europe and the U.S. and to identify recent changes in the U.S. administration's privacy laws. Therefore, for this purpose, this paper analyzed the years and recent trends of the personal information protection Act of the U.S.. First of all, since the privacy laws have undergone changes in the U.S., we need to look at the trend of the information protection laws in chronological order. In particular, This article first reviewed aspects of the collection, utilization and regulation of behavioral information, and recently reviewed the trends in U.S. privacy laws, including the Obama administration's Consumer Privacy Bill (2012), the FTC's Protecting Privacy in an Era of Rapid Change (2012), and the FCC's ISP Privacy Rule (2016). And as President Trump signed a bill to scrap FCC privacy rules on April 3, 2017, serious concerns arose over privacy in the U.S.. While the development of the personal information utilization industry was expected due to the easing of regulations on personal information for Internet service providers, concerns over the reckless use of personal information and the violation of privacy were also spread. Thus, in order to obtain the necessary implications for Korea by analyzing the direction of the Trump administration's privacy policy, the U.S. data utilization and privacy policy related to new technologies such as biometric information, big data, and the Internet of Things, and the restrictions imposed by the EU GDPR, the U.S. government and corporate efforts to respond to them, stressing the need for a balanced and balanced discussion on the protection and utilization of personal information during the fourth industrial revolution. 최근 미국은 트럼프 행정부의 시작과 더불어 종래 오바마 정부의 개인정보 보호정책과 궤를 완전히 달리하여 개인정보 보호보다는 기업친화적인 정보활용에 중점을 두는 방식으로 전환하였다. 따라서 Opt-out을 기조로 하여 개인정보의 보호를 크게 의식하지 않고 무역을 희망하는 미국과 Opt-in을 기조로 하는 유럽지역 국가들 간에는 당연히 마찰이 증가하게 되었으며 이러한 상황은 유럽과 같은 개인정보 보호방식을 따르고 있는 우리나라에도 영향을 미쳐, 미국 기업에게 동일한 수준의 개인정보 보호요청을 강요하는 경우 무역 분쟁이 발생할 소지가 커졌다. 이와 같은 상황에서 유럽과 미국의 개인정보 보호제도의 핵심적인 차이를 파악하고 최근 미국 행정부의 개인정보 보호법제의 변화와 동향을 파악하는 것은 매우 의미 있는 일이라고 할 수 있다. 따라서 이러한 목적 하에 본 논문은 미국의 개인정보 보호법제 제·개정 연혁 및 최근 동향을 분석하였다. 먼저 미국에서도 개인정보 보호법제는 변화를 겪었으므로, 연대기 순으로 정보보호 법제의 흐름을 살펴볼 필요가 있다. 특히 행태정보의 수집·활용 및 규제에 관한 측면을 먼저 검토하고, 오바마 행정부의 소비자 프라이버시 권리장전(2012), FTC의 Protecting Privacy in an Era of Rapid Changing(2012), FCC의 ISP privacy rule(2016) 등 미국의 개인정보 보호관련 법제의 흐름과 최근 동향을 살펴보았다. 그리고 2017년 4월 3일 트럼프 대통령이 FCC 프라이버시규칙을 폐기하는 법안에 서명함에 따라, 미국 내 개인정보보호에 대한 심각한 우려가 발생하게 되었다. 인터넷서비스사업자들에 대한 개인정보 규제 완화로 개인정보 활용 산업의 발전이 기대되는 한편, 개인정보의 무분별한 사용과 프라이버시 침해에 대한 우려도 확산되었다. 따라서 트럼프 행정부의 개인정보 보호 정책의 방향을 분석하여 우리에게 필요한 시사점을 얻기 위하여, 생체정보, 빅데이터, 사물인터넷 등 신기술 관련 미국의 데이터 활용 및 개인정보 보호정책과 EU GDPR 발효에 따른 제약과 이에 대응한 미국 정부, 기업의 대응노력 등을 분석하면서, 제4차 산업혁명의 시기에 개인정보의 보호와 활용을 균형 있고 조화롭게 양립하기 위한 논의가 필요하다는 점을 강조하였다.

개인정보보호 법제도의 인식이 개인정보보호 태도와 행동에 미치는 영향에 관한 연구

이종주,추현호,오인하 한국혁신학회 2024 한국혁신학회지 Vol.19 No.1

데이터가 기업의 경쟁우위를 좌지우지하는 데이터 경제에서 개인정보의 수집, 보관, 활용은 중요한 문제이다. 기업은 보유하고 있는 개인정보의 유출・침해 문제로 인해 정보주체에게는 돌이킬 수 없는 손해를 가하고, 그로 말미암아 법적 책임을 지거나 고객으로부터 신뢰를 잃는다. 개인정보보호법은 개인정보처리자의 책임과 의무를 강화하였지만, 조직 구성원의 개인정보보호 행동을 도모하는데 현실적인 한계가 있다. 그래서 개인정보보호법 은 개인정보 처리방침 등 조직 내부규정을 마련하고 준수하도록 강제하고 있다. 본 연구는 개인정보보호 법과 조직 내부규정이 개인정보보호 태도와 행동에 미치는 영향에 대해 연구하였다. 총 242명의 설문서 답변을 SPSS 을 통한 회귀분석과 SPSS Process macro를 통해 매개효과 분석을 실시하였다. 그 결과 개인정보보호 법제도가 개인정보보호 태도와 개인정보보호 행동에 유의한 영향을 미치는 것을 확인할 수 있었다. 또한, 개인정보 보관 및 활용태도 개인정보보호 행동에 유의한 영향을 미치는 것을 밝혔다. 그리고 개인정보보호 법제도 인식과 개인정보보호 행동 사이에서 개인정보 보관태도의 매개효과를 통계적으로 검증하였다. 본 연구 결과를 통해 기술혁신을 달성하고자 하는 조직에게 개인정보보호 행동을 강화하는 방안을 제시하였다. Companies take data very seriously in the data economy and are interested in the collection, storage, and utilization of privacy data. Due to leakage and infringement of the privacy that companies possess, they cause serious damage to the subject of privacy, take legal responsibility, or lose trust from customers. Although the Privacy Protection Act has strengthened the responsibility and obligations of the privacy man- ager, it has limitations in strengthening the personal information protection behaviors of organization members. Therefore, the Privacy Protection Act compels companies to prepare and comply with internal regulations such as a privacy notice. This study empirically analyzed the effect of Privacy Protection Act and internal regulations on privacy protection attitudes and behaviors. A total of 242 questionnaire re- sponses were analyzed for regression analysis through SPSS and mediation effect analysis through SPSS Process macro. As a result, it was confirmed that the privacy legal system perception had a significant effect on privacy protection attitudes and behaviors. In addition, among the privacy protection attitudes, it was revealed that the storage and utilization attitudes had a significant effect on privacy protection behaviors. And, the mediating effect of the privacy protection attitude between the perception of the privacy legal system and the privacy protection behavior was statistically verified. Through the results of this study, it is proposed to strengthen privacy protection behavior for companies that want to achieve technological innovation.

아동 소비자의 온라인 개인정보보호 관련 미국, EU, 영국, 한국의 법제도 비교 고찰

전윤선,나종연 한국소비자원 2020 消費者問題硏究 Vol.51 No.2

In 2019, the US Federal Trade Commission(FTC) imposed a $170 million fine on YouTube for collecting personal information about children without their parent’s consent. The basis for such act is the Children’s Online Privacy Protection Act(COPPA), which presumes that children need additional safeguards, distinguishing them from ordinary adults. China, for the same purpose as in the United States, has enacted ‘Regulations on Network Protection of Children’s Personal Information’ to secure and promote the online privacy protection for children. The needs for strengthening protection for children online privacy arise from two aspects. First, the environment surrounding children has changes drastically in the last decade: as digitalization has progressed rapidly, the usage rate of smart devices among children has increased, and children are always being connected making parental protection and guidance more difficult than ever. In addition, the analysis of big data makes personal information a source of value for corporate activities, and as in the case of YouTube, the corporate demand for online personal information of children increases the risk of infringement. Second, children are in the process of development and they do not yet have sufficient cognitive competence, so they need to be protected by their parents. At the same time, they are the main actors in the future market and as such, they need the opportunity to grow into a competent economic actors. This study compares the differences in consumer privacy regulations among US, EU, UK and Korea. Through this, this study aims to propose the necessary recommendations for privacy protection for children in online environment. The regulation serves as a basis for making judgments when members of society deal with conflict situations or when it is necessary to resolve problems. Therefore, analyzing the regulations dealing with the protection of children’s privacy by country has the significance of confirming what social perceptions of children in the country are and what principles are necessary for protecting privacy. This study could contribute to protecting children from threats of infringement of personal information. In addition, it is expected to contribute to the growth of consumers with sovereignty of personal information in a long-term perspective, in that the result of processing personal information in the childhood period remains in the online environment and continuously impacts in the future. 최근 온라인 환경에서의 아동 개인정보 보호를 위한 국외 사례가 증가하고 있다. 지난 2019년 미국연방거래위원회(FTC)에서는 세계 최대 동영상 소셜 네트워크 서비스(SNS)인 유튜브에 부모 동의 없이아동의 개인정보를 수집한 혐의로 1억 7000만 달러의 과징금을 부과하였다. 처벌의 근거는 아동에대해서는 일반 성인과 구별하여 추가적 보호조치가 필요함을 전제로 하는 아동 온라인 개인정보보호법(COPPA)에 있다. 중국에서도 미국과 유사한 목적으로 아동의 온라인 개인정보 안전을 보장하여 건강한성장촉진을 목적으로 하는 아동 개인정보 네트워크 보호 규정을 올해 제정하였다. 이러한 아동 온라인 개인정보 보호 노력의 배경은 디지털 환경의 변화와 아동이 지닌 특수성에서찾아볼 수 있다. 아동의 스마트폰 보유율이 증가하고 항상 온라인에 연결되어 제공되는 서비스들이등장하면서 아동의 디지털 콘텐츠 소비 활동에 대한 부모의 보호에 공백이 생기기 쉬워졌다. 뿐만 아니라빅데이터 분석으로 개인정보가 기업 활동의 가치창출원천으로 여기게 되면서, 유튜브 사례처럼 아동의온라인 개인정보에 대한 기업 요구와 침해 위험이 증가하게 되었다. 아동은 단기적으로는 발달 과정 중에있어 충분한 인지 역량이 갖추어지지 않아 보호자의 보호를 받아야 하는 존재이며, 장기적으로는 미래경제활동에 영향을 미치는 소비자로 성장하게 된다. 그렇기에 아동의 개인정보 보호를 위해서는 이러한아동의 특수성을 고려하는 것이 필요하다는 의견이 제기되고 있으며, 미국과 중국은 이를 반영하여 아동을위한 특별법의 구조를 지니고 있다. 그러나 국내의 경우, 개인정보 관련 개별 법제도들에 아동을 위한조항을 추가한 구조적 차이를 보이고 있다. 이에 본 연구에서는 이러한 국가별 법제도 차이에 주목하여 한국과 미국, 유럽연합(EU), 그리고 영국의아동 개인정보보호 관련 법제도를 비교하였다. 이를 통해 개인정보 보호 맥락에서 아동을 바라보는 국가별인식의 차이를 살펴보고, 추후 국내 온라인 환경에서의 아동에게 특화된 개인정보보호를 위해 필요한제언을 제시하였다. 법제도는 사회 구성원들이 갈등상황에 처하거나 문제해결이 필요할 때 판단의 기준이되므로, 국가별 아동의 개인정보 보호를 다루는 법제도를 살펴보는 것은 해당 국가 구성원들의 아동에대한 사회적 인식과 개인정보 보호를 위해 필요한 원칙이 무엇인지 확인하는 의의를 지닌다. 본 연구를통해 아동을 개인정보 침해위협으로부터 보호하는 것을 넘어, 아동 시기의 개인정보 관련 의사결정이온라인 환경에 남아 추후 성인이 되어서도 이어진다는 점에서 장기적으로 개인정보 주체성을 지닌 디지털사회 소비자로 성장하도록 기여할 것으로 기대된다.

제2세대 프라이버시보호법으로서의 개인정보보호법에 대한 이해

이인호 사법발전재단 2009 사법 Vol.1 No.8

The privacy law should strike a balance between the value of preservation of private domain and the need of social circulation of private affairs. This balancing process is very interesting one in which new legal apparatus is developed and applied to meet a challenge of changed circumstances and to restore the broken equilibrium. The article is intended to elucidate and solve the problem of how to treat data subject's consent in the data protection law. How much control should data subject retain in the course of processing his personal information by other entities. The idea that a citizen's private domain should be protected had not arisen until the end of the 18th century. In the latter half of 19th century, that idea had gradually emerged. The right to privacy was the result of accepting the value of private domain. From that time down to 1970s, the first generation of privacy law had directly prohibited unwarranted access, disclosure or divulgence of some legally valuable private information of data subject. At that time, the legal approach of privacy law was the model of seclusion. The approach was a passive one that protected a person's private domain from outer intrusion or public disclosure. But this approach had struck a balance between the value of privacy and the need of social circulation of private affairs. The emergence of computer and digital technology in 1960s had begun to break the equilibrium. Having started to record and process personal information in digital code, new threats to personal privacy had emerged. The new situation is now that my genuine personality could be defined by a digital personality which someone had collected and recorded. Someone who has my digital personality would make a decision about me based on the collected data related to me. Therefore, I could be suffered by wrong and old information which he has and uses. This problem was the same in the manual filing system. But the digital information technologies have lifted the limits of manual filing system. Some data controllers maybe know about me much more than I know myself. The second generation of privacy law, data protection law, has emerged in order to respond this new challenges. The new threats to privacy are very different from former threats in terms of their contents and nature. The legal response must be different. The approach and method of data protection law is the so-called model of participation. The model is that the data subject shall participate in the processing of digital information by data controller. It can play an important role of anti-surveillance. This model does not prohibit any collection, use or disclosure of personal information. It does not provide the data subject with a full authority of consent concerning the data controller's processing of personal information. The article emphasizes that the seclusion model and participation model should be distinguished and the data protection law should not be understood as a form of seclusion model. 프라이버시보호법은 개인의 사적 영역의 보호의 가치와, 서로 간에 교류해야 하는 사회적 커뮤니케이션의 필요성을 조화롭게 조정해내어야 한다. 이러한 조정의 과정은 이익의 균형을 깨뜨리는 새로운 상황변화에 대응하여 균형을 복원시키기 위한 새로운 법적 수단의 개발과 적용이라는 흥미로운 과정이다. 이 글은 제2세대 프라이버시보호법인 개인정보보호법에서 정보주체의 동의를 어떻게 위치지울 것인가 하는 문제를 해명하기 위한 것이다. 정보주체는 타인의 개인정보처리에 어느 정도의 통제권을 가지는 것이 합리적인가? 18세기까지 사적 영역을 법적으로 보호해야 한다는 관념은 형성되지 않았다. 이때까지만 해도 프라이버시의 이익은 법적으로 승인되지 못하였다. 그러나 19세기 후반 미국에서 신문산업이 활성화되고 일부 황색신문(yellow journalism)이 유명인의 사생활을 들추어내어 그 정보를 상업적으로 악용하는 새로운 상황이 발생하면서 그에 대응하여 사생활보호의 관념이 형성되고 그러한 보호의 가치를 법적으로 승인한 결과가 프라이버시권(right to privacy)이었다. 이후 1970년대까지 제1세대 프라이버시보호법은 “보호할 가치 있는” 개인의 사적 정보(private information)나 비밀정보(confidential information)에 “부당하게” 접근(access)하거나 혹은 그것을 “부당하게” 공표(public disclosure) 또는 누설(divulge)하는 행위를 형사적 또는 민사적 제재로써 “직접” 금지하여 왔다. 이 시기의 법적인 보호방식은 “은둔 모델”(seclusion model)이었다. 개인의 사적 영역을 외부의 침입이나 외부에의 공표로부터 소극적으로 보존하는 방식이었다. 이러한 방식으로 사생활보호의 이익과 사회적 커뮤니케이션의 필요성은 균형 있게 조정될 수 있었다. 그러나 1960년대에 시작된 컴퓨터와 디지털정보기술은 이러한 균형을 깨기 시작하였다. 개인에 관한 정보가 디지털로 기록되기 시작하면서 사생활보호의 가치에 대한 새로운 위협이 등장하였다. 디지털정보기술에 힘입어 누군가에 의해서 광범위하게 기록되는 나의 디지털인격은 나의 실존인격과 분리된 채 그 기록된 인격이 나의 진짜 인격을 규정하는 상황이 발생하였다. 나의 디지털인격을 가진 자는 그 기록된 인격을 보고 나에 관한 판단과 결정을 내리게 되었다. 때문에 틀리거나 낡은 개인정보는 나의 실존인격에 치명적인 피해를 줄 수도 있다. 사실 이 점에서는 종래 개인에 관한 수기파일도 동일한 문제점을 안고 있었다. 그러나 그 위험성이란 수기파일의 기술적 한계에 의해 매우 제한적이었다. 그런데 디지털기술은 수기파일의 기술적 한계를 없애버렸다. 무한대로 기록ㆍ축적할 뿐만 아니라 그 데이터들을 가공하여 나에 관한 또 다른 새로운 정보를 생산해낼 수 있게 되었다. 어쩌면 내가 나를 아는 것보다 나에 관해 더 많은 것을 알지도 모른다. 제2세대 프라이버시보호법인 개인정보보호법은 이러한 새로운 위협에 대응하기 위하여 생겨났다. 그 위험의 내용과 성격이 다른 만큼 그 대응방식도 다르게 나타난다. 개인정보보호법의 대응방식은 “참여 모델”(participation model)이다. 개인정보처리의 과정에 당해 정보주체를 참여시키는 방식이다. 그리하여 감시에 대한 역감시의 기능을 수행하게 한다. 이 참여방식은 개인정보의 처리(=수집ㆍ가공ㆍ이용ㆍ제공) 자체를 무단히 금지시키는 것은 아니다. 물론 부분적인 처리의 금지는 필요한 경...