개인정보보호법상의 국외이전 개정방안 연구

안정민 서울대학교 법학연구소 2020 경제규제와 법 Vol.13 No.1

With the world moving toward a hyper-connected society, personal information functions as the most valued resource to the success of innovative services. In the absence of international regulations that can be applied universally, countries have adopted different cross-border regulation or data localization for different purposes. The Personal Information Protection Act of Korea also has regulation on cross-border transfer of personal information in order to protect privacy and data security. However, inadequate rules and discrepancy in regulations act as barrier to global digital trade and cross-border data flows. Most of the recent services or applications require the collection and process of users' personal information. And even if these services are only provided within a certain country, many service providers are using global cloud services which inevitably transfer personal information to oversea servers. The articles on cross-border transfer under the Korean Personal Information Protection Act is very tightly interpreted allowing only few types of cross-border data transfer is permitted. And although it is heavily regulated, it does not have sufficient regulatory system for the management nor remedies against the infringement of the already transferred personal information. And due to the recent revisions of the data related Acts, confusion over the application and the interpretation of the cross-border regulation is expected to grow. It is the goal of this paper to present a number of recommendations on the regulations of cross-border transfer of Korea that align with the laws in other jurisdictions. Measures and provisions suggested will reduce controversy and confusion on cross-border regulations while ensuring sufficient privacy protection and still maintain the benefits of cross-border data flows. 전 세계가 초연결사회로 나아가고 있는 지금 개인정보는 새로운 서비스의 성패를 가늠하는 핵심 자원으로서 기능하고 있다. 보편적으로 적용될 수 있는 국제규범이 없는 상태에서 나라마다 다른 개인정보 국외이전에 대한 규제나 보호수준은 시장에 대한 진입장벽이나 역차별 요소로 작용하고 있는 동시에, 현실과 맞지 않는 현행 개인정보 국외이전 제도는 법이 추구하는 바와는 달리 정보주체를 충분히 보호하지도 못하고 있는 상황이다. 최근 등장하는 대부분의 서비스는 이용자의 개인정보 수집 및 처리가 필수적이고, 많은 서비스제공자가 글로벌 사업자의 클라우드 서비스를 사용하고 있다. 이와 같이 개인정보의 국외이전이 불가피하게 발생함에도 불구하고 개인정보보호법상의 국외이전제도는 법적으로 허용하는 범위도 제한적이고 이전되는 개인정보의 관리나 보호에 대해서도 충분한 규제체계를 가지고 있지 못하다. 특히 최근 법의 개정으로 개인정보보호법 내에서 국외 이전을 일반적인 경우와 정보통신서비스를 통한 국외 이전과 구별하고 있어 법의 적용이나 해석에 대한 혼란이 예상된다. 개인정보보호를 강화하는 다른 나라에서도 이미 동의 이외의 방법으로 국외이전이 허용되고 있고, 개인정보보호와 산업 활성화의 균형을 추구하는 현실적인 대안이 실행되고 있는 상황이다. 이에 본 연구에서는 강력한 개인정보보호제도를 갖춘 EU를 비롯해, 우리나라의 법제와 유사한 일본, 주요 무역국인 미국의 개인정보 국외이전에 관한 규제를 비교해보면서 현행 개인정보보호법상의 국외이전의 개정방향을 연구해보고자 한다.

개인정보 역외 이전의 국제통상법적 규율방안

김보연 한양대학교 법학연구소 2022 법학논총 Vol.39 No.1

As the volume of goods and services traded in electronic commerce or through exchanges of digital commodities or digital services, it has become important to regulate cross-border data transfer, in particular personal data transfer involved in digital trade. A set of international trade agreements have incorporated a separate digital trade (or e-commerce) chapter which regulates basic principles. Furthermore, those international agreements include a number of exceptions provisions concerning legitimate public policy objectives, and national security. The most effective methods to protect personal data in international exchanges and commerce is outright prohibition of cross-border data transfer. However, this kind of regulation can dampen national competitive edge and economic growth opportunities which are made possible through the 4th Industrial Revolution and the growth of digital trade. Against this backdrop, major countries have strived to strike a subtle balance between data protection and data regulation. In line with this, they have revised national laws on personal data protection, as well as have incorporated cross-border data transfer provisions in international trade agreements. This article examines basic contours and related provisions found in recently revised personal data protection laws in the United States of America, the European Union, and in the People’s Republic of China. Based on comparative analysis of personal data protection and cross-border data transfers in a number of jurisdictions, this article suggests limitations of Korea’s recently revised Personal Data Protection Law. Next, this article explores several provisions concerning cross-border data transfer and exceptions in recent international trade agreements. Thirdly, this article considers another hurdle to the regulation of cross-border data transfer, protection of rights of private persons provided by the Court of Justice of the European Union. By examining a set of national laws, international trade agreements, and international court’ decisions, this article would provide a meaningful consideration in order to harmonize different laws and regulations among countries in the cross-border data transfer issue. 최근 디지털 교역 규모가 증가하면서 개인정보 역외 이전 문제가 중요한 국제통상법 쟁점으로 부각되었다. 디지털 교역은 데이터기반 기술을 매개로 상품과 서비스 교역이 이루어지기 때문에 개인정보 보호, 더 나아가 국가안보 문제와 연결되어 있다. 국가 간 디지털 교역과 관련하여, 개인정보의 역외 이전에 따른 인권 침해, 국가안보 위협 관련 국제분쟁이 발생하고 있다. 개인정보를 가장 효과적으로 보호하는 방법은 개인정보의 역외 이전을 전면 규제하는 것이다. 그렇지만 이는 제4차 산업혁명과 디지털 교역을 통해 가능해진 국가경쟁력과 경제성장의 기회를 약화시킬 우려가 있다. 이러한 이유에서 국가들은 국내법을 정비하는 한편 국제통상협정에 개인정보 역외 이전 관련 규정을 도입함으로써 개인정보 활용과 규제 사이에 균형을 모색하고 있다. 이 글에서는 미국, EU, 중국의 개인정보보호법에서 확인된 기본원칙과 개인정보 역외 이전 관련 규정들을 검토하고, 이와 관련하여 한국의 개인정보보호법이 어떤 한계가 있는지를 살펴본다. 다음으로 최근 국제통상협정에 반영된 개인정보 역외 이전 관련 규정들을 검토한다. 마지막으로 최근 유럽사법법원의 개인정보 관련 판정례를 살펴보고, 현재 국제통상협정의 개인정보 관련 규율에서 확인되는 문제점을 지적한다. 이를 통해 향후 개인정보 역외 문제를 규율함에 있어 고려할 사항을 국제통상법 시각에서 제안한다.

개인정보 국외이전 관련 EU GDPR 위반 사례 분석 및 기업에의 시사점

고보민 한국무역경영학회 2022 한국무역경영연구 Vol.- No.25

This study conducts a case analysis on four breach cases of EU GDPR on cross-border transfer of personal data, and derives implications for both EU and non-EU firms subject to the GDPR. All of the four cases took place in the course of business activities between EU controller firms and non-EU processer firms whose country has not received the adequacy decision by the European Data Protection Board(EDPB), All four processor firms belong to the information and communication industry such as telemarketing, image reading, and education service support. This case analysis is of great significance in that it can capture some significant phenomena of cross-border transfer of personal data that may occur frequently in the wave of increasing digital goods and services trade. In order to comply with the GDPR, EU controller firms should check all personal data transfers through a review of existing or planned business operations, and pay more attention to ensure that the firm is equipped with a proper data transfer mechanism. In this regards, each controller firm should have so called ‘personal data protection governance' which works as a central data protection system for customer response and crisis management. Non-EU processor firms should actively communicate with EU controller firms, strengthen training for in-house workers in relation to personal data protection, and secure organizational, technical methods or means to verify pre-filtering in customer data management.

Cross-Border Transfers of Personal Data and Practical Implications

이인환,Jennifer S. Keh 서울대학교 아시아태평양법연구소 2017 Journal of Korean Law Vol.17 No.1

The cross-border transfer of personal data is an important and often-discussed issue in South Korea. As Korea’s representative personal data protection regulations, namely, the Personal Information Protection Act (“PIPA”) and the Act on the Promotion of IT Network Use and Information Protection (“Network Act”), distinguish between the third-party provision of personal data and the delegation of personal data processing, it is helpful to analyze the overseas provision of personal data separately from the overseas delegation of personal data processing. Regarding the overseas provision of personal data, the requisite consent is deemed valid only if each third-party recipient is disclosed prior to obtaining the data subject’s consent. Thus, it is difficult to obtain consent initially and when new recipients are added. In addition, as the PIPA and the Network Act do not address the issue of whether personal data can be submitted to foreign government authorities pursuant to foreign laws, it is difficult for companies to respond to requests for personal data from foreign government authorities. As for the overseas delegation of personal data processing, although the Network Act includes an exception to the consent requirement for the overseas delegation of personal data processing, companies that want to rely on this exception must carefully analyze the underlying scope of the delegation and the delegated tasks, as there is a lack of precedents and guidance from regulators on exactly when this exception applies. Moreover, companies that delegate the processing of their personal data overseas should ensure that they and their overseas delegatees comply with PIPA and the Network Act’s various security requirements for protecting personal data. Last, companies should stay current on the latest international developments in light of Korea’s recently joining the APEC CBPRs and Korea’s ongoing efforts to obtain an adequacy decision from the European Commission.

디지털 무역협정 대응, 스마트팜 데이터 거버넌스 구축 전략

문한필,윤영석,석준호,이두영,김윤형 한국식품유통학회 2023 食品流通硏究 Vol.40 No.1

In preparation for Korea's participation in the CPTPP, this paper identifies the issues of digital trade norms that have recently emerged, focusing on the agricultural sector, by scrutinizing the digital trade chapter of the CPTPP, and draws a response strategy. Although domestic smart agriculture is growing rapidly, the size of domestic smart-farm equipment firms is relatively small, and the government has focused only on the spread of smart farms, so the collection, management, protection, and utilization of smart farm data are not systematically or integratedly conducted. Digital trade norms related to the use of data generated by smart farms and platform construction are specifically related to various issues such as cross-border transfer of data, location of computing facilities, personal information protection, and access to public data. The CPTPP mandates the free transfer of cross-border data and prohibits the demand for localization of computing facilities. However, since exceptional measures are also recognized to achieve legitimate public policy objectives, Korea, a net importer of agricultural products, should restrict the indiscriminate transfer of smart farm data based on food security and protection of agricultural genetic resources. Data governance in the domestic agricultural sector is in its infancy, relying on private contracts and public data licensing through policy projects such as Smart-farm Inno-Valley, and lacking a farmer-led data code or bill of rights in the form of voluntary data governance. Therefore, active cooperation from academia and experts is needed so that farmers can autonomously develop the bill of rights, and the government should devise legal and institutional support measures necessary for establishing domestic agricultural data governance.

글로벌 디지털 통상과 개인정보보호 ― 현황과 과제 ―

안정민 한국공법학회 2024 공법연구 Vol.52 No.3

This study explores the interplay between personal data protection and digital trade agreements, examining how each country's data protection policies impact global data transfers. Multilateral trade negotiations within the WTO faced challenges, leading to the use of regional trade agreements as an alternative. In the digital economy, where global platforms are pivotal, the surge in data transfers and diverse regulatory measures for personal data protection has become a focal point in international trade disputes. Free Trade Agreements (FTAs) have emerged as a significant solution to address these issues. The expansion of digital trade agreements, including methods like ‘adequacy decisions’ and certification systems, facilitates cross-border data transfers while addressing risks associated with personal information. Various trade agreements actively collaborate to find common ground on issues such as prohibiting data transfer restrictions, avoiding data localization, and limiting source code disclosure. Analyzing major global trade agreements, this study identifies norms relevant to shaping South Korea's personal data protection framework. In global digital trade, the United States, the European Union, and China hold divergent views on data transfers. However, the majority of countries and digital trade agreements have reached a stage where they allow cross-border data transfers. As a result, future discussions should pivot towards specific considerations for addressing remedies related to personal data breaches. Emphasizing the potential increase in compliance burdens on information processors due to strengthened remedies and responsibilities for personal data protection, the study strongly advocates for adopting a balanced approach. This approach is crucial for safeguarding the rights of information subjects while simultaneously acknowledging the obligations of personal data processors. WTO 체제 내에서 시도된 다자간 통상협상이 이해관계 충돌로 진전을 보지 못한 가운데, 지역통상협정이 이를 우회하는 방식으로 활용되고 있다. 디지털 경제에서 글로벌 플랫폼이 중요한 역할을 하는 가운데, 급증하는 데이터 이전과 개인정보 보호를 위한 각국의 규제 조치는 통상분쟁의 대상이 되고 있으며, 이를 해결하기 위한 글로벌 통상협정이 글로벌 규범의 핵심으로 부상하였다. 본 연구에서는 개인정보보호와 양자, 다자 및 지역통상 협정(이하 디지털 통상협정)의 상호 관련성을 살펴보고, 각국의 다양한 개인정보 보호정책이 글로벌 데이터 이전에 미치는 시사점을 분석한다. 현재 전 세계적으로 증가하는 디지털 통상협정은 데이터 국외이전을 허용하는 방안을 적정성 평가나 인증제도 등을 통해 구체화하고 있다. 주요 무역국 간의 디지털 통상협정을 통해 데이터 이전 제한 금지, 데이터 현지화 금지, 소스코드 및 알고리즘 공개 금지 등에 대한 합의가 이루어지고 있어, 글로벌 디지털 규범체계가 표준화되어 가고 있다. 본 연구는 이러한 글로벌 동향을 고려하여 우리나라 개인정보 보호체계 수립에 있어 고려해야 할 글로벌 규범으로서 주요 디지털 통상협정의 내용을 비교・분석하여 제시하고, 각국의 개인정보보호 규제 동향을 분석하였다. 미국, EU, 중국의 주요 대립 관계에 따른 개인정보 국외이전의 세부 사항에는 차이가 있지만, 개인정보의 국외이전을 허용하는 단계에 이르렀다. 이에 따라 향후 통상협상에서 개인정보 보호에 관한 논의도 이전된 정보에 대한 보호방법 및 침해구제에 대한 구체적인 사항으로 전환되어야 할 것이다.

데이터 속성과 국지화 규범의 법적 쟁점에 대한 고찰

김현경(Kim, Hyun-Kyung) 한국토지공법학회 2017 土地公法硏究 Vol.78 No.-

최근 각국의 정부는 디지털 주권(digital sovereignty)을 주장하기 위한 광범위한 노력의 일환으로 데이터국지화 규범을 추진하고 있다. 데이터의 속성은 탈영토성(un-territoriality) 을 기반으로 한다. 그러나 주권은 영토를 기반으로 하는 국민국가를 단위로 하여 절대성과 항구성을 특질로 하는 권력이다. 데이터가 생성 유통되는 공간으로서 인터넷을 기반으로 하는 공간은 주권이 미치는 영역이다. 따라서 인터넷 공간의 데이터에 대하여 주권의 실행 으로서 관할권을 행사하기 위해서는 우선 데이터에 대하여 관리/지배가능성이 있어야 한다. 이러한 데이터의 속성을 영토주의 원칙에 부합하게 제약 하려는 규범적 시도가 바로 데이터의 위치를 제한하는 ‘데이터 국지화(Data Localization)’ 조치라고 할 수 있다. 데이 터국지화 규범 자체는 사실상 데이터의 기술적 속성에 위배되는 것이다. 따라서 규범설정 만으로 기술적 효과를 완전히 막기에는 분명히 한계가 존재한다. 그러나 규범이 반드시 기술적 속성에 종속되어 기술적 속성을 따라야 하는 것은 아니며, 오히려 기술적 속성이 인간의 삶에 유익하게 작동할 수 있도록 제도가 구축되는 것이 바람직하다. 모든 데이터에 대한 국지화 정책은 데이터의 기술적 속성에 완전히 위배되며 현실적으로 가능할지도 의문이다. 그러나 국민의 프라이버시, 국가안보, 공공기록물 등 국가주권 보장에 불가결한 일정한 데이터에 대하여는 국지화 정책이 일정부분 추구되어야 한다. 그 이외의 데이터에 대한 국지화 규범은 경제적 파급효과, 데이터 협력필요성 등에 비추어 볼 때 모든 국가를 상대로 일률적으로 정할 수 있는 것은 아니다. 대외적 주권실현의 가장 기본원칙인 상호주 의에 입각한 데이터 국지화 규범이 타당하다. 또한 데이터 국지화 규범설정은 오히려 정부 감시 및 통제의 수단으로 활용하기 용이하고 이는 국민주권을 기본원리로 하는 민주주의의 발전에도 저해된다. 따라서 데이터국지화 규범 설정 시 자의적 공권력에 의한 부당한 결과가 초래되지 않도록 하는 수단이 반드시 함께 마련되어야 할 것이다. Governments in recent years are making efforts to legislate data localization as part of a broader effort to advocate digital sovereignty. The attributes of the data are based on un-territoriality. However, sovereignty is the power that characterizes the absoluteness and permanence of a nation based on territory. The Internet-based space as a space where data is generated and circulated is the domain of sovereignty. Therefore, in order to exercise jurisdiction as the exercise of sovereignty over data in the Internet space, it must first be possible to manage and control data. The normative attempt to constrain the attributes of such data in accordance with the principle of territoriality is called ‘data localization’, which restricts the location of data. The data localization norm itself is in fact contrary to the technical nature of the data. Therefore, there is a limit to completely prevent the technical effect only by setting the norm. However, norms are not necessarily dependent on technical attributes and does not necessarily conform to the technical attributes, rather, it is desirable that institutions be designed so that technical attributes can work in a way that is beneficial to human life. Localization of all data is completely contrary to the technical nature of the data and is realistically questionable. However, localization should be pursued for specific data indispensable for national sovereignty, such as the privacy of citizens, national security, and public records. The localization norms for other data are not uniformly set for all countries in view of the economic ripple effects, the necessity of data cooperation, and so on. The principle of localization based on reciprocity, which is the most basic principle for the realization of external sovereignty, is reasonable. In addition, data localization is rather easy to utilize as a means of govern monitoring and control, which also hinders the development of democracy, which is the institutional guarantee of national sovereignty. In addition, data localization can be exploited as a means for the government to monitor and control the people. This is also detrimental to the development of democracy to institutionalize popular sovereignty. Therefore, when setting the data localization norm, a means for not causing the improper result by the arbitrary public power will have to be necessarily provided with.

기술혁신에 따른 데이터법의 이슈와 과제

이성엽 서울대학교 법학연구소 2023 경제규제와 법 Vol.16 No.2

In the era of digital deepening and generative AI, data is strengthening its role as a core resource in name and reality. As the collection, analysis, and use of real-time mass data using big data, 5G, IoT, and AI are maximized, data is now becoming a key factor in determining the competitiveness of countries and companies beyond production factors such as capital and labor. At this time, the role of policy and legislation regarding new resources, called data, rather than traditional resources, is becoming more important than ever. Korea, the world's leading IT country, is also entering the era of a data economy in which innovation is led by companies that secure and utilize a lot of data. In order to promote data utilization by easing the strict protection-oriented data regulations so far, the Three Data Acts have been enacted. We are facing a new turning point as the second amendment to the Personal Information Protection Act goes into effect in September 2023. In addition, as the Data Industry Act and the Industrial Digital Act, enacted in 2021, are enacted and come into effect in 2022, the economic use of data is in full swing, and the spread of My Data to all fields is progressing, starting with My Data in the financial sector. In the early days of digitalization, Korea became the first country in the world to have the Internet widely used, and the possibility of privacy infringement increased. Accordingly, protecting data, including personal information, became a more important task than anything else. However, as the economic value of data was gradually recognized, there is a change in the direction where the importance of utilization is recognized. However, the Personal Information Protection Act and Copyright Act are still focused on data protection, so it can be assessed that the conflict with the business community that requires data use has not been sufficiently resolved. Considering the legislative purpose of creating various economic values from data and creating a foundation for the development of the data industry to contribute to the improvement of people's lives and the development of the national economy, it is necessary to avoid this data protection-oriented approach as soon as possible. Protection and Utilization of data needs to be discussed in a balanced manner. In addition, in the recently introduced generative AI, the development of the AI industry is impossible if the smooth use of learning data is not guaranteed, so it is necessary to establish an appropriate use relationship between data holders and users. In addition, improvements in regulations to continue my data innovation, establishment of data sovereignty along with liberalization of cross-border data transfer, and balance between data concentration and openness are needed. 디지털 심화시대, 생성형 AI 시대를 맞이하여 데이터는 명실상부 핵심자원으로서 역할을 강화하고 있다. 빅데이터, 5G, IoT, AI를 이용한 실시간 대량 데이터의 수집, 분석, 이용이 극대화되면서 데이터는 이제 자본, 노동이라는 생산요소를 넘어서 국가와 기업의 경쟁력을 결정하는 핵심 요소가 되고 있다. 이 시기 전통적인 자원이 아닌 새로운 데이터라는 자원에서 대한 정책과 법제의 역할이 어느 때보다 중요해지고 있다. 세계를 선도하는 IT 강국인 한국도 데이터를 많이 확보하고 잘 활용하는 기업이 혁신을 주도하는 데이터 경제 시대를 맞이하여 그동안의 엄격한 보호 위주의 데이터 규제를 완화하여 데이터 활용을 촉진하기 위해 데이터 3법을 개정하였고 또한 2023년 9월에는 개인정보보호법 2차 개정안이 시행되면서 새로운 전기를 맞이하고 있다. 또한 2021년 제정된 데이터산업법과 산업디지털법이 제정되어 2022년부터 시행되면서 데이터의 경제적 활용이 본격적으로 전개되고 있으며, 금융분야의 마이데이터를 시작으로 마이데이터의 전 분야 확산도 진행되고 있다. 디지털화 초기 한국은 세계 어느 국가보다 인터넷이 가장 먼저 보편화되면서 프라이버시 침해 가능성이 높아지고, 이에 따라 개인정보를 포함한 데이터를 보호하는 것이 그 무엇보다 중요한 과제로 설정되었으나, 점차 데이터의 경제적 가치가 인정되면서 데이터 활용의 중요성이 인정되는 방향으로 변화하고 있다. 다만, 여전히 개인정보보호법, 저작권법은 데이터 보호 위주로 구성되어 있어 데이터 이용이 필요로 하는 사업계와의 갈등 국면이 충분히 해소되지 않고 있는 상황이라고 평가할 수 있다. 데이터로부터 다양한 경제적 가치를 창출하고 데이터산업 발전의 기반을 조성하여 국민생활의 향상과 국민경제의 발전에 이바지하기 위한 입법목적을 고려하면 하루라도 빨리 이러한 데이터 보호 위주의 접근을 지양하고 데이터의 보호와 활용이 균형적으로 논의될 필요가 있다. 또한 최근 등장한 생성형 AI에 있어 학습데이터의 원활한 이용이 보장되지 않으면 AI 산업의 발전이 불가능하다는 점에서 데이터 보유자와 이용자 간의 적절한 이용관계의 정립이 필요하다. 그 외에도 마이데이터 혁신을 지속하기 위한 규제개선, 국경 간 데이터 이전의 자유화와 함께 데이터 주권의 확립, 데이터 집중과 개방의 균형 등이 필요하다.

국경간 개인정보 이전 규제에 대한 개선방안 연구

이상혁(Sang-Hyuk Lee),김인석(In-Seok Kim) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.4

국내 현행법상 개인정보 국외이전은 정보통신망법과 개인정보보호법에서 정보주체의 동의하에 국외이전을 허용하여 왔다. 하지만 최근 IT기술의 발달과 더불어 다국적 기업들의 국내 진출, 클라우드 활성화, FTA 협정 등을 통해 국가간 개인정보이전이 증가하는 가운데 현행 규제는 개인정보 국외이전에 뚜렷한 방향성을 제시하지 못한다. 개인정보의 국외 이전 활성화는 국제협력 강화와 개인정보의 유통을 기반으로 하는 금융, 인터넷, 전자상거래 등 다양한 산업의 발전에 기여하는 바가 크며, 변화하는 정보통신기술 환경에 필수적인 요건이다. 따라서 개인정보의 보호의 원칙을 고수하며 개인정보의 해외 이전에 유연하게 대처하기 위해서는 새로운 개인정보이전 체계 마련에 대한 논의가 필요하다. 본 연구는 현행 개인정보 국외이전 법규의 한계와 새로운 제도의 필요성을 검토하고, 유럽의 개인정보 국외이전 사례 분석을 통해 정책 대안을 제시한다. Transborder data flow(TBDF) of personal information in Korea has been limited by current Privacy law which request data subject to give consent. As the IT industry is growing at an incredible rate, there is a need to review the existing law to cope with growing industrial demand and increasing numbers of international data transfer. The transfer of personal data overseas not only allow businesses providing IT services including finance, internet, e-commerce to thrive, but also impact every aspect of our lives which are increasingly depended on these technology. Transmitting personal data across borders raises serious questions of privacy protection and restriction of business operation. In ordrer to promote interoperability of personal data in international environment, a considerable amount of research and debate needs to be taken before implementing a sound policy. This paper presents a need for a sound TBDF policy in Korea by examine the main policy challenges associated with TBDF. Finally, the paper identify policy suggestions based on European Union’s approach as they have successfully implemented TBDF policy that balanced data privacy and economic agenda.

사물인터넷 시대의 개인정보 보호의 과제

손영화(Young-Hoa Son) 한국기업법학회 2017 企業法硏究 Vol.31 No.2

사물인터넷(Internet of Things : IoT)이란 일반적으로 사람, 사물, 공간, 데이터 등 모든 것이 인터넷으로 서로 연결되어 정보가 생성, 수집, 공유, 활용되는 것을 말한다. 우리의 일상은 사물인터넷으로 인해 가상 세계와 현실 세계가 상호 연결됨으로써, 기존의 오프라인상의 체제 등은 더 이상 의미가 점차 없어지고 있다. 사물인터넷은 인터넷과 연결된 각종 사물들에 의하여 관련 정보가 생성, 수집, 공유, 활용되게 된다. 그에 따라 사물인터넷을 활용하여 수집한 정보를 기업입장에서는 마켓팅에 활용함으로써 새로운 비즈니스를 창출하고, 종래의 비즈니스를 보다 확대발전시키고자 한다. 이와 같은 현상의 근저에는 이른바 빅데이터의 기술이 존재한다. 사물인터넷 시대에 빅데이터의 활용은 기업에게는 무척 새로운 사업기회를 제공하는 등의 장점이 있다. 그 반면에 빅데이터는 대량의 개인정보의 유출로 인하여 개인의 프라이버시 등을 침해할 여지가 커진다. 개인정보는 그 성질상 일단 잘못 취급되면, 사생활 침해 등 개인에게 돌이킬 수 없는 피해를 미칠 우려가 있다. 그러므로 빅데이터의 이용 및 활용을 조장하면서도 개인정보가 침해되지 않는 합리적인 규제의 방안을 도출해 내는 것이 21세기 사물인터넷 시대에 있어서의 개인정보 보호법제의 주된 관심사라고 하지 않을 수 없다. 일본은 2015년 9월에 개인정보보호법 개정을 하였다. 동 개정에서는 개인정보정의의 명확화 및 동의없는 제3자제공을 위한 새로운 데이터유형, 개인정보에 관한 제3자 기관의 설립 등이 도입되고 있다. 이에 따라 일본에서는 앞으로 오퍼레이션스 리서치(operations research)를 포함한 데이터활용에 큰 영향을 줄 것으로 예상된다. 일본의 개정 개인정보보호법의 우리나라에 대한 시사점을 살펴보았다. 첫째, 개인정보의 보호범위의 문제이다. 이른바 식별개인정보와 비식별개인정보를 어떻게 구체적으로 구분할 것인가의 문제이다. 일본에서는 이를 매우 구체적으로 규정으로 정하여 개인정보의 보호범위를 명확히 밝히고 있다. 우리에게도 상당한 시사점을 준다고 생각된다. 둘째, 개인정보에 대한 정보주체의 동의문제이다. 일본의 2015년 일본 개정 개인정보보호법에서는 이른바 민감개인정보의 경우에는 사전에 동의를 받는 옵트인방식을 그리고 그 밖의 정보에 대해서는 옵트아웃방식을 채택하고 있다. 상당히 의미 있는 입법이라고 생각된다. 더나아가 다양한 정보의 프로파일링에 의하여 생성된 이른바 2차 개인정보에 대한 동의의 경우에도 2차 개인정보가 프라이버시와 관련되는 경우에는 옵트인 방식으로 사전동의를 요하도록하고, 그렇지 않은 경우에는 옵트아웃 방식으로 사후에 이의제기를 하는 방법이 합리적일 것으로 생각된다. 셋째, 개인정보보호법상의 최소수집의 원칙과 빅데이터의 특성인 대량정보수집의 조화를 위한 방안으로 일본에서는 익명가공정보라는 개념을 새로이 도입하고 있다. 개인정보의 유출에 따른 프라이버시의 위험을 경감하기 위해 필요한 경우에는 데이터의 익명화(Data Anonymization)를 취하도록 할 필요가 있다(이른바 개인정보 비식별 조치). 이와 같은 비식별조치에 따른 법적 효과를 개인정보 비식별조치 가이드라인이 아닌 개인정보보호법으로 격상하는 것이 바람직하다. 마지막으로 EU 및 일본 등의 입법을 생각할 때 국경을 넘는 개인정보의 이전에 대응하기 위한 입법적 조치와 행정적 노력 그리고 기업실무관행의 발전이 요구된다고 할 것이다. Internet of things (IoT) generally means that people, objects, space, data, etc. are all connected to each other on the Internet and information is generated, collected, shared, and utilized. Iot related information is generated, collected, shared and utilized by various things connected to the Internet. By doing so, we will utilize the information gathered by utilizing the Iot to marketing from the standpoint of the enterprise, and create new business to expand and develop traditional business. Under such a phenomenon, so-called big data technology exists. Utilizing Big Data in the age of Iot has merits such as providing a very new business opportunity for companies. On the other hand, big data has a lot of room for infringing personal privacy etc. by the leakage of a lot of personal information. Because of its nature, personal information, once treated incorrectly, may cause irreparable damage such as privacy infringement to individuals. Therefore, it is important to derive a rational regulation that does not infringe personal information while promoting the utilization of big data. Japan revised the Personal Information Protection Act in September 2015. In the amendment, clarification of definition of personal information, new data type for providing third party without agreement, establishment of third party organization on personal information, etc. are introduced. As a result, it is expected that Japan will have a big influence on the utilization of data including operations research in the future. I reviewed the revision of Japan and the suggestion to the Korean Personal Information Protection Act. Firstly, the problem is the protecting range of personal information. It is a question of how to distinguish so-called discriminated personal information and non-discriminated information separately. In Japan, this is set very precisely, and the extent of protection of personal information is clearly clarified. It is thought to give considerable suggestion to us. Secondly, it is a matter of consent of the owner of information to personal information. In Japan"s 2015 revision of the Personal Information Act adopts the opt - in method to receive prior consent in the case of so - called sensitive personal information and the opt - out method for other information. It is thought that it is considerably meaningful legislation. Furthermore, even in the case of consent to so-called secondary personal information generated by profiling various information, in case the secondary personal information is concerned with privacy, it is necessary to require prior consent as an opt-in method, otherwise In the case of an opt-out method, it is considered reasonable to raise an objection later. Thirdly, as a proposal for harmonizing the principle of minimum collection under the Personal Information Protection Act and mass information gathering, in Japan, the concept of anonymous processing information is newly introduced. In order to reduce the risk of privacy due to leakage of personal information, it is necessary to take data anonymization. It is desirable to upgrade the legal effect of such non-identifiable measures to the Personal Information Protection Act from the non-identifiable measures guidelines for personal information. Finally, when considering legislation such as the EU and Japan, it is necessary to develop legislative measures, administrative efforts and corporate practice practices to cope with the transfer of personal information beyond the border.