개인정보자기결정권과 잊혀진 헌법재판소 결정들을 위한 변명

채성희(Chae, Sunghee) 한국정보법학회 2017 정보법학 Vol.20 No.3

개인정보자기결정권은 헌법재판소 및 대법원에 의하여 공법 및 사법 영역에서 각 명시적으로 인정된 권리이다. 헌법재판소에 따르면, 개인정보자기결정권은 헌법 제10조, 헌법 제17조, 자유민주질서, 국민주권의 원리 등을 근거로 하며, 정보화 시대에 개인의 결정의 자유가 침해당할 가능성이 높아짐에 따라 개인을 보호하기 위하여 인정된 권리이다. 개인정보자기결정권은 절대적인 권리는 아니고 비례원칙과 명확성의 원칙 등 기본권 제한의 일반 원칙에 따라 제한 가능하고, 다른 기본권과의 충돌이 발생하는 경우에도, 적어도 표현의 자유와는 우열을 가릴 수 없는 권리로서, 기본권 충돌의 일반 법리의 적용을 받는다. 대법원이 파악하는 개인정보자기결정권 개념도 헌법재판소의 그것과 유사하며, 민사적으로는 인격권의 하나로 관념된다. 그 침해 판단은, 인격권 침해의 일반적 판단기준에 따라, 개인정보자기결정권과 충돌하는 권리간의 구체적 형량에 따른다. 즉, 개인정보자기결정권은 공법적으로는 헌법 제37조 제2 항의 적용을 받는 기본권의 하나이고, 사법적으로는 일반적 인격권의 하나이다. 그러나 일부 학설은 개인정보자기결정권이 공법적으로 그 제한이 좀처럼 허용되지않는 ‘소유권 유사의 강고한 권리’일 뿐 아니라, 완전히 합리적이고 어떠한 상대와도대등하게 협상할 수 있는 개인을 전제로 한다고 하면서 개인정보자기결정권 개념 자 체를 재고할 필요가 있다고 주장한다. 또 다른 학설은 개인정보자기결정권은 사법적으로 ‘절차적⋅형식적 권리’로 그 침해 자체만으로는 불법행위에 의한 손해배상책임을 발생시키지 않는 특수한 권리라고 본다. 필자의 견해에 따르면 이들 학설은 각각 개인정보에 대한 실질적 보호의 필요성을 강조한다는 점과 개인정보보호법 위반이 있다고 하여 바로 손해배상책임이 성립하지 않을 수 있다는 점을 주장한다는 점에서 타당성이 있으나, 개인정보자기결정권 개념 의 이해에 관해서는 위 헌법재판소 결정과 대법원 판례의 태도와 맞지 않는 문제점이있다고 본다. 필자가 생각하기로는 현재의 개인정보보호법을 둘러싼 여러 가지 난점들은 위 학설들이 각 주장하는 바와 같이 개인정보자기결정권 자체에 현실과 부합하지 않는 한계가 있다거나, 개인정보자기결정권이 사권으로서 일반적인 인격권과 다른 것이라는 데서 오는 것이 아니다. 오히려 개인의 보호와 대립하는 법익의 보호를비례원칙에 따라 조화한다는 개인정보자기결정권의 본래 취지를 현실적인 법령들이제대로 살리지 못하는 점이 문제이다. 그러므로 개인정보보호법의 개정에 관한 논의는 우리 헌법상의 개인정보자기결정권의 테두리 안에서 이루어져야 할 것으로 본다.

개인정보자기결정권의 헌법상 근거와 보호영역

전상현(Jeon, Sang-Hyoen) 한국법학원 2018 저스티스 Vol.- No.169

헌법재판소는 개인정보자기결정권을 헌법상 열거되지 않은 기본권의 하나로 인정한 이래로 개인정보자기결정권의 적용영역을 계속해서 확대해 오고 있다. 그러나 개인정보자기결정권의 헌법상 근거에 대해서는 구체적인 논증을 제시하지 않았고, 다른 기본권들과의 관계에서 개인정보자기결정권이 갖는 고유한 보호영역도 명확하게 확정하지 않았다. 개인정보자기결정권의 고유한 보호영역을 확정하지 않은 채 그 적용범위를 확대하는 것은 다른 기본권들의 의미와 기능을 저하시킬 뿐 아니라 기본권침해의 적정한 심사를 위해서도 바람직하지 못한 결과를 초래한다. 개인정보자기결정권은 자신의 정보에 대한 통제권이라는 점에서 우리 헌법이 이미 명시하고 있는 사생활의 비밀에 근거하는 기본권이다. 다만, 개인정보자기결정권은 두 가지 점에서 사생활의 비밀과 자유와 구별되는 독자적 기본권으로서의 의미를 갖는다. 하나는 문제된 정보 그 자체만으로는 사생활의 비밀과 자유에 대한 진지한 제한으로 인정되기 어려운 내용의 정보, 즉 이른바 중립적 정보에 대한 통제권을 기본권 차원에서 보장한다는 것이고, 다른 하나는 정보의 통제에 필요한 적극적 권리로서의 청구권 행사도 포함한다는 것이다. 개인정보자기결정권에 대해 그 헌법적 근거와 고유한 보호영역을 분명히 인식하여야만 다른 기본권들과의 관계에서 개인정보자기결정권의 적용범위를 적정하게 설정할 수 있고 기본권침해 여부에 대한 심사의 타당성도 보장할 수 있는 것이다. In order to recognize rights that are not listed in the Constitution as fundamental rights, the constitutional grounds must be clarified, and the protection areas of newly recognized rights should be clearly defined. The Constitutional Court recognized the right to control personal information as one of the fundamental rights not enumerated in the Constitution. But the Court did not provide a detailed argument on the grounds of the Constitution and did not clearly establish the inherent protection area of the right. In addition, the Court has continued to expand the scope of the right to control personal information. The right to control personal information is derived from the Clause 17(confidentiality and freedom of privacy) in the Constitution. The right to control personal information has been recognized to guarantee the confidentiality and freedom, which was not able to be fulfilled by the Clause 17 under the social circumstance named as the data-computerized era. The right to control personal information includes the right to control so-called “neutral information” and the right to access to personal information which is used by the government, and to require correction or deletion of the information. In this sense, the right to control personal information is distinguished from other fundamental rights.

日本에서 憲法上 自己決定權과 個人情報保護

白允喆(Baek, Yun-Chul) 국제헌법학회 한국학회 2010 世界憲法硏究 Vol.16 No.2

일본과 한국에서는 헌법상 행복추구권을 근거로 보장되는 기본권의 하나인 자기결정권의 문제는 근래에 활발한 논의를 불러 일으키고 있다. 이는 미국에서 임신 중절 권리를 둘러싼 재판에서 여성의 인격 프라이버시권이 언급되어, 존엄사 나 장기 이식 등의 의료상의 개인의 자기결정 논의가 활발해 진 것에서 유래된다. 또한, 개인의 자유로운 생활 양식이 존중되는 시대 풍조도 일조한다. 그런데, 자기결정권을 둘러싼 문제 중의 하나는 자기결정권의 범위의 문제, 즉, 개인의 인격과 연관되지 않는 사항에 대한 자기결정까지를 보장하는가 여부에 대한 문제이다. 일본에서 일설에 의하면 자기결정권이란 자기의 사적인 일에 관해 자유롭게 결정할 수 있는 권리를 말하고, ① 피임, 중절 등의 아이를 낳는가, 낳지 않는가에 관한 사항(reproduction의 권리), ② 연명 거부, 존엄사, 장기 이식 등, 생명의 처분에 관한 사항, ③ 머리 모양, 복장, 등산, 수영, 흡연, 음주 등 개인의 생활 양식이나 취미, 스포츠에 관한 사항 등에 대해, 개개인에게 자유로운 결정을 보장하는 것으로 정의되고 있다. 개인정보와 관련한 개인정보보호 기본원칙을 모든 부문에서 관철시킬 수 있는 일반법으로서 개인정보보호법이 우리 나라에는 없고, 이러한 면에서 인터넷과 기술의 발전에 따른 개인정보 유출가능성에 대한 개인의 정보를 보호할 만한 적극적인 규정이 없는 실정이다. 따라서 인터넷 기술발전은 개인정보의 유출가능성을 기하급수적으로 늘려가고, 이러한 개인정보유출은 범죄적 행위로 발전하여 개인의 피해는 매우 커질 것이다. 특히 현대사회와 같이 정보화사회가 되어 컴퓨터로 대량의 개인정보가 집적되고, 대량의 정보가 순식간에 송신되는 시대에 있어서는 이러한 개인정보보호의 필요성은 더욱 절실하다. 미국이나 유럽에서 프라이버시 보호나 개인정보보호의 조치를 취하고 있는 것은 그 때문이다. 한국도 물론 예외는 아니다. 그런 까닭에, 한국에서도 신속하게 헌법상 개인정보자기결정권의 이론적 근거와 개인정보보호의 법제를 정비할 것이 필요하다고 생각한다. As technology developed rapidly, the era of E-Government and Ubiquitous has been brought into the real world. Especially, by virtue of the development of telecommunication and internet technology, the effectiveness and convenience of the works (or tasks) has been increased through an E-commerce and On-line service in the industries. On the contrary, the issue of misuse or abuse of personal information has been centralized in the society since there has been increased number of problems related to misuse or abuse of personal information. Thus, many scholars have focused on how to use or control personal information and how much discretion should we allow the authority to handle personal information. This research was carried out for the purpose of promoting individual information protection, Every Europe country where interests in privacy of individual information is making a law about individual information protection that belongs to enterprise from a business ethics or personal right protection point of view. And enterprise is working out a countermeasure about individual information protection. Especially, enterprise that offers consumers commodities or services is checking problem about customer information of management system essentially. Also, in Japan and Korea, the law about individual information protection of administrative machinery is already made. And the law about finance enterprise like bank or communication enterprise is being made. in addition, 「basic law of individual information protection」 about general company is being under examination. Especially, medical service information can be divided several grade by infringement degree. Since E-Government and other various information systems will be adopted to utilize for public, it is time to establish a legal system to protect the personal information and to ensure its stability, transparency, and responsibility. Particularly, in the information society, it is necessary to legislate a regulation which includes both public and private sectors for stimulating improvement of legislations and guaranteeing independency and effectiveness of works. Moreover, in order to protect any disturbance of personal information, the legal systems regarding financial, medical, and educational information should be established or reorganized.

개인정보 보호 관련 헌법재판소 결정에 대한 비판적 검토

홍종현 경상국립대학교 법학연구소 2022 法學硏究 Vol.30 No.3

본 논문에서는 개인정보 보호에 관한 개인정보자기결정권을 중심으로 헌법재판소 결정을 입체적으로 살펴보고 헌법재판의 논증구조를 비판적으로 검토하고자 하였다. 개인정보자기결정권의 헌법적 의의와 근거, 그 보호영역 및 한계와 제한 등을 헌법이론적 차원에서 고찰하고(Ⅱ), 개인정보자기결정권에 관한 헌법재판소 결정례 중에서 많은 비중을 차지하고 있는 범죄자의 개인정보 보호와 관련된 사안(수사자료, 범죄경력자료, 전자장치 부착 및 신상정보 관련 제도)을 묶어서 살펴보았다(Ⅲ). 그리고 개인정보자기결정권에 대한 주요 헌법재판소 결정례를 비교하면서 개인정보자기결정권을 침해한 것으로 인정한 사안과 그렇지 않은 사안을 나누어서 간략히 그 특징을 검토하고, 최근 헌법재판소 결정에서 판례의 태도가 변경되거나 유의미한 쟁점들을 선정하여 심층 정리하였다.(Ⅳ) 이를 통해서 시간적 흐름에 따라서 주요 쟁점별로 헌법재판소의 입장이 변화되는 양상을 살펴볼 수 있었다. 특히, 법정의견과 반대의견이 대립되는 논거와 위헌의견이 과반수(5인)임에도 불구하고 위헌결정정족수에 미달하여 합헌결정이 내려지는 경우 등 향후 헌법재판소 입장의 변화가 예상되는 사안들, 선례를 변경한 결정과 입법적 개선조치 그리고 헌법재판소 결정 자체에 모순이 있거나 불합리한 결과가 나타나게 될 위험요인들을 확인할 수 있었다. 특히, 헌법재판소의 결정과 대법원에서 개인정보 침해를 이유로 한 손해배상사건들과 비교해보면 개인정보자기결정권이 한편으로는 사인간에 적용될 수 있는 기본권으로서 중요한 의미를 갖고, 다른 한편으로는 헌법재판소는 ‘공권력 행사’에 해당하는지 여부에 대한 판단이 중요하다는 점에 주목할 필요가 있다. 헌법재판소의 결정례를 분석하여 귀납적으로 개인정보자기결정권에 대한 인식 내지 관점의 변화를 추적하는 것은 매우 어려운 일이었지만, 헌법재판소는 공익을 고려하면서 – 설령 범죄자에 대하여도 - 개인정보 보호의 중요성을 강조하는 경우도 확인할 수 있었다. 특히, 범죄자에 대한 보안처분시“재범의 위험성”을 평가하도록 하고, 정보주체의 개인정보자기결정권을 덜 침해하면서 입법목적을 달성할 수 있는 다른 수단을 고려하며, 보충성 요건의 신설, 정보주체가 개인정보 수집사실을 알 수 있는 절차의 마련 또는 수집된 개인정보의 수집‧보관 필요성이 소멸한 경우나 일정한 기간이 경과한 경우 등에는 이를 삭제‧폐기하는 제도를 도입하는 등 입법적 개선조치를 권고하는 것은 향후 입법자가 고려하여야 할 입법지침 내지 합헌성 심사기준으로 활용할 수 있을 것이다. 또한, 일반적 수권조항(개인정보보호법 제15조 제1항)만으로는 법률유보 원칙을 충족하지 못한다는 결정과 선거운동 기간이라 하더라도 개인정보자기결정권과 익명표현의 자유를 보장해야 한다는 입장으로 판례를 변경한 것도 주목할 필요가 있다. 이와 같은 헌법재판소 결정은 향후 입법과 행정을 구속하는 기준 내지 한계로 작용하여 개인정보보호법제를 정비하기 위한 심사기준이 되어야 할 것이고, 기존의 결정이 갖는 문제점과 부정적 효과 등은 향후 지속적인 연구를 통해 개선하여야 할 것이다. In this paper, various decisions of the Constitutional Court were examined, focusing on the right of access to personal information for its protection, by reviewing their argumentative structure. The constitutional significance and grounds of the privacy right and its limitations were considered at the constitutional level (II), and issues related to the protection of criminals (investigation data, criminal history data, electronic device attachment, and the disclosure and announcement of sexual criminal information etc.) were grouped to perform a more profound review.(III) In addition, the characteristics were briefly reviewed by dividing the issues which were recognized as the infringement of the right of access to personal information according to their major issues.(Ⅳ) The changes of the decisions of the Constitutional Court for each major issue can be identified over time. In particular, the Constitutional Court's position was expected to change in the future if the Constitutional Court's decision itself were contradictory or unreasonable with the legislative improvement measures etc. It is worth noting that the right of access to personal information is important as a constitutional fundamental right to be applied between individuals, with comparing the Constitutional Court's decision and damages cases for personal information infringement in the Supreme Court It was very difficult to inductively track changes in the perspective of privacy right by analyzing the Constitutional Court's decisions, but the Constitutional Court also emphasized the importance of personal information protection. In particular, legislators should consider legislative measures such as evaluating the risk of recidivism, establishing supplementary requirements, preparing procedures to know the collection of personal information, or introducing a system of deletion or disposal after a certain period of time has elapsed. It is also worth noting that the general authorization clause (Article 15, Paragraph 1 of the Personal Information Protection Act) alone does not meet the rule of law principle, and that the precedent should be changed to guarantee the privacy right(especially the right of access to personal information) and the freedom of anonymous expression even during the election campaign. The Constitutional Court's decision should serve as a criterion or limitation to bind legislation and administration, and the problems and negative effects of the decisions should be corrected through continuous research.

개인정보보호의 헌법적 기초와 과제

권건보(Kwon, Geon-Bo) 한국법학원 2014 저스티스 Vol.- No.144

본 연구에서는 헌법상 보장되는 개인정보자기결정권의 내용과 한계 등에 관한 논의를 토대로 하여 개인정보의 보호를 헌법적 과제의 하나로서 부각하고자 하였다. 이러한 관점에서 분석한 주요 내용은 다음과 같다. 개인정보보호의 문제는 헌법상 개인정보자기결정권의 보장이라는 관점에서 접근할 필요가 있다. 여기서 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로 정의될 수 있다. 개인정보자기결정권은 정보주체가 자신에 관한 정보의 수집?이용?제공 등에 대해 동의 또는 반대할 수 있는 권리를 핵심적 내용으로 하며, 경우에 따라 자신에 관한 정보에 통제력을 행사하기 위하여 자신의 개인정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 처리정지 등을 요구하는 권리로 발현될 수도 있다. 그런데 개인정보자기결정권은 무한정 보장되는 절대적 기본권은 아니다. 자신에 관한 정보라 할지라도 개인의 무제한적 지배는 허용되지 않는다. 하지만 개인정보자기결정권의 제한에도 일정한 한계가 따른다. 우선 그 제한은 반드시 법률에 의거해야 할 뿐만 아니라, 과잉금지의 원칙을 준수하여야 한다. 이는 개인정보보호에 있어서 특히 목적구속의 원칙, 최소수집의 원칙, 정확성?안전성의 원칙 등으로 구체화된다. 언론에 의한 개인정보의 취급에 있어서 개인정보자기결정권과 언론의 자유는 서로 상충되는 측면이 있다. 언론매체는 보도를 위한 경우라 하더라도 원칙적으로 정보주체의 의사에 따라 개인정보를 수집하고 처리하여야 한다. 정보원에 대한 접근은 적법한 절차에 따라 이루어져야 하고, 가능한 한 익명이나 가명으로 처리하여 보도하려는 자세를 견지하여야 한다. 공표된 개인정보가 부정확한 것일 때에는 반론보도나 정정보도를 청구할 수 있다. 다만 국민들의 알 권리를 충족시킬 필요가 크다고 인정될 때에는 그 예외가 인정될 수 있을 것이다. 개인정보자기결정권과 정보공개청구권은 독자적인 의의와 성격을 가지고 있지만, 부분적으로는 서로 중첩적으로 기능하기도 한다. 개인정보보호의 이익과 정보공개의 이익이 서로 충돌하는 경우에는 성급하게 양자택일을 할 것이 아니라 부분공개의 법리나 정보주체에 대한 통지제도 등을 통해 대안적 해결을 충분히 모색할 필요가 있다. 최근 일반법인 개인정보보호법이 제정되었으나, 기존의 개인정보보호에 관한 조항들이 개별법이 다수 산재하고 있어 규범간에 중복 내지 충돌의 문제를 야기하고 있다. 개인정보보호법의 입법취지에 부합하지 않는 조항은 특별한 규율의 필요성이 있다고 인정되지 않는 한 삭제하는 등의 입법적 정비가 필요하다. 특히 정보통신서비스를 이용한 개인정보의 처리가 사회 전반에 걸쳐 일반화되고 있는 상황을 감안할 때 정보통신망법상의 개인정보보호 관련 규정들은 개인정보보호법으로 흡수하는 것이 바람직하다고 본다. This study set out to examine the possibility to establish the right of self-control over personal information as one of the fundamental rights guaranteed by the constitution. The research efforts lead to the following conclusions; The protection of personal information issue needs to be approached from the perspective of guaranteeing the right of self-control over one"s own personal information(Personal Information Control Right) in the constitution. This right can be generally defined as individual"s constitutional right to control the circulation of information related to oneself. On the basis of the Personal Information Control Right(PICR), the data subject has the right to consent or object to the processing of personal information. S/he also has the right to access to the personal information, as well as the right to demand rectification, deletion or blocking of personal information etc. The PICR can be restricted for the sake of national security, social order, and public interest, but in its restriction should the government comply with the principle of statutory reservation and proportionality. And also the processors of personal information have to comply with purpose specification principle, collection limitation principle, principle of accuracy and security, system openness principle etc. In the cases where the PICR conflicts with the Freedom of Speech, it is desirable to respect the choice of the data subject. However, we can offer an exceptions when the need to satisfy the right to know of the public is greater. If the PICR conflicts with the Freedom of Information, It is necessary to search for alternatives through the legal principle of partial disclosure or notification system to the data subject. There are not only confusion of personal information processors but also overlapping of regulations for personal information protection because of many acts and regulations to protect personal informations, so the PIPA should be reformed to actually function as the general act vis-a-vis protecting personal information both on-line and off-line.

개인정보자기결정권 보호의 한계의 관점에서 본 「개인정보보호법」 개정의 문제점

강달천(Dal-Cheon Kang) 중앙법학회 2020 中央法學 Vol.22 No.3

관련 전문가와 이해관계자들은 「개인정보보호법」이 (구)「개인정보보호법」의 비합리적으로 경직된 동의제도와 형사처벌 규정 등 규제 체계를 그대로 유지하고 있고, 이러한 기존제도와 맞물려 가명정보 개념 도입 등 신설된 규정들도 그 기능을 다하기 어려울 것이라는 문제를 지적하고 있다. 사실 이러한 문제점들의 주요 원인의 하나는 정보주체의 ‘동의 여부를 결정하는 권리’와 ‘개인정보자기결정권’이 동일한 권리라고 잘못 이해되고 있다는 점이다. 이는 개인정보자기결정권의 보호법익을 부당하게 확대할 뿐 아니라, ‘동의’ 이외의 정당한 개인정보 이용(흐름)에 장애로 작용한다. 이에 개인정보자기결정권의 본질에 대한 종합적 검토가 필요하다. 개인정보자기결정권은 정보주체의 절대적 권리는 아니다. 헌법재판소가 개인정보자기결정권을 간단히 “자신의 개인정보를 스스로 결정할 권리”라고 정의하고 있지만, 이에는 “정보주체의 동의거부권, 열람권 등 절차적·형식적 위험규제등 통제권을 보장함으로써 궁극적으로 정보주체가 향유하는 사생활의 비밀과 자유 뿐만 아니라 인격권 및 민사적 계약상의 권리 등 실체적 권리의 총체”라는 의미와 “정보주체가 다양한 인격적, 경제적 이익 등을 향유하기 위해 자신의 개인정보 유통을 적극적으로 형성할 수 있는 권리”라는 의미가 포함되어 있다고 해석할 수 있을 것이다. 그러나 개정 후에도 고수되고 있는 고지와 동의 기반의 ‘사전동의 = 형식적 동의’ 및 ‘동의의무 위반 = 형사처벌’이라는 공식은 ‘동의 만능주의’를 더욱 견고하게 할 뿐 아니라, 개인정보의 과잉보호를 초래하여 정당한 개인정보 처리까지 규제하는 원인이 된다. 특히 빅데이터 분석을 통한 추론데이터 이용 등 전에 없던 새로운 유형의 개인정보 이용 환경은 지금까지 고수되어 오고 있는 ‘고지에 입각한 동의’라는 개인정보보호법제의 전통적 규제방식을 무력화시키고 있으며, 새로운 규제방식을 요구하고 있다. 「개인정보보호법」은 핵심은 개인정보자기결정권의 본질을 희생시키기 않으면서, 데이터 활용에 따른 개인에게 주어지는 편익뿐만 아니라 기업과 국가 전반에 미치는 편익 등을 고려한 적합하고 효과적인 규제에 있다. The right to self-determination of personal information is not an absolute right of the data subject, and legal interests of the right must not be unreasonably expanded. This right is a right recognized as a new protection system for areas outside the scope of normal privacy right protection, because it is not appropriate to apply the laws related to privacy protection to general personal information. Though the Constitutional Court defines the right to self-determination of personal information simply as “the right to decide on their own personal information”, the definition shall be construed that it means “the totality of tangible rights such as personal rights and civil contract rights, as well as the right of privacy that the data subject ultimately enjoys by guaranteeing the rights of control such as procedural and formal risk regulation such as the right to refuse consent and the right to access” and that it means furthermore “the right of information subjects to actively form their own personal information distribution in order to enjoy various personal and economic benefits.” Therefore, the Personal Information Protection Act , which specifies the right to self-determination of personal information, is a law that contains regulations for personal information protection such as legality standards and procedural requirements for personal information processing, and that, in addition, personal information is not only the object of protection, but a balance between protection and use is promoted, premising the free movement of personal information as a “medium that identifies and evaluates the information subject or as a medium that establishes social relations.” But the formulas of ‘prior consent = formal consent’ and ’violation of consent obligation = criminal punishment’ based on notice and consent, which have been adhered to even after the revision, not only strengthens the ’universalism of consent’, but also causes excessive protection of personal information, which is the cause of regulating even legitimate personal information processing. In particular, the use of new types of personal information, such as the use of inferred data through big data analysis, not only increased the risk of personal information, but also changed the nature of the risk. In addition, it is defeating the traditional regulatory method of the Personal Information Protection Act, which has been adhered to so far, “informed consent,” and is demanding a new regulatory method. While the EU and the UK still adhere to the principle of ’notice and consent’ as a core principle, on the other hand, through the collection of public opinions on the legal handling of personal information in the AI and big data environment, and publication of guidelines, notifications suitable for the new environment and it provides detailed information on cases related to the method of consent. As such, it is urgent for Korea to seek practical solutions to cope with the big data environment. In addition, although not mentioned in this paper, it is necessary to review the legal system and policy on matters to be considered in the big data environment, such as the right to veto automated decision-making such as profiling and the right to move personal information in GDPR. The Personal Information Protection Act is a law that aims to protect individual freedom and rights and ultimately realize individual dignity and values by setting matters on the processing and protection of personal information as specified in its purpose. To this end, efforts are needed to prepare an appropriate and effective regulatory method in consideration of not only the benefits given to individuals from using data, but also the benefits to companies and the country as a whole, without sacrificing the nature of the self-determination of personal information.

헌법상 개인정보자기결정권과 성범죄자 신상등록·신상공개·신상고지 제도

여경수(Yeo, Gyeongsu) 대검찰청 2017 형사법의 신동향 Vol.0 No.54

본 논문에서는 신상정보 등록, 고지와 공개제도와 관련된 성범죄자의 개인정보자기 결정권을 다루고자 한다. 우리나라에서는 성범죄에 대한 규율은 일반법인 형법 이외에도 성범죄를 규율하는 특별법이 다수 존재한다. 이들 법령에 따른 성범죄의 법정형의 강화, 화학적 약물치료나 전자장치 부착과 같은 중첩적인 보안처분의 부과, 신상정보 등록과 공개 또는 고지 제도가 있다. 이처럼 우리나라의 법제도는 성범죄자에 대한 처벌과 의무를 강화하는 데에 초점이 있다. 본 연구에서는 성범죄자의 신상정보등록과 공개, 고지제도와 관련해서 성범죄자의 개인정보자기결정권을 다룬다. 기본권을 제한하는 입법을 함에 있어서 지켜야 할 헌법적 한계인 과잉금지의 원칙 내지는 비례의 원칙을 준수해야 한다. 개인정보자기결정권의 제한과 한계에서 헌법상 비례의 원칙을 주로 다룬다. 성범죄자에 대한 신상공개제도가 범죄인의 인격을 황폐화시키고, 형벌을 통한 교화라는 근대 형법의 기본정신 훼손한다는 헌법재판소 재판관 소수의 견해를 주목할 필요가 있다. 성범죄 예방을 위해서는 성폭력범죄자에 대한 보다 적극적인 치료와 교육 또는 재활프로그램의 실시와 같은 다양한 수단을 종합적으로 활용하는 것이 얼마든지 가능하다. 성범죄자의 개인정보자기결정권을 지나치게 제한하는 것보다는 성범죄에 대한 근본적인 예방책에 치중하는 것이 더 바람직하다. 이 글을 통해서는 성범죄자의 개인정보자기결정권에 관한 제한과 헌법적 한계를 검토한다. 이번 연구를 통해서 헌법재판소가 제시한 법리를 토대로 향후 성범죄자자의 신상정보 등록과 공개, 고지 제도에 관한 입법개선 자료에 참고가 되리라 본다. This study focuses on the registration, disclosure & notification on sex offenders. In recent some special laws against sex-crimes, especially sexual violence crimes were enacted in Korea. Most of them go into effect now and the one is supposed to be in force before long, which regulates medical treatment against sex drive of sexual violence offenders. The personal information disclosure under the provision is executed through information and communication networks. This is not just a matter of stigma or exclusion against ex-offenders of sexual abuse. The disclosure is highly likely to foreclose the possibility of the offenders’ normal return to society ; may cause mental pain even to innocent family members and deprive them of their foundation for livelihood. Sex offender registration, disclosure & notification violate the rule against excessive restriction and infringes sex offenders’ right to personal liberty and self- determination over personal data. This study tries to compare and review the characteristics of the systems of sex offender registration, disclosure & notification by constitutional court.

사물인터넷, 블록체인, 인공지능의 상호운용에 있어서 개인정보자기결정권의 실현 및 데이터 이용 활성화

윤종수 한국정보법학회 2020 정보법학 Vol.24 No.3

The features of IoT(Internet of Things), Blockchain and AI(Artificial Intelligence), such as continuous processing of vast amounts of data, flexibility and variability in the scope and purpose of use, distributed processing by multiple actors, automated processing without human intervention, and complexity of data analysis, -inevitably lead to conflict with personal information protection laws. In particular, it is not easy to obtain prior consent, as informed consent, of data subjects in such a technology environment. Some solutions for this problem have been proposed, but there is a further fundamental issue that the practice of personal information protection laws have heavily relied on the prior consent mechanism. It causes that other mechanism for personal information protection is treated lightly and all the responsibility for personal information protection is shifted to the data subject. The data subject who can’t understand or is unconcerned with the effect of consent is making reckless consent or reject categorically without any consideration of implication of sharing information. The processor of personal information who use a consent of the data subject as a means of exemption is trying to obtain the consent by the irregular and evasional way. On the other hand, the processor who really tries to obtain the informed consent of the data subject is confronting the unreasonable cost of regulation and increasing legal risks in the IoT and AI environment. In this situation, the new introduced pseudonymized information system replacing consent with de-identification processing is criticized by both the data subject and the processor due to legal uncertainty and insufficient protection of data subject. While the consent of the data subject is just a passive expression of permission and one of the various legal basis for lawful processing of personal information, the right to informational self-determination as a constitutional fundamental right and moral right is an active right which can control autonomously the flow of personal information in the modern informational society. Therefore, it is wrong understanding to recognize the right of the consent of the data subject as the right to information self-determination, or an essential content of the right to information self-determination. The right to information self-determination can be realized by active protection of data subject interest and expansion of the use of data, not by passive consent. The data subject and the processor should be cooperative through a fair agreement to obtain a mutual benefit when utilizing personal information. We should focus on guaranteeing the rights of data subject for active involvement in the entire process of personal information and the post-control through the enhancement of transparency and auditability. It is very important in the interoperability model of IoT, blockchain and AI which can create social and economic values by using data flow. Also, the data subject should not bear all the burden of the protection of the right to information self-determination, but the public and the private sectors as well as the data subject need to share the burden. Therefore, the key is how to build a governance system based on ethical legitimacy and mutual trust. We can realize the fair agreement model upgraded from the consent model by using data platforms often mentioned in the era of artificial intelligence and big data. The data subject can keep control of his/her personal information and make use of it effectively with a MyData model that has technical support such as data management and storage systems such as PIMS and PDS and legal support of right to data portability. But It is not sufficient for the fair agreement model. So, a data trust model in which a trustee with great expertise and resources negotiates with processor and participates in the entire process of personal information and the post-control instead of data subjec... 데이터 경제의 핵심기술인 사물인터넷, 블록체인, 인공지능의 방대한 데이터의 상시 처리, 활용 범위 및 목적의 유연성과 변동성, 분산처리 및 자동처리, 데이터 분석의복잡성은 필연적으로 개인정보 보호법제와 충돌한다. 특히 고지에 의한 동의(informed consent)를 충족해야 하는 정보주체의 사전동의를 받는 것이 쉽지 않다. 이문제를 해결하기 위한 다양한 방안이 시도되지만, 보다 근본적인 문제는 우리의 개인정보 보호법제와 그 운용이 정보주체의 동의에 지나치게 의존하고 있다는 점에 있다. 동의 제도에 대한 지나친 의존은 나머지 정보보호 메커니즘을 소홀하게 만들고, 정보주체에게 모든 책임을 전가한다. 동의에 따른 결과를 정확하게 이해하지 못하고 그럴의사도 없는 정보주체는 형식적인 동의를 남발하거나 정보이용의 함의에 대한 이해없이 무조건 동의를 거절하고, 정보주체의 동의를 면책수단으로만 활용하려는 정보처리자는 변칙적이고 탈법적인 방법으로 동의를 확보한다. 한편, 제대로 정보주체로부터 동의를 받고자 하는 정보처리자에게 엄격한 사전동의 제도는 비합리적인 규제이며, 특히 사물인터넷, 블록체인, 인공지능 기술환경에서 법적 리스크를 증가시키는원인이 된다. 동의의 비중이 과도한 이런 상황에서 비식별처리로 동의를 대체하는 가명정보 제도는 그 적정성을 엄격하게 판단할 수 밖에 없어 여전히 법적 불확실성이해소되지 않는다는 비판과 함께, 동의를 대체하는 것에만 집중한 나머지 정보주체가정보처리에 관여할 수 있는 여지를 오히려 축소시켜 정보주체의 보호에도 미흡하다는 비판을 동시에 받고 있다. 정보주체의 동의는 침해의 위법성을 조각시키는 소극적, 수동적인 의사표시로서 개인정보처리의 여러 법적 근거 중 하나일 뿐이다. 반면 정보주체의 헌법적 기본권이자 인격권인 개인정보자기결정권은 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제하는 적극적, 능동적 권리이다. 따라서 정보주체의 동의권을 개인정보자기결정권과 같은 권리, 또는 개인정보자기결정권의 본질적인 내용으로 받아들여 정보주체의 동의를 얻어야만 개인정보자기결정권이 실현되는 것으로 받아들이는 것은 잘못이다. 개인정보자기결정권의 실현은 동의에 의한소극적, 수동적 자율성보호에 의존할 게 아니라 적극적, 능동적인 이익 보호로서 정보주체의 이익을 보호하고 동시에 데이터 활용을 확대시키는 것이 되어야 한다. 즉 정보주체와 정보처리자가 함께 개인정보 할용으로 상호이익을 얻기 위해 협력하는 공정한 합의 모델이 되어야 한다. 이를 위해서는 개인정보 전 처리과정에서 정보주체의참여를 적극 보장하고, 투명성과 감사가능성 등 사후관여, 사후통제 실현에 초점을 맞추어야 한다. 이는 데이터의 흐름과 활용을 통해 사회, 경제적 가치를 창출하는 사물인터넷, 블록체인, 인공지능 기술의 상호운용에서 매우 중요한 의미를 갖는다. 나아가고도 정보사회에서 개인의 결정의 자유와 자유민주체제의 근간을 보존하기 위한 필요 최소한의 헌법적 보장장치로 개인정보자기결정권을 이해한다면, 개인정보자기결정권의 보호는 어는 한 주체에 모든 부담이 주어져서는 안되고, 정보주체와 공공, 민간이 함께 그 부담을 나누어야 한다. 따라서 개인정보의 적극적, 능동적 이익 보호 모델은 거버넌스 구조를 띄게 된다. 개인정보자기결정권의 실 ...

개인정보 자기결정권과 동의 제도에 대한 고찰

권영준 전남대학교 법학연구소 2016 법학논총 Vol.36 No.1

개인정보 보호법이 제1조에서 선언하듯이, 개인정보 보호는 “개인과 존엄의 가치를 구현”하는 문제로 여겨지고 있어 마치 성역처럼 여겨질 위험성도 없지 않다. 그러나 대부분의 법적 문제들이 그러하듯 어떤 가치를 추구함에 있어서는 늘 그 하위 가치들의 세밀한 형량과 조정이 요구된다. 개인정보 보호도 예외가 아니다. 개인정보 자기결정권은 헌법 제10조와 제17조에 기초하여 인격권의 하나로 인정되는 권리로서, 개인정보 보호법의 이념적 토대를 이룬다. 개인정보 자기결정권은 전통적인 권리 분류법에 따르면 절대권 내지 지배권의 성격을 가지기 때문에 개념상 강한 권리라고 할 수 있다. 하지만, 개인정보 자기결정권 역시 이를 둘러싼 수많은 가치나 이익들의 균형 있는 고려와 세밀한 조정을 요구한다. 개인정보 자기결정권이 정보 통제권이자 표현 통제권의 속성도 가진다는 점, 개인정보 자기결정권과 같은 인격권의 보호범위는 소유권과 같은 절대권과 비교할 때 형량과 조정의 필요성이 훨씬 크다는 점, 개인정보 자기결정권의 전제가 되는 합리적 인간상은 현실적 인간상과 거리가 있다는 점 등을 고려하면 개인정보 자기결정권의 보호범위는 좀 더 균형감 있는 조정 작업을 통하여 확정해 나가야 한다. 또한 정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 원칙을 구현한 동의 제도는 개인정보 자기결정권의 이념을 가장 잘 구현하는 제도로서 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있다. 개인정보 자기결정권의 이념적 정당성을 인정하는 이상 동의 제도도 그 이념적 정당성을 인정할 수 있다. 나아가 권리 보호 방식에 관한 동의 규칙(property rule), 보상 규칙(liability rule), 양도불가능 규칙(rule of inalienability)의 틀에 비추어 검토하더라도 동의 제도의 정당성은 원칙적으로 인정된다. 하지만 동의 제도가 현실 속에서도 정당성을 획득하려면 정보주체의 정보력, 인지력, 판단력, 협상력이 충분히 담보되어야 하는데, 그 동안의 실증적인 연구결과에 따르면 현실 속에 나타난 정보주체의 모습은 그렇지 않다. 이로 인해 정보주체의 동의가 형식적으로 이루어지고 있고, 그 동의의 가공할 만한 법적 힘에 기대어 오히려 개인정보의 오남용이 이루어질 가능성도 커지고 있다. 또한 사물인터넷의 발달로 인하여 개인정보 수집과 이용에 대한 사전 동의는 부분적으로 비현실적인 것이 되고 있어 동의 제도를 기계적으로 관철하거나 확장하는 것은 과학기술의 발달에 장애가 될 우려도 있다. 이러한 점에서 동의 제도를 재검토하고 그 개선방향을 모색하여야 한다. 동의 제도의 문제점과 이와 유사한 약관 제도의 개선에 관한 논의 현황을 참조하면 동의 제도는 다음과 같은 방향으로 개선될 수 있다. 첫째, 정보제공의 단순화와 실질화를 통해 동의의 형식화를 방지하는 방향이다. 이는 정보주체가 알고 하는 동의(informed consent)를 할 가능성을 높이기 위한 것이다. 다만 정보제공의 단순화는 개인정보 보호법에서 요구하는 정보제공 기준에 배치될 위험이 있으므로 기존 정보제공과 병행하여 행할 수밖에 없을 것이다. 이러한 단순화된 정보는 텍스트(text) 요약판으로 제공할 수도 있고, 표(table)나 이미지(image)를 사용하여 제공할 수도 있다. 나아가 개인정보취급방침 등에 대한 등급제나 인증제를 통해 제3의 전문기관이 개인정보 보호 정도를 1차 ... As declared in the first Article of the Personal Information Protection Act in Korea, personal information protection purports to materialize inner value of human dignity. This poses possibility of viewing personal information protection as nearly non-negotiable issue. However, as is the case with other legal issues, pursuing certain value almost always requires subtle balancing in regard to other values. The matter of personal information protection is no exception to this. The self-determination right to personal information, which forms a normative foundation for personal information protection regime, springs from personality right which in turn grounds itself on the Article 10 and 17 of the Korean Constitution. The self-determination right to personal information, according to a typical taxonomy, is categorized as absolute or dominion right, and thus regarded as a ‘strong right’ by its nature. Yet, it is also the right that controls and curbs information and expression, and thus creates tension against other personal legal interests. In that sense, it is to be differentiated from typical absolute right such as ownership right over things. Therefore, it is important that one reasonably delineate the scope of protection for personal information, thereby striking an appropriate balance among relevant values and interests. In order to realize the idea of self-determination, the current legal regime in principle requires the consent of the information subject in collecting or processing personal information. As long as the idea of self-determination can be justified, the consent regime can also be justified. Further, from the perspective of property rule / liability rule dichotomy, the consent regime which embodies the idea of property rule is justified. However, in order for such regime to work well in practice, lack of information, judgment capacity, and bargaining power of the information subject need to be addressed. Without such basis, the consent regime only justifies exploitation of personal information of personal information controller from less-informed information subject. The empirical studies show that it is so in reality. Moreover, the consent regime needs to be revisited in the wake of “Internet of Things”, in which obtaining individual consent from information subject becomes almost impracticable. Against this backdrop, this article proposes several ways to respond to these challenges. First, it points out necessity to enhance informed decision of the information subject by simplifying and materializing information-disclosure on the meaning and the scope of personal information collection and processing. The summary of the text of a privacy policy or relevant boilerplates may be provided. Tables and images may also be used, as one can find out similar examples in other areas such as revealing energy efficiency on electronic appliance. A rating or certification of a privacy policy by competent authorities may also serve as a simple way of delivering information. Second, it addresses the possibility of relaxing current consent regime, including turning current opt-in regime to opt-out regime, while strengthening other means of personal information protection, including fortifying control right of information subject in the processing stage, utilizing technical measures such as PETs(Privacy Enhancing Technologies), and encouraging self-imposed control in the private sector. Such efforts may lead to substantial and practical protection of personal information.

개인위치정보의 수집으로 인한 손해배상책임 - 대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결

권태상 이화여자대학교 법학연구소 2020 法學論集 Vol.24 No.4

(1) 개인정보자기결정권 침해만으로 바로 비재산적 손해에 대한 배상 책임을 인정 할 수 없다는 견해는, 다른 실체적인 권리에 대한 침해나 위험이 발생하여야 비재산 적 손해에 대한 배상 책임을 인정할 수 있다고 한다. 그런데 이러한 견해에 의하면 개 인정보자기결정권이라는 독립된 권리를 인정하는 의미가 상실될 수 있다. 개인정보가 유출된 경우 그 개인정보는 범죄에 악용될 위험성이 있다. 또한 개인정 보는 단순한 정보라도 다른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 단 순한 개인정보라 하더라도 유출되지 않게 보호할 필요가 있고, 이를 위한 권리로 개 인정보자기결정권이 인정되는 것이다. 인격권에 의하여 보호하려는 것은 사람이 자신과 관련된 사항에 대해서 가지는 자 기결정권이라고 이해할 수 있다. 개인정보자기결정권은 사람이 자신의 개인정보에 대 해서 가지는 자기결정권을 보호하는 권리이다. 초상권, 성명권 등이 실체적 권리인 것과 마찬가지로, 개인정보자기결정권 역시 실체적 권리로 보아야 할 것이다. 그리고 비재산적 손해는 그 성질상 사실적으로 파악하기 쉽지 않으므로 규범적으 로 파악되어야 한다. 개인정보자기결정권이 침해된 경우, 이로 인해 피해자가 어떠한 정신적 고통을 입었는지 또는 어떠한 정신적 이익을 상실했는지 사실적으로 증명할 것을 요구하는 것은 바람직하지 않고, 그러한 권리 침해 자체를 규범적으로 평가하여 비재산적 손해를 인정해야 할 것이다. (2) 개인위치정보는 그 자체가 바로 사생활을 의미하거나 행동의 자유와 관련될 수 있다. 그리고 개인위치정보는 개인의 생명, 신체의 안전이나 사생활과 밀접하게 관련 되는 민감성이 높은 정보이다. 또한 개인위치정보 역시 단순한 정보로 보이더라도 다 른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 설령 개인정보에 대한 자기결정권 침해만으로는 비재산적 손해의 배상책 임을 인정할 수 없다는 입장을 취하더라도, 개인위치정보에 관한 자기결정권이 침해 된 경우는 비재산적 손해의 배상책임을 인정하는 것이 바람직하다. 개인위치정보는 일반적인 개인정보에 비해 강화된 보호를 받아야 할 필요가 있기 때문이다. 대상판결은 개인위치정보가 동의 없이 수집된 경우 그로 인해 바로 손해배상책임 이 인정되지는 않는다는 입장을 취하였다. 그러나 정보주체에게 2차적으로 피해가 발 생하였는지 여부와 무관하게 개인위치정보에 관한 자기결정권 침해로 인한 비재산적 손해배상을 인정하는 것이 바람직하다. (1) If personal information is leaked, the personal information is at risk of being abused in a crime. In addition, personal information, even simple information, can have great meaning when combined with other information. The object to be protected by the personality rights is the right of self-determination. The right to self-determination of personal information is the right to protect the self-determination right that a person has about his or her personal information. Just as portrait right and name right are substantive rights, the right to self-determination of personal information should be viewed as a substantive right. Non-pecuniary loss is not easy to grasp realistically in nature, so it should be identified normatively. If the right to self-determination of personal information is violated, it will be necessary to acknowledge the non-pecuniary loss by normatively evaluating the infringement of such right itself. (2) Personal location information itself can mean privacy or can be related to freedom of action. And personal location information is highly sensitive information that is closely related to personal life, body safety, and privacy. In addition, personal location information can also have great meaning when combined with other information, even if it appears to be simple information. Therefore, personal location information needs to be more protected than general personal information. Supreme Court of Korea took the position that if personal location information was collected without consent, liability for damages would not be recognized immediately. However, it is desirable to recognize non-pecuniary loss caused by infringement of the right to self-determination concerning personal location information, regardless of whether or not secondary damage has occurred.