데이터 프라이버시 보호를 위한 정보주체의 권리에 대한 고찰 - EU GDPR 법제도를 중심으로 -

고재종 가천대학교 법학연구소 2024 가천법학 Vol.17 No.2

2021년 이후 2년간 전 세계에서 모두 26억 건의 개인정보유출 피해가 발생했는데, 이는 10년 전인 2013년과 비교할 때 3배 이상 증가한 수치라고 한다. 우리나라 또한 2020년 8월 이후 3년 동안 유출된 개인정보 건수가 6,505만 2,2232건에 달할 정도로 개인정보의 침해 사례가 많이 발생하였다. 이로 인하여 기업들은 자신들의 책임문제가 대두되어 고객의 개인정보를 적극적으로 수집·분석하여 마케팅에 활용하지 못하고 있다. 이에 기업들은 관련 법률에 정보주체의 권리를 명확하게 설정하여 책임 범위를 예측하여 고객들의 개인정보를 적극적으로 활용할 수 있도록 해 줄 것을 요구하였으며, 고객들 또한 관련 법률에 그들의 권리를 명시하여 자신들의 개인정보를 보호받기를 원하고 있다. 물론 우리나라는 2011년 개인정보호법의 제정, 2020년 데이터3법의 개정 그리고 2023년 3월 14일 공포되어 2023년 9월 15일 시행하는 개인정보보호법의 개정을 통해 정보주체의 권리를 강화하기는 하였지만 여전히 미흡하다. 이에 이 논문에서는 2018년 5월부터 적용되는 EU의 일반 데이터 보호 규칙상 정보주체의 권리를 우리나라 개인정보보호법상 정보주체의 권리와 비교 검토를 통해 개선방안을 마련하고자 하였다. 그 결과 개인정보보호법상 개인정보 열람권, 개인정보 전송권, 개인정보의 정정·삭제권, 개인정보의 처리 제한권, 자동화된 결정에 대한 정보주체의 권리 및 이의제기권 관련하여 일부 규정을 도입할 필요가 있다고 보고 그에 대한 개선방안을 제시하였다. In the two years after 2021, a total of 2.6 billion personal information leakage damages occurred around the world. Compared to 2013, which corresponds to 10 years ago, the number of such damages has more than tripled. The same goes for Korea. As of August 2020, the number of personal information leaked over the past three years was about 65 million, with many cases of personal information infringement. As a result, companies are unable to collect and analyze customer's personal information and actively use it for marketing due to the issue of their responsibility. Accordingly, companies requested that the rights of the data subject be clearly set in the relevant laws. This is because they can predict the scope of their responsibility and actively utilize the personal information of customers. Customers who are data subjects are also requesting that their rights be specified in the relevant laws by protecting their personal information. Of course, Korea has strengthened the rights of data subjects through the enactment of the Personal Information Protection Act in 2011, the revision of the Data 3 Act in 2020, and the revision of the Personal Information Protection Act, which was promulgated on March 14, 2023, and takes effect on September 15, 2023, but it is still insufficient. Therefore, in this paper, I tried to prepare sseveral solutions to improve the rights of data subjects under the EU's general data protection rules(GDPR) through comparative review with the rights of data subjects in Korea's Personal Information Protection Act. As a result, under the Personal Information Protection Act, it was necessary to introduce some legal systems regarding the right to access personal information, the right to transmit personal information, the right to correct and delete personal information, the right to restrict the processing of personal information, the right of the data subject to automated decisions, and the right to object to them.

일본의 개인정보 보호에 관한 논의

김지만(Kim, Ji Man) 충북대학교 법학연구소 2017 과학기술과 법 Vol.8 No.2

In Korea, we have a own personal I.D. And, this personal I.D is able to distinguish one between other people. Especially, in the age of information society, personal information is used for commerce or financial transactions via the internet. Besides, for the using of Internet services, personal information is used as an essential element. But, despite the need for careful management of personal information, the careless management of personal information causes the Personal Information Leak. In other words, companies should manage and protect the collected personal information with the latest care, personal information may be leaked by others in any way or manner due to the failure of companies or the development of IT technology. In the wake of this Internet information age, the damage of personal information leakage is not only a domestic legal problem but also an international problem. So, we must need for comparative legal research for solving the dispute of international regal problems aobut the personal information using. As a first step, this studying examined a personal information protection act in Japan.

개인정보보호 법제 정합성 강화를 위한 고찰- 정보통신망법과 신용정보법을 중심으로 -

김일환 단국대학교 법학연구소 2018 법학논총 Vol.42 No.1

「Personal information protection act」 as general law stipulates that the relationshipwith other laws shall be subject to the provisions of this Act except as otherwiseprovided in Article 6 of the Act. Accordingly, since 「Personal Information ProtectionAc」t is a general law in this field, the personal information protection regulations in「Act on Promotion of Information and Communication Network Utilization andInformation protection」 are special laws on the protection of personal information. However, the provisions of 「Personal Information Protection Act」 and existingpersonal information protection laws are largely duplicated. As a result, it isconfusing for the intervention of multiple regulatory bodies as well as for the lawsthat apply to the legal applicants. There are many laws and institutions related topersonal information protection in Korea, but it is doubtful that such laws andinstitutions give the personal information processors predictability and protect therights of information subjects. Now, we should think about the direction of enhancingthe normative power of related laws rather than revising or revising new laws. Inorder to do so, we first need to ensure the integrity of personal informationprotection laws. Personal information protection general laws and Personal informationprotection special laws should be reviewed to eliminate unnecessary laws andregulations. I believe that even if unnecessary laws related to personal information exist in accordance with ministry selfishness and various interests, only a lot ofapplication confusion and interpretation mistakes in practice are resolved. If 「Act onPromotion of Information and Communication Network Utilization and Informationprotection」 leave a wide range of privacy regulations intact, ultimately, 「PersonalInformation Protection Act」 is a general law and its meaning is diminished and isbound to be reduced or eliminated. However, there is no theoretical or practicalnecessity to exist as a special law any more, although 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」,which is the most problematic at present, does not abandon its role as a general lawwith the appearance of a special law. Therefore, according to 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」, theprotection of personal information should be deleted and abolished and integratedwith the general corporate personal information protection law. Secondly, 「CreditInformation Use and Protection Act」 should have legislative forms and systems thatregulate the contents to be specifically regulated as a special law, even if thenecessity to regulate personal information in a specific area of credit information isacknowledged to some extent. You should not try to make the appearance of generallaw as it is now. 일반법인 개인정보보호법은 다른 법률과의 관계에 대하여 제6조에서 다른법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다고 규정하고 있다. 이에 따라서 개인정보보호법이 이 분야의 일반법이므로 정보통신망법상 개인정보보호규정 등은 개인정보보호에 관한 특별법으로서 해당부문에서는 이러한 법규정들이 우선 적용된다. 하지만 개인정보보호법과 기존의 개인정보보호 관련 개별법들의 규정들이 상당부분 중복되고 있다. 이에 따라서 법적용대상자가 보기에는 적용되는 법률들은 물론, 복수의 규제기구의 개입에 대해서도 혼란을 느끼고 있는 실정이다. 현재 우리나라에서는 개인정보보호 관련 법률과 제도들은 많이 있으나, 그러한 법률과 제도들이 개인정보처리자들에게 예측가능성을 부여하고, 정보주체의 권리를 충분히 보호하고 있는지는 의심스럽다. 이제 새로운 법률의 제⋅개정보다는 관련 법률들의 규범력을 높이는 방향으로 고민해해야 한다. 그러려면 먼저 개인정보보호법제의체계정합성을 확보해야 한다. 개인정보보호 일반법과 특별법들을 검토해서 불필요한 법률이나 규제는 과감히 정비, 폐지해야 한다. 부처이기주의나 각종 이해관계 등에 따라 존재하는 개인정보보호 관련 불필요한 법률들만 정비하더라도 실무계에서 겪고 있는 상당수의 적용상 혼란과 해석상 오류는 해소되리라믿는다. 정보통신망법에 광범위한 개인정보보호규정을 그대로 두게 되면 결국개인정보보보호법은 일반법으로서 그 의미가 퇴색되고 적용대상이나 범위가줄어들거나 없어질 수밖에 없다. 그렇다면 현재 가장 문제가 되고 있는 법률중 정보통신망법은 특별법의 외관을 가진 채 일반법으로서 역할을 포기하지않으려 하고 있지만, 더 이상 특별법으로서 존재해야할 이론적, 실무적 필요성이 존재하지 않는다. 따라서 정보통신망법상 개인정보보호부분은 삭제, 폐지하고 일반법인 개인정보보호법과 통합해야 한다. 다음으로 신용정보법은 신용정보라는 특수한 영역의 개인정보를 규율할 필요성은 일정부분 인정한다 하더라도 특별법으로서 특별히 규율할 내용을 별도로 규정하는 입법형식과 체계를갖추어야지, 지금처럼 일반법의 외관을 갖추려 해서는 안 된다.

On the Adjustment of Prior Consultation of the Interests in China’s Personal Information Transfer

ZHU FUYONG(주복용),LIU MENGYUN(유몽운) 동아대학교 법학연구소 2024 國際去來와 法 Vol.- No.46

디지털 경제의 발전에 있어 정보의 질서 있는 유통은 정보가 가진 바른가치를 충분히 발휘할 수 있게 한다. 이러한 점에 기초할 때 개인정보의 이전은 정보주체의 권리보호에 중점을 두어야만 정보의 자주성은 물론, 플랫폼 선택의 자유 및 정보 재이용에 대한 법적 보장이 가능하다. 또 이는 정보의 관리 및 통제 플랫폼의 정보독점행위를 방지하거나 감소시킬 수 있다. 현실에 있어 개인정보의 이전 이익 실현에 있어 관련법은 거시적인 규정에 그치고 있어 정보의 이동과정에서 정보식별기준이 광범위하여 개인정보의 이전이 제한된다. 그 밖에 정보이전에 있어 정보플랫폼과 개인 간의 충돌문제가 날로 심각해지면서 개인정보 이전 이익의 실현에도 많은 어려움이 발생하고 있다. 그러므로 개인정보의 이전 이익을 실현하기 위해서는 현행의 거시적 규정을 정보주체를 중심축으로 하여 사전협상 메커니즘이 구축되도록 하는 법률개정이 필요하다. 이에 본 연구는 개인정보의 이전 이익의 합리적 법률개정에 필요한 (1) 정보플랫폼과 정보주체 간의 평등지위 평가, (2) 정보 이전 과정에서의 사전협상메커니즘 구축, (3) 정보 이전 이익의 최대화를 위한 정보 이동범위의 확정 등에 대하여 현행법의 한계와 개선방안에 대하여 논의한다. 이를 통해 그동안 중국의 개인정보 이동에 있어 발생하는 다양한 문제를 해결함으로써 개인정보의 안전성과 활용성이 개선될 것이라 본다. In the process of digital economic development, information can only give full play to its own value in an orderly flow. The confirmation of the right to personal information transfer addresses the inherent needs over personal information autonomy, freedom of choice of platforms and information reuse. While this reduces the information monopoly behavior of the information control platform, and significantly enhances the flow of information, the realization of the right to transfer personal information remains challenging. The current regulations are still at a macro-level, offering limited guidance for specific practical implementation. As a result, the transfer of personal information is dominated by platforms, the personal information is easily monopolized by platforms with advantages. Under this background, individuals are unable to transfer the personal information they need, and disputes over the transfer of information between the two parties intensify, making it difficult to realize the rights and interests arising from the transfer of personal information. In order to realize the rights and interests of personal information transfer, it is necessary to make up for the insufficiency of macro-control, reduce the lagging effect of the post disputes on the transfer of personal information, adopt a micro-individual perspective, give full play to the subjective initiative of inter-subjects, and construct a limited mechanism of prior consultation. In the “incomplete contract”, it provides limited negotiation space for disputes such as the scope and format of information transfer, independently balances the interests between subjects, and alleviates the conflict of information transfer between platforms and individuals. in order to explore the determination of the scope of information transfer and the adaptation of transfer formats between different industries. During this period, we should make use of the supervision system to maintain the relative equality of the negotiating status of the subjects and ensure the appropriate balance of the interests of both sides, so as to ensure the safety and order of information transfer.

개인정보의 개념의 차등화와 개인정보이동권의 대상에 관한 연구

이성엽 서울대학교 법학연구소 2019 경제규제와 법 Vol.12 No.2

With the development of technologies utilizing the 4th industry, such as big data and artificial intelligence (AI), operators can easily collect personal information, process it, and use it. Various products are released. However, the current law focuses on protection rather than use of personal information, focusing on various obligations and requirements when processing personal information, including consent. In particular, by using a single concept of 'personal information' as a unit of law application, it is not clear to what extent the scope of information subject to obligations from the operator's point of view. It has become a reason for limiting the use of personal information. Despite the different types of information and costs and manpower for regulatory compliance, interpreting all subjects of regulation equally imposes an excessive burden on the operator or imposes a duty that cannot be implemented. Therefore, it is necessary to discuss the necessity of differentiating the concept of personal information. To this end, it is necessary to first look at the ambiguity of the concept of personal information and see if it is possible to interpret the scope of the same concept of personal information within the same legislation. In addition, it is necessary to classify personal information by type in order to limit the scope of application of personal information regulation to a reasonable range. In particular, it is necessary to classify personal information in accordance with identification or identifiability criteria, which are key factors that obscure and broaden the concept of personal information. Personal identification information that is combined with personally identifiable information and personal identification information that is not combined with personally identifiable information can be distinguished in addition to personal identification information and non personal identification information In addition, the criteria may be whether the information provided by the operator, the information generated and processed by the operator, the operator's internal purpose, or the external purpose Based on this classification, it is necessary to see how appropriate the level of personal information protection is through a standard for balancing conflicting interests between personal information self-determination rights and freedom of operation for each regulation. The same applies to the right to data portability Personally identifiable information that is not combined with personal identification information, i.e., information that is attributed to one person, if the identifiability is maintained only to the extent that the information can be attributed to a specific person whose identity is unknown and information scattered so that it is difficult to attribute to specific person, should be excluded from the provision. In addition, information created by personal information processor such as work evaluation and credit evaluation should not be provided as long as it is used internally. As attempts to rationalize the scope of regulations related to personal information are accumulated and legislation and governmental interpretations are developed, the rights of both service providers and users should be adequately defended, and a regulatory environment suitable for the future ICT new industries should be established. 빅데이터, 인공지능(AI) 등 4차산업을 활용한 기술의 발 전에 따라 사업자는 개인정보를 용이하게 수집하고 이를 손 쉽게 가공하여 이용할 수 있게 되었고, 개별 이용자에 특화 된 서비스를 통해 이용자 편의를 극대화하는 다양한 상품이 출시되고 있다. 그러나 현행법은 동의를 비롯하여 개인정보 처리 시 각종 의무와 그 요건에 집중하면서, 개인정보의 이 용보다는 보호에 초점이 맞추어져 있다. 특히, ‘개인정보’라는 단일한 개념을 법 적용의 단위로 사 용함으로써 사업자의 입장에서 의무의 대상이 되는 정보의 범위가 어디까지인지 명확하지 않다는 점 이 개인정보의 이 용을 제한하는 사유가 되고 있다. 정보의 유형별로 규제 준 수를 위한 비용⋅인력 등이 다름에도 불구하고, 규제의 대 상을 모두 동일하게 해석할 경우, 사업자에게 과도한 부담 을 주거나 이행이 불가능한 의무를 강요하게 된다. 이에 개인정보 개념의 차등화 필요성에 대한 논의가 필요 하다. 이를 위해 먼저 개인정보 개념의 모호성과 관련해, 동 일한 개인정보의 개념에 대해 동일한 법령 내에서 그 범위 를 달리 해석하는 것이 가능한지를 살펴볼 필요가 있다. 더 불어 개인정보 규제의 적용 범위를 합리적인 범위로 한정하 기 위해서는 개인정보를 유형별로 분류하는 것이 필요하다. 특히, 개인정보의 개념을 모호하고 또한 광범위하게 만드는 핵심적인 요소인 식별 내지는 식별 가능성 기준에 따라 개 인식별정보와 개인을 식별할 수 없는 정보 외에 개인식별정 보와 결합되어 있는 상태의 개인식별가능정보와 개인식별정 보와 결합되지 않은 상태의 개인식별가능정보로 구분가능하 다. 그 외에 사업자가 제공받은 정보인지, 사업자가 생성, 가공한 정보인지, 사업자 내부적 목적인지, 외부적 목적인지 등도 기준이 될 수 있다. 이런 분류를 기준으로 법령상 각 규제별로 개인정보 자기 결정권과 영업의 자유의 비교형량을 통해 어느 정도의 개인 정보보호 수준이 적정한지를 볼 필요가 있다. 개인정보이동 권의 경우에도 마찬가지이다. 개인식별정보와 결합되지 않 은 상태의 개인식별가능정보 즉, 1인으로 귀속되는 정보에 해당하여 신원을 알 수 없는 특정한 1인으로 정보들을 귀속 시킬 수 있을 정도로만 식별가능성이 유지되어 있는 경우, 특정한 1인으로 귀속시키는 것조차 어렵도록 흩어져 있는 정보의 경우에는 제공대상에서 제외하는 것이 타당하다. 또 한 근무평가, 신용평가 등과 같이 개인정보처리자가 만들어 낸 정보의 경우에는 이를 내부적으로 활용하는 한 제공대상 이 아니라고 보아야 할 것이다. 개인정보 관련 규제의 적용 범위를 합리화하려는 시도가 축적되고 이것이 입법과 정부의 해석에 반영되어, 서비스 제 공자와 이용자 양측의 권리가 적절하게 수호되고, 향후 ICT 신산업 시대에 걸맞는 규제환경을 갖출 수 있어야 할 것이다.

의료 분야에서의 개인정보보호

최계영(Kae-Young Choi) 서울대학교 공익산업법센터 2016 경제규제와 법 Vol.9 No.2

의료 분야에서의 개인정보보호는 사생활의 보호, 의료행위의 원활한 수행을 위해 중요하지만, 개인의료정보의 활용이 가져다 줄 학술적⋅경제적 유용성도 외면할 수 없다. 개인의료정보의 ‘보호’와 ‘이용’ 사이에서 적절한 균형점을 찾는 것은 현재의 시급한 과제이다. 이 연구는 의료 분야에서의 개인정보보호에 관한 유럽연합과 미국의 현황을 살펴보고 우리나라에의 시사점을 도출하고자 하였다. 양 법제를 비교할 때에는 개인정보보호 규제체계를 구성하는 기본개념인 ① 보호 대상 정보, ② 동의, ③ 동의 면제 사유를 기준으로 하였다. 유럽연합의 개인정보보호 법제에는 2016년 개인정보보호일반규정(General Data Protection Regulation; GDPR)이 제정되면서 큰 변화가 일어났다. 보호 대상 정보에 관하여 보면, 기존의 개인정보/익명정보 이분법에서 벗어나 처음으로 가명정보개념이 도입되었다. 정보주체의 위험을 감소시키면서 동시에 개인정보처리자의 의무를 경감시키는 장치이다. 동의에 관해 보면, 연구를 위한 개인정보 이용에 대해서는 정보주체의 구체적 동의 대신 ‘광범위한 동의’(broad consent)도 가능하다는 해석이 규정 전문에 명시되었다. 개인의료정보의 이차적 이용을 용이하게 하기 위한 것이다. 동의 면제 사유에 관하여 보면, 민감정보에 대해서도 의학적 목적, 공중보건, 연구 목적을 위한 이용에 대하여 비교적 넓게 정보주체의 동의가 면제된다는 점을 확인할 수 있었다. 미국에는 개인의료정보 보호에 관한 법률이 별도로 제정되어 있다(HIPAA). 먼저 보호 대상 정보에 관하여 보면, 비식별화 방식에 관한 구체적 규정을 두고 있다는 점이 특징적이다. ‘전문가결정 방식’과 ‘세이프하버 방식’이 그것이다. 또한 ‘제한적 정보집합물’ 개념을 따로 두어 부분적으로 규제를 완화하고 있다. 동의 면제 사유에 관하여 보면, 기관심사위원회(IRB) 등의 동의 면제 승인이 있으면 동의 없이도 연구 목적을 위하여 개인의료정보를 이용할 수 있는 가능성을 열어 두고 있다. 이상의 논의를 토대로 우리나라 법제에의 시사점을 도출하였다. 첫째, 정부가 제정한 『개인정보 비식별 조치 가이드라인』은 법적 구속력이 없으므로 개인의료정보의 안정적인 이용을 보장하는 데에는 한계가 있고, 적어도 법률에 위임근거를 둔 법규명령의 형식으로 비식별화 방식이 규정되는 것이 바람직하다. 둘째, 동의의 요건을 완화하여 해석하는 최근의 흐름에 비추어 볼 때 연구 목적 이용을 위한 동의에 있어서는 특정 연구에 한정되지 않고, 후속 연구나 연관된 연구에 재사용하는 것을 허용하는 광범위한 동의도 허용될 것이다. 셋째, 민감정보에 대해서도 연구 목적 이용에 대해서는 동의를 면제하는 방향의 입법적 개선이 필요하다. Although personal information protection in the medical field is important for privacy protection and smooth implementation of medical practice, the scientific/economic usefulness of personal health information cannot be disregarded. Finding an appropriate balance point between the ‘protection’ and ‘use’ of personal health information is an urgent task of now. This study is aimed to examine the present situation of personal information protection in the medical field in the European Union and the USA to derive implications for South Korea. The two legislative systems were compared with each other based on ① protected information, ② consent, and ③ reasons for exemptions from consent, which are basic concepts that constitute personal information protection regulations. European Union’s legislative system for personal information protection was changed drastically when the General Data Protection Regulation (GDPR) was established in 2016. With regard to protected information, breaking from the existing dichotomy of personal information and anonymous information, the concept of pseudonymized information was introduced for the first time. Pseudonymized information is a device that reduces the risk of data subjects while relieving the obligations of data controllers. With regard to consents, an interpretation that, for use of personal information for research, data subjects’ ‘broad consents’ may be valid instead of their specific consents was stated clearly in the GDPR Recital with a view to facilitating secondary use of personal health information. With regard to reasons for exemptions from consents, it could be seen that relatively wide ranges of the use of sensitive data for medical purposes, public health related purposes and research purposes are exempted from data subjects’ consents. In the USA, a law regarding personal health information protection (HIPAA) has been separately enacted. First, with regard to protected information, the said is characteristic in that it has specific regulations for de-identification methods, which are the ‘expert determination method’ and the ‘safe harbor method.’ In addition, the concept of ‘limited data set’ is separately set forth to partially relax the regulation. With regard to reasons for exemptions from consents, the law opens up possibilities to use personal health information for research purposes without data subjects’ consents on approval of a waiver of authorization from Institutional Review Boards, etc. Based on the above discussion, implications for South Korean legislative systems were derived. First, the 『personal information de-identification action guidelines』 established by the government have limitations in ensuring stable use of personal health information because they have no legal binding force and specifying de-identification methods with a ground for delegation in a law is desirable. Second, in light of recent streams to interpret requirements for consents toward relaxation, in the case of consents for research purposes, broad consents that are not limited to specific studies but are reusable for follow-up studies or related studies will be allowed. Third, legislative improvement is necessary toward giving exemption from consents to the use of sensitive data for research purposes is exemption from consents.

근로자 개인정보 처리의 정당성 요건과 한계–종속성의 관점에서

양승엽 노동법이론실무학회 2016 노동법포럼 Vol.- No.18

“Personal Information Protection Act”(PIPA), a general law for personal date protection, guarantee the free exchange as well as the protection of the personal data. That clears the PIPA’s characteristics as the private law. If the personal information manager obtain the consent of the subject of information, the manager can process the personal information unconstrainedly, and The PIPA can admit the employer to process the worker’s personal data including providing a third person and using for any purpose other than intended ones, so long as he gets the worker’s consent. So, the worker’s consent in the PIPA functions as the master-key to obtain the legitimacy to process the personal data. But, due to the worker’s subordination to the employer, the real intention of workers as the subject of information is suspected. Furthermore, the PIPA article 15 (1) 6 should allow the personal information manager, without the consent of the subject of information, to process the personal data, if the manager demonstrate his legitimate interests which is limited to cases. Thus the employer not given the worker’s consent can assert his right to obtain the worker’s personal data for his legitimate interest in the facilities and human resources management. The PIPA has a few blind spot. For example, the PIPA does not have any provisions of the biometrics. The employers use the worker’s biometrics for the facilities security and worker’s job description. The biometrics remain unchanged worker’s whole life, so if the biometrics abused, the damages are incalculable. The PIPA article 23 enacts a provision of the sensitive information (thought, beliefs, health information, etc.). The biometrics should be interpreted analogically as a sort of health information regulated so that it can regulated in the PIPA. Recently, the employer use the GPS and the electronic tag to trace the worker’s location data. The personal location data is regulated in “Act on the Protection, Use, etc., of Location Information”, but this act does not consider the unbalanced relationship of the employer and the worker, so the employer given the worker’s consent can get the worker’s location data freely. The person who has the other party’s information rules those who can’t. If those who can’t is the worker, along with the subordination to the employer, he suffers from the double power-imbalance. To overcome the double imbalance, firstly, the regulations of processing the worker’s personal data should be established in the PIPA. As a role model, the German personal data protection act is in the process of revision, which tries to insert the worker’s data protection part in the act. When the PIPA is changed, the scope of individual object should be expanded. The current law regulates the workers who offer his service to the employers, but the job-seeker, retiree, and contract laborers have to be included. Moreover, in the illegal processing of the worker’s personal data, the workers should have the right of veto and immunity. Secondly, to secure the truth of worker’s consent, in other words, to obtain the equal standing between the employer and the worker, the group decision of the labor-management representatives substitutes for the worker’s individual consent of processing his personal data. For that, the workers can entrust the representative such as the labour union representative with the right of agreement on processing. Finally, on interpreting the legislation concerned on personal data protection containing the PIPA, the regulations should be construed in the principle of being involved in the occupation and of proportion. The principle of being involved in the occupation is relevant to interpret the employer’s legitimate interests on the processing the worker’s personal data, and if the employer’s processing of the worker’s personal data is proved to be involved in the occupation, in addition, the proport...

개인정보 관련 민사 판례의 최근 동향과 바람직한 해석론의 방향

이소은 대한변호사협회 2022 人權과 正義 : 大韓辯護士協會誌 Vol.- No.507

The protection of personal information has attracted legal scholars’ attention, since the enactment of Personal Information Protection Act. The protection and secure use of personal information is now on the top list of the government’s agenda. Data subjects have shown much interest in exercising their rights under the Personal Information Protection Act in the past few years. This paper examines recent court decisions on civil cases where data subjects claimed damages against personal information controller or requested access to alleged personal information. The cases are categorized as (a) cases where plaintiffs claimed the defendants had lacked the grounds for processing the personal information at issue; (b) cases where plaintiffs claimed damages due to the leakage of personal information; and lastly (c) cases where plaintiffs requested access to their personal information or information regarding how their personal information had been processed. 개인정보 보호법이 도입된 이래, 개인정보는 법학 연구의 주요한 주제로 자리잡았다. 이제는 개인정보 보호를 넘어서 개인 관련 데이터의 안전한 활용이 정부의 중요 정책과제 중 하나가 되었다. 다른 한편 개인정보 보호에 대한 정보주체의 관심도 높아져 왔다. 자신의 개인정보를 보유하고 있는 개인정보처리자를 상대로 개인정보 보호법상 정보주체의 권리를 행사하거나, 개인정보를 안전하게 처리하지 못한 개인정보처리자를 상대로 손해배상을 구하는 사례도 증가하는 추세이다. 이 글에서는 개인정보 관련 민사 판례의 최근 동향을 분석하고, 개인정보 보호법의 바람직한 해석론을 모색해보고자 한다. 분석 대상으로는 최근 약 3년 간(2019년 1월부터 2022년 3월까지) 선고된 민사 판결 가운데 개인정보 관련 쟁점을 다룬 판결 9건을 선정하였다. 분석 대상 판결들은 다시 (i) 개인정보 처리의 정당화 사유가 문제 된 판결과 (ii) 개인정보 유출 사고가 문제 된 판결, (iii) 개인정보 관련 열람·공개청구가 문제 된 판결로 나누어, 사실관계와 당사자의 주장, 법원의 판단을 간략히 소개하고, 필자의 의견을 덧붙였다.

개인정보 침해현황과 이용자보호

윤주희 전남대학교 법학연구소 2013 법학논총 Vol.33 No.1

As numerous personal information infringement has still been happening, thegovernment has been tryng to prevent the personal information infringement byamending APICNUIPE(the Act on Promotion of Information and CommunicationsNetwork Utilization and Information Protection, ETC) several times. Also thegovernment has been trying to protect personal information by enactingPIPA(Personal Information Protection Act). However, the huge number of personalinformation infringements have happened so far. Hence, this thesis is tried to findthe improvement of personal information protection by studying what are theproblems and the current state of dispute relating to personal information inPIDMC(Personal Information Dispute Mediation Committee), and also what are thecurrent state of the damage compensation lawsuit and the related regulations oflaw. When the personal information infringement occurrs, it is very difficult to provethe damages and the intentional or the negligence of the personal informationmanager, though there are so many victims. Therefore the APICNUIPE and PIPArequire that the personal information manager cannot be exempted fromresponsibility unless he/she proves that he/she has performed such act neitherintentionally nor by negligence. But it is not enough to rescue victims rapidly withthis regulation. Therefore, to improve these problems and rescue of the victims efficiently, theregulation of compensation of PIPA §39(2) should be interpreted focused for theusers. And to perform the intentionally or the negligence the personal informationmanager shall be based upon the premise of the occurrence of the damage. Through this, it can provoke the attention of the manager of personal information. Especially, the manager of personal information has to introduce of ISMS or PIMSobligatorily and the government has to stimulate the alternative dispute resolutionsand consider to introduce the system of insurance for compensation of thepersonal information infringement. 대량의 개인정보의 침해사고가 여전히 발생하고 있다. 그간 이러한 점을 인식하여정보통신망법을 수차례 개정하면서 침해사고를 방지하기 위한 노력을 기울여 왔다. 더욱이 개인정보보호법까지 제정하여 더욱 개인정보보호에 만전을 기하고 있다. 그럼에도 불구하고 최근까지 대형의 개인정보 침해사고가 발생하고 있어 이러한 노력이 무색해 지고 있음도 사실이다. 이에 본 논문에서는 개인정보 침해사고의 현황과피해구제를 위한 움직임으로서 개인정보분쟁조정위원회의 분쟁조정현황과 문제점그리고 개인정보 침해사고에 따른 손해배상소송의 현황과 문제점을 살펴보고 관련법규정을 검토함으로서 이용자보호를 위한 개선방안을 찾아보았다. 개인정보 침해사고는 일단 발생하면 대량의 피해자가 발생하지만 피해의 입증이나 심지어 사업자의 고의 또는 과실을 입증하는 것이 매우 어렵다. 이를 고려하여 개인정보보호법과 정보통신망법은 개인정보 침해사고에 대한 사업자의 손해배상책임을 규정하면서 사업자가 개인정보를 관리함에 있어 고의 내지 과실없음을 입증토록함으로서 입증책임을 전환하였다. 그러나 이것만 가지고 피해자의 구제가 신속하게그리고 충분하게 이루어지지 않는 것이 현실이다. 따라서 이러한 점을 개선하고 피해자를 보다 효율적으로 구제하기 위해서 손해배상에 관한 개인정보보호법 제39조 제1항을 보다 이용자 지향적으로 해석하고, 사업자에 대하여 고의 또는 과실없음의 입증에는 실질적인 보호조치를 하였는지 판단하여야 한다. 이를 통해서 사업자가 사실상의 피해없음을 입증토록 하기 보다는 사업자의 배상의무를 보다 폭넓게 해석함으로서 사업자의 주의의무를 환기시키는 것이 필요하다. 특히 정보통신망법에서 규정하고 있는 인증제도의 의무적 도입이나 분쟁조정의 활성화 및 보험등의 제도도입도 적극적으로 고려할 필요가 있다.

정보통신기술의 발전과 개인정보 보호

손영화 한국기업법학회 2022 企業法硏究 Vol.36 No.1

Humans value being protected in the areas of privacy and personal life. I want to be able to control who knows what about themselves. I don't want anyone to have access to their personal information at any time. However, recent advances in information and communication technology threaten privacy, reduce control over personal information, and open the possibility of various negative consequences as a result of access to personal information. In the late 20th century, a data protection system was established in response to an increase in the level of personal information processing. In the 21st century, the strength of the platform economy is beginning with the rise of big data and advanced information technology (e.g., in the form of deep learning), the rise of big tech companies, and the storage and processing of exabytes of data. Technical features are currently in place to collect, store and retrieve large amounts of data on phone calls, Internet searches, and electronic payments, and are routinely used by both government agencies and business actors. The large-scale use and spread of advanced digital technology for the rise, surveillance and control of China has raised concerns among many people. For companies, personal information about customers and prospects is now a key asset. The scope and purpose of the privacy-oriented business models of big tech companies such as Google, Amazon, Facebook, Microsoft, and Apple are often referred to as "monitoring capitalism." This paper compares and examines legislative precedents and theories of the United States, Japan and other countries, focusing on the EU, and examines the issues of personal information protection accompanying the development of new information and communication technologies. A brief summary is as follows: Appropriate regulation and protection must be implemented while accurately recognizing the impact of new technologies on personal information and privacy. First, there is the problem of regulating the use of so-called cookies with regard to Internet privacy. It will be necessary to find a point of contact to achieve information sharing and sharing efficiency without over-infringement of individual privacy. Second, it is necessary to address the issue of privacy in the development of cloud computing in an internationally consistent manner. Third, there is the problem of protecting personal information through the utilization of big data. In particular, the extent to which individual privacy protection is permitted is a problem when using so-called predictive information. It is also necessary to come up with a concrete plan to ban the use of predictive information by case rather than a general plan to ban the use of predictive information. Fourth, with the development of the Internet of Things, the possibility of infringement of personal information is increasing. Utilization of location information using GPS is one of them. Generally, the acquisition and use of personal information using “reconfigurable technology” can be solved by informing individuals of such information. Fifth, the development of information and communication technology can bring about changes in the voting process. This is the so-called e-governance or e-government. Electronic democracy should be achieved by allowing voters to vote freely and secretly at any stage, and by preventing the sale and coercion of votes. Finally, the so-called surveillance capitalism, which is a reaction to the development of security systems using surveillance cameras, should be resolved. At least national surveillance of citizens should be strictly prohibited, and laws and systems should be established to inform the public of such surveillance facts and prevent personal privacy from being violated when using information. 인간은 사생활과 개인 삶의 영역을 보호받는 것을 중요시한다. 자신의 개인정보에 대하여 언제든지 누구라도 접근할 수 있는 것을 원하지 않는다. 또한 타인이 자신에 대해 무엇을 알고 있는지에 대하여 통제할 수 있기를 원한다. 그러나 최근 정보통신기술의 발전은 프라이버시를 위협하고 개인정보에 대한 통제력을 감소시키며 개인정보에 대한 다양한 접근의 결과로 인한 부정적인 결과가 발생할 가능성이 있다. 20세기 후반에는 개인정보의 처리 수준 증가에 대한 대응으로 데이터 보호체제가 구축되었다. 21세기는 빅데이터와 첨단 정보기술(예: 딥러닝의 형태), 빅테크 기업의 부상과 엑사바이트급 데이터 저장 및 처리와 함께 플랫폼 경제의 세기가 시작되고 있다. 전화 통화, 인터넷 검색 및 전자 결제에 관한 대량의 데이터를 수집, 저장 및 검색할 수 있는 기술적 기능이 현재 마련되어 있다. 정부 기관과 기업 행위자 모두가 그러한 기술을 일상적으로 사용하고 있다. 중국의 부상과 감시와 통제를 위한 첨단 디지털 기술의 대규모 사용과 확산은 많은 사람들의 우려를 자아내고 있다. 기업에게는 고객과 잠재 고객에 대한 개인정보가 이제 핵심 자산이기도 하다. 빅테크(Google, Amazon, Facebook, Microsoft, Apple)의 개인정보 중심 비즈니스 모델의 범위와 목적은 ‘감시 자본주의’라는 표현을 자아내기도 한다. 이상에서는 EU를 중심으로 미국, 일본 등의 입법과 판례 및 학설을 비교고찰하며 새로운 정보통신기술의 발전에 따른 개인정보 보호의 과제를 살펴보았다. 간략하게 요약 정리하면 다음과 같다. 신기술의 홍수 속에서 그것이 개인정보와 프라이버시에 미치는 영향에 대해 정확히 인식하면서 적절한 규제와 보호가 이루어질 필요가 있다. 우선, 인터넷 프라이버시(Internet privacy)와 관련하여 이른바 쿠키(cookies)의 사용에 관한 규제의 문제가 있다. 개인의 프라이버시를 과도하게 침해하지 않으면서 정보공유 및 공유효율성을 달성하기 위한 접점을 찾아야 할 것이다. 둘째, 클라우드 컴퓨팅의 발달에 따른 개인정보 보호의 문제에 대해 국제정합성 있는 규범의 마련을 위한 노력이 경주되어야 할 것이다. 셋째, 빅데이터의 이용 및 활용에 따른 개인정보 보호의 문제가 있다. 특히, 이른바 예측정보의 활용에 있어서 개인의 프라이버시 보호를 어느 범위에서 인정할 것인지가 문제된다. 예측정보의 일반적인 활용금지의 방안이 아닌 구체적인 사안별 금지방안을 마련할 필요도 있다. 넷째, 사물인터넷의 발전에 따라 개인정보의 침해 가능성도 높아지고 있다. GPS를 이용한 위치정보 등의 이용과 활용도 그러한 내용 중의 하나이다. 일반적으로 ‘재구성 가능한 기술(reconfigurable technology)’을 사용한 개인정보의 취득 및 이용의 경우 그러한 기술의 정보에 대하여 개인에게 알려주는 방법에 의하여 이를 해결할 수 있을 것이다. 다섯째, 정보통신기술의 발전은 투표 과정에서의 변화를 초래할 수 있다. 이른바 E-거버넌스 또는 전자정부의 과제이다. 어느 단계에서의 기술이용이든지 간에 유권자의 자유투표 및 비밀투표가 이루어질 수 있도록 하여 투표매매와 강요를 방지함으로써 전자 민주주의를 달성하여야 할 것이다. 마지막으로 감시카메라 등을 이용한 보안시스템의 발전에 따른 반작용이라고 할 수 있는 이른바 감시 자본주의를 해결하지 않으면 안된다. 적어도 국가에 의한 대중의 감시는 엄 ...