개인정보보호정책의 형성과 제도변동에 관한 연구: 중범위 이론과 거시이론을 중심으로

이병철 단국대학교 대학원 2024 국내박사

개인정보보호정책의 형성과 제도변동에 관한 연구 - 중범위 이론과 거시이론을 중심으로 - 단국대학교 대학원 행정학과 이병철 최초의 우리나라 개인정보보호 정책의 시작은 1994년 1월 7일 ‘공공기관의 개인 정보보호에 관한 법률’이 제정되면서부터였다. 이후 2011년 3월 29일 ‘개인정보 보호법’ 제정을 거쳐 2020년 1월 9일 데이터 3법 개정을 통해 정책변동이 진행되 었다. 본 연구는 정부의 국가전산망이 최초로 구축되기 시작한 1990년부터 2020년 까지 이루어진 우리나라 개인정보보호 정책변동 과정을 살펴보고 정책변동의 영향 요인을 분석하는 연구이다. 아울러 개인정보보호 정책의 본질적 가치를 살펴보고 정책변동을 통해 개인정보보호의 본질적 가치가 잘 지켜지고 있는지를 파악하기 위 한 것이다. 이를 통해 개인정보보호 정책이 나아가야 할 바람직한 방향에 대한 시 사점을 제시하였다. 이를 위해 먼저 1990년부터 2020년까지 개인정보보호 정책과 관련된 사회 환경의 변화와 정책변동 과정을 1990년부터 20003년까지의 ‘공공기관의 개인정보보호에 관한 법’ 제정․운용 시기와 2004년부터 2012년까지의 ‘개인정보보호법’ 제정 시 기, 2013년부터 2017년까지의 ‘개인정보보호법 운용 시기’, 2018년부터 2022년까 지의 ‘데이터 3법’ 개정 및 운용 시기 등 4단계로 구분하여 살펴보았다. 이러한 과정을 통해 사회환경 변화와 정책변동을 파악하고, 이에 대한 중범위 이론 분석과 거시이론 분석을 진행했다. 중범위 연구이론으로는 경로진화 모형과 정책담론 모형 을, 거시 연구이론으로는 사회적 구성이론과 루만의 체계이론을 기준으로 개인정보 보호 정책변동을 분석했다. 먼저 경로진화 모형은 역사적 신제도주의에서 “제도가 변화하는 것을 제대로 설 명하기 어렵다”는 경로의존성의 단점을 극복하기 위해 등장한 이론으로 제도변화 의 양태를 구체적으로 분석할 수 있는 연구분석 틀이다. 경로진화 모형 분석을 통 해 정책 전환에 대한 내부적 장벽인 경로변화 거부권자 수와 정권교체 등이 정책변 동에 핵심 영향요인으로 작용했음을 알 수 있었다. 그리고 이러한 영향 요인의 작 동으로 데이터 3법 개정이 이루어졌고, 이를 통해 책임성 있는 개인정보보호 정책 추진으로 국민의 정보인권을 강화할 수 있는 기반을 마련하였다는 시사점이 도출되 었다. 정책담론 모형은 설정, 캐릭터, 플롯 등 정책담론의 형식과 신념, 전략 등 정책담 론의 내용요소 등 일반화 가능한 분석 기준으로 정책행위자의 정책담론을 분석할 수 있는 틀이다. 정책담론 모형 분석 결과, 개인정보보호 정책변동 과정에 있어 시 민단체 등 보호연합은 1990년부터 2018년까지 사회에서 영웅(hero)의 이미지로 인식 된 반면, 개인정보와 관련하여 문제를 일으키는 산업계 등 활용연합은 악당(villain) 으로 인식되었다. 따라서 이때까지의 정책변동은 보호연합이 주도할 수 있었다. 하 지만 2018년 4차산업혁명의 등장으로 산업계 등 활용연합은 자신을 산업발전을 선 도하는 영웅(hero)으로 인식하고 보호연합에 대해서는 데이터 3법의 개정을 가로막 아 경제발전을 저해하는 방해 세력인 악당(villain)으로 지목함으로써 자신들이 원하 는 법 개정을 끌어냈다. 이를 통해 우리나라도 글로벌 데이터 산업발전 기반을 마 련하였다는 시사점이 도출되었다. 사회적 구성 이론은 정책변동에 있어 사회적 구성과 사회적 맥락을 중시하는 이 론으로 정책 대상에 대한 사회적 구성 변화를 분석함으로써 정책변동 의미를 규명 할 수 있는 연구분석 틀이다. 사회적 구성이론 분석 결과, 사회에서 초기 개인정보 보호를 주장하는 시민단체는 수혜집단으로, 개인정보 활용을 추구하는 산업계는 이 탈집단으로 인식되었다. 그리고 이 둘 간의 관계에서 주로 산업계의 입장을 대변하 는 정부는 도전집단으로 인식되었다. 그런데 2018년을 기점으로 산업계는 수혜집단 으로, 시민단체는 이탈집단으로 자리매김하면서 자신들에 대한 사회적 인식이 뒤바 뀌었다. 이러한 인식변화를 통해 산업계는 자신들이 원하는 데이터 3법을 개정할 수 있었다. 반면, 정보인권 보장을 주장하던 시민단체는 수혜집단에서 이탈집단으로 자리매김함에 따라 본질적 가치인 정보인권은 후 순위로 밀려나고, 이는 개인정보 보호에 대한 위험 사각지대가 확대되는 결과를 초래하였다는 시사점이 도출되었다. 마지막으로 루만의 체계이론은 인권, 법, 경제, 도덕, 교육, 학문 등 사회의 모든 기능체계를 소통으로 바라보고, 그 체계의 구성요소와 자기생산을 관찰함으로써 정 책변동과 관련하여 사회적 이슈를 쉽게 규명할 수 있는 분석 틀이다. 루만의 체계 이론 분석 결과, 정치체계가 주도한 체계통합(보호 옹호체계와 활용 옹호체계의 통 합)과 통합체계의 명칭 변경, 환경과 차이를 구별․관찰․지칭하지 못한 보호 옹호체 계, 위험 소통코드를 변경한 보호 옹호체계, 보호와 활용의 대립적 관계 설정 등이 정책변동에 있어 영향 요인으로 관찰되었다. 그리고 정부의 체계통합으로 인해 타 격을 입은 보호 옹호체계의 자기생산 기능의 약화 등으로 인해 개인정보보호에 있 어 미래의 위험과 책임자 문제가 은폐된 채로 방치되고 있다는 시사점이 도출되었 다. 이를 종합적으로 살펴보면, 중범위 이론 분석에서는 개인정보보호 정책변동으로 정보주체의 정보인권 보장과 산업발전이 가능할 수 있다는 긍정적 시사점이 도출되 었으나 거시이론 분석 결과는 이와 반대되는 시사점이 도출되었다. 즉, 거시이론 분 석 결과에서는 개인정보보호 정책변동으로 인해 미래의 개인정보 유출․침해 위험은 오히려 더 확대되었고, 이에 대응할 수 있는 수단이 부족한 것으로 나타났다. 따라 서 지금까지의 개인정보보호 정책변동을 통해 현실적으로 개인정보보호의 본질적 가치가 지켜질 수 있을 것인지에 대해서는 다소 회의적이라 할 수 있다. 주제어: 개인정보보호정책, 데이터 3법, 경로진화 모형, 정책담론 모형, 사회적 구 성주의, 루만 체계이론

유비쿼터스 컴퓨팅 환경에서의 개인정보보호정책 발전에 관한 연구

신덕호 단국대학교 2009 국내석사

지금 유비쿼터스 네트워크는 눈에 띄게 많은 발전을 하고 있다. 전 세계는 초고속 통신망을 기반으로 하여 컴퓨터, 통신, 가전, 방송 등이 하나의 디지털 미디어로 통합되었으며 가까운 미래에는 사람, 사물에 관계없이 네트워크 기능을 장착시켜 서로 연결시키는 ‘Embedded Networking' 이 무선 네트워크에서 선두 기술로 발전할 것이다. 최근 정부는 전파강국 육성을 위해 막대한 예산을 투자할 계획을 밝혔다. 이중 무선 네트워크의 속도 향상 등은 미래 유비쿼터스 사회로의 발전을 한 단계 앞당기는 계기가 될 것 이다. 유비쿼터스 환경에서는 다양한 개인화된 서비스가 발전되고, 단순히 사이버 공간에서의 서비스가 아닌 실제 생활 속 정보화가 진전되나, 이면에는 언제 어디에서든지 정보가 유출 및 왜곡, 불법취득이 가능하다는 위험이 존재한다. 이는 정보유출에 따른 개인 프라이버시의 침해, 개인 ID의 도용 또는 전자문서의 위·변조에 의한 사기, 명의 도용에 의한 명예훼손, 개인정보 유출에 의한 생명 및 신체·재산상의 위해 등 고도 정보사회 진행에 따른 새로운 역기능의 발생으로 인해 개인정보보호에 대한 관심이 높아지고 있는 상황이다. 이미 유비쿼터스 사회의 구현은 미래의 청사진으로 제시되고 있다. 또한 유비쿼터스 환경으로 인해 개인의 다양성을 고려한 서비스의 편리성과 개인정보 이용의 활용 가능성은 더욱 커질 것이다. 그러나 이러한 긍정적인 효과를 극대화하기 위해서는 동시에 개인정보의 부적절한 사용과 침해 등 부정적 효과에 대한 신중한 접근이 필요한 것이다. 이러한 배경에서 변화하고 있는 개인정보보호의 개념적 논의와 함께 유비쿼터스 기술 발달에 따라 새롭게 등장하고 있는 U-Privacy 이슈들을 살펴보고, 유비쿼터스 컴퓨팅 환경 하에서의 개인정보보호를 위한 종합적인 접근 방향을 제시하였다.

은행의 개인정보보호정책에 관한 연구

안정수 高麗大學校 情報保護大學院 2015 국내석사

은행에서는 모든 정보가 수집, 가공되어 가치가 있는 정보로써 이용된다. 개인정보는 그 활용과정에서 정보자체의 가치에 정보주체인 개인의 인권과 사생활보호라는 책임까지 더해진다. 이로 인해 개인정보 취급상의 문제발생시 심각한 사회문제로 발전할 수 있는 것이다. 우리사회는 계속되는 금융기관의 개인정보유출로 인한 혼란에 빠져있다. 정부는 이러한 문제를 해결하고자 여러 가지 법의 제정, 개정을 반복해 왔지만 정보유출사고는 끊임없이 발생하고 있다. 따라서 본 논문에서는 현 정보보호체계가 갖는 문제점을 지적하여 개선방안을 찾아보고, 개인정보의 보호와 정보유출사고 재발 방지를 위해 발표된 금융위원회의 종합대책을 분석하여 이의 실효성을 검증하고자 한다.

공공정보의 이차 활용을 위한 법제도에 관한 연구 : 생체 의료정보의 이차 활용을 중심으로

박미정 연세대학교 대학원 2015 국내박사

본 논문은 공공기관이 보유?관리하는 생체 및 의료정보의 이차 활용을 위한 법제도의 개선방안에 관한 연구이다. 공공기관이 보유?관리하는 정보의 수집목적 외 이차 활용이 증가하고 있는 시대적 흐름에 주목하고, 이러한 새로운 흐름에 비추어 우리나라 법제도의 나아가야 할 방향을 고찰하였다. 법제도 개선의 당위성을 찾기 위하여 우선 사적 권리와 공익의 개념에 대해 정리한 후, 이에 기초하여 공공정보의 이차 활용과 민감한 개인정보의 보호 간의 균형점을 발견하고자 하였다. 그리고 이 균형의 원리를 바탕으로 민감정보인 생체?의료정보에 대한 개인정보자기결정권의 보호와 공익을 위한 이차 활용의 가능성을 고찰하였다. 개인정보자기결정권은 자신에 관한 정보의 흐름을 자율적으로 결정할 수 있는 사적 권리다. 우리나라는 개인정보처리과정에 동의를 구하는 절차를 두어 정보주체의 자기결정권을 보호한다. 현행법은 정보주체가 ‘동의’를 통해서 사적 권리를 행사하도록 하고 있는데, 동의가 있으면 원칙적으로 제한 없이 개인정보의 수집?이용?활용이 허용된다. 그러나 공익적 목적으로는 동의 없이도 활용할 수 있다. 이차 활용은 이렇게 정보처리과정마다 동의를 요구하는 것이 아니고 특별법에 근거하여 동의를 면제하는 방식이므로 자기결정권을 행사할 수 없는 문제점이 있다. 생체?의료정보와 같은 민감정보는 특별히 개인정보자기결정권을 더욱 강조하여 법에서는 원칙적으로 그 처리를 제한한다. 그리고 일반 개인정보와는 달리 서면 동의 면제가 되지 않는다. 하지만 현실적으로 공공기관이 수집?보관?관리하고 있는 대규모의 공공정보에는 의생명과학연구에 이차 활용되는 생체?의료정보가 포함되어있다. 그리고 이러한 공공 정보는 정보주체의 동의가 면제된 채 공동 이용될 수 있다. 정부는 공공정보에 포함되어 있는 개인정보까지도 공공재로서의 유용성을 들어 이차 활용의 요구에 적극적으로 제공하려고 하지만, 정부가 독단적으로 그 결정권을 행사하는 것은 무리가 있어 보인다. 공공정보는 여전히 개인의 정보이다. 공공정보의 이차 활용이 증가하면서 법제도가 마련되고 있으나, 동시에 정보주체의 인격적?사회적 사생활침해의 위험성 때문에 생체?의료정보의 활용으로 인한 정보주체의 프라이버시 침해를 우려하여 활용에 대한 반감은 여전하다. 생체?의료정보와 같은 민감정보는 대부분 의생명과학연구에 이차 활용된다. 연구에 이차 활용되는 민감정보는 사전(事前)에 서면 동의를 받아야 하지만, 기관심의위원회는 서면 동의 면제의 적격성을 심의?의결한다. ‘생명윤리 및 안전에 관한 법률’에 의하면, 의생명과학연구에 있어 이차 활용되는 생체?의료정보는 기관심의위원회의 승인에 의해 연구대상자에 대한 서면동의가 면제되어 연구자들은 개별적으로 서면동의를 받지 않고 이차 활용할 수 있다. 생체?의료정보를 정보주체의 동의 없이 이차 활용할 수 있는 조건 중 다른 하나는 비 식별화 조치이다. 비 식별화된 정보는 익명성을 보장할 수 있다고 보아 프라이버시를 보호하는 방법으로 각광받고 있다. 하지만 이차 활용을 통하여 익명화된 정보가 재식별되는 경우가 있다. 그러므로 익명성을 확보하기 위하여 여러 가지 익명화방법을 적용할 수 있는데, 이차 활용을 위하여서는 구체적인 익명화 방법으로 통일할 필요가 있다. 또한 생체?의료정보는 그 자체만으로 식별이 되는 정보가 포함되어 있다. 그리고 익명으로 수집할 수 없는 경우가 더 많다. 그러므로 신기술이나 새로운 정보통신시스템을 설계 할 때 익명화의 유효성에 관한 기술적 조치로서 미리 가명화 기술을 적용하는 방안을 강구할 필요가 있다. 이와 더불어 그 익명성의 보장을 위하여 기술적인 측면과 더불어 재식별 여부를 판단 과정이 필요할 것이다. 의생명과학연구를 위해 이차 활용되는 생체?의료정보는 정보주체가 알 수 없는 시기에 미래의 목적에 쓰일 수 있으므로 정보주체에게 동의를 강요하거나 정보이용자에게 무조건 프라이버시 보호에 대한 의무 이행을 부담시키는 것은 부당한 측면이 있다. 정보화 사회에서 공공기관이 수집?보유?관리하는 개인정보에 대하여 정보주체는 그 사적인 권리를 정부에 맡기고 있다고 볼 수 있다. 따라서 공공기관은 수탁자로서 여러 기관의 개인정보처리자들을 규제하는 공통의 규칙이 체계적으로 마련되어야 한다. 개인의 자율성 존중과 권리보호 없이는 공익실현을 생각할 수가 없다. 진정한 공익은 개인의 권리보호의 테두리 안에서 이루어진다. 즉 개인의 권리보호라는 토대 위에서만 개인의 권리를 넘어서는 전체의 이익 추구가 가능하다. 민감정보의 이차 활용에 대하여 정보 주체가 알고 있어야하며, 서면동의를 면제하는 경우에는 사후(事後)에라도 정보주체가 개인정보자기결정권을 행사할 수 있도록 하는 것이 비례의 원칙에 합치하는 방안일 것이다. 필요하다면 재동의 및 사후 동의를 이끌어내는 제도를 시행할 수 있도록 개인정보보호 감독기구는 이러한 규칙을 수행하는 구심점 역할을 하여야 할 것이다. 생체?의료정보를 공익 목적으로 이차 활용하기 위해서는 자기결정권을 제한하는데 필요한 공익성이 우선적으로 담보되어야 하며, 사후 동의방식이 보충적으로 필요할 것이다. 만약 실정법의 해석만으로 공익의 실체적 내용을 확인할 수 없는 경우, 공익결정과정을 통하여 사적 권리와 공익을 균형 있게 고려하였는지를 심의할 필요가 있다. 이차 활용에 따른 익명성 보전을 위해서 사전 정보처리 및 이차 활용 후의 익명성에 대한 판단을 위해 전문가가 개입하는 방안이 마련되어야 할 것이다. 이를 위하여 공공기관이 생체?의료정보를 안전하게 공유하기 위하여 우선 필요한 각 공공기관 간 구속력 있는 규칙을 제시해보았다. 끝으로 민감정보를 수집하기 전 시스템 설계단계에서부터 프라이버시 보호의 개념을 포함시키는 방안을 제안하였다. 공공정보의 이차 활용이라는 새로운 국면에서 이차 활용을 위한 공익성의 합의과정과 익명성을 보전하기 위한 절차와 규칙, 그리고 법제도를 투명하게 운영하는 개선방향을 제안하여 민감정보의 이차 활용과 보호의 균형을 달성하고자 시도하였다.

The Effect of Privacy Policy on Customers' Reuse Intention of Mobile Shopping Services:A Cross-Cultural Study between Korea and China

LI JUNFENG 부산대학교 2015 국내석사

스마트 폰은 대중화된 시대에서 모바일 쇼핑 서비스도 급속히 발전하고 있다. 모바일 쇼핑은 일반쇼핑유형보다 더 편리하고 효율성을 가지고 있다. 마케터들도 이 큰 시장기회를 인식하게 되었다. 많은 소매기업들은 모바일 쇼핑사이트나 앱을 만들었다. 그래서 어떤 요인들은 고객의 모바일 쇼핑 서비스 재 이용의도를 영향 되는지에 관한 연구가 많이 나타났다. 선행 연구에서 기술적, 개인적, 사회적 요인들 TAM모델 통해서 많이 했지만 고객들은 모바일 쇼핑 서비스를 이용 결정과정에서 신뢰를 어떻게 형성되는지에 대한 연구가 많이 없었다. 본 연구의 목적은 개인정보보호정책을 신뢰성, 상대적 이점, 지각된 위험을 통해 고객의 모바일 쇼핑 서비스 재이용의도에 영향이 있는지, 그리고 개인정보보호정책 과 신뢰성의 관계는 불확실성 회피에 따라서 조절효과가 있는지를 살피 보는 것이다. 본 연구에서 조절변수는 한.중 문화차이( 불확실성 회피) 로 하니까 설문 조사가 210명 한국 부산에서 거주하고 있는 한국 소비자하고 210명 중국에서 거주하고 있는 중국 소비자를 대상으로 실시했다. 총 408부 (중국인 210, 한국인 198) 유효 데이터를 이용해서 분석을 실시했다. 연구 결과에 따라 개인정보보호정책은 신뢰성에 정의 영향을 미칠 것이며 신뢰성은 상대적 이점에 정의 영향을 미치고 지각된 위험에 부의 영향을 미칠 것이다. 그리고 상대적 이점은 재 이용의도에 정의 영향을 미칠 것이며 지각된 위험은 재 이용의도에 부의 영향을 미친다. 그래서 개인정보보호정책은 고객의 모바일 쇼핑 서비스 재이용의도에 정의 영향을 미친다. 또한 불확실성 회피는 개인정보보호정책 과 신뢰성의 관계에서 조절효과가 있는 것을 측정되어 있다. 불확실성 회피 높은 문화 환경(중국)에서 불확실성 회피 낮은 문화 환경( 한국) 보다 개인정보보호정책은 신뢰성에 영향을 더 강하게 나타난다. 본 연구 결과 볼 때, 모바일 쇼핑 서비스 제공자들은 중요한 시사점을 줄 것이다. 주로 모바일 쇼핑 앱의 개인정보보호정책의 다자인을 고려해서 잘 해야 한다. 그리고 모바일 쇼핑 서비스제공자들은 다른 나라의 시장을 진입하려고하면 나라 간의 문화차이 요인도 중시해야한다.

Privacy Policy Strategy for e-learning in Belarusian universities

갈바체비쉬 부산대학교 대학원 2021 국내석사

While the Fourth Industrial Revolution motivated universities to advanced technologically, the challenges coming with COVID-19 pandemic forces current education to be switched to online learning. Belarusian universities weren’t prepared to the change and an e-learning solution for higher education in the Republic of Belarus has yet to be designed. Learning Analytics, Machine Learning and Artificial Intelligence pose a threat to privacy. A growing need for high levels of confidentiality and privacy in e-learning should be addressed in policies. This work provides an overview of provisions of international documents, research papers and authoritative opinions of experts on the personal data protection regulation challenges and solutions for e-learning in higher educational institutions. This dissertation approaches the complex issue of privacy primarily from a policy perspective with a view to provide some guidance for decision-makers in higher education when switching to elearning for Belarusian universities.

중소기업의 개인정보보호성과 영향요인에 관한 실증 분석 : An Empirical Analysis on the Factors Affecting the Personal Information Protection Performance of Small and Medium Sized Enterprises

황서종 서울시립대학교 일반대학원 2012 국내박사

개인정보보호법이 2011년 3월에 제정되고 6개월의 유예기간을 거쳐 9월 30일 본격 시행됨에 따라 정부는 개인정보보호법과 제도의 안정적 정착 및 확산을 위한 각종 정책을 쏟아내고 있다. 또한 민간부문에서는 산업별, 업종별, 기업별로 대응방안 마련을 준비해 오고 있다. 그 동안 개인정보보호 관련 개별법 적용으로 사각지대에 놓였던 많은 중소기업들이 새로이 개인정보보호의 의무를 부담하게 되었다. 그러나 대부분의 중소기업은 공공기관 및 대기업과 동등한 수준으로 ‘개인정보보호법’의 의무사항을 이행해야 함에도 불구하고 정부의 정보제공 및 홍보 부족, 인력 및 기술지원 미흡 등 정부로부터 충분한 정책적 지원을 받지 못하고, 기업 내부적으로도 개인정보보호 환경이 열악할 수밖에 없는 특성을 가지고 있다. 따라서, 본 연구는 ‘개인정보보호법’의 제정·시행이라는 우리 사회의 개인정보보호 환경 변화에 중소기업이 보다 효과적으로 대응해 나갈 수 있는 정책방향을 탐색해 보기 위해 중소기업의 개인정보보호 성과에 영향을 미치는 요인을 찾아보고자 하였다. 이를 위해 매출액 300억원 이하 또는 종업원수 300인 미만의 중소기업을 연구대상으로 설정하고, 중소기업을 둘러싼 환경을 크게 외재적 환경과 내재적 환경으로 나누어 외재적 환경의 주요한 변수로는 정부의 ‘개인정보보호 정책’을, 내재적 환경의 주요한 변수로는 중소기업 내부의 ‘개인정보보호 환경’을 선택하였다. 정부의 개인정보보호 정책은 Vedung의 정책수단 이론을 근거로 크게 유인정책, 정보제공정책, 규제정책의 세 가지로 유형화하여 중소기업의 개인정보보호 성과에 어떠한 영향을 미치는지를 살펴보고자 하였으며, 중소기업의 개인정보보호 환경은 중소기업의 경영적 특성과 개인정보보호 관점에서의 특성을 반영하여 개인정보보호 전략, 개인정보보호 조직, 개인정보보호 관리의 세 가지로 유형화하여 중소기업의 개인정보보호 성과에 어떠한 영향을 주는지를 실증적으로 연구하고자 하였다. 위와 같은 문제의식에 기초하여 본 연구는 첫째, 정부의 개인정보보호 정책수단에 대한 중소기업들의 인지 및 활용 여부를 살펴보고 정책수단별 효과성을 분석함으로써 향후 정부의 중소기업에 대한 개인정보보호 정책의 방향성을 제시해 보고자 하였다. 둘째, 중소기업 내부의 개인정보보호 환경이 개인정보보호 성과에 어떠한 영향을 주는지를 실증적으로 밝혀봄으로써 개인정보보호를 위해 기업이 무엇을 우선적으로 추진해야 하는지를 살펴보고자 하였다. 셋째, 정부의 정책수단과 기업의 개인정보보호 환경이 개인정보보호 성과에 얼마나 영향을 주는지를 분석하고, 정책수단과 개인정보보호 환경 중 어떠한 변수가 더 큰 영향을 주는지 등을 비교분석해 봄으로써 정책적 시사점을 도출해 내고자 한다. 이러한 연구목적을 달성하기 위하여 개인정보보호 제도, 정부의 개인정보보호 정책, 중소기업의 개인정보보호 환경, 개인정보보호 성과에 대한 선행연구를 통해 연구모델과 가설을 설정하였고, 중소기업 종사자 345명으로부터 회수된 설문을 분석에 사용하였다. 연구가설을 검증하기 위하여 빈도분석, 신뢰도 및 타당도 분석, 상관관계 분석 등 기본적인 분석 외에 가설검증을 위한 다중회귀분석(Multiple Linear Regression)을 실행하였다. 또한, 세부적인 정책의 반영 및 활용을 위한 실증적 근거를 마련해 보고자 독립변수를 구성하는 하위변수를 중심으로 개인정보보호 성과에 미치는 상대적 영향력을 도출하기 위해 단계적 회귀분석(Stepwise Regression)을 실행하였다. 본 연구의 실증분석을 통해 도출된 연구결과를 요약하면 다음과 같다. 첫째, 개인정보보호 성과 중 재무적 성과에 미치는 영향요인의 경우, 유인정책, 규제정책, 개인정보보호 관리가 성과에 유의미한 영향을 미치고 있음을 확인할 수 있었다. 둘째, 개인정보보호 성과 중 비재무적 성과에 미치는 영향요인의 경우, 유인정책, 규제정책, 개인정보보호 전략, 개인정보보호 관리가 성과에 유의미한 영향을 미치는 것으로 확인되었다. 셋째, 재무적 성과와 비재무적 성과를 포함한 전체 개인정보보호 성과에 미치는 영향요인의 경우, 정부의 유인정책, 규제정책, 개인정보보호 전략, 개인정보보호 관리가 성과에 유의미한 영향을 미치는 것으로 나타났다. 넷째, 정부의 개인정보보호 정책과 중소기업의 개인정보보호 환경이라는 두 가지 독립변수가 종속변수에 미치는 영향을 비교해 보면, 정부의 개인정보보호정책이 중소기업 내부의 개인정보보호 환경보다 개인정보보호 성과에 더 큰 영향을 미치는 것으로 나타났다. 즉 개인정보보호법이 시행되는 초기단계인 만큼 정부의 개인정보보호 정책에 더 큰 비중을 두고 있는 것으로 해석된다. 한편, 독립변수를 구성하는 세부변수별 영향력을 도출하기 위한 단계적 회귀분석 결과를 요약하면 다음과 같다. 첫째, 재무적 성과에 대한 상대적 영향력은 개인정보보호 관리, 시민규제, 교육제공, 제도적 지원, 기술적 지원의 순서로 영향력이 큰 것으로 나타났다. 둘째, 비재무적 성과에 대한 상대적 영향력은 개인정보보호 관리, 제도적 지원, 개인정보보호 전략, 시민규제, 자율규제의 순서로 영향력이 큰 것으로 분석되었다. 셋째, 재무적 성과와 비재무적 성과를 포함한 전체 개인정보보호 성과에 대한 상대적 영향력은 개인정보보호 관리, 제도적 지원, 시민규제, 개인정보보호 전략과 교육제공의 순서로 영향력이 큰 것으로 확인되었다. 이러한 연구결과는 개인정보보호 인프라가 부족한 중소기업의 입장에서 안정적인 개인정보보호 성과 창출을 위해서는 무엇보다 우선적으로 개인정보의 수집, 이용, 제공, 파기 등 처리단계별 기준 및 절차 확립, 개인정보보호 안전성 확보조치 실행 등의 내부적인 개인정보보호 관리 환경을 조성하는데 힘써야 한다는 점을 시사하고 있다. 둘째, 개인정보보호법의 안정적인 정착 및 확산을 위해 정부는 무엇보다 유인정책과 규제정책에 우선순위를 두어 정책을 실행해야 하며 유인정책 중 제도적 지원에 가장 중점을 두어 새로운 법․제도 시행에 따른 중소기업의 초기 부담과 저항을 줄여 주도록 노력해야 한다는 것을 제시하고 있다. 셋째, 개인정보보호에 관한 인식 및 여건을 개선하기 위해 정부는 시민단체 등 민간부문에서 적극적인 정책 개발 및 제안을 하도록 하는 환경을 조성해야 하며, 개인정보보호법 시행 초기임을 감안할 때 개인정보보호 단체나 업종별 협회 등에 의한 자율규제보다는 시민단체 등에 의한 지속적인 감시 및 모니터링 등 타율적 통제가 기업의 개인정보보호에 보다 중요하다는 점을 시사하고 있다. 마지막으로, 중소기업이 특히 비재무적 성과창출을 위해서는 개인정보보호에 대한 최고 경영자의 관심과 의지, 경영계획 및 목표와의 연계, 투자 확대 등의 개인정보보호 전략과 연계하여 추진할 필요가 있음을 알려주고 있다. 본 연구는 그 동안 개인정보보호 관련 선행연구가 법․제도의 효율적 운용 및 개선, 개인정보보호에 대한 개념과 법적 해석 등에 한정되었던 것에서 벗어나 중소기업의 관점에서 외재적 환경인 정부의 개인정보보호 정책과 내재적 환경인 기업 내부의 개인정보보호 환경이 개인정보보호 성과에 어떠한 영향을 주는지에 대하여 실증적 연구를 통하여 밝혀냈다는 데 가장 큰 의의가 있다. 또한, 새로운 법과 제도를 시행할 때 정부와 기업의 바람직한 역할 분담을 제시하였다는 점에서 의의가 있다. 그러나 본 연구는 법 제정으로 정부의 개인정보보호 정책이 새롭게 추진되고 있는 시점에서 이루어진 만큼 연구 결과가 보다 일반화되기 위해서는 앞으로 일정 기간이 지나 개인정보보호법이 정착된 후에 반복 연구를 통해 기업의 개인정보보호 환경과 개인정보보호 성과와의 관계를 살펴볼 필요가 있다. 주제어: 개인정보보호법, 개인정보보호 성과, 개인정보보호 정책, 개인정보보호 환경 An Empirical Analysis on the Factors Affecting the Personal Information Protection Performance of Small and Medium Sized Enterprises Hwang, Seo Chong Department of Public Administration Graduate School of the University of Seoul The personal information protection act was enacted in March 2011 with 6 months of the grace period and enforced on September 30, 2011, thereby government is intensely striving to securely settle the act and spread the system by implementing numerous policies. Private sector is also preparing responsive measures according to its type of industry, business, and corporate. Many small and medium-sized enterprises (SMEs), who have been in blind spot thus far due to the application of individual law related to the protection of personal information, are now facing new responsibilities under the act. Although most of SMEs are equally responsible for fulfilling the regulations under the personal information protection act as other public institutions or large companies, they lack government support in information sharing, promotion activity, technical and human resource assistance, while they themselves are exposed to poor surroundings of personal information protection. Therefore, this research focused on finding efficient government measures for SMEs to effectively adapt to the regulations environment under the ‘personal information protection act’ by identifying factors that actually impact the company’s personal information protection performance. Those companies with sales record under USD 30 million dollars and with less than 300 employees are selected as a research group. The surroundings of SMEs can be divided into external and internal environments. For an external environment, government’s ‘personal information protection policy’ is chosen as a major variable, whereas SME’s ‘personal information protection environment’ is chosen for an internal environment. Based on the theory of Evert Vedung’s policy means, I have examined how government’s personal information protection policy affect the company’s personal information protection performance by categorizing three of the following – attraction policy, information exchange policy, and regulation policy. As for the company’s internal environment, I intended to examine empirically how SME's internal personal information protection environment affects its personal information protection performance by categorizing three of the following - company’s personal information protection strategy, company’s personal information protection organization and company’s personal information protection management. Bearing in mind the above mentioned points, this research pursues the following: 1. Firstly, to examine SME's awareness and application of government’s personal information protection policy measures, and suggest future policy direction by analyzing the effectiveness of each personal information policy measure 2. Secondly, to analyze empirically how SME’s internal personal information protection environment affects the actual result of personal information protection performance, thereby to identify what priorities SMEs should take in order to protect personal information 3. Lastly, to conduct an empirical study on how government's policy measures and SME's internal environment for personal information protection affect their performance by each specific factor, thereby to draw policy implications by examining which factor among policy measures or internal environment is more influential. Under these research objectives I have studied 345 survey reports and implemented a hypothesis and research model through advanced research on personal information regulations, government policy, company’s environment, and actual results from implied measures. To support and verify the research hypothesis, basic analysis factors such as frequency, reliability and feasibility, and correlativity were considered as well as multiple linear regression. In addition, to provide empirical evidence for detailed measures and its enforcement, stepwise regression based on sub-independent variables were implemented to analyze the relative effects to which has on actual results based on sub-independent variables. A concise summary according to empirical evidence derived from this research is as follows; 1. The effective factors contributing to personal information protection results were government’s attraction policy, regulation policy, company's personal information protection strategy and management. 2. Factors contributing to financial results were government's attraction policy, regulation policy, and company's personal information protection management. 3. Factors influencing non-financial results were government's attraction policy, regulation policy, company's personal information protection strategy and management. 4. Factor which is more influential among government's policy measures or SME's internal personal information protection environment that affects the personal information protection performance is government's policy measures. Meanwhile the summary to stepwise regression in search of influences of sub-variables composing independent variables are as follows; 1. To evaluate the correlative influence from variables that contribute to personal information protection that are in order as follows - company's personal information protection management, government's administrative and financial support, citizen regulation, company's personal information protection strategy and government's education support. 2. Regarding the financial benefits, the order of importance is as follows - company's personal information protection management, citizen regulation, government's education support, government's administrative and financial support, government's technical support. 3. Regarding the non-financial benefits, the order of importance is as follows - company's personal information protection management, government's administrative and financial support, company's personal information protection strategy, citizen regulation, and self-regulation policy. These research results implies that firstly, the government should focus and set a priority on attraction policy and regulatory policy in order to reduce a company’s burden and policy resistance at the initial stage. Under an attraction policy, government's administrative and financial support should be centered as the core of importance. Secondly, to improve awareness and environment for better personal information protection, government should create an enabling environment for private sector including NGOs to actively develop and suggest policies. Considering in its initial stage of the personal information protection act, it is suggested to be more effective to have NGOs or other civic group to continuously oversee and monitor than to give business associations or personal information protection organizations autonomous controls. Thirdly, for SMEs lacking personal information protection infrastructure to effectively benefit from the policy, the major focus should be on internal management factors such as establishing standards and procedures in stages processing the personal information. Lastly for the non-financial performance, the CEO should always have great will and interest affiliating personal information protection strategy with corporate management, objectives and investment. This research is regarded as meaningful in ways that the study was done not only under limited advanced research that considers ways of effective operations under law enforcement or concept and legal interpretation on personal information protection but also shows how external variables of government’s personal information protection policy and company’s internal variables of internal personal information protection environment influenced actual regulation results through an empirical study. Also the research suggests that when enforcing a new act, the government and corporation should separate their roles and responsibilities in a complementary way. Noting that this research was done under initial stage of the currently enforced personal information protection act, however, to standardize the research results, we need to examine the relativeness between the personal information protection environments with the actual results through continuous research after the personal information protection act has been settled. Key words: The Personal Information Protection Act, Personal Information Protection Performance, Personal Information Protection Policy, Personal Information Protection Environment

개인정보 침해 행위에 대한 처벌제도 개선 연구 : 형사정책의 지도이념을 통한 검증을 중심으로

김용학 숭실대학교 대학원 2019 국내박사

우리나라의 개인정보 보호 관계 법령에서 규정하고 있는 처벌은 매우 강하다고 한다. 기업의 영업활동에는 개인정보가 필수적이다. 그런데 개인정보를 조금만 잘못 다루게 되면 기업의 대표나 임원은 개인정보 보호 관계 법령의 위반으로 징역형을 선고 받을 수도 있다. 법적으로는 단 한 명의 개인정보를 잘못 제공하여도 5년 이하의 징역에 처할 수 있기 때문이다. 이로 인해 4차 산업혁명 시대의 원유라고 하는 개인정보를 활용하고자 하여도 법 위반으로 처벌받을 것을 우려하여 데이터 활용을 망설이고 있다. 그런데 이와는 반대로 국민이나 시민단체는 개인정보 침해 행위에 대한 처벌이 약하니 처벌을 더 강하게 하여야 한다고 주장하고 있다. 처벌이 강하다는 주장과 처벌이 약하다는 주장이 공존하고 있다. 이러한 상반된 주장에 대하여 어느 주장이 맞는지 확인해 보고 처벌제도의 문제가 있다면 어떠한 방향을 개선하여야 할지를 연구하였다. 우선 우리나라와 해외 주요 국가들의 개인정보 침해 행위에 대한 처벌규정들을 살펴보았다. 그리고 선행 연구에서 개인정보 침해에 대한 처벌에 대하여 어떻게 연구하였는지를 살펴보았다. 그리고 개인정보 보호 분야에 오래 종사한 전문가들을 대상으로 개인정보 침해 행위에 대한 처벌제도가 적정한지와 처벌 제도의 개선이 필요하다면 어떠한 방향으로 개선하여야 하는지를 설문조사 하였다. 설문조사 결과 개인정보 보호 침해 행위에 대한 처벌은 약한 수준이며 처벌제도의 개선 방향으로는 형사처벌은 약하게 하고 행정벌을 강화하여야 한다는데 의견이 모아졌다. 개인정보 침해 행위에 대한 처벌이 약하다는 설문조사 결과의 타당성을 검증하기 위하여 형사정책의 지도이념인 수단으로서 합리성, 정당성, 보충성에 비추어 개인정보 침해에 대한 판례들을 살펴보고, 그간의 개인정보 침해사고에 대한 행정적 처벌 실태를 살펴보았다. 그 결과 개인정보 침해 행위에 대한 처벌이 약하다는 설문조사 결과는 타당하다는 것을 확인하였다. 개인정보 침해행위에 대한 처벌 제도 개선방향으로 형사벌은 낮추고 행정벌과 민사상 책임은 강화하여야 한다는 델파이 설문조사 결과의 타당성을 검증하기 위하여 그간의 처벌 사례와 선행 연구 등을 종합하여 살펴 보았다. 그 결과 개인정보 침해 행위에 대한 처벌제도의 개선방향으로 형사벌을 낮추고 행정벌과 민사상 책임을 강화하여야 한다는 설문조사 결과는 타당하다는 것을 확인하였다. 형사벌은 개인의 신체적 자유를 억압하는 것이므로 형사정책의 수단으로서의 보충성에 따라 최후의 수단으로서 작용하여야 한다. 즉, 행정적 제재수단을 통하여 법을 지키도록 하고 그래도 개인정보 침해행위가 계속된다면 그 때에 형사벌이 작동하여야 한다. 개인정보 침해 행위에 대한 형사벌 규정은 형사정책의 지도이념과 실재 판례들을 종합하여 볼 때 현재보다 낮은 수준으로 조정하거나 행정벌로 바꾸어야 한다. 이러한 개인정보 침해 행위에 대한 처벌제도의 개선을 통하여 기업은 빅데이터 등 대량의 정보를 활용하여 새로운 서비스를 도입하거나 제공하는 과정에 발생할 수 있는 의도하지 않은 개인정보 침해에 대하여 전과자라는 기록이 남는 형사벌을 받을 수 있다는 두려움을 최소화 할 수 있게 되어 새로운 서비스 도입에 보다 적극적으로 나설 수 있을 것이다. 한편 기업은 법을 위반하면 형사벌을 받게 되는 경우는 줄겠지만 기업 경영에 타격을 주는 경제적 제재를 당할 수 있으므로 개인정보 보호 관계 법령을 준수하고자 더욱 노력할 것이므로 개인정보 침해 행위에 대한 처벌은 한층 강화되면서 상당성, 보충성, 합리성을 확보할 수 있을 것이다. 그리고 기업의 데이터 이용은 활성화 되고 개인정보 보호도 더욱 견고해 질 것이다. 그 결과 국민은 기업을 신뢰하면서 개인정보를 제공하고 기업이 빅데이터 등 신기술을 활용하여 제공하는 다양한 서비스를 받을 수 있게 되어 생활이 더욱 편리해 지고 권익도 신장될 것이다. The penalties stipulated in the Personal Information Protection Relations Act of Korea are said to be very strong. Personal information is essential for a company's business activities. However, if personal information is handled a little wrong, a company representative or executive may be sentenced to prison for violating the Personal Information Protection Relations Act. Legally, even if a single person's personal information is wrongly provided, he could face up to five years in prison. As a result, the government is hesitant to use the data for fear of being punished for violating the law even if it wants to use personal information called crude oil during the fourth industrial revolution. On the other hand, however, the public and civic groups argue that the punishment for the violation of personal information is weak and should be stronger. There are claims that the punishment is strong and that the punishment is weak. I checked which arguments were correct against these conflicting claims and studied which direction should be improved if there were problems with the punishment system. First of all, I looked at the rules of punishment for the violation of personal information in our country and other major foreign countries. In addition, I looked at how I studied the punishment for personal information infringement in the previous study. In addition, the Commission surveyed experts who have long engaged in the field of personal information protection in which direction the punishment system for violation of personal information should be appropriate and if improvement of the punishment system is needed. The survey found that the punishment for violations of privacy and protection of personal information was weak, and that criminal punishment should be weak and administrative punishment should be strengthened in the direction of improvement of the punishment system. In order to verify the validity of the survey result that the punishment for violation of personal information is weak, I examined the cases of violation of personal information in the light of rationality, justification, and supplementaryity of the guiding principle of criminal policy, and looked at the status of administrative punishment for the violation of personal information infringement. As a result, the results of the survey showed that the punishment for the violation of personal information was weak. To verify the validity of the Delphi survey result that criminal punishment should be lowered and administrative punishment and civil liability should be strengthened in the direction of improvement of the punishment system for personal information infringement, I reviewed the previous cases of punishment and prior research. As a result, the results of the survey showed that criminal punishment should be lowered and administrative punishment and civil liability should be strengthened in the direction of improvement of the punishment system for acts that violate personal information are reasonable. Criminal punishment is a suppression of a person's physical freedom and should act as a last resort in accordance with its complement as a means of criminal policy. In other words, if the law is observed through administrative sanctions and the violation of personal information continues, the criminal punishment shall operate at that time. The provision of criminal penalties for acts of violation of personal information shall be adjusted to a lower level than the current level or changed to administrative punishment, considering the guiding ideology of criminal policy and actual cases. Through the improvement of the penalty system for such acts of personal information infringement, the company will be able to minimize the fear that it may receive criminal penalties that remain on record as ex-convicts for unintended personal information infringement that may occur in the process of introducing or providing new services by utilizing a large amount of information such as big data. On the other hand, while companies will be subject to criminal punishment if they violate the law, they will work harder to comply with the Personal Information Protection Relations Act because they can be subject to economic sanctions that hurt their business management, so they will be able to secure considerable, supplementary and rationality while strengthening their punishment for the violation of personal information. And the use of data by companies will be activated and personal information protection will be more robust. As a result, people will be able to trust companies and provide personal information and receive various services provided by companies using new technologies such as big data, making their lives more convenient and their rights will be enhanced.

데이터 경제 활성화를 위한 개인정보보호법 개정 과정 연구 : 다중흐름모형(MSF)에 의한 접근

손지아 서울대학교 대학원 2021 국내석사

본 연구의 목적은 2020년 1월 8일에 국회 본회의를 통과한 「개인정보보호법)」(이하 “개인정보보호법”) 개정(안)의 입법과정을 Kingdon의 다중흐름모형(Multiple Streams Framework, MSF)을 중심으로 해석하여 정책적 함의(含意)를 발견하고자 함에 있다. 개인정보보호법은 2011년 처음 제정된 이후 9년 만인 2020년 개정됨으로써 산재된 개인정보와 관련된 법률을 일원화(一元化)되었다. 특히 국회에서 개정이 지지부진했던 지난 개인정보보호법 개정 발의안과 달리, 문재인 정부에서 주도적으로 이끌어 개인정보보호법은 국회에 발의한지 1년 2개월 만에 본회의를 통과하여 개정이 되었다. 과거 개인정보보호법 개정 시도와 비교하였을 때 상대적으로 빠른 시간 내에 통과한 이유로는 문재인 정부 시기 여대야소라는 정치적 환경과 대통령(청와대) 및 행정부의 주도적 역할이 컸다고 볼 수 있는데, 이러한 현상을 Kingdon의 다중흐름모형에 적용하였다. 적용 결과, 개인정보보호법 개정안은 입법과정에 있어 Kingdon의 다중흐름모형에 등장하는 세 가지 흐름을 모두 가지고 있었고, 이를 토대로 정책 선도가의 주도적 발의를 통해 법안 통과라는 정책의 창이 열리고 있음을 확인할 수 있었다. 정책문제의 흐름으로는 21세기 4차 산업 발전과 2016년부터 유럽 IT 시장 진출을 위한 EU GDPR(유럽연합 개인정보보호법) 규정을 준주하기 위해 국내 개인정보보호법 개정의 필요성 인식을 하였다. 이를 위해 행정부와 입법부는 2018년 각각 문재인 정부 데이터 산업 활성화 정책과 20대 국회 데이터 3법 발의를 하며 정책대안의 흐름이 나타나게 된다. 이후 정치의 흐름으로서 2019년 4월 25일부터 5일간 발생한 패스트트랙 4법 국회 대치 사건으로 인해 2019년 12월 ‘여야 4+1 협의체’라는 정책의 창이 열리게 된다. 이 사건으로 인해 정책선도가인 문재인 대통령 및 행정안전부, 개인정보보호위원회는 적극적으로 정책을 추진할 수 있는 기반 속에서 개인정보보호법의 본회의 통과가 성공적으로 이루어지는 정책이 산출되게 된다. 특히 본 연구는 개인정보보호법 개정 과정에서 정책 선도가의 역할을 중점적으로 서술하고 있는데, 이는 기존의 다중흐름모형과는 차별화된 부분을 지니고 있다. 복수의 정책 선도가들이 나타나지만 그 중에서도 권위, 지속성, 협상기술(전문성)의 수준에 따라 차등적인 주도성을 보인다는 것이다. 본 연구에서 정책 선도가는 세 행위자로 나뉘며 그 속에서 Kingdon(2011)의 다중흐름모형에 언급한 정책선도가의 기준, (1) 지위, (2) 지속성(토론 등 시간과 노력을 꾸준히 들일 수 있는 역량), (3) (정책을 실현시킬 수 있는)네트워크와 전문성을 기준으로 1순위부터 3순위까지 선정하였다. 동시에 이 순위가 결정되면서 그 역할에도 뚜렷한 차이를 보였는데, 1순위부터 차례로 지휘자, 수행자, 수혜자로서 정책선도가 안에서도 그 역할이 구분되는 것을 확인할 수 있었다. 정책의 창으로는 국회 정국(政局) 구조로서 2019년 12월에 결성된 여야 4+1 협의체를 설정하였다. 이 협의체 결성으로 인해 입법과정이 매우 신속하게 진행되는 결정적인 계기가 되었다고 볼 수 있다. Kingdon의 다중흐름모형을 개인정보보호법 개정 과정에 적용시킨 결과 미시적으로 보면 산재된 정치적, 사회적 사건들(해커톤 회의, 패스트트랙 사건, 4+1 협의체, 행정안전부의 본 법안 개정과정 참여 등)이 일련의 정치적 목적과 방향성을 가지고 개인정보보호법 개정안 본회의 통과를 가능하게 했다고 볼 수 있다. 물론 단순히 본 법안 통과만을 목적으로 사건들이 발생한 것은 아니지만, 데이터 산업 활성화라는 정부 정책 목표 속에서 본 법안이 통과될 수 있는 흐름과 창이 자연스럽게 연결이 가능하게 만들었던 정책 선도가의 노력이 컸다고 볼 수 있다. 따라서 본 연구는 정책 결정자 및 수행자는 각자의 업무에서 Kingdon이 말하는 정책 선도가의 역할인 (1) 지위, (2) 지속성, (3) 네트워크와 전문성을 갖추었을 때 효과적인 정책 입안이 가능함을 다시 한 번 보여주는 사례라고 할 수 있다. 또한, 다중흐름모형을 적용한 국내 연구들과의 비교를 해보았을 때 정책선도가의 설정에서 유의미한 차이가 나타났는데, 장현주(2017)에 의하면 75개 논문에서 다룬 100개의 정책 사례 분석 결과, 중앙정부와 지방정부에서의 정책변동 중 비교적 정책변동의 폭이 크고 난이도가 높은 정책혁신과 정책승계 유형에서는 입법부가 정책선도가로 가장 많이 등장한 반면, 정책종결과 정책유지 유형에서는 정부와 대통령, 또는 지방자치 단체장이 정책선도가로 가장 많이 나타났다고 보았다. 그러나 앞서 언급한 장현주(2017)의 결론과 달리, 본 연구의 개인정보보호법 개정과정은 새로운 4차 산업을 도입시킬 데이터 3법이라는 정책 변동성이 큰 법안이라고 볼 수 있으나 정책 선도가는 정부와 대통령이 정책선도가로 나타났다. 그 원인으로는 본 법안이 정부에서 만들어졌으나 빠른 법안 통과를 위해 정부제출 입법이 아닌 의원발의 입법(청부입법)으로 상정되었다는 점이 크다고 볼 수 있다. 따라서 본 연구는 행정부와 입법부 서로간 정책 영역에 대한 암묵적 합의가 존재하는 경우, 대통령과 의회 간의 정치적 갈등이 상당부분 완화될 수 있기 때문에(정하용, 2017), 정책 선도가에 대한 결론이 장현주(2017)와 반대의 결과가 나타날 수 있다는 것을 보여준 사례라고 볼 수 있다. The purpose of this study is to discover the policy implications by interpreting the legislative process utilizing 'Kingdon's Multiple Stream Framework(MSF)' to the amendment of the Privacy Act (hereinafter referred to as the "Privacy Act"), which passed the plenary session of the National Assembly on January 8, 2020. The Privacy Act was first enacted in 2011 and amended in 2020, nine years after it was first enacted, unifying laws related to scattered personal information In particular, unlike the previous National Assembly's slow progress in revising the Privacy Act, Moon Jae-in government took initiative to the amendment of the Privacy Act and it was revised 12 months after it was proposed to the National Assembly. The reasons why the Privacy Act passed in a relatively short period of time compared to past attempts is due to Moon-Jae-in government’s political environment(ruling party was ralatively huge and the opposition party was small) and the President (Blue House)/ Administration’s leading role in revising the Private Act. This phenomenon is applied to 'Kindon’s Multiple Stream Framework'. As a result, The amendment to the Privacy Act had all three trends in 'Kingdon's Multiple Stream Framework' in the legislative process, and based on this, it was confirmed that the window for the passage of the bill was opening through the initiative of the policy leader. As Policy Window, so called ‘4+1 consultative body’ is chosen formed in December 2019 as a political structure of the National Assembly. The formation of this consultative body was a decisive motive for the quick legislative processThe application of Kingdon's Multiple Stream Framework model to the Privacy Act allows scattered political and social events (hackathon meetings, fast-track events, 4+1 consultative body, and the Ministry of Public Interior and Sefety's participation in the revision process) to pass the plenary session of National Assembly. Of course, the events did not just happen for the purpose of passing the bill, but the government's policy objective of boosting the data industry was largely due to the policy-driven efforts that allowed the bill to naturally link the Policy Stream and Policy Window. Therefore, this study is an example of how effective Policy makers could do its roles when they are equipped with the role of Kingdon's Policy Entrepreneur in their respective tasks: (1) status, (2) persistence, (3) network and expertise. In addition, comparisons with domestic studies using the Multiple Stream Framwork model showed significant differences in Policy Entrepreneur’s settings. According to Jang Hyun-joo (2017) of 100 policy cases of policy changes in central and local governments, In terms of policy innovation and policy succession types, which have a relatively large range of policy changes and high difficulty, the legislature has emerged the most as Policy Entrepreneur. However, in terms of policy completion and policy maintenance, the government and the president, or the heads of local governments appeared the most as Policy Entrepreneur. In this study, the Privacy Act was a law with a large change in policy called the 3 Data Privacy laws that will introduce the new fourth industry, but the governemnt and the preisident was found to be the Policy Entrepreneur, contrary to the conclusion of Jang Hyun-joo (2017). The reason for this is that the bill was made by the government, but it was proposed as legislation by lawmakers, not as legislation submitted by the government, to pass the bill quickly. Therefore, this study can be seen as an example that the conclusion of policy leadership could be the opposite of that of Jang Hyun-joo (2017) because much of the political conflict between the president and Congress can be alleviated (Jeong Ha-yong, 2017) if there is implicit agreement between the executive and legislative branches. keywords : Revised the Privacy Act, Ministry of Public Interior and Sefety, Personal Information Protection Commission, Policy Entrepreneur, Policy Window, 3 Data Pricacy Laws, Multiple Stream Framework, Kingdon Student Number : 2019-21474

개인정보보호 정책의 효과성 분석에 관한 연구 : 공급자와 수혜자의 인식 차이를 중심으로

이경복 高麗大學校 情報保護大學院 2016 국내박사

As the principles and criteria of personal information protection are established by the enactment of the Personal Information Protection Act in 2011, social interest in protection of personal information has increased, national policies for the protection of personal information have been established, and various related activities have been actively promoted. However, with the recent incidents of the mass leakage of personal information, negative perceptions of the personal information has already spread among the public. Especially, as results of recent personal information breach litigations are finalized and the fact that government has been used spyware without permission is revealed, public concerns over personal information not only are serious, it is developed into distrust of the government. Also, IT development, such as smart phones, has been further accelerated the public's concerns about personal information. In other words, it is a situation in which efforts are urgently needed to solve the problems on of the people's anxiety and distrust of privacy, before these concerns and distrust lead to more serious social problems. Of course, the South Korean government is making many efforts to ensure and strengthen the rights of the personal information subject through the various policies on protection of personal information. In addition, the government also set up the privacy awareness raising of the people as one of the policy agenda, and has been implemented continuously. However, these policies and plans are requesting the efforts for the protection of personal information to the people, because these have been discussed mainly by the government. It may be asked whether the personal information protection policy is appropriately reflect the people’ opinions on personal information. In other words, there is a need to check whether the people are satisfied with national policy on the protection of personal information and to set the policy direction in order to develop into people-oriented policies that can meet the people’s requirements for the protection of personal information in the new technological environment. Depending on the need for these people-oriented personal information protection policy, the author tried to empirical analysis of the performance(effectiveness) of national policy on the protection of personal information, focusing on qualitative aspects of perception and satisfaction of the people, in order to identify that how the people recognized the personal information protection policy and that whether people are satisfied with the current policy. Prior to the empirical analysis, the author analyzed the focus and trends of national policy on the protection of personal information, and analyzed the related matters of the people’s perception on protection of personal information in policy, through literature research. In order to proceed with the empirical analysis in quantitative terms, the author approached the national policy on the protection of personal information from the point of view of public service, developed the SERVQUAL scale for measuring the effectiveness of personal information protection policy by applying the basic concepts and principles of personal information protection in the SERVQUAL model, and conducted a survey study using the developed SERVQAUL scale. Specifically, for subjective evaluation of the policy, the perception of the service provider(government, privacy officer) was investigated, and for the objective evaluation, the perception of the beneficiaries(people) receiving benefits of service was investigated together. And then, the author analyzed the factors affecting the satisfaction on the policy from the perceptions on effectiveness of providers and beneficiaries, identified the agenda elements and relative priorities for improvement of personal information protection policy, through the Importance-Performance Analysis and matrix analysis on the effectiveness perceptions level of providers and beneficiaries. To summarize the main results of the empirical analysis are as below. First, providers and beneficiaries have perceived the effectiveness of personal information protection policy differently. Privacy officers(providers in terms of public service) are aware of the higher effectiveness of policy than the people(beneficiaries in terms of public service). Similarly, privacy officers are more satisfied the personal information protection policy than the people. In the perceptions of the effectiveness of personal information protection policy, privacy officers have higher perceived effectiveness for ‘the efforts to confirm personal information’(efficiency) and ‘ensuring the security of personal information’(security). On the other hand, the people have increased effectiveness for ‘immediate implementation of the policy’(immediacy), ‘convenience of the data subject’(convenience), and ‘convenience, and role, responsibility and obligation related personal information protection’(responsibility.) In addition, while privacy officers have perceived the lowest effectiveness for ‘the exact implementation of work’(reliability), the people are aware of the lowest effectiveness for ‘the reduction of effort and expense of data subject’(efficiency). Second, in the perceptions of the effectiveness, key factor affecting the satisfaction of providers and beneficiaries is “security”. In the provider perspective, privacy officers’ perceptions of the effectiveness for ‘ensuring the security of personal information’(security) and ‘capability and expertise for ensuring the right of personal information’(assurance) have an effect on the satisfaction of policy. In terms of beneficiary, perceptions of the effectiveness for ‘compliance on the protection of privacy rights’(assurance), ‘ensuring the security of personal information’(security), and ‘corresponding social requirements for personal information protection’(responsiveness) have an effect on the satisfaction of policy. Third, based on the perceptions of the beneficiaries, the direction of improvement for people-oriented policy were discussed. And the direction and strategy for the development of the national policy on the protection of personal information were discussed through an integrated analysis of providers and beneficiaries’ perceptions. Items, that should be focused through the policy because the people’s expectations are high but the actual perceptions of performance are low, were identified as follows: ‘policy should be executed quickly and proactively’, ‘policy should be improved accordingly to reflect IT environment’, ‘the notice and consent to collect personal information should be done correctly’, ‘information related the protection of personal information should be available in an easy-to-understand words’, ‘personal information should be accurate, complete, and be kept up-to-date’. Discussion of the measures to ensure the effectiveness of the personal information protection policy is required with priority, focusing on these items. Moreover, since providers and beneficiaries have perceived low effectiveness of personal information protection policy, it was identified that the discussion of improving the policy should be required preferentially. Unlike previous studies, this paper empirically analyzed the people’s perception, and considered the direction of policy based on the results of empirical analysis. From these point, this paper is meant as a starting point for discussions in order to reflect the public's point of view to the policy of the government. Also there are methodological significance in that effectiveness(performance) of the policy were analyzed as quantitative with qualitative measures in the empirical analysis. Moreover, because this paper considered the implications to the awareness of the people for the protection of personal information, there are policy implications that can be used as a base material for the policy by researchers and policy makers. Since this paper did not target a specific policy, research and analysis have some limitations in the lack of objectivity. However, because this paper was presented the direction to people-oriented personal information protection policy macroscopically, the author expect this paper will be useful to strengthen the security of advanced information society. 2011년 개인정보보호법의 제정으로 사회 전반을 규율하는 개인정보보호 원칙과 기준이 마련됨에 따라, 개인정보보호에 대한 사회적 관심이 높아졌고 개인정보보호를 위한 국가정책들이 수립되어 관련된 제반활동이 활발하게 진행되고 있다. 하지만 그동안 많은 개인정보 유출 사고가 발생함에 따라 개인정보에 대한 부정적인 인식이 국민들 사이에 팽배한 상황이다. 특히 최근 확정된 개인정보 유출 사고들의 소송 결과나 정부의 스파이웨어 사용으로 인해 개인정보에 대한 국민들의 우려는 심화되는 수준을 넘어 정부에 대한 불신으로까지 발전하고 있고, 스마트폰과 같은 IT의 발전은 개인정보에 대한 국민들의 불안을 더욱 가속화되고 있어, 개인정보에 대한 국민의 불안과 불신이 심각한 사회 문제로 부상하기 전에, 이를 해결하기 위한 노력이 시급한 상황이라 할 수 있다. 물론 현재 우리의 개인정보보호 정책들에서는 개인정보 주체의 권리를 보장하고 강화하기 위한 여러 노력을 기울이고 있고, 국민의 개인정보보호 인식 제고를 하나의 정책 의제로 지속적으로 계획, 이행하고 있다. 하지만 이러한 정책의 논의는 공급자(정부) 중심의 정책으로, 주로 개인정보보호를 위한 노력을 국민 개인에게 요구하는데 그치고 있어, 개인정보보호에 대한 국민의 의사가 적절하게 정책에 반영되고 있는가에 대해서는 의문인 상황이다. 즉, 개인정보의 정보주체인 국민의 관점에서 국민들이 개인정보보호 정책에 만족하고 있는지를 확인하고, 이를 기반으로 새로운 기술 환경에서 국민의 개인정보보호에 대한 요구사항을 만족시킬 수 있는 국민 지향적인 정책으로 발전하기 위한 정책 방향을 설정해 나가야 할 필요가 있다. 이러한 국민 지향적인 개인정보보호 정책의 필요성 하에, 본 논문은 현 정부의 국가 개인정보보호 정책이 국민에게 어떠한 의미로 인식되고 있고 이에 대해 만족하는지를 확인하기 위해, 국민의 인식과 만족도라는 질적인 측면을 중심으로 국가 개인정보보호 정책의 성과(효과성)에 대한 실증적인 분석을 시도하였다. 실증적인 분석에 앞서, 본 논문은 개인정보보호법과 법 제정이후 마련/논의된 개인정보보호 법제도 및 정책 활동에 대한 문헌 연구를 통해, 개인정보보호에 대한 우리 정부의 정책의 초점 및 동향과 국민의 개인정보 인식과 관련된 사안이 어떻게 논의되고 있는지를 분석하였다. 그리고 개인정보보호 정책의 효과성에 대한 국민의 인식을 정량적인 관점에서 분석하기 위해, 개인정보보호 정책을 일종의 공공서비스로 이해하고, 공공서비스의 성과를 분석하는 척도로 활용되고 있는 SERVQUAL 모형에 개인정보 보호의 기본적인 개념과 원칙을 적용하여 개인정보보호 정책의 효과성을 측정할 수 있는 SERVQUAL 척도를 개발하고, 이를 이용한 설문조사 연구를 수행하였다. 구체적으로 설문조사는 정책에 대한 주관적인 평가를 위해, 서비스를 제공하는(정책을 마련하고 이행하는) 공급자(정부, 개인정보보호 담당자) 측면의 인식을, 객관적 평가를 위해 서비스의 혜택을 받는 수혜자(일반 국민) 측면의 인식을 함께 조사·분석하였다. 그리고 이러한 공급자와 수혜자의 효과성 인식이 개인정보보호 정책의 만족도에 미치는 요인을 분석하고, 공급자와 수혜자의 효과성 인식 수준에 대한 중요도-성과 분석과 매트릭스 분석을 통해 개인정보보호 정책의 개선을 위한 의제 요소와 상대적 우선순위를 식별하였다. 이러한 개인정보보호 정책의 효과성에 대한 실증적 분석의 핵심 결과를 요약하면 다음과 같다. 첫째, 공급자와 수혜자는 개인정보보호 정책의 효과성을 다르게 인식하고 있다. 세부적으로 개인정보보호 정책에 대해 공급자인 개인정보보호 담당자는 수혜자인 국민보다 정책의 효과성을 더 높게 인식하고 있고, 개인정보보호 정책에 대한 만족도 역시 더 높게 나타났다. 정책의 효과성 인식에 있어, 개인정보보호 담당자는 개인정보를 확인하기 위한 노력(효율성)과 개인정보에 대한 안전의 보장(안전성)에 대한 효과성을 가장 높게 지각하는 반면, 국민은 정책의 즉각적인 이행(신속성)과 정보주체의 편의(편의성)와 개인정보보호 관련 역할, 책임, 의무(책임성)에 대한 효과성을 높게 지각하고 있다. 또한 개인정보보호 담당자는 업무의 정확한 이행(신뢰성)에 대한 효과성을 가장 낮게 인식하는 반면, 국민은 정보주체의 노력과 비용의 감소(효율성)와 관련된 효과성을 가장 낮게 인식하고 있다. 둘째, 개인정보보호 정책의 효과성에 대한 공급자와 수혜자의 인식이 정책 만족도에 미치는 핵심 영향 요인은 ‘안전성’이며, 다른 주된 영향요인은 다르게 나타났다. 개인정보보호 담당자의 경우, 개인정보에 대한 안전의 보장(안전성)과 개인정보의 권리 보장을 위한 역량 및 전문성(보증성)에 대한 효과성 인식이 정책 만족도에 영향을 미치는 반면, 국민의 경우, 개인정보 권리 보장의 적합 여부(보증성), 개인정보에 대한 안전의 보장(안전성), 개인정보보호에 대한 사회적 요구의 대응(반응성)에 대한 효과성 인식이 정책 만족도에 영향을 주고 있다. 셋째, 수혜자의 인식을 토대로, 국민지향적인 개인정보보호 정책을 위한 정책 방안을 고찰하고, 개인정보보호 정책에 대한 공급자-수혜자 인식의 통합적 분석을 통해, 개인정보보호 정책의 발전을 위한 방향과 전략을 고찰하였다. 구체적으로 국민이 기대하는 바가 높지만, 실제 성과가 낮게 인지되어 집중되어야 할 사항으로 ‘정책이 신속하고 능동적으로 시행되고’, ‘IT 기술 환경을 반영하여 적절하게 개선되며’, ‘정책을 통해 개인정보 수집에 대한 고지와 동의가 정확하게 이루어지고’, ‘개인정보보호 관련 정보가 이해하기 쉬운 단어로 제공되며’, ‘개인정보가 정확하고, 완전하며, 최신의 정보로 유지되어야’ 함이 식별되었고, 이를 중심으로 개인정보보호 정책의 실효성을 확보하기 위한 방안의 논의가 우선적으로 요구된다. 또한 공급자와 수혜자가 개인정보 업무처리에 있어, 정책의 성과를 낮게 인식하고 있어, 개인정보보호 담당자에 대한 신뢰나 적극성, 전문성을 향상시키고, 이를 통해 업무처리의 실수/오류를 줄이고 업무처리의 정확성과 신속성을 확보할 수 있는 정책 개선의 논의가 우선적으로 필요하며, 개인정보 활용 제한에 대한 신뢰성 역시 개선을 위한 대안이 마련되어야 함이 식별되었다. 본 논문은 기존 개인정보보호 연구와 달리, 개인정보보호에 대한 국민의 인식을 국가 정책에서 어떻게 반영하여 정책을 개선·발전시켜야 하는가에 대해 실증적 조사 분석을 수행함으로서, 국민의 인식과 만족도를 기반으로 정책이 나가야할 방향을 고찰한다는 점에서, 정부 정책에 국민의 관점을 반영하기 위한 논의의 시발점으로서 그 의미가 있다. 그리고 실증적 분석을 위해, 공공서비스의 관점에서 국가 개인정보보호 정책을 접근하여 공공서비스의 품질을 정책의 성과로서 분석함으로써, 정책의 효과성(성과)을 정성적인 척도에서 계량적으로 분석했다는데 방법론적 의의가 있다. 또한 증가하고 있는 개인정보에 대한 위협과 이에 따라 높아지고 있는 개인정보보호의 중요성 인식에 비해, 부정적이고 낮아지고 있는 개인정보보호 활동에 대한 국민의 인식을 제고할 수 있는 시사점을 고찰한다는 점에서, 연구자 및 정책입안자들에게 정책 수립을 위한 기반자료로 활용되어, 고객 지향적 개인정보보호 정책의 마련에 기여할 것이라는 점에서 정책적인 함의가 존재한다. 본 논문은 특정 정책을 대상으로 하지 않았기에, 조사 및 분석에 있어 객관성이 부족한 한계점을 가지지만, 새로운 기술사회로의 진입에 있어 개인정보보호 정책이 나아가야할 국민지향적 정책으로의 발전 방향을 거시적으로 제시하였기에, 고도화된 정보 사회의 안전을 보다 강화하는데 도움이 될 것을 기대한다.