위치정보법의 규제 및 개선방안에 관한 연구

전응준(Jeon, Eung-Jun) 한국정보법학회 2014 정보법학 Vol.18 No.1

Act on the Protection and Use of Location data intends to protect location data of an anonymized individual and a mobile object, as well as identifiable personal location data. In this regard, the Act provides that consent of data subjects should be obtained when collecting and using location information and technical and administrative measures should be taken, for all of the location informations of people and objects, regardless whether the information is about a person or an object and the person is identified or not. Further, the Act gives criminal punishment to anyone who collects, uses or provides personal location data (except for location data of objects) without obtaining the consent of the person, or fails to take technical and administrative measures. The purpose of this Act is to protect privacy against the leak, abuse and misuse of location data (refer to Article 1), thus, legal protections for simple location data not belonging to personal data should be carefully decided upon. Particularly, considering that Data Protection Act declares principle of anonymization of data processing (refer to Clause 8 of Article 3), regulating the anonymized location data at a similar level to the personal location data may make the service providers(data controllers) lose a cause for anonymization, thereby rather running counter to protection of privacy. With regard to location data of a object, in a specific case, if it is related to infringement against protection of privacy, it should be regarded as personal location data, meanwhile, if it is merely to trace its movement, it should be dealt with as a contract with owner or a tort, on a case-by-case basis. One of the major tasks of Korean Acts for data protection, including Act on the Protection and Use of Location data, is about determining of the scope of the personal data and the matter of consent of data subjects. The scope of the personal data and the personal location data is comprehensive, because the personal data under the acts is defined as including the information that can be easily combined with other information to identify a certain person. Therefore, when imposing legal sanction such as criminal punishment or a fine, there is a great risk that principle of definiteness may be violated. With regard to the concept of ‘easily combined’, it does matter what the probability is that a data controller obtains other information to be combined. For this, considering contractual relationship, information system connectional relationship, and so on, the realistic and substantial possibility that the data controller gets other information should be thoroughly examined. Meanwhile, with regard to the consent of data subjects, particularly the time and the manner of the consent has become an issue. However, considering that opt-in is obtained perfunctorily in practice, it seems to be needed to permit consents in the manner of notification and opt-out, similarly to legislation of other countries, although opt-in is required under Korean Acts for data protection. Further, the legislations, systems and technical studies should proceed toward allowing the data subject to control the accuracy level of the location data for oneself, considering that the location data is sensitive information. The Act on the Protection and Use of Location data stood on the basis of the station-based mobile communication in the age of the feature phone, the cargo control system, and so on. However, recently a smart mobile system using WIFI and GPS on smart phone and tablet is developed, thereby problems of the procedural regulation which was unforeseeable at the time when the Act was established are arising. Particular examples are given as follows: obligation to immediately notify the data subject each time, obligation to specify service agreement in mobile advertisements, the manner of obtaining consent, permission/report system for the location-based service providers. Govern 위치정보법은 개인정보에 해당하는 개인위치정보 외에 익명화된 개인 및 사물에 대한 위치정보까지 보호대상으로 삼고 있다. 그에 따라 사람인지 사물인지 여부, 개인이 식별되는지 여부를 불문하고 사람과 사물에 대한 위치정보라면 모두 수집⋅이용 시 동의를 받게 하고 법령에 정한 기술적⋅관리적 조치를 취하게 하고 있다. 그리고 동의를 받지 않고 위치정보를 처리하는 경우(물건의 위치정보는 제외), 기술적⋅관리적 조치를 불이행하는 경우 모두 형사처벌을 가한다. 위치정보법 역시 사생활의 비밀을 보호하려는 법률이므로, 개인정보에 해당하지 않는 단순위치정보를 법적인 보호대상으로 함에는 신중함을 요한다. 특히 개인정보 보호법이 익명처리원칙을 선언하고 있음에 비추어, 익명화된 위치정보에 대하여 개인위치정보와 유사한 수준으로 규제를 가하는 것은 사업자들로 하여금 익명처리에 대한 유인을 상실케 하여 도리어 프라이버시보호에 역행하는 결과를 초래할 수 있다. 물건에 대한 위치정보 역시 구체적 상황에서 개인의 프라이버시보호가 문제되는 것이라면 개인위치정보로 처리하여야하고, 단순히 물건의 이동상황을 추적하는 것이라면 소유자와의 계약관계로 처리하거나 경우에 따라 불법행위로 처리하여야 한다고 본다. 위치정보법을 비롯한 우리나라의 개인정보보호법률에서 해결되어야 할 핵심 과제중에 하나는 개인정보의 범위, 정보주체의 동의에 관한 것이다. 개인정보의 정의에 결합용이성이라는 개념을 더한 결과 개인정보, 개인위치정보의 범위가 매우 포괄적이어서 형사처벌, 과태료 등의 제재적 조치를 취하는 경우 명확성의 원칙에 반할 위험이 매우 크다. 결합용이성에 관하여는 개인정보처리자가 결합할 수 있는 다른 정보를 획득할 개연성이 어느 정도인지 문제되는데, 계약관계, 정보시스템 연결관계 등을 고려하여 현실적으로 다른 자료를 보유할 가능성이 상당한지 구체적으로 검토되어야 할것이다. 정보주체의 동의에 관하여는 특히 동의의 시기 및 방식이 문제되고 있다. 우리나라의 개인정보보호법률체계는 사전 동의(opt-in)를 요구하고 있으나 사전 동의가 형식화되고 있는 현실에 비추어 다른 나라의 입법례와 같이 고지(notification) 및 선택적 거부(opt-out) 방식의 동의를 허용할 필요가 있다고 생각된다. 그리고 위치정보가 민감정보라는 특성을 고려하여 정보주체가 스스로 위치정보의 정확도 수준을 제어하여 위치정보처리가 가능하도록 법⋅제도 및 기술적 연구가 진행되어야 할 것으로 본다. 현행 위치정보법은 이른바 피처폰 시대의 기지국 기반 이동통신, 화물관제시스템 등을 배경으로 하였다. 그러나 최근 스마트폰, 태블릿 등에서 WIFI, GPS를 사용하는 스마트 모바일 환경이 조성함에 따라 입법 당시에는 예상하지 못하던 절차적 문제점이 발생하고 있다. 대표적으로는 매회 즉시 통보의무, 모바일 광고시 이용약관명시⋅동의획득의 방법, 사업자에 대한 허가/신고제를 들 수 있다. 최초 법 제정 당시에는 사업자에 대한 정부의 관리감독, 위치정보에 대한 엄격한 규제가 중요시되었으나, 이제는 개인정보보호라는 큰 틀의 관점에서 절차적 규제의 합리성을 따져 보아야 할 것이다.

EU의 데이터 이용 관련 법제와 우리 법에의 시사점 – 독일의 최근 사례를 중심으로 -

서창배 전북대학교 동북아법연구소 2023 동북아법연구 Vol.17 No.3

흔히 데이터 주도 경제로 표현되는 최근의 디지털 산업화가 몇몇의 데이터 독점 기업을 통해 주도 되어지면서 결과적으로 상업적 이용가치를 가지는 데이터가 포함하고 있는 이용자 개인정보가 심각하게 누출될 수 있다는 점이 최근에 부각되기 시작하였다. 데이터의 경제성과 소비자프라이버시(Privacy) 보호라는 두 가지 목적을 동시에 달성하기 위해서는 개인정보 수집 및 활용에 있어 정보주체인 이용자의 권리를 보호하면서 동시에 이를 정당하게 활용하기 위한 동의 획득 방안을 구체화하여야 하여야 한다. 우리 개인정보보호법과 GDPR에서 정하고 있는 동의 절차의 측면에서 가장 크게 차이가 나는 부분은 우리 법이 동의라는 요소를 개인정보처리의 필수적인 사항으로 규정하고 있음에 반해 GDPR은 동의를 개인정보처리의 합법성 요건 즉 정보주체의 동의, 계약의 체결과 이행, 법적의무의 이행, 정보주체 혹은 다른 자연인의 중대한 이익의 보호, 공익을 위한 업무의 처리 또는 공적 권한의 행사, 정보처리자 또는 제3자의 정당한 이익의 달성 중에서 하나로만 정하고 있다는 점이다. 그렇지만 양자의 절차상의 실제적인 부분은 유사한 점이 많다. 양자의 차이란 결국 실제 법 적용의 정도와 범위의 차이를 의미하는 것으로 해석할 수 있다. 거대 온라인 플랫폼의 영업방식 즉 포괄적 동의를 통한 개인정보 처리 방식은 GDPR의 투명성 원칙의 위반이자 동의 절차 규정의 위반임은 명백하며 이와 더불어 근래에는 독일 연방카르텔청 개입과 법원의 결정을 통하여 대규모 온라인 플랫폼의 독점력을 약화시킬 경쟁법적 규제 수단으로서의 데이터 보호라는 의미가 중요성을 가지게 되었다. 특히 독일의 Facebook 사건을 시작으로 EU의 DMA 제정의 일련의 과정에서 만들어진 새로운 규제 방식 즉 시장지배적 사업자가 개인정보 보호법을 위반하거나 기타의 방법으로 개인정보 자기결정권을 침해하는 내용의 약관에 형식적 동의를 통해 적법하게 개인정보를 영업활동에 사용하는 행위를 금지하는 점은 우리 법제에도 시사하는 바가 적지 않다. 특히 2023년 현재 생성형 인공지능의 진화를 통해 새로운 단계로 진입한 대규모 온라인 플랫폼의 개인정보 수집의 정당성의 문제는 결과적으로 기존의 동의의 실질성 여부를 어떻게 적용할 것인가라는 논의로 발전되고 있으며 이는 여전히 소극적인 입장을 보이고 있는 우리 법제의 입장에서도 좀더 깊이 있는 고민이 필요할 것으로 보인다. As the recent digital industrialization, often described as a data-driven economy, has been driven by a few data monopolies, it has recently been highlighted that there may be serious leakage of users’ personal information, including data with commercial use value. The main difference between the Korean Personal Information Protection Act and the GDPR in terms of the consent process is that the Korean Act stipulates consent as an essential element of personal information processing, while the GDPR only establishes consent as one of the requirements for the legality of personal information processing, namely, the consent of the data subject, the conclusion and performance of a contract, the fulfillment of a legal obligation, the protection of the vital interests of the data subject or other natural persons, the processing of tasks in the public interest or the exercise of public authority, and the achievement of the legitimate interests of the data processor or a third party. However, there are many similarities in the practical aspects of the two procedures. The differences can be interpreted as differences in the extent and scope of the actual application of the law. It is clear that the practice of large online platforms, i.e., processing personal information through blanket consent, is a violation of the transparency principle of the GDPR and a violation of the consent procedure regulation, and in recent years, through the intervention of the German Federal Cartel Office and court decisions, the meaning of data protection as a means of competition law regulation to weaken the monopoly power of large online platforms has gained importance. In particular, the new regulatory approach created in the course of the EU’s DMA enactment, starting with the Facebook case in Germany, which prohibits market-dominant operators from using personal information for business activities through formal consent to terms and conditions that violate privacy laws or otherwise infringe on the right to self-determination of personal information, has implications for our legal system. In particular, the issue of the legitimacy of personal information collection by large-scale online platforms that have entered a new stage through the evolution of generative artificial intelligence in 2023 is consequently developing into a discussion on how to apply the substantiality of existing consent, which is likely to require more in-depth consideration from the position of our legal system, which is still showing a passive stance.

임상시험에서 확보해야 하는 동의의 수준에 따른 동의 획득 절차의 구분

배현아 한국의료법학회 2011 한국의료법학회지 Vol.19 No.1

임상시험에서 충분한 정보에 근거한 유효한 동의의 확보는 피험자 보호를 위한 가장 핵심적인 요소 중 하나이다. 하지만 현재까지 우리나라에서 임상시험심사위원회(IRB: Institutional Review Board)의 임상시험 관리기준(GCP:Good Clinical Practice)을 준수하는 것을 내용으로 하는 명시적인 위험판단 기준이나 동의에 따른 면제 사유의 동의절차 완화를 위한 규정이 구체화되어 있지 못하다. 한편 미국 복지부(DHHS:Department of Health and Human Services) 산하 IRB감시기구인 미국 보건성 임상연구윤리안전국(OHRP:Office for Human Research Protection)에 의한 신속심사기준에 대한 가이드라인에 의하면 IRB가 심속심사로 처리할 수 있는 방안을 제시하고 있다. 그래서 본고는 국내법에서 구체적이고 명시적으로 위험수준 등에 따라 동의의 수준과 절차를 구분하고 있지 못하지만, 상대적으로 구체적인 내용으로 기술되어 있는 미국의 연방규정과 지침 등을 통하여 국내에서 시행되는 심의의 운영 방안에 대하여 논의하고자 한다. 특히 일관된 위험평가와 그에 따른 동의 수준의 결정을 위해 명문의 규정으로 동의면제 사유 등을 구체화하고 있는 미국의 연방규정을 참고로 하여 향후 임상시험심사위원회 심의절차 중 동의 획득의 수준 결정 시 고려되어야 하는 요소들을 제시함으로써 일관된 적용과 해석에 도움을 주고자 한다.

산림탄소거래에서 독점적 송이채취권과 FPIC 연계방안

엄단비(Um, Dan-Bi) 충남대학교 법학연구소 2021 法學硏究 Vol.32 No.1

산림탄소거래에 대한 국제협약에 근거를 두고 국내에 수용된 산림탄소거래관련 법률들은 현지주민이 보유하고 있는 절차적인 탄소권(Free Prior Informed Consent, FPIC, procedural carbon right)이라는 국제규범을 반영하지 않고 있다. 송이를 채취하는 산촌부락의 주민들은 송이가 서식하는 소나무 군락에 의존해서 경제생활을 하면서 부락 자치에 의해서 송이 채취 산지를 공동 소유하고 이용․관리하는 생산양식의 틀 속에서 생활해왔다. 송이 채취마을과 같이 기존에 지속가능한 산림경영이 이루어지고 있는 마을이 산림탄소상쇄사업에 참여할 경우 산림탄소 크레딧을 확보하기 위해 막대한 경비가 소요되는 산림탄소 프로젝트와 달리 FPIC 보장을 통해 적은 경비로 고품질의 탄소 크레딧을 확보할 수 있다. 하지만 현행법은 탄소권의 개념을 협의로 파악하고 산림탄소거래의 수익이 토지 소유권자에게 귀속되는 방식으로 산주와 산림탄소거래업체를 대상으로 산림탄소상쇄제도를 운영하고 있다. 세계은행이 주도하는 국제산림탄소 시장에서의 경험이 시사하는 바와 같이 토지소유주 중심의 탄소상쇄 체계만으로 산림탄소거래가 활성화되는 데는 상당한 한계가 있다. 산림탄소를 점유하고 있는 현지주민의 노력에 상응하는 절차적인 탄소권을 보장하지 못한 상태에서는 온실가스 감축은 한계가 있기 때문이다. 종전의 규범들이 기후변화 이전의 사고방식에 따라 산림 소유주 중심의 운영체계를 형성하였다면, 본 연구는 행정과 민간의 협치 거버넌스 체계를 구축하여 현지주민의 절차적인 탄소권을 보장하는 새로운 규범을 제안하는 것을 목적으로 수행되었다. 본 연구는 흡수원 확충 거버넌스에서 현지주민을 주역으로 설정하고 절차적인 탄소권을 활용 가능한 실정법에 의거하여 계약으로 부여할 수 있는 방안을 제시하였다. 장기적으로 보상차원의 탄소권(compensation carbon right)과 절차적인 탄소권을 구분함을 전제로 후자를 당사자간 계약을 통해 실행하는 방안을 제시하였다. 독점적 송이 채취권을 가진 마을을 대상으로 절차적인 탄소권을 인정할 수 있는 길을 여는 한편 절차적인 탄소권을 실행하기 위한 관련법령 및 방법론 등의 근간을 제시하였다. The domestic laws on forest carbon trading do not fully consider the FPIC, the international norms established as a procedural carbon right held by local residents. Local residents of mountain villages collecting the pine mushroom have lived in the framework of a production style that co-owns and conserves the pine mushroom habitat by the village"s autonomy. Unlike typical forest carbon projects that require enormous expenses to trade forest carbon, highquality carbon credits could be secured at low cost due to a existing practices for sustainable forest management, in case that a pine mushrooms harvest villages participate in the forest carbon offset project. However, the current law is operating a forest carbon offset system in a way that the profits earned from forest carbon transactions are attributed to the land owner. As the experience in the international forest carbon market led by the World Bank suggests, there is a significant constraint if carbon offset system is only centered on landowners. The aim of this study was to propose a new norm that guarantees the procedural carbon rights of local residents in the forest carbon trading. This study proposed a methodological framework implementing procedural carbon rights through contracts between the parties. It is anticipated that this research output could be used as a valuable reference to grant procedural carbon rights for villages with exclusive harvesting rights for pine mushrooms, since the relevant laws and methodologies were presented to implement that rights under the current forestry governance.

행정정보 공동이용 법제의 개인정보보호 정합성 연구

이민영 한국법제연구원 2010 법제연구 Vol.- No.38

Public administration could by all means be defined as superintendence of governmental function under the official prestige of administrative agency and it is suggested that the legal order must have normal standards effective to the change in public administration environment due to information technology. Moreover an independent nation tend to nowadays expand the range of regulating and adjusting social life to realize the constitutional ideology of welfare state. From the viewpoint of such legislative conditions, there should be satisfied with systemic foundation, democratic procedure, and customer-centered policy in public administration. And also personal data protection as well as security management will be the core limitations crucial to E-government. As everyone knows, personal data protection, that is to say guarantee of information privacy, is bound to contradict the utilization of administrative information including personal data of data subject. Resultingly should the illegality be relatively reviewed the utilization of administrative information to serve the common good without infringement of information privacy. In EGA(Electronic Government Act), legislative system of administrative information co-using must be the interface between beforehand prevention and post-factum remedies of infringement of information privacy. In other words, it is necessary to collect personal data enough almost to meet the demand of utilization administrative information for E-government for public interests. So then EGA is enacted by the provisions allowing for beforehand prevention and post-factum remedies of infringement of information privacy. The probability is that the legal value of administrative information co-using will conflict with that of information privacy of data subject and intensify the ideological conflict most of all. Consequently speaking, it is essential for regulations on the co-used bounds of administrative information to be prescribed substantially to abide by ‘statute reservation principle’ or ‘rule of law’ in EGA. Besides will the supplementation for consent acquisition procedure and administrative control system be the matters calling for prior settlement and amendment cornerstone to stabilize the laws and regulations related to EGA by organic mediation of information-related legislations tuned to Personal Data Protection Act. Public administration could by all means be defined as superintendence of governmental function under the official prestige of administrative agency and it is suggested that the legal order must have normal standards effective to the change in public administration environment due to information technology. Moreover an independent nation tend to nowadays expand the range of regulating and adjusting social life to realize the constitutional ideology of welfare state. From the viewpoint of such legislative conditions, there should be satisfied with systemic foundation, democratic procedure, and customer-centered policy in public administration. And also personal data protection as well as security management will be the core limitations crucial to E-government. As everyone knows, personal data protection, that is to say guarantee of information privacy, is bound to contradict the utilization of administrative information including personal data of data subject. Resultingly should the illegality be relatively reviewed the utilization of administrative information to serve the common good without infringement of information privacy. In EGA(Electronic Government Act), legislative system of administrative information co-using must be the interface between beforehand prevention and post-factum remedies of infringement of information privacy. In other words, it is necessary to collect personal data enough almost to meet the demand of utilization administrative information for E-government for public interests. So then EGA is enacted by the provisions allowing for beforehand prevention and post-factum remedies of infringement of information privacy. The probability is that the legal value of administrative information co-using will conflict with that of information privacy of data subject and intensify the ideological conflict most of all. Consequently speaking, it is essential for regulations on the co-used bounds of administrative information to be prescribed substantially to abide by ‘statute reservation principle’ or ‘rule of law’ in EGA. Besides will the supplementation for consent acquisition procedure and administrative control system be the matters calling for prior settlement and amendment cornerstone to stabilize the laws and regulations related to EGA by organic mediation of information-related legislations tuned to Personal Data Protection Act.