유럽연합 GDPR의 동의제도 분석 및 우리 개인정보보호법제에 주는 시사점

김송옥 아주대학교 법학연구소 2019 아주법학 Vol.13 No.3

우리의 개인정보보호법제는 정보처리에 앞서 정보주체의 동의를 받아야 하는 사전동의의 원칙에 따라 설계되었다. 아울러 사전동의를 받는 방식으로 수집·이용·제공에 대한 포괄동의를 금지하고 각 동의사항을 분리해서 별도로 받도록 하는 동의방식(‘개별적 동의방식’)과 처리목적에 필요한 최소정보만을 수집하게 하면서 최소정보 외에는 ‘선택’으로 동의를 받도록 하는 동의방식(‘선택적 동의방식’)에 의하도록 하고 있다. 이러한 강력한 동의체계는 오히려 정보주체를 제대로 보호하지 못하고, 동의를 형식화하면서, 빅데이터 산업 등 관련 산업의 발전에 장애 요소가 되고 있다. 유럽연합(EU)의 「일반개인정보보호규칙」(GDPR; General Data Protection Regulation; 이하 ‘GDPR’)은 우리의 동의제도 개선에 있어서 여러 시사점을 제시한다. 우선, 정보주체의 동의를 개인정보 처리의 6가지 합법성 요건 중 하나로 규정함으로써 정보주체의 동의 없이도 데이터를 처리할 수 있는 길을 열어놓고 있다. 특히 정보처리자나 제공을 받는 제3자의 ‘정당한 이익’을 위해서 데이터를 처리할 수 있다. 둘째로, GDPR은 처리 목적 중심의 동의를 받도록 하고 있다. 처리 목적이 변경되거나 추가되면 새로운 동의를 받아야 하지만, 그 외에는 규제가 없다. 우리와 같이 하나의 처리 목적을 위해서도 모든 항목을 구분하여 받을 필요가 없으므로 단순하고 명료한 동의서식을 제시하는 것이 가능하다. 셋째로, 정보처리자의 정당한 이익을 위하여 정보를 처리하는 경우, 정보주체가 이에 대한 거부권(제21조)을 행사하면 정보처리자는 더이상 그 정보를 처리할 수 없다. 이를 사후거부권(opt-out)이라고 하는데, 정보처리자의 정당한 이익을 위하여 정보를 처리할 수 있는 가능성을 배제한 우리 법제 하에서는 사실상 이러한 옵트아웃 방식이 들어설 자리는 없다. 그렇지만, 정보주체의 동의 이외에도 데이터 처리가 가능한 다른 합법성 요건을 규정하게 될 때에는 이와 같은 사후거부권의 도입을 함께 고려해야 할 것이다. 넷째, GDPR에서는, 공공기관의 경우 원칙적으로 정보주체의 동의에 근거한 데이터 처리를 할 수 없고 예외적인 경우에만 가능하다. 동의가 유효하기 위한 4가지 요건 중 첫 번째, 자유로운 상태에서 이루어진 동의(freely given)의 요건을 충족하지 못한다고 보기 때문이다. 우리의 경우, 공공기관 역시 동의제도를 만연히 이용하고 있는데, 이는 법률유보원칙과도 조화될 수 없다. 법제도적으로나 관행적으로나 개선을 요한다. 마지막으로, 유럽과 같이 가이드라인이 수범자에게 보다 확실한 지침이 될 수 있게끔 내용적인 면에서 충실한 개선이 필요하다. 나아가 동의제도의 수정은 개인정보자기결정권, 즉 개인정보보호권의 강화가 함께 수반되어야 한다. 정보주체에게 실질적이고 효과적인 통제권을 부여함으로써 개인데이터의 처리로 발생할 수 있는 실체적 권리가 침해될 위험을 예방하고 감소시켜나가는 것이 최종 목표가 되어야 할 것이다. Data Protection Act in Korea was designed in accordance with the principle of prior consent(Opt-in), which requires consent of the data subject prior to data processing. In addition, the Act prescribes two things in a manner of consent, one is the consent method, which prohibits collective consent on the processing of personal information and requires separate consent, and the other is the consent method, which requires the collection of only the minimum information required for processing purposes and provides the selection of consent except for the minimum information. Such a strong system of consent has not adequately protected the data subject and has been a barrier to the development of related industries, such as big data industries, while formalizing consent. The EU’s 「General Data Protection Regulation」(GDPR) offers a number of implications for improving our consent system. First of all, by defining the consent of the data subject as one of the six legal requirements for the processing of personal data, data processing is possible without the consent of the data subject. In particular, data can be processed for the ‘legitimate interests’ of the data controller or third party receiving the data. Second, the GDPR requires consent for each processing purpose. If the purpose of the process is changed or added, new consent is required, but there is no other regulation. It is possible to present a simple and clear consent form, because there is no need to separate consent for a purpose like us. Third, while data is processed for the legitimate interest of the data controller, the data controller can no longer process the data if the data subject exercises the right to object(Article 21). There is virtually no place for such an opt-out method under our legislation, which excludes the possibility of processing data for the legitimate interests of data controller. However, the introduction of the right to object should be considered also if other legal requirements for data processing are prescribed in addition to the consent of data subject. Fourth, in the GDPR, public authorities cannot, in principle, process data based on the consent of the data subject, but only in exceptional cases. This is because, among the four requirements for the consent to be valid, it is not considered to meet the first requirements of ‘freely given’. In our case, public authorities also mainly use the consent system, which cannot be harmonized with the rule of law. With the revision of the law, the practice should also be improved. Finally, like Europe Union, it is necessary to enrich the contents of the guidelines to help the data controller to understand the Act. Furthermore, the revision of the consent system should be accompanied by the enhancement of the right to the protection of personal data. The ultimate goal is to prevent and reduce the risk of infringing on the substantive rights that may arise from the processing of personal data, by giving the data subject substantial and effective control rights.

데이터 접근성을 통한 보건의료와 인공지능의 융합 : 일반정보보호규정(GDPR)이 정책 입안자들에게 신호등 역할을 할 수 있는가?

엄주희(Juhee Eom),심지원(Jiwon Shim),김혜경(Hye kyung Kim) 전남대학교 공익인권법센터 2020 인권법평론 Vol.- No.25

보건의료 분야에서 인공지능은 정밀의료, 진단 도구, 심리정신적 치료와 의사결정 지원, 돌봄 서비스 등의 분야에 접목되어 상당한 발전을 이루어오고 있다. 보건의료 분야의 인공지능은 연구대상자로부터 추출된 건강 관련데이터와 민감 정보를 포함하여 상당 부분의 개인정보와 데이터에 의존한다. 보건의료에 융합된 인공지능의 발전 추이를 감안하면, 인공지능에 기반이 되는 데이터에 대한 규율이 보건의료 인공지능을 규제하는데 크게 영향을 미치게 된다. 유럽연합(European Union; EU)에서 제정된 ｢일반정보보호규정｣(General Data protection Regulation; GDPR)은 데이터 보호 법제를 통해 인공지능을 규율하려는 최초의 시도를 했다. GDPR은 개인정보처리자나 수탁자가 유럽연합 내에서 정보주체에게 상품이나 서비스를 제공하는 것과 관련이 된 경우에, 그리고 정보주체의 행동을 모니터링하는 것과 관련이 있을 때 적용되기 때문에, 유럽연합 뿐 아니라 유럽연합에 속하지 않은 많은 외국 기업들의 활동이 GDPR의 규율 대상에 포함된다. 미국과 캐나다에서는 GDPR의 규율로 인해서 데이터 관련 정책과 법제를 개혁해야 한다는 압박이 제기되고 있다. 보건의료 분야에 대한 인공지능의 기여도와 전망의 개요를 살펴보고, 이 분야의 발전으로 인한 데이터 및 프라이버시 보호에 대한 과제를 탐구하였다. 이를 통해 GDPR의 시사점과 함의를 가지고, 미국과 캐나다의 정책적 개선점을 위한 핵심 방안을 짚어보았다. In the field of health and medical care, artificial intelligence has made significant progress in areas such as precision medical care, diagnostic tools, psychological and mental treatment, decision-making support, and care services. Artificial intelligence in the health care sector relies on a significant portion of personal information, including health-related data and sensitive data extracted from research subjects. Considering the development of artificial intelligence integrated into health care, it is judged that regulation of data based on artificial intelligence has a significant impact on regulating health and medical artificial intelligence. The General Data Protection Regulations (hereafter referred to as the GDPR) enacted in the European Union(EU) made its first attempt to regulate artificial intelligence through data protection legislation. This is applies to data processors involved in the provision of goods or services to data subjects within the European Union, and when it relates to monitoring data subjects’ behaviour within the European Union. In the U.S. and Canada, the rule of GDPR is putting pressure on the government to reform policies and legislation regarding data. The contribution and prospect of artificial intelligence to the health and medical field were reviewed at a glance, and the task of data and privacy protection due to the development of this field was explored. After this, key measures to improve policies in the United States and Canada was presented through implications of the GDPR.

EU GDPR 제정 과정 및 그 이후 입법동향에 관한 연구

권건보(Kwon, Geon-Bo),이한주(Lee, Han Joo),김일환(Kim, Ilhwan) 미국헌법학회 2018 美國憲法硏究 Vol.29 No.1

지능정보사회는 빅데이터, 인공지능 등의 기술을 이용해서 기존의 틀을 깨고 세상을 빠르게 바꾸고 있다는 의미에서 다른 한편에서는 ‘4차 산업혁명’사회로 불리기도 한다. 그러나 이러한 기술의 이용은 필연적으로 방대한 양의 정보를 기반으로 가능하게 되고, 그 중에는 개인정보도 포함될 수밖에 없다. 다시 말해 고도화되는 ICT의 등장으로 개인정보보호의 과제는 새로운 도전에 직면하게 되었다. 따라서 새로운 개인정보 침해유형에 대처하기 위한 입법적 보완조치를 지속적으로 강구해야 할 필요가 있다. 이러한 노력은 우리나라를 포함해 많은 국가들이 지속적으로 수행하고 있다. 이는 결국 개인정보의 보호와 이용 사이에서 균형적으로 최적의 선택을 할 수 있는 방안을 모색하는 것이다. 특히 EU는 개인정보 보호와 관련해서 선도적인 지위를 유지하고 있다. EU의 1995년 지침은 각 회원국뿐만 아니라 비회원 국가들이 개인정보보호 정책이나 법제 수립을 하는데 많은 영향을 미쳤다. 그러나 동 지침은 급속도로 발전하는 과학기술 발전에 부합하는 데 한계를 드러냈고, 이를 보완하기 위하여 2016년 5월 일반개인정보보호규정(GDPR)이 제정되었다. 동 규정은 2018년 5월 시행을 앞두고 있는데, 각국은 GDPR에 대응하기 위한 다양한 노력을 기울이고 있다. 본 논문에서는 1995년 지침과 2016년 GDPR의 제정 과정, EU 제29조 작업반의 대응 동향, EU 형사사법지침 및 E-privacy 규정, GDPR 제정 이후 주요 국가의 개인정보보호 동향 등에 대해서 살펴보았다. Today, it is called to as intelligent information society. It means that the intelligent information technologies such as Big Data, AI and IoT are expected to play a leading role in developing our life rapidly. However, these developments are not always positive aspects. It seems to be negative aspects as well. The reason is that the intelligent information technologies are developing by use enormous amount of information, including personal information. In the course of using information, it is an inevitable consequence to infringe personal information. Therefore, it is most important to balance between use and protection of personal information. EU is leading the development of data protection law in the world. The centrepiece of existing EU legislation on personal data protection, Directive 95/46/EC3(1995 Directives), was adopted in 1995. It has two ends to protect the fundamental right to data protection and to guarantee the free flow of personal data between Member States. Nevertheless, 1995 Directives could not reflect rapidly evolving technologies. Eventually, EU enacted new regulation in May 2016, General Data Protection Regulation(GDPR). GDPR replaced the 1995 Data Protection Directive. It shall apply from 25. May, 2018. After enacting GDPR, EU, its member states, and non-member states are considering subsequent legislation to harmonize between GDPR and the act of each states, guidelines, etc. This study focuses on examining EU GDPR and the legal trends of each country after enacting GDPR, and suggesting measures for improving our personal information protection laws.

EU 일반데이터보호규정(GDPR)에 대한 우리나라 기업의 대응방안

손영화(Son young hoa),손수진(Son soo jin) 한국비교사법학회 2019 비교사법 Vol.26 No.1

EU 일반데이터보호규정(General Data Protection Regulation : 이하 GDPR)은 유럽연합(EU)의 새로운 개인정보보호의 틀이자, 개인정보(personal data)의 처리와 이전에 관한 룰이다. EU 회원국에 대해서 직접 효력이 발생하는 법규제로서 GDPR은 2016년 4월에 제정되어 2018년 5월 25일부터 시행되고 있다. GDPR은 개인정보보호에 관한 권리라는 기본적 인권을 보호하는 것을 목적으로 한다(GDPR 제1조). GDPR은 우리나라 기업이 EU 거주자에게 직접 상품이나 서비스를 제공하면서 EU 거주자의 개인정보를 취급하는 경우, EU 역외의 사업자라 하더라도 동법의 적용대상이 된다(GDPR 제3조 「역외적용」). GDPR에서는 EU 역내기업으로부터 EU 역외의 제3국으로 개인정보를 반출하는 것이 원칙적으로 금지되어 있다(GDPR 제44조 「정보이전」). 또한 GDPR에는 우리나라 개인정보보호법에는 규정되어 있지 않거나 또는 우리나라 개인정보보호법보다 규제가 강화되고 있는 규정들이 있다. 고도로 글로벌화된 사회환경에서는 정보의 국경을 넘는 유통 및 활용이 불필요하게 방해받지 않는 것이 중요하다. 현행 GDPR에서의 정보 이전제한에 대해서 우리나라 기업의 상당수가 표준계약조항이나 본인 동의로 대처하고 있다. 우리 정부는 유럽위원회와 적정성 인정을 위한 대화를 잘 마무리 할 필요가 있다. 아직 적정성을 인정받지 못한 상태에서 EU와 거래하는 우리나라 기업으로서는 EU 개인정보보호법에 적합하기 위한 수단 즉, 표준계약조항(Standard Contractual Clauses : SCC)」 또는 구속적 기업준칙(Binding Corporate Rule : BCR)」 또는 본인으로부터 정보 이전에 관한 동의에 의하여 적정성을 인정받아 정보를 이전해야 한다. 또한 GDPR에서는 JEITA 등으로부터의 요망을 받아 「적절한 안전관리조치에 의한 제3국에의 정보 이전」의 한 가지 조치로서 「인증제도」가 추가되어 있다. 이것은 우리나라에서 보급되어 있는 제3자 인증제도를 이용한 국경을 넘는 정보 이전에의 길을 열어 둔 것이다. 우리나라 전체(혹은 민간분야 전체적으로) 적정성 인정에 장기간을 필요로 하게 되는 경우에는 차선책으로 우리나라에서 일정한 요건에 근거한 인증을 취득한 기업은 무조건 EU에서 정보 이전받을 수 있도록 하는 조치의 실현을 목표로 해야 할 것이다. The EU General Data Protection Regulation(GDPR) is a new personal information protection framework of the European Union(EU) and is a rule concerning the processing and relocation of personal data. GDPR has been enacted in April 2016 as a regulation that directly affects EU member states, and has been in effect since May 25, 2018. Where Korean companies deal with EU resident personal information while providing products and services directly to EU residents, will also be subject to GDPR (GDPR Article 3 "Extraterritorial Application"). In principle, GDPR prohibits the transfer of personal information from companies in the EU region to third countries outside the EU (Article 44 “Information Transfer" in GDPR). There is also provision in GDPR that regulations are not handled by Korea"s Personal Information Protection Act or regulation is enhanced by Korea"s Personal Information Protection Act. Regarding the limitation of data transfer in the current GDPR, a considerable number of Korean companies respond by standard contract clause or individual agreement. The Korean government needs to settle a dialogue with the European Commission to recognize adequacy. As a Korean company dealing with the EU in a state that adequacy has not yet been admitted, means for conformity with the EU Personal Information Protection Act, namely Standard Contractual Clauses (SCC) or binding company regulations (Binding Corporate Rule: BCR) or from the person himself / herself agreeing on data transfer, adequacy is recognized and information must be transferred. Also, in response to requests from JEITA, etc. in GDPR, “Certification system" has been added as one measure of “data transfer to third country by appropriate safety control measures". This opens the way for cross-border information transfer using the third-party certification system prevalent in our country. In the event that long-term assessment of adequacy is required for Korea as a whole (or for the private sector as a whole), in the next best practice, companies that have obtained certification based on certain requirements in Korea will be able to receive data transfer unconditional from the EU.

과학적 연구목적을 위한 개인정보 처리에 관한 비교법적 연구

김현숙 한국정보법학회 2020 정보법학 Vol.24 No.1

2018년에 발효된 EU의 GDPR(General Data Protection Regulation)은 과학적 연구를목적으로 하는 개인정보의 처리에 대하여 특권적 지위를 부여하고 있다. 연구에는 사전 동의를 면제하고 그 밖에도 개인정보 처리자가 준수해야 할 정보주체의 삭제권, 반대권 등 많은 의무를 면제하고 있다. GDPR은 이전의 개인정보 보호규범인 1995년 지침(Data Protection Directive 95/46/EC)에는 존재하지 않았던 “가명처리(pseudonymisation)” 개념을 도입하여, 고도화된 정보통신기술(ICT) 시대에서 개인정보의 식별성을 제거(또는 감소)하여 과학적 연구에 폭넓게 활용될 수 있도록 ‘산업발전’과 ‘정보보호’라는 양 가치의 조화를 도모하였다. 최근 우리나라도 빅데이터, 인공지능 등 ICT기술과 데이터를 활용하여 신산업을 발전시키고자 하는 산업계의 요구에 부응하여, GDPR의 입법례를 참고하여 「개인정보보호법」을 개정하였다. GDPR과 같이 가명처리 개념을 도입하고, 과학적 연구를 목적으로 하는 개인정보 처리에는 사전 동의를 면제하는 등 광범위한 의무의 면제를 두고있다. 그러나 개정법은 과학적 연구에 개인정보를 활용하겠다는 방향만 설정하고 연구자가 어느 범위까지 어떻게 활용해야 하는지에 대해 명확한 답변을 주지 못하고 있어, 이로 인한 해석의 논의가 한참이다. 과학적 연구에 산업적 목적(상업적 통계 포함) 의 연구가 포함되는가에 대한 논의가 그 중심에 있다. 포함한다는 산업계 및 정부의입장에 대하여 시민단체는 정보인권의 심각한 침해를 이유로 반박하고 있다. 개정법의 가명처리와 그 면제를 규정하는 방식에도 해석의 여지가 많다. GDPR과 동일하게개정하였다고 하지만, 양 법의 법체계와 내용이 동일하지 않음에도 불구하고 개정되는 부분만을 가져오다 보니 전체적으로 체계 정합성이 결여되는 문제점을 낳았다. 첫째, 과학적 연구의 동의 면제가 본래목적의 처리와 추가처리 모두에 인정되는 것인지아니면 추가처리에만 인정되는 것인지 명확하지가 않다. 둘째, 본래목적과 추가목적이 양립가능할 때(compatible) 동의 없이 처리가 가능하도록 하는 조항과 가명처리 특례조항과의 연계가 누락되어 있다. 셋째, 정보주체로부터 개인정보를 수집하지 않을경우 가명처리 시의 고지의무를 면제하고 있으나 정보주체로부터 수집한 경우 고지에 대하여는 침묵하고 있다. 넷째, 연구자의 의무면제 항목을 한 조문에서 일률적으로제한하고 있으므로 의무의 성격과 관계없이 무제한적으로 면제하고 있다. 마지막으로, 민감정보와 가명처리와의 관계에 대해서 침묵하고 있어 가명처리만 하면 동의 없이 무제한으로 이용할 수 있는 것처럼 해석될 수 있다. 본고에서는 개정법이 가지고 있는 해석의 모호성과 법의 흠결에 대한 답변을 제시하고자 한다. 그 과정은 개정법이 입법과정에서 많은 부분을 참고한 GDPR의 규정을해석하는 것으로부터 시작하였다. 우리가 GDPR의 제도와 취지를 그대로 받아들이기위해서는, 먼저 GDPR을 정확히 이해한 다음 우리법 체계 및 법 환경에 적합한 제도로 규범화하는 것이 바람직하다고 생각하기 때문이다 EU GDPR(General Data Protection Regulation) which came into force in 2018 grants a privileged position to scientific research. GDPR permits controllers to process personal data for research purposes without the data subject’s prior consent. Further, researchers are given exemptions from a variety of responsibilities within GDPR. GDPR intends to utilize personal data by removing(or reducing) identifiability in connection with data subjects via introducing the concept of “pseudonymisation” which did not exist in Data Protection Directive of 1995, the former data protection rules in the EU. Differently put, research exemption within GDPR leads stakeholders to reconcile opposite two values, “industry innovation” and “data protection” in the advanced ICT era. Recently, Korean PIPA(Personal Information Protection Act) was revised on the basis of GDPR in order to foster new industry by combining data and technologies such as Big Data Analysis and Artificial Intelligence. Similar to GDPR, scientific research occupies a privileged position in the revised PIPA. But, it is uncertain ‘to what extent’ and ‘in what way’ researchers can process personal data exempt from responsibilities within PIPA. Whether ‘research for industrial purposes(including statistics for commercial purposes)’ qualify as scientific research is the center of the debate on uncertainty of revised PIPA. Additionally, there are some issues of interpretation on pseudonymisation and exceptional provisions. While the government authorities announce that PIPA was revised according to GDPR’s pseudonymisation rules, PIPA does not fully reflect and consider GDPR and results in systemized inconsistency within PIPA. This paper intends to give solutions in reference to this ambiguity and deficiency of revised PIPA. My study starts from understanding of GDPR because revised rules of PIPA originates from GDPR. Based upon scrutinizing GDPR and pros and cons on this issue, the paper interprets the reasonable scope of research exemption. On top of that, the paper provides re-revision direction to respond the deficiency of PIPA.

중국 데이터 요소 정책에 따른 개인정보 보호법의 입법 동향

国,瀚文(Guo Han Wen),李東原(Lee, Dong Won) 충북대학교 법학연구소 2020 法學硏究 Vol.31 No.1

There is a certain conflict and contradiction between the flow of data and the protection of personal information, which mainly reflects the trade-off between the efficiency of data sharing and the protection of personal information. The protection of personal rights, such as personal privacy and personal information, depends on the institutional design aspect. If you encourage the sharing of data, it may affect the protection of personal information, and, on the contrary, protect personal information and data rights excessively and strictly restricting the flow of the data will hinder economic development. Globally, how to properly coordinate and handle the relationship between the two is a common challenge facing legal systems in many countries. In general, the EU places more emphasis on privacy, and US law is paying more attention to the use of personal information to strengthen its dominance in the data industry. However, the general trend of the two legal systems in the process of driving the digital economy is that they are more concerned with the protection of privacy rights. In most cases, the privacy-exchange behavior for efficiency helps promote the development of digital transactions because individuals can approve their use of data, allowing data-driven companies to collect, store and use personal information. However, the continued leakage of personal information from data-driven companies reflects the seriousness of the problem. Therefore, in order to promote the flow of information data, personal information must be protected. The digital factor policy presents new development concepts and requirements to promote digital transactions and enhance privacy. The development of data transactions must find a balance between the two. Only when this balance is achieved, the companies can properly conduct business activities using normally collected data, and also protects users personal information from being leaked and protects their rights when their legitimate rights are violated. This balance must be realized concretely by self-training of the state and corporations and individual participation. The “quantum balance” legislative model based on the legislative direction for “multiple co-development” has a clear institutional advantage, which allows for the integration of existing laws and the comprehensive protection of personal privacy according to China s national situation.

4차산업혁명시대의 개인정보 활용을 위한 입법론적 접근에 관한 연구

김현숙 동국대학교 비교법문화연구소 2020 比較法硏究 Vol.20 No.1

’Protection versus Use’ is the biggest issue on the legislation of data protection rules. In the fourth industrial revolution era, we generate more and more data taking advantage of advanced information technologies such as big data, Artificial Intelligence and Internet of things. In this context, there is controversies between two protection strategies; the opinion that we should protect our personal data more not to be infringed in the advanced and the other opinion that we should utilize personal data to create new industry as a win-win strategy for both controllers and data subjects and in the new data era. The legislation trend of personal data use in Korea has been developed in two ways. One is for revision on Definition of personal data and the other one is for deregulation of strict prior consent principle. In the 20th Assembly, the trend of protection was dominant in the first half but the trend was changed conversely in the second half. It is mainly due to enactment of EU General Data Protection Regulation(GDPR) in 2016. GDPR intends to utilize personal data by removing(or reducing) identifiability in connection with data subjects via introducing the concept of “pseudonymization” which did not exist in Data Protection Directive of 1995, the former data protection rules in the EU. The bills of Personal Information Protection Act(PIPA) were manily about ① revision of personal data definition to clarify its scope, ② deregulation of prior consent by extending legitimate interests and introducing purpose compatibility of further processing, and ③ exemptions from prior consent by de-identification methods such as pseudonymization in case of specific purposes. Among 52 bills of PIPA, the bill proposed by In Jae-geun became the foundation of revision of PIPA. New PIPA will come into force upcoming August this year. 개인정보보호 입법론의 중심 화두는 개인정보의 ‘보호와 활용’이다. 제4차 산업혁명시대에서 데이터를 생성하는 정보통신환경을 생각할 때, 개인정보의 침해는 더욱 심해질 것이므로 보호의 수준을 높여야 한다는 입장과, 개인정보를 활용하여 신산업을 육성하는 것이 정보주체와 개인정보처리자 모두 윈-윈(win-win)하는 것이라는 입장이 대립하고 있다. 활용론은 개인정보의 개념을 개정하는 것과, 동의제도의 엄격성을 완화하는 것으로 전개되었다. 국회의 입법동향도 학계의 입장과 유사한 흐름으로 전개되었다. 제20대 국회의 상반기에는 개인정보의 ‘보호’방향의 안이 주를 이루었으나, 하반기에는 ‘활용’방향의 안이 압도하였다. 이러한 흐름의 변화를 주도한 것은 EU의 GDPR의 제정이었다. GDPR은 발전된 정보통신기술 환경을 반영하여 개인정보 보호 수준을 높이면서도, 가명처리 개념을 도입하여 식별성은 제거(또는 감소)하여 안전하게 활용할 수 있는 방안을 제시하고 있다. 제20대 국회에서도 GDPR의 내용을 토대로 다수의 ‘활용’ 방향의 개정안이 발의되었다. 그 내용은 ① 개인정보의 개념에서 결합가능성 및 입수가능성을 추가하여 그 범위를 축소하는 방향, ② 정당한 이익을 확대하고 처리 목적의 양립가능성(compatibility) 개념을 도입하여 동의제도를 완화하는 방향, ③ 비식별조치, 가명처리 등 비식별화(de-identification)를 통한 특례를 두는 방향으로 요약할 수 있다. 많은 대안 중에서 인재근 의원 발의안이 개정법의 토대가 되었으며, 가명처리 개념을 도입하여 개인정보의 범위를 구체화하고 과학적 연구 등 목적을 위하여 가명처리된 정보를 처리하는 경우는 정보주체의 동의를 면제하고 있다.

일반개인정보보호규정(GDPR) 발효에 따른 독일 개인정보보호법제의 입법동향 및 시사점

홍선기 한국정보법학회 2018 정보법학 Vol.22 No.1

As GDPR (EU 2016679) becomes effective in May 2018, each member of the EU is to follow the GDPR (European Union) and apply the Personal Information Protection Act in place. Germany was the first country to reflect this. Germany was the first country in the world to pass a personal information protection law that reflected GDPR. The Federal Personal Information Protection Act revised in 2017 is especially in part 2 (the Implementation of GDPR) and part 4 (the areas where GDPR and the criminal judicial guidelines 2016 / 680 EU are excluded). As can be seen, the German Federal Personal Information Protection Act was revised from the beginning to reflect GDPR and criminal judicial guidelines. Germany’s quick response is expected to have a significant impact on other EU legislation in the future. Consequently, it is likely that identifying German legislative trends, which first reflected GDPR, would have the same effect as observing the legislative trends of the European Union Personal Information Protection Act. And it will be a good reference for finding ways to respond to and improve Korea’s Personal Information Protection Policy through comparative analysis of German law and policies. Amid this trend, the privacy protection law in Korea is also required to revise the law to reflect GDPR. It is necessary for private information supervisory authorities to consider strengthening their authority and to strengthen their characteristics as a general law under the Korean Personal Information Protection Act. Moreover, it is also necessary to seek substantial protection of personal information through strong sanctions by institutions and to infer the urgent need for a bill to protect personal information that reflects the fourth industrial revolution. 2018년 5월에 일반개인정보보호규정(GDPR)(Regulation (EU) 2016/679)이 발효됨에 따라 EU의 각 회원국들은 각국의 개인정보보호법을 개정하는 등 일반개인정보보호 규정(GDPR)의 발효에 따른 다양한 대비노력을 하고 있다. 현재 가장 먼저 이를 반영 한 국가는 독일이다. 독일은 세계에서 가장 먼저 일반개인정보보호규정(GDPR) 반영 한 자국의 연방개인정보보호법을 2017년에 통과시켰다. 2017년 개정된 연방개인정보 보호법(BDSG)은 특히 제2부(일반개인정보보호규정(GDPR)의 이행 규정)와 제4부(일 반개인정보보호규정(GDPR)과 형사사법지침 2016/680/EU가 적용되지 않는 영역)에서 특별 규정들을 두고 있다. 이를 통해 독일의 개인정보보호법제는 처음부터 일반개인 정보보호규정(GDPR)과 형사사법지침을 반영하기 위해서 개정되었다는 것을 확인할 수 있다. 독일의 이러한 발 빠른 대응은 향후 다른 유럽연합의 회원국 법제에 많은 영 향을 미칠 것으로 판단된다. 따라서 일반개인정보보호규정(GDPR)을 최초로 반영한 독일의 입법동향을 파악하는 것은 결국 유럽연합 회원국의 개인정보보호법제의 입법 동향을 살피는 것과 거의 같은 효과를 볼 수 있다고 해도 과언은 아닌 것이다. 그리고 이러한 독일의 개인정보보호관련 법제와 정책의 비교 분석은 우리나라의 개인정보보 호법제의 대응 및 개선방향 도출에 좋은 참고자료가 될 것이다

개인정보 국외이전의 법적 문제 -EU-일본의 적합성 결정과 그 시사점

함인선 사법발전재단 2019 사법 Vol.1 No.49

This paper examines the adequacy decision, one of the mechanisms involving the cross-border personal data transfer, under the General Data Protection Regulation (GDPR) of EU, which entered into force on 24 May 2016 and applies since 25 May 2018. Comparing to the 1995 Data Protection Directive, the GDPR has been changed from “Directive” to “Regulation” in terms of the form of law. The rights of data subjects have been strengthened, with the cross-border transfer of personal data put to stricter regulation; the sanctions for its violation have become more stringent as well. In this regard, Korea and Japan, whose trade with the EU takes up considerable share of the overseas trade, have been paying attention to the Reform of EU data protection rules. Following the European Commission’s announcement of Proposal for GDPR in January 2012, Japan started to devise countermeasures, and made a major revision of its Act on the Protection of Personal Information in 2015. After the GDPR was established in 2016, Japan entered into a negotiation process with the European Commission for the adequacy decision, and subsequently received the adequacy decision on 23 January 2019. Korea has also started negotiations with the European Commission in order to receive the adequacy decision around the same time with Japan, but the negotiation procedure is currently suspended because of the lack of an independent personal information protection agency. Based on the recognition that Korea could learn a lesson from the case of Japan, which successfully completed the negotiation after a thorough preparation process, this paper examined the EU and Japan’s personal information transfer system, and reviewed the negotiation process and the legal issues that stemmed from the EU-Japan adequacy decisions. Following the examination of the foregoing matters, this paper suggested that the implications for Korea, which include: ① the need for thorough preparations; ② the need for the utilization of link with economy (trade agreement); ③ the need for utilization of mutual recognition system; and ④ the need for an analysis of the cost (burden)-effect (benefit). 본고는 EU가 2016. 5.에 제정하고 2018. 5. 25.부터 적용하기 시작한 GDPR의 개인정보 역외이전제도의 하나인 적합성 결정(adequacy decision)과 관련한 연구이다. GDPR은 종래의 1995년 정보보호지침과 비교할 때, 법형식에 있어서 ‘지침’(Directive)에서 ‘규칙’(Regulation)으로 바뀐 점, 규정 내용에 있어서 정보주체의 권리가 크게 강화되었으며, 개인정보의 역외이전제도가 보다 엄격해졌고, 법 위반에 대한 제재(특히 과징금)가 크게 강화된 점 등에서 EU와의 무역거래가 높은 비중을 차지하고 있는 우리나라나 일본으로서는 이러한 EU의 개인정보 보호법제의 변화에 높은 관심을 가지지 않을 수 없다. 이와 관련하여, 일본은 2012. 1.에 유럽위원회가 GDPR안을 공표한 이후, 이에 대한 대비를 내부적으로 추진하여 왔고, 그에 대한 결과가 2015년 일본 개인정보 보호법의 대개정으로 나타난 셈이다. 이후 2016년 GDPR이 성립되자, 일본은 EU 집행기관인 유럽위원회(European Commission)와 곧이어 적합성 결정(adequacy decision)을 위한 교섭절차에 들어갔으며, 이러한 절차를 거쳐 금년 1. 23.에 유럽위원회의 적합성 결정을 받았다. 우리나라도 일본과 비슷한 시기에 유럽위원회와 적합성 결정을 위한 교섭을 개시하였으나, 독립적인 개인정보 보호기관의 부재 등을 이유로 현재는 그 교섭절차가 사실상 중단된 상태에 놓여있다. 이러한 상황에서 사전에 철저한 준비과정을 거쳐 성공적으로 교섭절차를 마무리한 일본의 사례가 우리나라에 좋은 시사점을 제시해줄 것이라는 문제인식에 입각하여, 본고는 EU 및 일본의 개인정보 국외(역외)이전제도를 살펴보고, EU-일본의 적합성 결정의 교섭과정과 법적 쟁점을 검토한 후, 우리나라에 던져주는 시사점으로서 ① 철저한 사전 준비의 필요성, ② 경제(무역협정)와의 연계 활용의 필요성, ③ 상호 인정제도의 활용의 필요성, ④ 비용(부담)효과(편익)의 분석 필요성을 제시하였다.

일본의 개인정보보호 법제에 관한 연구 - 2020년 개정법을 중심으로 -

김용일 ( Kim Yong-il ),김유정 ( Kim Yu-jeong ) 제주대학교 법과정책연구원 2021 국제법무 Vol.13 No.1

오늘날 개인정보 이용의 활성화와 개인정보의 보호를 어떻게 조화롭게 균형을 이루어나갈 것인가 하는 것과 더불어 데이터의 국외이전과 관련하여 국제적 정합성을 고려해야 하는 문제는 우리가 해결해야 할 어려운 과제라고 할 수 있다. 이러한 상황에서 최근 주요 국가들은 이러한 과제의 해결에 초점을 두고 개인정보보호 법제를 정비해 나가고 있다. 그 대표적인 예로서 EU의 2016년 ‘일반 데이터 보호규정’(GDPR), 미국의 ‘캘리포니아 소비자보호법(CCPA, 2020년 1월 발효), 그리고 일본의 2015년과 2020년의 ‘개인정보보호법’ 개정 등을 들 수 있으며, 우리나라도 2020년 2월에 이른바 ‘데이터 3법’을 개정하여 동년 8월부터 시행하고 있다. 일본은 2015년에 개인정보보호법을 전면 개정하여 단계적으로 시행하면서, 2019년 EU와 상호 적정성 평가 인정을 함으로써 국제적 정합성 측면에서 개정의 효과를 입증받았으며, 이 평가 과정에서 지적된 사항을 2020년 개정법에서 보완하는 모습을 보이고 있다. 우리나라도 개인정보보호 법제의 정비방향에 있어서 미국이나 EU의 법제의 변화에 따른 국제적 정합성을 고려하면서 개인정보의 보호와 활용을 위한 적정한 기준을 정립하고자 하는 점에서 일본과 거의 동일하며, 이러한 점에 비추어보면 향후 EU의 적정성 평가를 받아야 하는 우리나라로서는 일본의 법제 정비상황을 세부적으로 검토해 볼 필요가 있다. 그래서 본 연구는 일본의 개인정보보호법 제정과정, 2015년 개정법의 주요내용, 2020년 개정법의 내용 등을 살핀 후 그 시사점을 바탕으로 우리 법제의 정비 방향을 제시하고 있다. 특히 일본법상 법의 역외적용 및 개인정보의 국외이전에 관한 규정, 사업자의 책무 강화 및 자주적 개인정보보호 활동을 위한 사업자단체 인증제도 등은 우리 법제에 도입하는 것이 바람직하다. 그리고, 일본의 개인정보보호위원회는 개인정보보호법의 개정 등에 필요한 준비작업을 지속적으로 하고 법개정 등에 필요한 제언을 하고 있는 것도 참고할 만하다. Today, in terms of personal information, we are facing very difficult tasks to solve such as how to harmoniously maintain balance between vitalization of personal information use and personal information protection, and consideration of international consistency in relation to cross-border transfer of data. Under this circumstance, recently, the major countries are improving the personal information protection laws by focusing on the solution of those tasks. The representative examples are the ‘General Data Protection Regulation(GDPR)’ of the EU in 2016, ‘California Consumer Privacy Act (CCPA: Effective from January 2020)’ of the United States, and the revision of ‘Personal Information Protection Act’ of Japan in 2015 and 2020. Korea also revised so-called ‘Data 3 Act’ in February 2020, which has been enforced since August 2020. After fully revising the Personal Information Protection Act in 2015, Japan has enforced it by phases. Through the mutual evaluation of appropriateness with the EU in 2019, the effects of revision were proved in the aspect of international consistency. The items pointed out in this evaluation process were complemented in the revised law in 2020. Regarding the improvement direction of personal information protection laws, Korea also aims to establish the appropriate standard for personal information protection/use by considering the international consistency according to legislative changes in the United States or EU, which is almost the same as Japan. For this reason, it would be necessary to closely review the improvement of laws in Japan as Korea also has to get the evaluation of appropriateness from the EU in the future. Thus, after examining the enactment process of Personal Information Protection Act, the main contents of revised law in 2015, and the contents of revised law of Japan in 2020, this study presents the improvement direction of Korean laws based on the implications. Especially, it would be advisable to introduce some contents of Japanese laws to Korean laws, such as regulations of extraterritorial application of law and cross-border transfer of personal information, and the business association certification system for strengthening the duties and independent personal information protection activities of businesses. This study suggests that the Personal Information Protection Commission of Korea should refer to the roles of Personal Information Protection Commission of Japan established earlier than Korea, for establishing all sorts of guidelines related to personal information protection/use, by reviewing and analyzing them.