개인정보 보호법의 적용 범위에 관한 연구

이해원(Haewon Lee) 한국정보법학회 2022 정보법학 Vol.26 No.1

1980년대 이후 개인정보 보호 관련 연구가 법학, 행정학, 정책학, 공학 등 다양한 학문 분야에서 활발히 진행되어 왔으나, 개인정보 보호법의 적용 범위를 집중적으로 다룬 연구는 찾아보기 어렵다. 본고는 개인정보 보호법의 적용 범위를 인적(人的) 측면과 지리적(地理的) 측면에서 각 검토하고 해석론 및 입법론을 제시하고자 하였다. 검토 결과는 다음과 같다. 1) 인적 적용 범위: 내외국인 불문하고 개인정보 보호법상의 요건을 갖추면 정보주체 및 개인정보처리자에 해당한다. 정보주체가 미성년자인 경우 만 14세 이상이라 하더라도 민법의 제한능력자 규정이 적용되어 본인의 개인정보 처리에 관한 동의권 행사에 있어 법정대리인의 동의가 필요하다고 보아야 한다. ‘개인정보를 처리하거나 처리하였던 자’(제59조)의 개념은 판례와 달리 ‘현재의 개인정보처리자 또는 과거의 개인정보처리자’로 해석하여야 한다. 2) 지리적 적용 범위 : 역내 개인정보 처리의 경우 속지주의 원칙상 국내 개인정보처리자는 물론 외국 개인정보처리자에게도 개인정보 보호법이 적용된다. 다만 실제집행의 실효성을 확보하기 위하여는 개인정보 보호법상의 규제 수준이 다수의 국가나 국제협력체 등에서 합리적이고 보편타당하다고 인정되어야 할 것이다. 역외 개인정보 처리의 경우, 국내 개인정보처리자의 역외 개인정보 처리에는 해당국의 법률이존재한다면 그 법률을 적용하는 것이 비합리적이라는 특별한 사정이 존재하지 않는한 해당국의 법률을 적용하고, 그렇지 않은 경우 우리 개인정보 보호법을 적용하는것이 합리성의 원칙이나 이익형량의 원칙상 타당하다. 외국 개인정보처리자의 역외개인정보 처리에는 효과주의 이론에 따라 그 영향이 국내에 미치는 경우에 한하여 개인정보 보호법을 적용하는 것이 타당하다. 이처럼 다소 복잡한 결과가 도출되는 근본적인 이유는 개인정보 보호법의 적용 범위 문제가 전적으로 해석론에 맡겨져 있기 때문이다. 수범자의 법적 안정성과 예측가능성을 보장하고 법집행의 객관성과 투명성을 확보하는 측면에서 개인정보 보호법의 적용 범위 문제는 해석론이 아닌 입법론으로 해결될 필요가 있다. Since the 1980s, research related to the Personal Information Protection Act(hereinafter ‘PIPA’) has been actively conducted in various academic fields such as law, public administration, policy studies, and engineering. However, It is rarely found studies focusing on the scope of application of the PIPA. This paper tried to review the scope of application of the PIPA from the hum an and geographical perspective and to suggest reasonable interpretation and legislation methodology of it. The review results are as follows. 1) Personal scope of application: Regardless of domestic or foreign nationals, if they meet the definitions under the PIPA, they are the subject of the ‘data subject’ and the ‘personal information controller’. If the data subject is a minor, even if he or she is 14 years of age or older, the provisions of the Civil Act for persons with lim ited capacity apply, so the consent of a legal representative is necessary to exercise the right to consent. The concept of ‘a person who has processed or processed personal information’ (PIPA article 59) should be interpreted as ‘current personal information controller or former personal information controller’. 2) Geographical scope of application: In the case of processing of personal information within the region, the PIPA applies not only to domestic personal information controllers but also to foreign ones under the principle of territoriality. However, in order to secure the effectiveness of actual enforcement, the level of regulation under the PIPA should be recognized as reasonable and universally valid in the majority of countries or international cooperatives. In the case of offshore processing of personal information, if there is a law in that country, the law of that country is applied to the processing of personal information offshore, unless there is a special circumstance that it is unreasonable to apply the law. It is reasonable to apply PIPA to the processing of personal information offshore by foreign personal information controllers only if the effect is domestic according to the theory of effectiveness. The fundamental reason for this rather complicated result is that the issue of the scope of application of the PIPA is entirely left to legal interpretation methodology. In terms of ensuring legal stability and predictability of offenders and securing objectivity and transparency in law enforcement, the issue of the scope of application of PIPA needs to be resolved through legislative theory rather than interpretation theory

개인정보보호 법제도의 인식이 개인정보보호 태도와 행동에 미치는 영향에 관한 연구

이종주,추현호,오인하 한국혁신학회 2024 한국혁신학회지 Vol.19 No.1

데이터가 기업의 경쟁우위를 좌지우지하는 데이터 경제에서 개인정보의 수집, 보관, 활용은 중요한 문제이다. 기업은 보유하고 있는 개인정보의 유출・침해 문제로 인해 정보주체에게는 돌이킬 수 없는 손해를 가하고, 그로 말미암아 법적 책임을 지거나 고객으로부터 신뢰를 잃는다. 개인정보보호법은 개인정보처리자의 책임과 의무를 강화하였지만, 조직 구성원의 개인정보보호 행동을 도모하는데 현실적인 한계가 있다. 그래서 개인정보보호법 은 개인정보 처리방침 등 조직 내부규정을 마련하고 준수하도록 강제하고 있다. 본 연구는 개인정보보호 법과 조직 내부규정이 개인정보보호 태도와 행동에 미치는 영향에 대해 연구하였다. 총 242명의 설문서 답변을 SPSS 을 통한 회귀분석과 SPSS Process macro를 통해 매개효과 분석을 실시하였다. 그 결과 개인정보보호 법제도가 개인정보보호 태도와 개인정보보호 행동에 유의한 영향을 미치는 것을 확인할 수 있었다. 또한, 개인정보 보관 및 활용태도 개인정보보호 행동에 유의한 영향을 미치는 것을 밝혔다. 그리고 개인정보보호 법제도 인식과 개인정보보호 행동 사이에서 개인정보 보관태도의 매개효과를 통계적으로 검증하였다. 본 연구 결과를 통해 기술혁신을 달성하고자 하는 조직에게 개인정보보호 행동을 강화하는 방안을 제시하였다. Companies take data very seriously in the data economy and are interested in the collection, storage, and utilization of privacy data. Due to leakage and infringement of the privacy that companies possess, they cause serious damage to the subject of privacy, take legal responsibility, or lose trust from customers. Although the Privacy Protection Act has strengthened the responsibility and obligations of the privacy man- ager, it has limitations in strengthening the personal information protection behaviors of organization members. Therefore, the Privacy Protection Act compels companies to prepare and comply with internal regulations such as a privacy notice. This study empirically analyzed the effect of Privacy Protection Act and internal regulations on privacy protection attitudes and behaviors. A total of 242 questionnaire re- sponses were analyzed for regression analysis through SPSS and mediation effect analysis through SPSS Process macro. As a result, it was confirmed that the privacy legal system perception had a significant effect on privacy protection attitudes and behaviors. In addition, among the privacy protection attitudes, it was revealed that the storage and utilization attitudes had a significant effect on privacy protection behaviors. And, the mediating effect of the privacy protection attitude between the perception of the privacy legal system and the privacy protection behavior was statistically verified. Through the results of this study, it is proposed to strengthen privacy protection behavior for companies that want to achieve technological innovation.

빅데이터 시대 중국의 개인정보보호법률제도 현황과 입법과제 연구

김종우 한국정보법학회 2019 정보법학 Vol.23 No.2

절대다수의 국가에서 입법을 통해 식별형 정의를 채택하여 개인정보를 정의하고 있으나, 도리어 개인정보라는 개념에 대해서는 구체적인 판정기준을 제공하지 않고 있다. 따라서 개인정보와 관련한 구체적인 판정기준을 확립하는 것이 당면과제가 된 다. 독일을 대표로 하는 EU에서는 개인정보권을 구체적인 인격권으로 보호하고 있으 며, 개인정보에 대한 정부기관의 지배와 통제를 강조하고 있다. 개인정보에 대한 학설 과 관련하여, 중국 법학계 내 존재하는 다수설은 개인정보를 인격권으로 인식하고 있 다. 차세대정보기술은 개인정보의 사회적 가치를 강화하는데 특히 공공정책 및 공 공안전에 대한 법적 보호가 그것이다. 비록 중국 「헌법」 제38조, 중국 「민법통칙」 제120조는 중국 국민의 인격권에 대한 보호를 규정하으나, “개인정보의 정의”와 “개인정보권의 법적 성질”에 대해 더 분 명하고 상세한 규범이 제정되지는 않았다. 다른 법률에 개인정보 관련조문이 부분적 으로 규범되어 있기 때문에, 중국은 외국 개인정보의 “식별가능성”에 근거하여 개인 정보에 대해 규정을 하고 있다. 조만간 개선되어야 할 부분이다. 그리고 중국의 개인정보보호 관련 법률이 다수가 중국 국무원이 반포한 행정규장 으로 되어 있는 등, 법률문서의 효력이 상대적으로 낮다는 문제가 있다. 이와 함께 개인정보침해가 발생하는 경우 민사소송 제기를 통한 법적 구제를 생각 할 수 있다. 그러나 개인정보침해행위가 관련된 전문적인 기술 및 개인정보주체와 정 보관리자 간의 정보비대칭은 정보주체로 하여금 입증책임을 더욱 더 어렵게 만든다. 이러한 문제를 해결하기 위해서는 특별법 형식의 단행 법률이 하루라도 빨리 제정 되어야 한다. 또한 개인정보보호법의 기본이념과 개인정보의 범위를 분명히 규정해 야 한다. 중국의 경우 개인정보보호법 제정 시에는 개인정보를 민감한 정보와 민감하 지 않은 정보 두 가지로 분류하는 것이 바람직할 것이다. 중국 중앙정부와 성 일급 지 방정부가 행정등급에 따른 개인정보보호 전문기관을 새로 확립하는 것도 좋은 방법 이다. 결국 중국 전역의 개인정보보호 및 감독업무는 해당업무를 담당하는 중국정부 부처가 통일적으로 지도하고 협조해야 한다. 개인정보보호의 사법구제와 관련해서는 입증책임을 새로 제정해야 한다. 정보주체 로서의 개인의 증거제시능력이 다소 처진다는 점을 감안하여, 소송에서의 입증책임 에 대해서는 부분적으로 새로운 법리를 제정해야만 한다. 개인정보 권리를 침해한 피 고에 대해서는 권리침해주체가 상이한 점에 근거하여 서로 상이한 귀책원칙을 확정 하면 된다. 과실추정책임은 개인의 입증책임을 경감시킬 수 있을 뿐만 아니라, 정보처 리자가 철저하게 안전보장의무를 이행하도록 경고할 수 있으며 결과적으로 개인정보 의 신중한 사용이 확립될 수 있다. 빅 데이터시대에 중국의 개인정보보호법률문제는 상술한 것 외에 개인정보소유권 의 귀속문제, 빅데이터 주체의 책임문제, 중요한 데이터의 소각문제, 빅 데이터 감독 관리법률규범의 부실, 빅 데이터 거래시장체제문제, 빅 데이터 거래 독점문제, 불법데 이터거래문제, 빅데이터 정보의 프라이버시문제, 빅 데이터 가격책정문제, 데이터자 원 획득의 문제, 빅 데이터자원 이용의 문제, 빅 데이터자원 보호문제 등이 주요쟁점 으로 등장하고 있다. 이러한 문제들을 ... In many countries, personal information is defined by adoption of an identification type through legislation, but it does not provide specific criteria for the concept of user privacy. Therefore, it is a challenge to establish specific criteria for user privacy. In Germany, the EU protects user privacy rights with specific moral rights and emphasizes the control and control of government agencies on user privacy. Regarding the theory of user privacy, the majority of the opinions in the Chinese legal profession regard user privacy as personal right. The next generation of information technology has strengthened the social value of user privacy, particularly the legal protection of public policy and public safety. Although Article 38 of the Chinese Constitution and Article 120 of the Chinese Civil Law General Provision stipulate the protection of the moral rights of the Chinese people, there is a clear and detailed standard for the definition of "user privacy" and "legal nature of user privacy rights" Was not enacted. Since other provisions of the law on user privacy are partly normative, China has set out user privacy on the basis of "identifiability" of foreign user privacy. It should be improved soon. In addition, there is a problem that the legal documents are relatively ineffective, for example, many of the user privacy protection laws of China are issued by the State Council of China. In addition, in the event of infringement of user privacy, legal remedies through civil lawsuits can be considered. However, the information asymmetry between the professional technology and the user privacy subject related to the infringement of user privacy and the information manager makes the information subject more difficult to verify. In order to solve these problems, a special law type law should be enacted as soon as possible. In addition, the basic idea of user privacy protection law and the scope of user privacy should be clearly defined. In China, it is desirable to classify user privacy into two categories: sensitive information and non-sensitive information. It is also a good idea to establish a professional agency for the protection of user privacy according to the administrative level of the Chinese central and provincial level local governments. Ultimately, user privacy protection and supervision throughout China should be guided and co-ordinated by the Chinese government departments responsible for the work. Regarding the judicial relief of user privacy protection, a new burden of proof should be established. In view of the fact that the individual's ability to present evidence as an information subject is somewhat inferior, a new jurisprudence must be established in part regarding the burden of proof in litigation. For defendants who infringe on the right of privacy, the principle of differentiating between the different types of defendants can be determined on the basis of different points of infringement. In addition to alleviating the burden of proof of negligence, negligence assumption responsibility can also warn the information processor to fulfill its obligation to thoroughly comply with the security obligations, and consequently prudent use of user privacy can be established. In the Big Data era, China's user privacy protection law issues include, besides those mentioned above, the problem of ownership of user privacy, the responsibility of big data subject, the incineration of important data, the failure of big data supervision administrative law, Big data transaction monopoly problem, illegal data transaction problem, big data information privacy problem, big data pricing problem, data resource acquisition problem, big data resource utilization problem, big data resource protection problem, etc. In order to solve these problems, it is necessary to establish clear responsibility of big data transaction entity, improve important data incineration norm, improve big data supervision management system, regulation ...

모바일 게임산업환경에서의 개인정보보호에 대한 법정책적 고찰

박종현 ( Jong-hyun Park ) 한국법정책학회 2016 법과 정책연구 Vol.16 No.2

개인정보보호법의 제정·시행 이후 개인정보 보호에 대한 사회적 인식이 높아지고 실질적 보호를 위한 체계가 마련되었지만, 반면 개인정보 관련 모든 분야에 동일하게 적용되는 내용으로 인하여 보다 현실적이고 구체적 상황에 적합한 보호 정책 마련의 목소리 또한 높다. 게임산업의 경우 회원가입이나 본인확인, 연령에 따른 서비스 제공, 결제의 과정 등에서 개인정보의 수집이 이루어지고 그에 따라 개인정보보호법의 규율을 받고 있다. 이러한 법적 규제는 최근 게임산업의 핵심으로 떠오르고 있는 모바일 게임환경에서도 동일하게 적용된다고 보는 것이 일반적인데, 서비스 제공의 메커니즘이 다층적이고 복잡한 모바일 게임환경에 지금의 개인정보보호법의 적용이 적절한지 여부는 살펴볼 필요가 있다. 실제 모바일 게임 서비스의 과정을 넓게 보면 개인정보의 흐름을 쉽게 포착할 수 있지만 이들은 대체적으로 디바이스의 구입, 개통 혹은 앱 구입을 위한 마켓가입, 플랫폼 가입 등 게임서비스 제공 그 자체가 아닌 그 주변에서 이루어지는 과정임에 주목해야 한다. 오히려 게임서비스 자체의 과정에서의 개인정보의 흐름은 필요 최소한으로 한정되어 있고 사실상 존재하지 않는 것으로 보이는데 개인정보 수집·보관으로 인한 법적 부담에서 자유롭고 싶어 하는 사업자들의 의식적인 노력의 결과로 보인다. 이러한 상황에도 불구하고 개인정보보호법이나 게임산업 관련법에서는 게임서비스 제공자에게 개인정보 보호에 대한 일반적이며 상당한 의무를 부담시키고 있는데 실제로 개인정보를 수집하거나 저장하지 않는 일반적 경우에 이러한 규제는 현실적이지 못하다. 따라서 게임산업, 특히 모바일 게임산업환경에 적절한 개인정보보호 정책의 마련이 요구되는데 이를 위해서는 개인정보 흐름의 구체적 상황에 대한 고려가 필수적이라 할 수 있다. 더불어 기술 발전에 상응하는 개인정보의 범위에 대한 논의도 필요하며 모바일 게임환경의 특수성과 글로벌 환경에서의 정책의 효율성을 도모하기 위해 자율규제의 도입도 고려해볼 필요가 있다. As the modern society has been changed to the informative society from the traditional industrial society, they put a great importance on the significance of protection of private information. After enforcing Privacy Protection Law, Korean society constructs the protection system of personal information. However, some strongly criticize it is a sort of over-watch or control of privacy because it does not reflect specific situation of each field into new legal system and the law itself sometimes put a heavy burden on the industry which collects and uses private information under its business model. So we need a careful approach to establish a private information protection policy to meet with needs of citizens and companies. Usually, as the first step of building an en forcible protection system of private information, we should fix the boundary of what the private information is. Under the Korean legal system, the meaning of private information is too broad to put a proper burden on obligators (usually companies). So several countries, such as U.S. and Japan, take a self-regulation system in the matter of private information protection in a private sector. Self-regulation system is usually welcomed in a social field in which regulation cost is high, but the benefit of regulation is small or unpredicted. In this aspect, we can consider the introduction of self-regulation system in mobile game industry regarding protection of private information. Mobile-game industry has suffered from extremely heavy burden on protection of private information under Privacy Protection Law which does not allow any exception according to the situation of regulated fields although mobile game industry actually does not collect private information but just technical information(serial number) of game devices to do proper game service to users. Technical information which is used by mobile-game industry is not identifiable for subjects but unstructured dataset. Also, the globalization of game industry makes policy-makers to reflect other countries policies, such as self-regulation policy of the U.S., regarding private information protection to set up an effective standard which all regulated subjects fully obey. Therefore, this is a proper time to establish a more effective system of protecting private information in mobile game industry by reducing a gap between reality and norms.

연구논문 : 개인정보 보호법제의 헌법적 고찰

문재완 ( Jae Wan Moon ) 국제헌법학회,한국학회 2013 世界憲法硏究 Vol.19 No.2

개인정보보호법을 헌법적 관점에서 살펴보면, 다음과 같은 문제가 있다. 첫째, 개인정보보호법은 개인정보 보호에 관하여 공공부문뿐 아니라 민간부문에도 적용되는 통합법이다. 하지만 개인정보 보호, 나아가 프라이버시 보호는 공공부문과 민간부문을 구분하여 접근하는 것이 타당하다고 본다. 개인정보를 처리, 즉 수집ㆍ이용ㆍ제공하기 위한 법적 근거가 공공부문과 민간부문에 있어서 서로 다르기 때문이다. 기본권 주체인 국민은 원칙적으로 모든 행위를 자유로이 할 수 있으며 (일반적 행동자유권), 다른 사람의 개인정보를 처리하는 행위 역시 자유로이 할 수 있다. 국가와 그 기관은 원칙적으로 자유로이 모든 행위를 할 수 없고, 헌법과 법률에 의하여 부여된 업무를 수행하기 위하여 필요한 범위 내의 행위만 할 수 있을 뿐이다. 또한 공공부문에서는 개인의 프라이버시를 최대한 보장하기 위하여 공권력 행사를 최대한 통제하는 방향으로 법제가 마련되어야 하지만, 민간부문에서는 양 당사자가 대립되는 자유와 권리를 주장하고 있으므로 상충하는 기본권모두가 최대한으로 그 기능과 효력을 발휘할 수 있도록 조화로운 방법을 모색하여야 한다. 둘째, 개인정보보호법은 정보주체의 권리로서 동의를 중시하고 있다. 정보주체의 권리로 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 명시하고(제4조 제2호), 정보의 수집 및 이용을 제한적으로 허용하고(제15조 제1항), 이를 위반한 경우 5천만 원 이하의 과태료를 부과하고(제75조 제1항 제1호) 있다. 그러나 정보주체가 일상적으로 행하는 동의가 과연유효한 것인지 의문이다. 동의가 유효하려면, 정보주체가 동의하는 내용을 알아야 하며, 동의 여부및 동의의 범위에 대한 선택권을 가져야 한다. 현실은 두 조건을 충족하지 못한다. 셋째, 개인정보보호법에서는 개인정보 보호를 위해 법 위반사항에 대한 제재조치로 과태료보다형사처벌이 광범위하게 사용된다. 개인정보의 정의가 개방적이고, 그 적용범위가 넓은 상태에서 경미한 법 위반사항까지 형사처벌하는 것은 죄형법정주의에 반한다. 또 다른 법과 비교할 때 형벌이 과도하게 무거워 체계정당성의 원리에 반한다. 정보화 사회에서 개인정보는 보호의 대상이면서 동시에 활용의 대상이다. 개인정보보호법에 개인정보 활용에 대한 고려 없이 개인정보 보호만 강조하고 있어 균형을 상실한 법이다. 개인정보는 보호되어야 할 대상이지만, 동시에 기업의 영업자산 내지 공공기관의 공적 기록으로서 성격도 가지고 있기 때문에 적절한 수준의 수집ㆍ이용ㆍ제공 역시 보호되어야 한다. 법 개정이 필요하다. This paper is aimed at constitutional review on Personal Data Protection Act, which was enacted on March 29, 2011 to protect individuals` privacy from collection, leakage, misuse and abuse of personal data. The Act is marked by following features. First, in regard to personal data protection, it is an integrated law that applies to both pubic and private sector. However, in my opinion, individuals`privacy can be more widely protected by separate approach to each of public and private sector. As private sector is based on the equal relationship between private entities, we should focus on public sector where freedom of individuals can be violated unilaterally by the exercise of state power. Second, the data subject`s consent is a key element of Personal Data Protection Act. However, we cannot guarantee the validity of the consent. In order to regard the consent as valid, the data subject should know about the object of the consent, and have the right to choose whether to give consent and the scope of the consent. In reality, either one of these criteria are not being satisfied. Third, Personal Data Protection Act imposes criminal punishment for almost every law violation. It states that the violation can be punished by imprisonment up to ten years, which shows the level of the punishment is also significantly high. Imposing criminal punishment for the violation of processing of personal data without clearly defining the concept of personal data is against the principle of legality, which requires the elements of the statute that imposes punishment to be clear so that one with sound common sense and a reasonable sense of law should know specifically which act is prohibited. In the information society, personal data is not only an object of protection but also that of use. Personal Data Protection Act lacks in the sense of balance between two conflicting values, personal data protection and freedom of information.

개인정보 보호법의 주요 개정 내용과 그에 대한 평가 - 개인정보 처리의 정당화 사유를 중심으로 -

이소은 ( So-eun Lee ) 이화여자대학교 법학연구소 2020 法學論集 Vol.24 No.3

개인정보 보호법 일부개정법률안이 2020. 1. 9. 제20대 국회를 통과하고, 2020. 2. 4. 법률 제16930호로 공포되었다. 이번 개정을 통하여 개인정보 보호법은 2011년 제정이래 가장 큰 변화를 겪게 되었다. 학계와 실무계에서 지적되어 오던 현행 개인정보보호법의 문제점들이 완화되었고, GDPR을 비롯한 국제적 흐름도 반영되었다. 개정 개인정보 보호법은 개인정보 보호법제에 큰 변화를 가져왔다. 해석상 논란이 많았던 개인정보의 개념을 정비하고(제2조 제1호), 합리적으로 보아 식별가능성이 없는 정보에 대해서는 개인정보 보호법의 적용을 배제하였다(제58조의2). 개인정보보호위원회의 독립성을 담보하며, 개인정보보호위원회에 더 큰 권한을 부여하였다(제7조 내지 제7조의14). 개인정보 보호법 개정과 동시에 이루어진 정보통신망법, 신용정보법 개정을 통하여 개인정보 보호법의 일반법으로서의 지위를 더욱 굳건히 하였다. 그러나 개정 개인정보 보호법에서 가장 중요한 의미를 가지는 것은 정보주체의 동의 없이 개인정보를 활용할 수 있는 범위를 넓혀놓은 규정들이다. 개정법 제15조 제3항 및 제17조 제4항에 따르면 개인정보처리자는 정보주체의 동의가 없는 경우에도 당초 수집 목적과 합리적으로 관련된 범위 내에서, 대통령령이 정하는 바에 따라 개인정보를 이용·제공할 수 있게 되었다. 또한 개정법 제28조의2에 따르면 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있게 되었다. 개정된 개인정보 보호법 아래에서 개인정보의 안전한 활용이 가능해지고, 자유로운 정보 이용의 가치가 좀 더 무게 있게 고려되기를 기대한다. The amendment to the Personal Information Protection Act (hereinafter “the Act”) passed the National Assembly in early January 2020. The Act was promulgated on February 4, 2020, as Act No. 16930. The said amendment drastically changed the scope and content of the Act. Prior to the amendment, the Act had been criticized by both scholars and practitioners. The amendment aimed at solving such problems, and I believe it does solve some of the problems the original Act had. The Act now provides more clear understanding on the concept of personal information. The Act stipulates that the Act does not apply to non-identifiable information, which does not link to the data subject by “reasonable standard.” The Personal Information Protection Commission now has more authority under the Act; the independence of Commission and the members thereof is more firmly established. The amendment bill went through the National Assembly along with other bills, most notably the amendment to the Act on Promotion of Information and Communications Network Utilization and Information Protection and the Credit Information Use and Protection Act. So the complication as with the relationship between the Act and other information-related acts was resolved in some degree. The change most worth noting, among those made by the said amendment, is that the personal information controller now can process the personal information with more discretion. If the purpose of processing is reasonably related to the purpose at the time of data collection, the controller can further process the information without the data subject’s consent. In addition to this, the controller can now process pseudonymized information without the data subject’s consent, for statistical or research purposes, and for archiving porposes in the public interest. Such change is expected to encourage safe use of information, and further promote the value of information use.

중국 개인정보보호 관련 법제의 동향 - 한국의 개인정보보호법제와 비교 -

윤현석 ( Hyun-seok Yoon ) 한국법정책학회 2021 법과 정책연구 Vol.21 No.1

중국은 개인정보에 관하여 개별 법령에서 정하고 있고, 그 침해에 대해서는 민법, 형법, 전자상거래 관련법 등으로 법적 보호를 하고 있었다. 하지만 개인정보, 즉 데이터가 중요해지고 있는 제4차 산업시대에서는 중국의 개인정보 법률체계가 적시에 대응하지 못한다는 비판을 받았다. 나아가 중국 동영상 플랫폼 기업인 틱톡(TikTok)의 개인정보 불법수집 등에 따른 미국 등의 제재로 인해 중국은 개인정보보호를 위한 법률체계의 정비에 대해 관심을 가지게 되었다. 이에 따라 중국은 2017년 네트워크안전법, 2020년 데이터안전법(안)과 개인정보보호법(안)의 도입을 통해 개인정보, 즉 데이터보호와 관련된 법체계를 완비하고자 하고 있다. 특히 개인정보보호법은 국내 인터넷 사용자의 개인정보를 보호하기 위한 이유를 내세우고 있다. 하지만 그 이면에는 중국에 반하는 차별 조치를 취하는 국가나 지역에 대한 보복 조치를 취할 수 있는 법적 근거를 마련하기 위함이기도 하다. 따라서 중국의 개인정보보호 관련 입법동향을 자세히 살펴볼 필요성이 있다. 중국의 개인정보보호 관련 입법에서는 개인정보의 정의를 정하고 있는데, 각 법, 예컨대 민법, 네트워크안전법, 개인정보보호법 등에서 정한 개인정보의 법적 정의가 유사하게 보이지만, 그 실질적 내용은 다르게 해석될 여지가 많다. 따라서 중국은 개별법의 적용에 따라 개인정보의 수집범위가 달라질 수 있다는 점을 유념해야 할 것이다. 중국 개인정보보호법 제43조에서는 어떤 국가 및 지역이라도 개인정보보호 측면에서 중국에 대한 편견을 가지고 금지, 제한하거나 기타 유사한 조치를 취하는 경우에 이에 대한 대응조치규정을 두고 있다는 점이 특이하다. 또한 네트워크안전법이 시행된 이후 중국내 기업들이 개인정보, 즉 데이터의 중국 밖으로 이전할 관련 법률을 위반하는 경우 중국은 그 처벌수준을 한국 보다 높게 정하고 있다. 특히 중국 개인정보보호법에서는 불법소득을 몰수하고, 5천만 위안 또는 전년도 매출액의 5%의 벌금을 부과하도록 하고 있어 한국의 매출액의 3% 과징금보다는 중하다. 위와 같이 중국의 개인정보보호 관련 입법체계의 완성은 개인정보의 중국내 보관 및 국외이전 등과 관련된 규제 및 조정에 대한 내용을 포함하게 된다. 따라서 중국 내 외국사업자, 즉 한국 기업은 중국내 개인정보의 수집과 중국밖으로의 개인정보이전에 대한 입법상황을 면밀하게 파악하여 대응할 필요성이 있다. China has been legally protecting against infringement of personal information through civil law, criminal law, and e-commerce related laws, but regulations on personal information have been decentralized in each law. Therefore, it has been evaluated that the legal system of China is not suitable in the era of the fourth industry, when personal information, that is, data is becoming important. In addition, due to sanctions in the United States for illegal collection of personal information by Chinese video platform company TikTok, China is also trying to complete a legal system to protect personal information for its own citizens. China is seeking to complete the legal system related to personal information, that is, data protection through the enactment of the Network Safety Act in 2017, the Data Safety Act and the Personal Information Protection Act, which was announced in 2020 as a draft. In particular, the Personal Information Protection Act puts out the reasons for protecting the personal information of domestic Internet users. However, it is trying to establish a legal basis for taking retaliation against countries or regions that take discrimination against China. Therefore, it is necessary to look closely at the legislative trends related to personal information protection in China. Personal information protection legislation in China sets different definitions of personal information. In Korea, only the Personal Information Protection Act defines personal information. Therefore, China has defined the personal information protection law similarly to the definition of personal information in the Civil Law and Network Security Law, but it is necessary to unify it as each can have different interpretations. And it is peculiar in that Article 43 of the Personal Information Protection Act of China provides countermeasures in cases where any country or region has a prejudice against China in terms of personal information protection and prohibits, restricts or takes other similar measures. When foreign companies in China violate relevant laws in China when transferring their personal information, i.e. data, outside China, the punishment level is higher than in Korea. In particular, China's Personal Information Protection Act confiscates illegal income and imposes a fine of 50 million yuan or 5% of the previous year's sales, so it can be said to be heavier than the 3% penalty of sales in Korea. As described above, the completion of the legislative system related to personal information protection in China includes the contents of regulations and adjustments related to the storage and transfer of personal information abroad. Therefore, overseas business operators in China should establish countermeasures according to the legislative situation regarding the collection of personal information in China and transfers outside of China.

일본의 개인정보보호법제와 현황

김봉수 ( Kim Bong-su ) 제주대학교 법과정책연구소 2016 국제법무 Vol.8 No.2

일본의 개인정보보호법제는 중앙정부가 아닌 지방자치단체의 조례로부터 출발 하였다는 점에서 다른 나라와 구별되는 특징이 있다. 그리고 국가적 차원의 입법도 행정기관이 보유하는 개인정보보호 관련 입법으로부터 시작되었고,공공부문과 민간부문을 아우르는 개인정보보호법제는 2003년이 되어서야 비로소 완비 가 되었다. 완비된 개인정보보호법제는 공공부문을 담당하는 4개 법률과 민간부문을 담당하는 1개 법률로 구성된 5법 체계를 갖추고 있다. 이 중 민간부문을 규율하는 개인정보보호법은 정보통신기술의 발전에 따른 회색영역의 확대에 대 응하기 위한 일환으로 2014년에 개정안이 마련되어,2015년 9월 중의원 본회의를 통과되기에 이르렀다. 동 개정법에 따라서 개인정보의 의미가 보다 명확해졌고, 적절한 규율 하에서 개인정보의 유용성이 확보되었으며, 개인정보보호가 강화되고, 개인정보취급의 세계화로 달성할 수 있는 전기를 마련하게 되었다고 볼수 있다. 특히 동 개정법에 따라 2016년 개인정보보호위원회가 설치 및 운영되고,2017년부터는 민간부문에서 개인정보보호를 산업별 각 주무 장관이 수행하던 감독권한을 동 위원회가 통합적으로 수행할 수 있게 되어 보다 체계적이고 일원화된 개인정보에 대한 보호 및 감독이 이루어질 것으로 기대된다. 특히 개인정보보호위원회를 통한 통합적 관리·감독의 실시는 민간부문의 자유로운 정보유통의 보장과 자율성 존중, 산업별 개인정보 내지 정보보호의 특성을 반영하는데 있어서는 단점이 될 수 있다는 점이 지적되고 있다. 이에 대해 개정된 개인정보보호법은 개인정보보호위원회와 관련 부처 장관과 협력체계를 전제로 한 규정을 마련함으로써 이를 보완하고 있다는 점은 우리에게 시사점을 주는 대목이다. 0}울러 개인정보보호위원회의 설치 및 운영에 있어서도 위원장과 위원에 대해 양원의 동의를 얻는 절차 등을 마련함으로써 동위원회가 보다 독립적으로 운영될 수 있도록 하고 있는 점도 마찬가지이다. 마지막으로 종전까지 일본에서 개인정보보호법에 따라 주무대신의 인정을 받은 인정개인정보보호단체가 각 민간부문에서 개인정보보호에 대한 업무를 수행하였다는 점은 민간부문에서 자율 적인 규제를 중요시한 것으로서 의미가 있다고 본다. Personal data (or Privacy) protection laws and institutions of Japan was starting from the regulations of the local authorities rather than central government. And legislation at the national level also started from the privacy legislation that holds the administration, personal information protection law covering the public and private sectors was established until it was not until 2003. Currently, Japan`s personal data protection laws are equipped with five laws. 4 out of 5 law legislation is for the public sector, one law is for the private sector. Privacy laws that govern the private sector is one of the amendments made in 2014 to cope with the development of information and communication technologies. This amendment was passed by Congress in September 2015. The meanings of the personal data became more apparent according to the law, was obtained, the usefulness of personal data, the personal data is protected and reinforced, can be seen that the provision of electricity can be achieved with privacy globalization. The Privacy Commissioner has also been installed in January 2016 in accordance with the law. Privacy in the private sector until now had been the Minister of Industry management and supervision. However, the Privacy Commissioner is integrated in the management and supervision relating to privacy Starting with 2017. As a result it is expected that the protection and supervision of more systematic and unified personal information than previously achieved. In particular, integrated supervision through the Privacy Commissioner may be in a disadvantage to reflect the guarantee and respect for autonomy, characteristics of industry-specific privacy information protection of the free flow of information to the private sector. In response the Privacy Act is that it complements it by preparing the regulations, subject to the relevant ministers and the cooperation with the Privacy Commissioner is significant. In addition, the independence of the Privacy Commissioner, and it is important that the viscosity of the importance of voluntary regulation in the private sector.

‘보건의료 데이터 활용 가이드라인’의 현행법상 문제점

이석배 대한의료법학회 2021 의료법학 Vol.22 No.4

민간과 공공이 생산해내는 정보의 홍수속에서, 이 방대한 분량의 정보는 빅데이터로 대표되는 제4차 산업혁명시대의 핵심자원으로 간주되고 있다. 전 세계적으로 이 빅데이터에 대한 관심이 높아지고 데이터의 확보와 축적, 축적된 데이터의 안전하면서도 유용하게 활용하는 방안에 대한 논의가 활발하다. 특히 보건의료 데이터는 빅데이터 기술이 활용될 가장 가치있는 자원으로 평가되고 있다. 이러한 보건의료 데이터를 유용하게 활용하기 위해서는 분산된 보건의료 데이터를 통합하여 조사나 연구에 활용가능한 형태로 이용자에게 제공되어야 한다. 주요 국가들이 데이터 경제의 주도권을 확보하기 위해 경쟁하는 상황에서 우리나라도 2020년 8월 「개인정보보호법」등 소위 ‘데이터 3법’이 개인정보의 활용방향으로 개정되었다. ‘데이터 3법’의 개정은 개인정보 정의의 판단기준을 명확하게 하고, 가명정보의 개념을 도입하여 개인정보의 안전한 활용을 뒷받침하기 위한 제도적 기반이라 할 수 있다. 최근에는 그 후속 조치로 개인정보보호위원회가 ‘가명정보 처리 가이드라인’을 발표하였고, 보건복지부는 이와 별도로 ‘보건의료 데이터 활용 가이드라인’을 발표하였다. 하지만 여전히 풀어야 할 숙제는 남아있다. 우리나라는 「국민건강보호법」에 따라 전국민의 건강보험 가입이 의무화되어 있고, 모든 국민의 보건의료정보는 국민건강보험공단, 국민건강보험심사평가원 등 공공기관이 보유, 관리하고 있다. 이러한 데이터는 보건의료와 관한 빅데이터를 구성하게 되는데, 특히 모든 국민이 단일 건강보험에 모두 가입되어 있다는 점에서 보건의료 영역에서 빅데이터로서 그 가치와 잠재력은 어느 나라에서도 찾기 어려운 것도 사실이다. 반면 안정성의 측면에서는 그만큼 위험을 가지고 있다고 볼 수 있다. 보건의료데이터는 사람의 생명이나 신체와 직결되고 그와 관련된 수많은 민감정보를 포함하고 있어, 다른 분야보다 세심하고 보수적인 관점에서 개인정보를 보다 안전하게 보호하는 것을 전제로 그 안에서 활용이 될 수 있도록 제도가 마련되어야 할 것이다. 이 글에서는 개인정보보호위원회와 보건복지부가 제시한 ‘보건의료데이터 활용 가이드라인’의 주요내용을 분석하기 위하여 우선 개정된 「개인정보보호법」의 주요내용을 검토하고, 그에 따라 ‘보건의료 데이터 활용 가이드라인’의 주요내용을 분석하여 타법률과 충돌문제 등 그 문제점과 개선방안을 검토하였다. ‘보건의료 데이터 활용 가이드라인’은 그 성격상 현행 「개인정보보호법」의 해석을 보충하고, 보건의료 분야에 특화된 데이터 활용의 관점에서 「개인정보보호법」이 내다보지 못했던 상황에 관해 법의 해석・적용과 실무상의 지침을 제시하려 하였으나, 가이드라인의 제목에서 나타나듯이 ‘활용’에 초점을 두어 개인정보보호와 균형을 이루는 데에는 실패한 것으로 보인다. ‘보건의료 데이터 활용 가이드라인’은 「개인정보보호법」의 내재적인 문제점과 「의료법」, 「생명윤리법」과 충돌문제나 실효성 문제, 법률에 규정할 네용을 법률에 근거없이 가이드라인에 담고 있는 등 아직까지 미흡한 부분이 많고, 여러 가지 문제점을 가지고 있다는 점을 확인하였다. In the midst of the flood of private and public information, the huge amount of information is a key resource in the age of the 4th industrial revolution, represented by big data. Interest in these is growing worldwide. There is an active discussion about how to backup and accumulate data and how to use the collected data safely and effectively. Above all, health data is valued as the most valuable resource for which big data technology is used. To make good use of health data, distributed health data must be integrated and made available to users in a form that can be used for research or inspection. In a situation in which large countries are competing for the establishment or management of the data economy, the so-called 3 data laws, which contain the PERSONAL INFORMATION PROTECTION ACT(PIPA)), were also changed in South Korea in August 2020. The PIPA introduced the concept of pseudonymous information and established a legal basis for its use. As a follow-up action, the 'Personal Information Protection Commission (PIPC)' announced the 'Guidelines for Handling Pseudonymous Information' and 'Ministry of Health and Welfare' announced the 'Guidelines for the Use of Health Data'. Health data are directly related to human life and body and therefore contain a lot of sensitive data. So it is a system that can be used from a more cautious and conservative point of view, provided that personal data is more securely protected. In order to analyze the main content of the “Guidelines for the Use of Health Data”, we first checked the main content of the revised DSG. Afterwards, by analyzing the essential contents of the “Guidelines for Use of Health Data”, problems such as conflicts with other laws and improvement measures were checked.

공공도서관의 개인정보보호 현황분석 및 개선방안 연구: 서울․경기지역을 중심으로

임진택,김양우 한국정보관리학회 2015 정보관리학회지 Vol.32 No.1

‘개인정보보호법’은 2011년 3월에 제정되었고, 동년 9월부터 발효되어 시행되고 있다. 그러나, 「개인정보보호법」이 시행되어 3년이 지난 현재에도 개인정보 침해에 대한 사건, 사고가 발생하고 있고, 여전히 개인정보의 수집과 도용․유출․판매 등 여러 가지 위험성을 내포하고 있다. 이는 공공도서관도 예외가 아니다. 그리하여 본 연구에서는 서울과 경기지역에 위치한 공공도서관의 개인정보보호 정책의 현황을 알아보았다. 또한 「개인정보보호법」이 현장에서 제대로 적용되는데 제도적인 제한점이나 문제점은 없는가를 조사하고 ‘개인정보’ 보호 시 참고할 수 있는 개선방안을 제시하고자 한다. 제시된 해결방안은 다음과 관련된다: ① 「개인정보보호법」 업무 수행에 필요한 충분한 예산의 확보; ② ‘개인정보’와 관련된 ‘전문 교육’의 강화; ③ 「개인정보보호법」 업무 수행에 필요한 공공도서관의 공통된 세부 지침의 마련 등이다. Personal Information Protection Act was first enacted in March, 2011, amended in September, 2011 and became effective. Nevertheless, the risk of interfering with personal information protection still remains, associated with collection, plagiarism, leakage, and even sales of personal information. The public libraries are not an exception. Accordingly, this study investigates the status of personal information protection in public libraries of Seoul and Gyeonggi province. Also, it tries to discover problems associated with the act and presents a model scheme to improve this situation. The scheme relates to ① securing of a sufficient budget; ② reinforcing professional education related to personal information; ③ developing detailed guidelines for public libraries.