개인정보 보호와 인격권 : 사법(私法) 측면에서의 검토

권태상 梨花女子大學校 法學硏究所 2013 法學論集 Vol.17 No.4

정보통신기술의 발전으로 정보를 대량으로 저장하고 이를 쉽게 이용할 수 있게 되면서, 정보가 유출되거나 다른 목적으로 이용될 위험성도 증가하였다. 개인정보를 보호할 필요성으로는, 다른 범죄에 악용될 위험성이 있는 점, 개인의 사생활을 보호해야 하는 점, 개인의 인격 발현을 보호해야 하는 점 등이 제시된다. 반면에 현대의 정보화사회에서 개인정보의 자유로운 이용을 보장하는 것이 필요하다는 점도 인정된다. 개인정보의 이용 필요성으로는, 사회전체의 효율성 증진, 자유로운 표현행위와 이를 통한 진실의 발견 등이 제시된다. 미국의 경우, 프라이버시권의 내용이 판례 등에 의하여 점차 확장되면서, 정보 프라이버시(information privacy) 개념이 인정되었다. 정보 프라이버시권 개념은 현재 일반적으로 받아들여지는 것으로 보이며, 이에 근거하여 많은 법률들이 제정되었다. 독일의 경우, 일반적 인격권에 의해 자기결정권을 보호해 왔는데, 정보 보호의 필요성이 커지면서 일반적 인격권의 내용으로 정보자기결정권(Recht auf informationelle Selbstbestimmung)을 인정하였다. 이러한 정보자기결정권 개념은 연방정보보호법 등 법률과 판례에 많은 영향을 끼쳤다. 개인정보는 그 자체가 인격을 나타낼 수 있고, 개인정보의 공개와 이용에 대하여 결정하는 것 자체가 인격의 발현이라고 볼 수 있다. 그리고 개인정보의 공개와 이용에 대하여 스스로 결정할 수 없다면, 이후 정보주체는 인격을 자유롭게 발현하기 어렵게 될 것이다. 또한, 개인정보의 공개와 이용은 인간의 존엄성에도 영향을 미칠 수 있다. 이처럼 개인정보의 공개와 이용이 인격의 발현과 인간의 존엄성에 직접 영향을 미칠 수 있으므로, 개인정보에 관한 권리는 사법(私法)의 차원에서 인격권으로 파악해야 할 것이다. 정보자기결정권의 법적 근거가 헌법 제10조인지, 헌법 제17조인지 다투어지고 있으나, 어느 견해에 의하든 정보자기결정권은 사법(私法)에서 인격권으로 파악해야 할 것이다. 개인정보에 관한 인격권이 침해되었는지 여부는 우선 개인정보 보호법 등의 법률에 규정된 절차 등이 제대로 준수되었는지를 기준으로 판단해야 할 것이다. 그리고 이러한 법률이 직접 적용되지 않는 사안에서는 다른 이익과의 형량을 통하여 그 침해 여부를 판단해야 할 것이다. 개인정보에 관한 인격권이 침해된 경우, 금지청구권을 인정하는 것이 타당하다. 개인정보 보호법 에 규정된 열람요구권, 정정․삭제 요구권, 처리정지요구권 등도 금지청구권과 관련되는 것으로 보인다. 또한, 개인정보에 관한 인격권이 침해된 경우, 피해자는 계약책임 또는 불법행위책임으로 손해배상을 청구할 수 있다. 개인정보에 관한 인격권이 침해되면 항상 정신적 손해에 대한 배상책임이 인정되는지 문제된다. 최근 이를 부정하는 취지의 판결이 선고되기도 하였으나, 정보주체의 결정권 자체가 침해된 것이므로 이로 인한 정신적 손해를 인정하는 것이 보다 자연스러울 것이다. 손해배상청구와 관련하여, 개인정보 보호법은 개인 정보 처리자에게 고의 또는 과실에 대한 입증책임을 전환시키는 등 특별한 규정들을 두고 있다. There have been increasing needs for protection of personal information in Korea in order to protect privacy and development of personality as well as prevent the abuse of personal information. On the other hand, today’s information society also requires the freedom to use personal information to guarantee free expression and enhance the social efficiency. In the United States, information privacy is recognized as the scopes of the right to privacy has been expanded. In Germany, the right to informational self-determination is recognized as part of the general personality rights. Personal information may demonstrate personality and making decisions on disclosure or use of personal information can be considered as one aspect of personality development. If individuals are not allowed to make decisions on disclosure or use of their own personal information, they no longer have freedom of developing their personality and it may have impact on human dignity. For this reason, the rights on personal information should be understood as personality rights in private law. When personality rights on personal information are infringed, the injured party should have a right to request injunction and it may relate to claims for inspection, correction, deletion, and stopping processing in Personal Information Protection Act. In addition, the injured party could claim for damages based on breach of contract or torts. There is a special provision in Personal Information Protection Act to reverse the burden of proof on negligence.

개인정보의 개념의 차등화와 개인정보이동권의 대상에 관한 연구

이성엽 서울대학교 법학연구소 2019 경제규제와 법 Vol.12 No.2

With the development of technologies utilizing the 4th industry, such as big data and artificial intelligence (AI), operators can easily collect personal information, process it, and use it. Various products are released. However, the current law focuses on protection rather than use of personal information, focusing on various obligations and requirements when processing personal information, including consent. In particular, by using a single concept of 'personal information' as a unit of law application, it is not clear to what extent the scope of information subject to obligations from the operator's point of view. It has become a reason for limiting the use of personal information. Despite the different types of information and costs and manpower for regulatory compliance, interpreting all subjects of regulation equally imposes an excessive burden on the operator or imposes a duty that cannot be implemented. Therefore, it is necessary to discuss the necessity of differentiating the concept of personal information. To this end, it is necessary to first look at the ambiguity of the concept of personal information and see if it is possible to interpret the scope of the same concept of personal information within the same legislation. In addition, it is necessary to classify personal information by type in order to limit the scope of application of personal information regulation to a reasonable range. In particular, it is necessary to classify personal information in accordance with identification or identifiability criteria, which are key factors that obscure and broaden the concept of personal information. Personal identification information that is combined with personally identifiable information and personal identification information that is not combined with personally identifiable information can be distinguished in addition to personal identification information and non personal identification information In addition, the criteria may be whether the information provided by the operator, the information generated and processed by the operator, the operator's internal purpose, or the external purpose Based on this classification, it is necessary to see how appropriate the level of personal information protection is through a standard for balancing conflicting interests between personal information self-determination rights and freedom of operation for each regulation. The same applies to the right to data portability Personally identifiable information that is not combined with personal identification information, i.e., information that is attributed to one person, if the identifiability is maintained only to the extent that the information can be attributed to a specific person whose identity is unknown and information scattered so that it is difficult to attribute to specific person, should be excluded from the provision. In addition, information created by personal information processor such as work evaluation and credit evaluation should not be provided as long as it is used internally. As attempts to rationalize the scope of regulations related to personal information are accumulated and legislation and governmental interpretations are developed, the rights of both service providers and users should be adequately defended, and a regulatory environment suitable for the future ICT new industries should be established. 빅데이터, 인공지능(AI) 등 4차산업을 활용한 기술의 발 전에 따라 사업자는 개인정보를 용이하게 수집하고 이를 손 쉽게 가공하여 이용할 수 있게 되었고, 개별 이용자에 특화 된 서비스를 통해 이용자 편의를 극대화하는 다양한 상품이 출시되고 있다. 그러나 현행법은 동의를 비롯하여 개인정보 처리 시 각종 의무와 그 요건에 집중하면서, 개인정보의 이 용보다는 보호에 초점이 맞추어져 있다. 특히, ‘개인정보’라는 단일한 개념을 법 적용의 단위로 사 용함으로써 사업자의 입장에서 의무의 대상이 되는 정보의 범위가 어디까지인지 명확하지 않다는 점 이 개인정보의 이 용을 제한하는 사유가 되고 있다. 정보의 유형별로 규제 준 수를 위한 비용⋅인력 등이 다름에도 불구하고, 규제의 대 상을 모두 동일하게 해석할 경우, 사업자에게 과도한 부담 을 주거나 이행이 불가능한 의무를 강요하게 된다. 이에 개인정보 개념의 차등화 필요성에 대한 논의가 필요 하다. 이를 위해 먼저 개인정보 개념의 모호성과 관련해, 동 일한 개인정보의 개념에 대해 동일한 법령 내에서 그 범위 를 달리 해석하는 것이 가능한지를 살펴볼 필요가 있다. 더 불어 개인정보 규제의 적용 범위를 합리적인 범위로 한정하 기 위해서는 개인정보를 유형별로 분류하는 것이 필요하다. 특히, 개인정보의 개념을 모호하고 또한 광범위하게 만드는 핵심적인 요소인 식별 내지는 식별 가능성 기준에 따라 개 인식별정보와 개인을 식별할 수 없는 정보 외에 개인식별정 보와 결합되어 있는 상태의 개인식별가능정보와 개인식별정 보와 결합되지 않은 상태의 개인식별가능정보로 구분가능하 다. 그 외에 사업자가 제공받은 정보인지, 사업자가 생성, 가공한 정보인지, 사업자 내부적 목적인지, 외부적 목적인지 등도 기준이 될 수 있다. 이런 분류를 기준으로 법령상 각 규제별로 개인정보 자기 결정권과 영업의 자유의 비교형량을 통해 어느 정도의 개인 정보보호 수준이 적정한지를 볼 필요가 있다. 개인정보이동 권의 경우에도 마찬가지이다. 개인식별정보와 결합되지 않 은 상태의 개인식별가능정보 즉, 1인으로 귀속되는 정보에 해당하여 신원을 알 수 없는 특정한 1인으로 정보들을 귀속 시킬 수 있을 정도로만 식별가능성이 유지되어 있는 경우, 특정한 1인으로 귀속시키는 것조차 어렵도록 흩어져 있는 정보의 경우에는 제공대상에서 제외하는 것이 타당하다. 또 한 근무평가, 신용평가 등과 같이 개인정보처리자가 만들어 낸 정보의 경우에는 이를 내부적으로 활용하는 한 제공대상 이 아니라고 보아야 할 것이다. 개인정보 관련 규제의 적용 범위를 합리화하려는 시도가 축적되고 이것이 입법과 정부의 해석에 반영되어, 서비스 제 공자와 이용자 양측의 권리가 적절하게 수호되고, 향후 ICT 신산업 시대에 걸맞는 규제환경을 갖출 수 있어야 할 것이다.

중국 개인정보 인터넷상 불법행위제도에 관한 검토

张 君,조동제 민사법의 이론과 실무학회 2022 民事法理論과 實務 Vol.26 No.1

With the development of Internet technology, personal information network infringements emerge in endlessly. In the network environment, personal information network infringement presents the characteristics of low infringement cost, strong concealment, difficulty in proving evidence, and difficulty in determining the subject of infringement. The Tort Liability Section of China's "Civil Code" clearly stipulates the liability for network torts, and adopts the "identifiable theory" standard for the determination of personal information, but does not separately set personal information network infringement as a special infringement. From this perspective, personal information network infringement is still a general infringement, and the general infringement liability determination standard applies, but network service providers are protected by the "safe harbor principle" and can be exempted from liability under certain circumstances. With the continuous development of information technology, the relief system of personal information network infringement is constantly adapting to the needs of the actual situation. Therefore, a more complete personal information network infringement relief system has emerged as the times require. The "Personal Information Protection Law" promulgated in 2021 has increased the protection of online personal information from the aspects of the scope of personal information identification, protection methods, and legal obligations of information processors. The "Personal Information Protection Law" adopts the " "Relevance" standard identifies personal information, adopts the principle of imputation of fault presumption for personal information processors, and stipulates the protection obligations of personal information processors. Observing the status quo of judicial adjudication of personal information network infringement, after the promulgation of the "Civil Code", judicial remedies for personal information network infringement in judicial practice began to have a clear basis and relatively consistent adjudication ideas. At the same time, the law needs to balance the interest relationship between the protection and sharing of personal information. It must not only promote the development of the Internet industry, but also protect the rights of personal information. In the current legal system, there are still some problems in the personal information network infringement relief system, for example, the imputation principle system is not perfect, the damage compensation liability system is not perfect, and the connection and application of the "Personal Information Protection Law" and the "Civil Code" is not clear enough And other issues. Therefore, the legislation also needs to establish a rich and diverse system of liability principles, continuously improve the damage compensation system, clarify the connection and application of the "Personal Information Protection Law" and the "Civil Code", and continuously improve the personal information network infringement relief system. 인터넷 기술의 발전에 따라 개인정보 인터넷 불법행위는 끊임없이 속출하고 있다. 인터넷 환경하에서 개인정보 인터넷 불법행위는 은폐성이 강하고, 거증의 어려움, 불법행위 주체의 결정이 어렵다는 등의 특성이 존재하고 있다. 중국 《민법전》의 불법행위책임편은 인터넷 불법행위책임에 대하여 명확히 규정하고 있다. 개인정보 판정에 대해서는 “식별가능설” 기준을 채택하고 있지만, 개인정보 인터넷 불법행위를 특수한 권리침해행위로 하여 단독으로 규정하지 않았다. 따라서 이러한 관점에서 개인정보 인터넷 불법행위는 여전히 일반적 권리침해행위에 속하며, 일반적인 불법행위책임 인정기준이 적용된다. 하지만, 인터넷 서비스 제공자는 “세이퍼 하버 원칙(避风港原则)”의 보호를 받으며, 일정한 상황에서 면책될 수 있다. 정보기술의 지속적인 발전에 따라 개인정보 인터넷 불법행위에 대한 제도는 지속적으로 현실의 상황의 수요에 적응하고 있다. 따라서 더욱 개선된 개인정보 인터넷 불법행위제도는 시대의 요구에 부응하고 있다. 2021년 공포된 《개인정보보호법》은 개인정보의 인정범위, 보호방식, 정보처리자의 법적 의무 등 다방면에서 개인정보에 대한 보호 역량을 확대하고 있으며, 동시에 “관련성” 표준을 적용해 개인정보를 인정하고, 개인정보처리자에 대해서는 과실추정의 귀책원칙을 적용하고 개인정보처리자 보호 의무를 규정하였다. 개인정보 인터넷 불법행위의 사법재판 현황을 살펴보면, 《민법전》이 공포된 후, 사법실무에서 개인정보 인터넷 불법행위의 사법 구제에 대한 명확한 근거와 비교적 일관된 재판적 사고가 나타나기 시작했다. 동시에 법률은 개인정보 보호와 공유 사이의 이해관계를 균형 있게 조정하고 있으며, 이는 인터넷 산업의 발전을 촉진할 뿐만 아니라 개인정보 권리를 보호하는데 있다. 현행 법률체계에서 개인정보 인터넷 불법행위제도는 여전히 약간의 문제가 존재한다. 예를 들면, 귀책원칙체계의 미비, 손해배상책임제도의 불안전, 《개인정보보호법》과 《민법전》의 연계 적용이 명확하지 않은 등의 문제가 있다. 따라서 입법은 다양한 귀책원칙체계를 확립하고, 손해 보상제도를 지속적으로 개선해야 하며, 《개인정보보호법》과 《민법전》의 연계 및 적용을 명확히 하고 개인정보 인터넷 불법행위제도를 끊임없이 개선할 필요가 있다.

개인건강정보 이동권의 실효적 보장에 관한 연구

김강한,이정현 대한의료법학회 2023 의료법학 Vol.24 No.2

As the amendment to the Personal Information Protection Act, which newly established the basis for the right to request transmission of personal information, was promulgated through the plenary session of the National Assembly, MyData, which was previously applied only to the financial sector, could spread to all fields. The right to request transmission of personal information is the right of the information subject to be guaranteed for the realization of MyData. However, since the right to request transmission of personal information stipulated in the Personal Information Protection Act is designed to be applied to all fields, not a special field such as the medical field, it has many shortcomings to act as a core basis for implementing MyData in Medicine. Based on this awareness of the problem, this paper compares and analyzes major legal trends related to the right to portability of personal health information at home and abroad, and examines the limitations of Korea's Personal Information Protection Act and Medical Act in realizing Medical MyData. Under the Personal Information Protection Act, the right to request transmission of personal information is insufficient to apply to the medical field, such as the scope of information to be transmitted, the transmission method, and the scope of the person obligated to perform the transmission, etc.. Regulations on the right to access medical information and transmission of medical records under the Medical Act also have limitations in implementing the full function of Medical My Data in that the target information and the leading institution are very limited. In order to overcome these limitations, this paper prepared a separate and independent special law to regulate matters related to the use and protection of personal health information as a measure to improve the legal system that can effectively guarantee the right to portability of personal health information, taking into account the specificity of the medical field. It was proposed to specifically regulate the contents of the movement and transmission system of personal health information. 개인정보 전송요구권에 관한 근거를 신설한 개인정보보호법 개정안이 국회 본회의를 통하여 공포됨으로써 기존의 금융분야에만 적용되었던 마이데이터가 전 분야로 확산될 수 있게 되었다. 개인정보 전송요구권은 마이데이터의 구현을 위하여 보장되어야 할 정보주체의 권리이다. 그러나 개인정보보호법상에 규정된 개인정보 전송요구권은 의료분야와 같은 특수한 분야가 아닌 모든 분야에 적용될 수 있도록 설계된 것이기에 이는 의료 마이데이터를 구현하기 위한 핵심적인 근거로서 작용하기에는 여러 미흡한 점이 있다. 이러한 문제의식을 바탕으로 본 논문은 국내외 개인건강정보 이동권에 관한 주요 법제 동향을 비교․분석하여, 의료 마이데이터를 실현함에 있어 우리나라 개인정보보호법과 의료법의 한계점 등에 대하여 검토하였다. 개인정보보호법상 개인정보 전송요구권은 의료분야에 적용하기에는 전송대상 정보의 범위와 전송방식, 전송 이행의무자의 범위 등에 미흡한 점이 있고, 입법설계의 취지를 비추어 보아도 의료 마이데이터를 실현하기에는 다소 거리가 있다. 의료법상의 의료정보 열람권과 진료기록의 송부 등에 관한 규정 또한 대상정보와 수범기관 등이 매우 한정적이라는 점에서 의료 마이데이터의 완전한 기능을 구현하기엔 한계가 있다. 이러한 한계를 극복하기 위하여 본 논문에서는 개인건강정보 이동권을 실효적으로 보장할 수 있는 법제도 개선방안으로 개인건강정보 이용 및 보호 등에 관한 사항을 규율하는 별도의 독자적인 특별법을 마련하여 의료분야의 특수성을 고려한 개인건강정보의 이동 및 전송체계에 관한 내용을 구체적으로 규정할 것을 제안하였다.

4차 산업혁명 시대, 개인정보자기결정권 보장을 위한 법적 논의

이제희(Lee, Je-Hee) 한국토지공법학회 2017 土地公法硏究 Vol.80 No.-

4차 산업혁명은 사람과 사물, 사물과 사물을 연결하여 다양한 정보를 수집하고, 이를 분석하여 새로운 가치를 창출하는 만큼 개인정보가 핵심 요소이다. 4차 산업혁명의 변화를 예측하기 어렵다면 개인정보의 보호와 활용은 개인의 인격권 보호의 관점에서 출발해야한다. 개인정보보호는 타인으로부터 자신의 정보를 보호하는 소극적 의미에서 개인정보 수집 활용에 대한 정보주체의 통제를 의미하는 개인정보자기결정권으로 확대되었다. 개인정보자기결정권의 핵심은 개인정보 수집 활용에 대한 정보주체의 사전동의이다. 그러나 4차산업혁명 시대, 개인정보의 수집범위가 확대되고, 개인정보의 제3국 이동 등에 따라 정보 주체가 개인정보의 활용에 따른 영향을 명확히 이해하는 것이 어려워졌다. 또한, 정보주체가 이용하고자 하는 서비스가 금융, 통신 등의 보편적 서비스이거나 관련 시장에서 독점적지위를 갖는 경우, 정보주체의 사전동의는 형식적 절차에 그칠 수 밖에 없다. 정보주체가모든 정보를 직접 통제해야 한다는 고정관념에서 벗어나야 한다. 예컨대, 서비스 개선목적의 경우, 정보주체의 사전동의를 추정하는 등의 정보통제의 유연성을 통해 실질적인 개인정보보호를 이루어야 한다. 4차 산업혁명의 핵심인 빅데이터는 비식별정보의 활용에기초한다. 비식별정보는 개인정보 활용의 문제로 헌법상 기본권인 개인정보자기결정권의 제약인 만큼 법률유보 원칙에 따라 법률에 규정되어야 한다. 비식별정보의 활용이 개인과사회에 편익을 제공하는 만큼 재식별 가능성이 존재하지 않는 익명정보에 대해서는 자유로운 활용을 보장해야 한다. 재식별 가능성이 존재하는 익명정보 이외 비식별정보의 활용에 대해서는 정보주체의 반대권 도입을 검토하여 개인정보자기결정권을 보장할 필요가 있 다. 변화하는 사회 환경에서 정보주체의 권리보호를 위해 새로운 권리의 도입도 필요하다. EU는 한국의 개인정보보호법 에서 규정하지 않은 정보주체의 권리를 보장하고 있다. 잊힐 권리와 자기정보 이전에 대한 권리는 정보주체의 인격권을 보장하는 동시에 관련 시장의 경쟁을 촉진하는 만큼 개인정보보호법제에 도입될 필요가 있다. The Fourth Industrial Revolution is based on the connections between humans and things. These connections can offer a variety of new services and produce new customer benefits. The success of the Fourth Industrial Revolution depends on information utilization, especially personal information. It is therefore important to achieve harmony between policies regarding the protection and utilization of information. Information protection ensures the right to informational self-determination, meaning that an individual is able to control the disclosure or use of their own personal information. Consent to provide information is valid if it is based on a rational, mindful decision. However, because of the diverse uses of personal information, it is difficult for an individual to understand how their personal information is utilized and what, if any, influence its use may have on them. Additionally, when an individual wants to use essential services such as e-mail or a social network service (SNS), the individual’s ability to make choices are so restricted that their right to informational self-determination is limited. Prior consent for disclosure or use of personal information given by an individual needs to be flexible in order to better protect such information and allow for its utilization. For example, in the case of essential services or improvement of services, prior consent needs to be changed to post consent to strengthen the individual’s right to informational self-determination. To alter the consent system in this manner, the individual’s right to object to the processing of their personal information must first be enhanced. Further, compensation for damages related to the use of personal information obtained without such consent must be extended to offer more substantial information protection. The European Union (EU) regulates general data protection to protect and promote the free movement of personal information. General Data Protection Regulation (GDPR) grants rights to individuals, including the right to be forgotten and the right to data portability, which are not included in the Korean Personal Information Protection Act. The right to be forgotten is aimed at strengthening an individual’s right to erase their personal data. The right to data portability supports individual rights and promotes competition in the market. Both rights have to be regulated to strengthen individuals’ power to control disclosure and utilization of their own personal information.

정보통신기술의 발전과 개인정보 보호

손영화 한국기업법학회 2022 企業法硏究 Vol.36 No.1

Humans value being protected in the areas of privacy and personal life. I want to be able to control who knows what about themselves. I don't want anyone to have access to their personal information at any time. However, recent advances in information and communication technology threaten privacy, reduce control over personal information, and open the possibility of various negative consequences as a result of access to personal information. In the late 20th century, a data protection system was established in response to an increase in the level of personal information processing. In the 21st century, the strength of the platform economy is beginning with the rise of big data and advanced information technology (e.g., in the form of deep learning), the rise of big tech companies, and the storage and processing of exabytes of data. Technical features are currently in place to collect, store and retrieve large amounts of data on phone calls, Internet searches, and electronic payments, and are routinely used by both government agencies and business actors. The large-scale use and spread of advanced digital technology for the rise, surveillance and control of China has raised concerns among many people. For companies, personal information about customers and prospects is now a key asset. The scope and purpose of the privacy-oriented business models of big tech companies such as Google, Amazon, Facebook, Microsoft, and Apple are often referred to as "monitoring capitalism." This paper compares and examines legislative precedents and theories of the United States, Japan and other countries, focusing on the EU, and examines the issues of personal information protection accompanying the development of new information and communication technologies. A brief summary is as follows: Appropriate regulation and protection must be implemented while accurately recognizing the impact of new technologies on personal information and privacy. First, there is the problem of regulating the use of so-called cookies with regard to Internet privacy. It will be necessary to find a point of contact to achieve information sharing and sharing efficiency without over-infringement of individual privacy. Second, it is necessary to address the issue of privacy in the development of cloud computing in an internationally consistent manner. Third, there is the problem of protecting personal information through the utilization of big data. In particular, the extent to which individual privacy protection is permitted is a problem when using so-called predictive information. It is also necessary to come up with a concrete plan to ban the use of predictive information by case rather than a general plan to ban the use of predictive information. Fourth, with the development of the Internet of Things, the possibility of infringement of personal information is increasing. Utilization of location information using GPS is one of them. Generally, the acquisition and use of personal information using “reconfigurable technology” can be solved by informing individuals of such information. Fifth, the development of information and communication technology can bring about changes in the voting process. This is the so-called e-governance or e-government. Electronic democracy should be achieved by allowing voters to vote freely and secretly at any stage, and by preventing the sale and coercion of votes. Finally, the so-called surveillance capitalism, which is a reaction to the development of security systems using surveillance cameras, should be resolved. At least national surveillance of citizens should be strictly prohibited, and laws and systems should be established to inform the public of such surveillance facts and prevent personal privacy from being violated when using information. 인간은 사생활과 개인 삶의 영역을 보호받는 것을 중요시한다. 자신의 개인정보에 대하여 언제든지 누구라도 접근할 수 있는 것을 원하지 않는다. 또한 타인이 자신에 대해 무엇을 알고 있는지에 대하여 통제할 수 있기를 원한다. 그러나 최근 정보통신기술의 발전은 프라이버시를 위협하고 개인정보에 대한 통제력을 감소시키며 개인정보에 대한 다양한 접근의 결과로 인한 부정적인 결과가 발생할 가능성이 있다. 20세기 후반에는 개인정보의 처리 수준 증가에 대한 대응으로 데이터 보호체제가 구축되었다. 21세기는 빅데이터와 첨단 정보기술(예: 딥러닝의 형태), 빅테크 기업의 부상과 엑사바이트급 데이터 저장 및 처리와 함께 플랫폼 경제의 세기가 시작되고 있다. 전화 통화, 인터넷 검색 및 전자 결제에 관한 대량의 데이터를 수집, 저장 및 검색할 수 있는 기술적 기능이 현재 마련되어 있다. 정부 기관과 기업 행위자 모두가 그러한 기술을 일상적으로 사용하고 있다. 중국의 부상과 감시와 통제를 위한 첨단 디지털 기술의 대규모 사용과 확산은 많은 사람들의 우려를 자아내고 있다. 기업에게는 고객과 잠재 고객에 대한 개인정보가 이제 핵심 자산이기도 하다. 빅테크(Google, Amazon, Facebook, Microsoft, Apple)의 개인정보 중심 비즈니스 모델의 범위와 목적은 ‘감시 자본주의’라는 표현을 자아내기도 한다. 이상에서는 EU를 중심으로 미국, 일본 등의 입법과 판례 및 학설을 비교고찰하며 새로운 정보통신기술의 발전에 따른 개인정보 보호의 과제를 살펴보았다. 간략하게 요약 정리하면 다음과 같다. 신기술의 홍수 속에서 그것이 개인정보와 프라이버시에 미치는 영향에 대해 정확히 인식하면서 적절한 규제와 보호가 이루어질 필요가 있다. 우선, 인터넷 프라이버시(Internet privacy)와 관련하여 이른바 쿠키(cookies)의 사용에 관한 규제의 문제가 있다. 개인의 프라이버시를 과도하게 침해하지 않으면서 정보공유 및 공유효율성을 달성하기 위한 접점을 찾아야 할 것이다. 둘째, 클라우드 컴퓨팅의 발달에 따른 개인정보 보호의 문제에 대해 국제정합성 있는 규범의 마련을 위한 노력이 경주되어야 할 것이다. 셋째, 빅데이터의 이용 및 활용에 따른 개인정보 보호의 문제가 있다. 특히, 이른바 예측정보의 활용에 있어서 개인의 프라이버시 보호를 어느 범위에서 인정할 것인지가 문제된다. 예측정보의 일반적인 활용금지의 방안이 아닌 구체적인 사안별 금지방안을 마련할 필요도 있다. 넷째, 사물인터넷의 발전에 따라 개인정보의 침해 가능성도 높아지고 있다. GPS를 이용한 위치정보 등의 이용과 활용도 그러한 내용 중의 하나이다. 일반적으로 ‘재구성 가능한 기술(reconfigurable technology)’을 사용한 개인정보의 취득 및 이용의 경우 그러한 기술의 정보에 대하여 개인에게 알려주는 방법에 의하여 이를 해결할 수 있을 것이다. 다섯째, 정보통신기술의 발전은 투표 과정에서의 변화를 초래할 수 있다. 이른바 E-거버넌스 또는 전자정부의 과제이다. 어느 단계에서의 기술이용이든지 간에 유권자의 자유투표 및 비밀투표가 이루어질 수 있도록 하여 투표매매와 강요를 방지함으로써 전자 민주주의를 달성하여야 할 것이다. 마지막으로 감시카메라 등을 이용한 보안시스템의 발전에 따른 반작용이라고 할 수 있는 이른바 감시 자본주의를 해결하지 않으면 안된다. 적어도 국가에 의한 대중의 감시는 엄 ...

개인정보보호를 위한 비교법적 연구

고기복 유럽헌법학회 2019 유럽헌법연구 Vol.0 No.31

As the Personal Information Protection Act passed the National Assembly in 2011, a personal information protection legislation was established that unites the public and private sectors. Although the legislative environment for personal information protection was systemized by the implementation of the Personal Information Protection Act, the Personal Information Protection Act changed once again with the bursting of personal information leakage of the three card companies. The revision of the Personal Information Protection Act prohibits the collection of sensitive personal information, such as social security numbers, in the private sector. Nevertheless, personal information leakage incidents continue to occur. In Korea, the Personal Information Protection Act is the basic law for the protection of personal information, but various laws deal with personal information, so a unified and systematic legal system should be established. The modern information society is moving toward the intelligent information society with the development of artificial intelligence. In the intelligent information society, the protection of personal information is becoming more important due to the wide use of data. The European Union has already enacted and implemented the Privacy Guidelines in 1995 with the growing importance of privacy. In 2002, the Personal Information Protection Guidelines were prepared in the area of electronic communication. Since then, privacy has been upgraded to basic rights through the European Charter of Human Rights. The European Union has implemented a GDPR that has been further embodied since 2018 and strengthened the rights of data subjects. GDPR strengthens the rights of information subjects in line with the intelligent information society, and improves efficiency through more flexible responses in the use of personal information. On the contrary, Korea's privacy protection legislation is implemented not by a single law but by plural laws, which makes it difficult to respond quickly and uniformly to personal information infringement. Therefore, a unified legal system must be established for the protection of personal information. In order to improve the system of oversight of the protection of personal information, the Commission must first become a fully independent institution and authorize equivalent international standards. The Privacy Commissioner shall establish a legal status as a central authority for the protection of personal information. In addition, the authority to supervise, investigate, and execute the supervisory authority should be granted. In addition, the rights of information subjects should be expanded to meet the new intelligent information society, and regulations should be established to specify the right to move personal information and the right for automated decision-making, and to specify the conditions of foreign relocation. In addition, through the introduction of pseudonym processing system, overall improvement is needed, such as activating the use of personal information. As the European Union implements GDPR for personal information protection in the new era of intelligent information, legislation is needed to protect personal information. The European Union has upgraded the right to privacy to basic rights through the Charter of Basic Rights. Accordingly, various measures for the protection of personal information were prospectively included in GDPR. The Personal Information Protection Act should also be improved and maintained in accordance with the intelligent information age. 유럽연합은 2018년부터 한층 구체화되고 정보주체의 권리가 강화된 GDPR을 시행하고 있다. GDPR은 지능정보사회에 걸맞게 정보주체의 권리를 강화하면서 개인정보의 활용에 있어서 보다 탄력적 대응을 통하여 효율성을 제고하고 있다. 이에 반하여 한국은 개인정보보호법제가 단일법 형태가 아니라 복수법으로 분야별로 시행되고 있어서 개인정보침해에 대하여 신속하고 통일적인 대응하기 어려운 문제를 갖고 있다. 그래서 개인정보보호를 위한 통일된 법체계를 갖추어야 한다.

개인정보보호법상의 형사처벌 규정에 관한 연구

정혜욱(Choung, Hye-Uk) 중앙대학교 법학연구원 2011 法學論文集 Vol.35 No.3

Previously, Korean personal information protection was considered to be incomplete for covering only the public affairs. On September 30th, 2011, however, Korea enacted personal information protection act and extended its coverage by including private affairs. Since then, Korean personal information protection has become an intact system. The momentum for this extension of the protection range was served by the major personal information leakages centered on the private enterprises. ‘SK Broadband’, ‘Auction online auctioning site’, ‘Hyundai Capital’ cases are the few examples. legal benefit the personal information protection act essentially protects is the rights of informational self-determination. The rights of informational self-determination directly originated from the privacy act, article 17 of the constitutional law. Similar to tranquility of the habitat, personal information falls into the area of privacy and therefore is the subject of constitutional protection. Even though the protection for personal information is the fundamental human rights prescribed by the constitutional law, the absence of practical act to support its protection led to deal its violation only by civil means.as personal information protection law is enacted along with corresponding penalty, the rights of informational self-determination became one of the fundamental human rights that is directly protected by the constitutional law. Violation of the rights of informational self-determination has the property of intruding the control of personal information by the subject of rights. According to this property, the collection and processing of the personal information under the subject’s consent is exempted from the punishment.there exists an opposition between how one would describe the exemption of the penalty under consent of the subject of information. One is by distinguishing between agreement which removes the elements of an offense and approval which precludes the wrongfulness. The other one is by deciding either on the circumstances of the removing the elements of an offence or the circumstances precluding wrongfulness. For the latter case, it is often said that it is practically impossible to distinguish between approval and agreement and that no benefit arises from such distinction. However, this is not the case. the violation of the rights of informational self-determination, the consent of the information subject should be considered as agreement that removes the elements of an offence. This is analogous to theft where the violation of ownership of the goods occur. For example, if the owner of goods gives consent and the other acquires them, the elements of an offence are not comprisable.offender of the violation of the rights of informational self-determination is fundamentally the information processor. Here, the information processor can be public institution, corporation, organization, or individuals, etc. who, for business purposes, wish to process personal information by themselves or through the means of other people. According to this definition, all the people who process personal information is the offender. The basic structure of the system is as follows. The person in charge of the information processing is subjected to punishment as offender and the corresponding corporation or organization is fined only when it is subjected to penalty against employer and employee.the violation of the rights of informational self-determination is subjected to punishment except the collection of information without consent. In regards to collection, if the collector does not receive consent from the information subject, only the fine will be levied on him. However, if he commits fraud while obtaining consents, he is subjected to punishment.

의료 분야에서의 개인정보보호

최계영(Kae-Young Choi) 서울대학교 공익산업법센터 2016 경제규제와 법 Vol.9 No.2

의료 분야에서의 개인정보보호는 사생활의 보호, 의료행위의 원활한 수행을 위해 중요하지만, 개인의료정보의 활용이 가져다 줄 학술적⋅경제적 유용성도 외면할 수 없다. 개인의료정보의 ‘보호’와 ‘이용’ 사이에서 적절한 균형점을 찾는 것은 현재의 시급한 과제이다. 이 연구는 의료 분야에서의 개인정보보호에 관한 유럽연합과 미국의 현황을 살펴보고 우리나라에의 시사점을 도출하고자 하였다. 양 법제를 비교할 때에는 개인정보보호 규제체계를 구성하는 기본개념인 ① 보호 대상 정보, ② 동의, ③ 동의 면제 사유를 기준으로 하였다. 유럽연합의 개인정보보호 법제에는 2016년 개인정보보호일반규정(General Data Protection Regulation; GDPR)이 제정되면서 큰 변화가 일어났다. 보호 대상 정보에 관하여 보면, 기존의 개인정보/익명정보 이분법에서 벗어나 처음으로 가명정보개념이 도입되었다. 정보주체의 위험을 감소시키면서 동시에 개인정보처리자의 의무를 경감시키는 장치이다. 동의에 관해 보면, 연구를 위한 개인정보 이용에 대해서는 정보주체의 구체적 동의 대신 ‘광범위한 동의’(broad consent)도 가능하다는 해석이 규정 전문에 명시되었다. 개인의료정보의 이차적 이용을 용이하게 하기 위한 것이다. 동의 면제 사유에 관하여 보면, 민감정보에 대해서도 의학적 목적, 공중보건, 연구 목적을 위한 이용에 대하여 비교적 넓게 정보주체의 동의가 면제된다는 점을 확인할 수 있었다. 미국에는 개인의료정보 보호에 관한 법률이 별도로 제정되어 있다(HIPAA). 먼저 보호 대상 정보에 관하여 보면, 비식별화 방식에 관한 구체적 규정을 두고 있다는 점이 특징적이다. ‘전문가결정 방식’과 ‘세이프하버 방식’이 그것이다. 또한 ‘제한적 정보집합물’ 개념을 따로 두어 부분적으로 규제를 완화하고 있다. 동의 면제 사유에 관하여 보면, 기관심사위원회(IRB) 등의 동의 면제 승인이 있으면 동의 없이도 연구 목적을 위하여 개인의료정보를 이용할 수 있는 가능성을 열어 두고 있다. 이상의 논의를 토대로 우리나라 법제에의 시사점을 도출하였다. 첫째, 정부가 제정한 『개인정보 비식별 조치 가이드라인』은 법적 구속력이 없으므로 개인의료정보의 안정적인 이용을 보장하는 데에는 한계가 있고, 적어도 법률에 위임근거를 둔 법규명령의 형식으로 비식별화 방식이 규정되는 것이 바람직하다. 둘째, 동의의 요건을 완화하여 해석하는 최근의 흐름에 비추어 볼 때 연구 목적 이용을 위한 동의에 있어서는 특정 연구에 한정되지 않고, 후속 연구나 연관된 연구에 재사용하는 것을 허용하는 광범위한 동의도 허용될 것이다. 셋째, 민감정보에 대해서도 연구 목적 이용에 대해서는 동의를 면제하는 방향의 입법적 개선이 필요하다. Although personal information protection in the medical field is important for privacy protection and smooth implementation of medical practice, the scientific/economic usefulness of personal health information cannot be disregarded. Finding an appropriate balance point between the ‘protection’ and ‘use’ of personal health information is an urgent task of now. This study is aimed to examine the present situation of personal information protection in the medical field in the European Union and the USA to derive implications for South Korea. The two legislative systems were compared with each other based on ① protected information, ② consent, and ③ reasons for exemptions from consent, which are basic concepts that constitute personal information protection regulations. European Union’s legislative system for personal information protection was changed drastically when the General Data Protection Regulation (GDPR) was established in 2016. With regard to protected information, breaking from the existing dichotomy of personal information and anonymous information, the concept of pseudonymized information was introduced for the first time. Pseudonymized information is a device that reduces the risk of data subjects while relieving the obligations of data controllers. With regard to consents, an interpretation that, for use of personal information for research, data subjects’ ‘broad consents’ may be valid instead of their specific consents was stated clearly in the GDPR Recital with a view to facilitating secondary use of personal health information. With regard to reasons for exemptions from consents, it could be seen that relatively wide ranges of the use of sensitive data for medical purposes, public health related purposes and research purposes are exempted from data subjects’ consents. In the USA, a law regarding personal health information protection (HIPAA) has been separately enacted. First, with regard to protected information, the said is characteristic in that it has specific regulations for de-identification methods, which are the ‘expert determination method’ and the ‘safe harbor method.’ In addition, the concept of ‘limited data set’ is separately set forth to partially relax the regulation. With regard to reasons for exemptions from consents, the law opens up possibilities to use personal health information for research purposes without data subjects’ consents on approval of a waiver of authorization from Institutional Review Boards, etc. Based on the above discussion, implications for South Korean legislative systems were derived. First, the 『personal information de-identification action guidelines』 established by the government have limitations in ensuring stable use of personal health information because they have no legal binding force and specifying de-identification methods with a ground for delegation in a law is desirable. Second, in light of recent streams to interpret requirements for consents toward relaxation, in the case of consents for research purposes, broad consents that are not limited to specific studies but are reusable for follow-up studies or related studies will be allowed. Third, legislative improvement is necessary toward giving exemption from consents to the use of sensitive data for research purposes is exemption from consents.

개인정보자기결정권의 범위와 한계에 관한 고찰 -개인정보보호법 일부개정법률안을 중심으로-

정윤경 경북대학교 IT와 법연구소 2022 IT와 법 연구 Vol.- No.24

As the 4th industrial revolution and the advent of the knowledge information society rapidly progress, the demand for data collection and use in various fields of society is increasing. The European Union passed the General Data Privacy Act (GDPR) in May 2018 Law was enacted. As such, major countries around the world are recognizing the importance of the personal information legal system and are trying to reorganize it. Korea has undergone about 15 amendments to the Personal Information Protection Act since the first enforcement of the Personal Information Protection Act in September 2011. In particular, through the revision of the so-called 3 data law in August 2020, it was evaluated that it increased the economic value of data by providing a legal basis for the use of personal information for statistical preparation, scientific research, and preservation of records for the public interest. However, criticism has been raised as to whether this revision of the law may lead to a reduction in the self-determination right of data subjects by focusing too much on the aspect of data utilization. Accordingly, in September 2021, the government proposed a partial amendment to the Personal Information Protection Act to supplement the previous amendment to the Data Act. However, some NGOs raised criticism that the contents of the above proposal did not adequately protect the rights of data subjects. As a result of this influence, the National Assembly received amendments to the Personal Information Protection Act five times in January 2022. in this regard, this paper matters concerning the introduction of the right to request transmission of personal information, review issues such as restrictions on the use of personal information for purposes other than personal information, rejection of automatic decisions and introduction of the right to request explanation, addition of an exemption clause for consent in the collection and use of personal information, and addition of a clause on overseas transfer of personal information. Then opinions were presented as to whether the content changed due to the amendment of the law is appropriate in terms of the protection of the personal information self-determination right of the information subject, and furthermore, whether it is at a reasonable level compared to the legislative practices of other countries.