사물인터넷, 블록체인, 인공지능의 상호운용에 있어서 개인정보자기결정권의 실현 및 데이터 이용 활성화

윤종수 한국정보법학회 2020 정보법학 Vol.24 No.3

The features of IoT(Internet of Things), Blockchain and AI(Artificial Intelligence), such as continuous processing of vast amounts of data, flexibility and variability in the scope and purpose of use, distributed processing by multiple actors, automated processing without human intervention, and complexity of data analysis, -inevitably lead to conflict with personal information protection laws. In particular, it is not easy to obtain prior consent, as informed consent, of data subjects in such a technology environment. Some solutions for this problem have been proposed, but there is a further fundamental issue that the practice of personal information protection laws have heavily relied on the prior consent mechanism. It causes that other mechanism for personal information protection is treated lightly and all the responsibility for personal information protection is shifted to the data subject. The data subject who can’t understand or is unconcerned with the effect of consent is making reckless consent or reject categorically without any consideration of implication of sharing information. The processor of personal information who use a consent of the data subject as a means of exemption is trying to obtain the consent by the irregular and evasional way. On the other hand, the processor who really tries to obtain the informed consent of the data subject is confronting the unreasonable cost of regulation and increasing legal risks in the IoT and AI environment. In this situation, the new introduced pseudonymized information system replacing consent with de-identification processing is criticized by both the data subject and the processor due to legal uncertainty and insufficient protection of data subject. While the consent of the data subject is just a passive expression of permission and one of the various legal basis for lawful processing of personal information, the right to informational self-determination as a constitutional fundamental right and moral right is an active right which can control autonomously the flow of personal information in the modern informational society. Therefore, it is wrong understanding to recognize the right of the consent of the data subject as the right to information self-determination, or an essential content of the right to information self-determination. The right to information self-determination can be realized by active protection of data subject interest and expansion of the use of data, not by passive consent. The data subject and the processor should be cooperative through a fair agreement to obtain a mutual benefit when utilizing personal information. We should focus on guaranteeing the rights of data subject for active involvement in the entire process of personal information and the post-control through the enhancement of transparency and auditability. It is very important in the interoperability model of IoT, blockchain and AI which can create social and economic values by using data flow. Also, the data subject should not bear all the burden of the protection of the right to information self-determination, but the public and the private sectors as well as the data subject need to share the burden. Therefore, the key is how to build a governance system based on ethical legitimacy and mutual trust. We can realize the fair agreement model upgraded from the consent model by using data platforms often mentioned in the era of artificial intelligence and big data. The data subject can keep control of his/her personal information and make use of it effectively with a MyData model that has technical support such as data management and storage systems such as PIMS and PDS and legal support of right to data portability. But It is not sufficient for the fair agreement model. So, a data trust model in which a trustee with great expertise and resources negotiates with processor and participates in the entire process of personal information and the post-control instead of data subjec... 데이터 경제의 핵심기술인 사물인터넷, 블록체인, 인공지능의 방대한 데이터의 상시 처리, 활용 범위 및 목적의 유연성과 변동성, 분산처리 및 자동처리, 데이터 분석의복잡성은 필연적으로 개인정보 보호법제와 충돌한다. 특히 고지에 의한 동의(informed consent)를 충족해야 하는 정보주체의 사전동의를 받는 것이 쉽지 않다. 이문제를 해결하기 위한 다양한 방안이 시도되지만, 보다 근본적인 문제는 우리의 개인정보 보호법제와 그 운용이 정보주체의 동의에 지나치게 의존하고 있다는 점에 있다. 동의 제도에 대한 지나친 의존은 나머지 정보보호 메커니즘을 소홀하게 만들고, 정보주체에게 모든 책임을 전가한다. 동의에 따른 결과를 정확하게 이해하지 못하고 그럴의사도 없는 정보주체는 형식적인 동의를 남발하거나 정보이용의 함의에 대한 이해없이 무조건 동의를 거절하고, 정보주체의 동의를 면책수단으로만 활용하려는 정보처리자는 변칙적이고 탈법적인 방법으로 동의를 확보한다. 한편, 제대로 정보주체로부터 동의를 받고자 하는 정보처리자에게 엄격한 사전동의 제도는 비합리적인 규제이며, 특히 사물인터넷, 블록체인, 인공지능 기술환경에서 법적 리스크를 증가시키는원인이 된다. 동의의 비중이 과도한 이런 상황에서 비식별처리로 동의를 대체하는 가명정보 제도는 그 적정성을 엄격하게 판단할 수 밖에 없어 여전히 법적 불확실성이해소되지 않는다는 비판과 함께, 동의를 대체하는 것에만 집중한 나머지 정보주체가정보처리에 관여할 수 있는 여지를 오히려 축소시켜 정보주체의 보호에도 미흡하다는 비판을 동시에 받고 있다. 정보주체의 동의는 침해의 위법성을 조각시키는 소극적, 수동적인 의사표시로서 개인정보처리의 여러 법적 근거 중 하나일 뿐이다. 반면 정보주체의 헌법적 기본권이자 인격권인 개인정보자기결정권은 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제하는 적극적, 능동적 권리이다. 따라서 정보주체의 동의권을 개인정보자기결정권과 같은 권리, 또는 개인정보자기결정권의 본질적인 내용으로 받아들여 정보주체의 동의를 얻어야만 개인정보자기결정권이 실현되는 것으로 받아들이는 것은 잘못이다. 개인정보자기결정권의 실현은 동의에 의한소극적, 수동적 자율성보호에 의존할 게 아니라 적극적, 능동적인 이익 보호로서 정보주체의 이익을 보호하고 동시에 데이터 활용을 확대시키는 것이 되어야 한다. 즉 정보주체와 정보처리자가 함께 개인정보 할용으로 상호이익을 얻기 위해 협력하는 공정한 합의 모델이 되어야 한다. 이를 위해서는 개인정보 전 처리과정에서 정보주체의참여를 적극 보장하고, 투명성과 감사가능성 등 사후관여, 사후통제 실현에 초점을 맞추어야 한다. 이는 데이터의 흐름과 활용을 통해 사회, 경제적 가치를 창출하는 사물인터넷, 블록체인, 인공지능 기술의 상호운용에서 매우 중요한 의미를 갖는다. 나아가고도 정보사회에서 개인의 결정의 자유와 자유민주체제의 근간을 보존하기 위한 필요 최소한의 헌법적 보장장치로 개인정보자기결정권을 이해한다면, 개인정보자기결정권의 보호는 어는 한 주체에 모든 부담이 주어져서는 안되고, 정보주체와 공공, 민간이 함께 그 부담을 나누어야 한다. 따라서 개인정보의 적극적, 능동적 이익 보호 모델은 거버넌스 구조를 띄게 된다. 개인정보자기결정권의 실 ...

정보주체의 권리 실효성 확보를 위한 법적 검토 : 개인정보에 대한 소유권 인정을 중심으로

김현경 梨花女子大學校 法學硏究所 2022 法學論集 Vol.26 No.3

현행법상 정보주체의 권리의 근간은 인격권으로서 개인정보자기결정권이다. 그러나 현재의 개인정보 처리환경은 이러한 인격권에 그치지 않고 개인정보의 경제적 가치의 적극적 활용이 이루어지고 있다. 정보기술의 발전과 개인정보의 처리가 정보주체에게 미치는 영향을 고려해 볼 때 정보주체의 권리의 보장 단계는 다음과 같이 세 단계로 나누어 볼 수 있다. 사생활 보호권 중심의 방어적 권리 단계, 다음으로 정보주체의 결정권을 보장하기 위한 참여적 권리 단계, 그리고 참여적 권리를 넘어 적극적 사용ㆍ수익권의 보장 단계라고 할 수 있다. 현재의 정보주체의 권리 단계는 2단계 즉 개인정보 처리에 있어서 ‘참여적 권리’를 보장하는 단계이나, 개인정보에 대한 소유권 (ownership) 논의, 정보주체의 경제적 가치 실현 필요성 등 3단계 권리에 대한 수요가 증대하고 있다. 그러나 이러한 환경에 부합하게 정보주체의 권리 실행이 적절히 이루어지고 있는지는 의문이다. 우리의 개인정보 보호법제에서 정보주체의 권리는 오직 정보주체의 ‘사전 동의권’에 치중됨으로서 그 외의 권리의 실질화 방안이나 정보주체의 수익 추구 의지를 반영한 권리 등에 대하여는 여전히 미온적이기 때문이다. 따라서 본 연구에서는 2단계 수준의 현행법상 정보주체의 권리의 한계를 모색하고, 개인정보에 대한 적극적ㆍ배타적 재산권 즉 개인정보의 소유권을 인정하는 것이 타당한지 검토하였다. 우선 재산권 이론에 비추어 볼 때 개인정보에 대한 소유권 창설은 개인정보를 재산으로 취급 할 경우 개인정보의 ‘통제’, ‘보호’, ‘가치측정’, ‘귀속주체’ 등에 있어서 한계가 있다. 따라서 참여적 권리를 현실화하고 적극적 재산권에 이르지 못하더라고 재산적 가치를 활용할 수 있는 제도적 방안이 모색될 필요가 있다. 참여적 권리의 실행을 지원하는 방안으로 개인정보처리자의 정보프라이버시 보호역량 향상과 정보주체의 권리 실질화를 지원하는 서비스나 비즈니스를 독려하는 방안을 제안하였다. 그리고 개인정보의 재산적 가치 관리를 제도화하는 방안으로서 현재 개인정보 보호법 개정안에 도입 예정인 개인정보 관리전문기관(마이데이터)의 활용방안, ‘개인정보 유사 신탁관리업’의 도입을 제안하였다. The basis of the rights of information subjects under the current law is the right to self-determination of personal information as a personal right. However, the current personal information processing environment is not limited to these personal rights, and the economic value of personal information is actively utilized. Considering the development of information technology and the effect of the processing of personal information on the data subject, the stage of guaranteeing the rights of the data subject can be divided into three stages as follows. It can be said to be the stage of defensive rights centered on the right to privacy, the stage of participatory rights to guarantee the decision-making rights of information subjects, and the stage of guaranteeing active use and profit rights beyond participatory rights. The current level of rights of data subjects is the second stage, that is, the stage of guaranteeing ‘participatory rights’ in the processing of personal information. The basis of the rights of information subjects under the current law is the right to self-determination of personal information as a personal right. However, the current personal information processing environment is not limited to these personal rights, and the economic value of personal information is actively utilized. Considering the development of information technology and the effect of the processing of personal information on the data subject, the stage of guaranteeing the rights of the data subject can be divided into three stages as follows. It can be said to be the stage of defensive rights centered on the right to privacy, the stage of participatory rights to guarantee the decision-making rights of information subjects, and the stage of guaranteeing active use and profit rights beyond participatory rights. The current level of rights of data subjects is the second stage, that is, the stage of guaranteeing ‘participatory rights’ in the processing of personal information. However, there is an increasing demand for three-level rights, such as the discussion of ownership of personal information and the need to realize the economic value of the data subject. However, it is questionable whether the data subject’s rights are being properly exercised in accordance with this environment. This is because the rights of data subjects in our personal information protection law system are focused only on the ‘right to consent’ of the data subjects, so they are still lukewarm about the ways to materialize other rights or the rights that reflect the data subjects’ will to pursue profits. Therefore, in this study, the limits of the rights of information subjects under the current law at the second level are explored, and whether it is possible to recognize active and exclusive property rights over personal information, that is, whether it is appropriate to recognize ownership of personal information, is reviewed. First of all, in view of the theory of property rights, the creation of ownership of personal information has limitations in ‘control’, ‘protection’, ‘value measurement’, and ‘subject to property’ of personal information when personal information is treated as property. Therefore, it is necessary to find an institutional way to realize the participatory right and utilize property values even if it does not reach active property rights. As a way to support the implementation of participatory rights, it is proposed to encourage services or businesses that support the improvement of the information privacy protection capacity of personal information controllers and the realization of the rights of data subjects. In addition, as a way to institutionalize the management of the property value of personal information, it was proposed to use the personal information management agency (My Data), which is currently scheduled to be introduced in the amendment of the Personal Information Protection Act, and to introduce the ‘trust-like personal information management business’.

개인정보보호법상의 형사처벌 규정에 관한 연구

정혜욱(Choung, Hye-Uk) 중앙대학교 법학연구원 2011 法學論文集 Vol.35 No.3

Previously, Korean personal information protection was considered to be incomplete for covering only the public affairs. On September 30th, 2011, however, Korea enacted personal information protection act and extended its coverage by including private affairs. Since then, Korean personal information protection has become an intact system. The momentum for this extension of the protection range was served by the major personal information leakages centered on the private enterprises. ‘SK Broadband’, ‘Auction online auctioning site’, ‘Hyundai Capital’ cases are the few examples. legal benefit the personal information protection act essentially protects is the rights of informational self-determination. The rights of informational self-determination directly originated from the privacy act, article 17 of the constitutional law. Similar to tranquility of the habitat, personal information falls into the area of privacy and therefore is the subject of constitutional protection. Even though the protection for personal information is the fundamental human rights prescribed by the constitutional law, the absence of practical act to support its protection led to deal its violation only by civil means.as personal information protection law is enacted along with corresponding penalty, the rights of informational self-determination became one of the fundamental human rights that is directly protected by the constitutional law. Violation of the rights of informational self-determination has the property of intruding the control of personal information by the subject of rights. According to this property, the collection and processing of the personal information under the subject’s consent is exempted from the punishment.there exists an opposition between how one would describe the exemption of the penalty under consent of the subject of information. One is by distinguishing between agreement which removes the elements of an offense and approval which precludes the wrongfulness. The other one is by deciding either on the circumstances of the removing the elements of an offence or the circumstances precluding wrongfulness. For the latter case, it is often said that it is practically impossible to distinguish between approval and agreement and that no benefit arises from such distinction. However, this is not the case. the violation of the rights of informational self-determination, the consent of the information subject should be considered as agreement that removes the elements of an offence. This is analogous to theft where the violation of ownership of the goods occur. For example, if the owner of goods gives consent and the other acquires them, the elements of an offence are not comprisable.offender of the violation of the rights of informational self-determination is fundamentally the information processor. Here, the information processor can be public institution, corporation, organization, or individuals, etc. who, for business purposes, wish to process personal information by themselves or through the means of other people. According to this definition, all the people who process personal information is the offender. The basic structure of the system is as follows. The person in charge of the information processing is subjected to punishment as offender and the corresponding corporation or organization is fined only when it is subjected to penalty against employer and employee.the violation of the rights of informational self-determination is subjected to punishment except the collection of information without consent. In regards to collection, if the collector does not receive consent from the information subject, only the fine will be levied on him. However, if he commits fraud while obtaining consents, he is subjected to punishment.

정보저장매체 등을 외부로 반출한 이후의 절차에서 피압수자의 참여권을 둘러싼 실무상 쟁점과 해석론

조광훈 ( Kwang Hoon Cho ) 영남대학교 법학연구소 2015 영남법학 Vol.0 No.41

기존에는 전자정보나 정보저장매체의 압수수색절차에서 형사소송법 제106조 제3항의 규정에도 불구하고 이를 제대로 준수하지 않는 문제점을 지적하는 연구에 집중해 왔다. 하지만 최근 2015. 7. 16.자 2011모1839 전원합의체 결정에서 정보저장매체 등을 외부로 반출한 이후의 절차에서도 피압수자 등의 참여권을 보장하지 않아 정보저장매체 등의 압수수색절차가 전체적으로 위법하다고 하였다, 하지만 정보저장매체나 전자정보를 외부로 반출한 이후에 피압수자 등의 참여권을 구체적으로 어디까지 어떻게 보장하여야 하는지에 대하여 언급하지 않고 있어 참여권을 둘러싼 쟁점에 대한 적절하고 합리적인 해석론이 요구되는 상황이다. 전자정보나 정보저장매체를 외부로 반출한 이후의 실무상 제기되는 쟁점들로는 정보저장매체의 압수수색의 종결시점, 외부로 반출한 이후의 행위의 법적성질, 참여권과 관련성의 상관성 등이 있다. 전자정보나 정보저장매체의 외부로 반출한 이후의 각 단계별 참여권의 보장방법과 그 범위는 8단계로 구분하여 살펴볼 수 있다. 즉 외부장소에서의 정보저장매체의 봉인과 해제, 전자정보에 대한 이미징의 단계, 디지털 포렌식 센터 증거사본 시스템에 업로드(저장)단계, 증거사본을 내려 받아 삭제 파일의 복구, 파일의 추출단계, 원격 디지털 공조시스템에 업로드(저장)하는 단계, 전자정보의 탐색(또는 확인)단계, 전자정보의 복사 또는 출력단계, 증거화 단계 중에서 봉인의 해제, 이미징의 단계, 삭제 파일의 복구, 파일을 추출하는 단계, 전자정보의 탐색단계, 전자정보의 복사 또는 출력단계에서는 피압수자의 참여권을 보장하여야 할 것이다. 특히 파일을 선별적으로 탐색하고 이를 출력하는 과정에서는 반드시 보장하여야 할 것이다. 피압수자의 참여권의 합리적 보장과 실체적 진실발견의 원활을 위한 모색방안으로는 피압수자 등이 참여권을 정당한 사유 없이 수사를 방해하기 위하여 일방적으로 연기한다든지 거절할 경우에는 수사기관이 종합적으로 판단하여야 한다. 검찰과 경찰은 디지털 증거의 분석과 관련한 예규나지침에서 각 단계별로 참여권을 구체적으로 보완하는 것도 필요하다. 피압수자 등은 수사기관이 관련성 없는 전자정보를 탐색하는 경우라면 준항고 절차를 이용하여 다투어야 한다. 관련성 없는 전자정보 등은 사건종결 후에는 즉시 폐기하도록 하고 이러한 사실을 피압수자 등에게 통보하는 증명서(확인서) 등을 교부하는 방안도 고려할 수 있을 것이다. In regards to the seizure and search procedure of electronic information or information storage device, existing studies focused on the issue of lack of compliance to the Paragraph 3, Article 106 of Criminal Procedure Code. In the recent 2011MO1839 en banc ruling on July 16, 2015, however, it was stated that seizure and search procedure of information storage device was illegal overall upon failing to guarantee the participation right of those subject to seizure even in the procedure after taking out information storage device outside. However, it does not specially mention about the level of guaranteeing participation right of those subject to seizure after taking out information storage device or electronic information. Accordingly, there is a need for discussions on appropriate and reasonable interpretation of issues concerning participation right. As for practical issue being raised after taking out electronic information or information storage device, they include the completion period of seizure and search of information storage device, legal nature of act after taking out, correlation between participation right and relevance, etc. In regards to the method and scope of guaranteeing participation right according to step after taking out electronic information or information storage device, they can be divided into eight steps for review. It would be necessary to guarantee the participation right of those subject to seizure in the step of sealing & unsealing of information storage device outside and electronic information imaging; step of upload (storage) to digital forensic center evidence copy system; step of download of evidence copy for deleted file recovery, file extraction; step of upload (storage) to remote digital system; step of searching (or verifying) electronic information; step of copying or printing electronic information; step of unsealing and imaging during evidencing step; step of recovering deleted file, file extraction; step of search electronic information; step of copying or printing electronic information. It should be guaranteed particularly during the process of selectively searching for files and printing them. In regards to searching for ways to ensure reasonable guaranteeing of participation right of those subject to seizure and discovery of substantial truth, it is necessary for investigative agency to determine whether or not to recognize participation right of those subject to seizure when they postpone or refuse without justifiable cause to interrupt investigation. It would be also necessary for the prosecution and the police to specifically supplement participation right according to step in the prescribed regulations or guidelines on the analysis of digital evidence. In the case of investigative agency searching unrelated electronic information, those subject to seizure should contend by using the quasi-appeal procedure. There could also be the method of disposing unrelated electronic information instantly after the completion of case and issuing a certificate (confirmation) of notification to those subject to seizure regarding such matter.

건강정보 탐색의도 예측에 있어 태도의 매개효과 및 주관적 건강지식의 조절효과 분석 : 조혈모세포 기증희망등록 캠페인에의 적용

진범섭,박한나 한국광고PR실학회 2023 광고PR실학연구 Vol.16 No.4

Health information-seeking behaviors, as forms of communication activities, can be expected to have direct and indirect effects on health promotion and disease prevention. Among the various theories related to individual and social health promotion, the antecedents of health information seeking behavior have also been examined. Focusing on the importance of information related to hematopoietic stem cell donation, this study aimed to examine the relationship between past behavior, attitude, and intention to seek health information among various antecedents of health information seeking. Specifically, this study examined whether past information-seeking behaviors related to hematopoietic stem cell donation and transplantation can influence the intention to seek information on hematopoietic stem cell donation and transplantation via related attitudes. Moreover, the study tested the moderating effect of subjective health knowledge on the relationship between attitude and behavioral intention to seek health information. A survey was conducted among conveniencesampled university students. The results showed that past information seeking behavior on hematopoietic stem cell donation and transplantation had a positive effect on intention to seek related information through attitude toward information seeking. Also, a significant moderating effect of subjective health knowledge was found, with a tendency for attitude toward information seeking to have a greater effect on intention to seek in groups with low subjective health knowledge. The theoretical and practical implications of the study suggest that health communication scholars and campaign practitioners should pay attention to the provision of experiences related to seeking information on stem cell donation and transplantation, the formation of positive attitudes, and the effective use of subjective knowledge in developing campaign strategies for stem cell donor registration.

A Comparative Study of Consent Rules in the Personal Information Protection Laws of China and South Korea

GUANGJUN ZHANG(장광준),JIA JIANG 동아대학교 법학연구소 2022 國際去來와 法 Vol.- No.39

Consent rules, as the “Imperial Clauses” for personal information protection, are both specifically regulated in the Personal Information Protection Laws of China and South Korea. However, the explosive growth and high-speed circulation of personal information in the era of big data makes it more difficult for personal information processors to obtain the effective consent of personal information subjects, thereby weakening the ability of personal information subjects to control their personal information. How to apply consent rules to effectively balance the relationship between personal information protection and the development of the digital economy is one of the common topics faced by both China and South Korea. This paper compares the specific provisions and exceptions of the consent rules in the Personal Information Protection Laws of China and South Korea and analyzes the commonalities and differences between the two. Then, it compares the legal liability of violation of consent rules in the Personal Information Protection Laws of China and South Korea and analyzes their differences. Finally, from the two aspects of the validity of consent and the application of the rules, this paper summarizes the common dilemma faced by the consent rules of China and South Korea and proposes some solutions. Although the consent rules of the Personal Information Protection Laws of China and South Korea have their own advantages and disadvantages, on the whole, South Koreas regulations can better reflect the legislative purpose of “strong protection and strong utilization”. The flexibility and operability of law enforcement are stronger. The common dilemma of the two countries consent rules lies in the insufficient validity of consent and weak enforcement of rules. The former is mainly due to the personal information subjects are lack of cognitive ability, are “forced” to consent too much and are lack of enthusiasm for personal information management. The latter is mainly due to the deviation of the actual law enforcement from the original intention of the legislation, the difficulty of implementing the rules due to the development of science and technology, and the paradox of the consent rules themselves. In this regard, this paper proposes solutions from two aspects: perfecting the content of the rules and improving the implementation of the rules. The perfecting of the rules mainly includes four dimensions: refining the classification of personal information, optimizing the notification mode of personal information processors, supplementing the method of personal information subject consent, and reasonably restricting the exceptions to consent. The improvement of the implementation of the rules mainly includes four measures: introducing a third-party evaluation mechanism, strengthening government supervision, reinforcing legal responsibility, and implementing effective remedies.

개인정보보호법상 동의의 법적 성격에 관한 고찰

주영선 전남대학교 법학연구소 2022 법학논총 Vol.42 No.1

Personal information has become a key driving force that creates economic added value in the era of the 4th Industrial Revolution and data-driven society. Personal information is used in various fields of the public and private sectors, and it not only increases productivity but also brings innovation in many fields. Most importantly, in most cases, the consent from the data subject is the basis for the personal infor- mation controller to process personal information. Therefore, getting consent is the most crucial part of the personal information protection legislation. Furthermore, the consideration of the personal information consent system is essential to clearly understand the legislation related to personal information under the Personal Information Protection Act and to derive appropriate improvements. However, the Personal Information Protection Commission only states that "It is an ‘expression(or declaration of intention)’ of the voluntary agreement of the data subject on the collection and use of personal information by the personal information controller." Hence, the commission only states that getting consent is a form of expression, but does not specify the specific legal nature and power. Therefore, this paper examines the legal nature of consent under the Personal Information Protection Act. There are three main different views regarding the consent of the data subject: as a declaration of intention under Civil Act, a declaration of intention as a contract, and having a legal effect under the law regardless of intention. Presumably, the consent of the data subject should be regarded as an act that gives certain legal effects by the provisions of the law to maintain the legal order in social life- not an expression of intention under the Civil Act. Moreover, consent can be seen as a component of the original service-use contract in addition to the legal nature of it having a legal effect under the law regardless of intention. 개인정보는 4차 산업혁명과 데이터 중심사회에서 경제적 부가가치를 창출하는 핵심동력으로 자리 잡았다. 개인정보는 공공과 민간의 다양한 분야에서 활용되며, 이는 단순히 생산성을 높이는 것에 그치지 않고 각 분야의 혁신을 가져온다. 한편, 정보주체의 동의는 개인정보처리자가 개인정보를 처리하는데 단초가 되는 것으로, 많은 경우 정보주체의 동의를 근거로 개인정보의 처리가 이루어진다. 따라서 동의는 개인정보보호법제에 있어 가장 핵심이라 할 수 있다. 나아가 개인정보의 동의제도에 대한 고찰은 개인정보보호법상 개인정보와 관련한 법제를 명확히 이해하고 적절한 개선사항을 도출하는데 필수적 사안이다. 그러나 개인정보보호위원회는 “개인정보처리자가 개인정보를 수집・이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시”라고 설명할 뿐 구체적인 법적 성격에 대해서는 밝히고 있지 않다. 이에 본 논문에서는 개인정보보호법상 동의의 법적 성격에 대하여 살펴보았다. 정보주체의 동의에 대하여 민법상 의사표시로 보는 견해, 의사표시 중 계약으로 보는 견해, 준법률행위로 보는 견해 등이 있다. 생각건대 정보주체의 동의는 의료행위에 대한 환자의 동의와 마찬가지로 민법상의 의사표시가 아닌 사회생활상 법률질서의 유지를 위해 당사자의 의사와 관계없이 법률의 규정에 의해 일정한 법률효과가 부여되는 행위인 준법률행위로 보아야 할 것이다. 나아가 정보주체의 동의는 준법률행위라는 법적 성격 이외에 본래의 서비스이용계약의 구성요소로서의 성격을 가진다고 볼 수 있을 것이다.

공공기관의 정보공개 확대를 위한 법적 고찰

이제희 법조협회 2020 法曹 Vol.69 No.4

The information disclosure system of public institutions guarantees the people's right to knowledge and transparency in administration. The success of the disclosure system depends on the attitude of public institutions that make or manage the information. The disclosure of information held by public institutions should not be approached as charity because that is public services provided by the state to the people. The Information Disclosure Act defines information subject to non-disclosure information by public institutions, and the information' lists can be disclosed. While the disclosure of information is aimed at protecting confidentiality, knowing what information public institutions hold is involved fundamental rights to know. In principle the information list including non-disclosure information should be made public. It will ease the burden on the applicants for information disclosure to prove the existence of the claim information. The decision on whether or not information subject to non-disclosure is made in two stages in accordance with the Information Disclosure Act: formal and qualitative reviews. Strict interpretation of the formal scope stipulated in the law can guarantee the basic rights of the people, and it is less controversial than qualitative screening, reducing disputes related to information disclosure. The discretion of public institutions shall be legally guaranteed in the decision of information subject to non-disclosure. It is necessary to stipulate that public institutions can disclose information subject to non-disclosure if necessary for the public interest by referring to Japan's Information Disclosure Act. Even if the decision to disclose information is canceled through administrative litigation, public institutions can decide to keep it private again based on other reasons of Information Disclosure Act. Even if the decision to cancel the decision to disclose information is made through an administrative litigation, public institutions can decide to keep it disclosed again based on other reasons behind the Information Disclosure Act. Mandatory injunction shall be introduced to prevent abuse of decisions to disclose information by public institutions. An active review by the judiciary on whether to disclose information is required. This is because the protection of people's rights should be prioritized rather than respecting the discretion of the administration on the grounds that it is a professional territory. The role of the legislature, administration and judiciary is important for the success of the information disclosure system, which can contribute to the guarantee of the people's right to knowledge and democracy. 공공기관이 보유한 자료를 투명하게 공개하는 것은 국민의 알권리와 국정 운영의 투명성에 기여한다. 정보공개제도의 성패는 1차적으로 정보를 작성‧관리하는 공공기관에 달려있다. 공공기관이 보유한 정보의 공개는 국가가 국민에게 제공하는 공공서비스라는 점에서 이를 시혜적 관점에서 접근해서는 안된다. 공공기관의 정보공개에 관한 일반법인 「공공기관의 정보공개에 관한 법률」(이하 정보공개법)에서 공공기관의 비공개대상 정보 범위를 규정하며, 위 정보에 대해서는 정보목록의 비공개도 가능해 정보의 존재 자체를 공개하지 않을 수 있다. 정보비공개는 기밀성의 보호를 목적으로 하지만 공공기관이 어떤 정보를 보유하는지 아는 것은 국민의 기본적인 알권리에 해당한다는 점에서 원칙적으로 비공개정보도 정보목록 공개 대상에 포함되어야 한다. 이를 통해 정보공개청구권자가 청구 정보의 존재를 입증해야 하는 부담을 완화할 수 있다. 「정보공개법」에 규정된 비공개대상 정보의 해당 여부는 형식적 심사(국가안보 등)와 질적 심사(국가의 중대한 이익을 현저히 해할 우려 등)의 2단계 구조를 통해 결정된다. 법문에 불확정 개념으로 규정된 형식적 범위를 좁게 해석하는 것이 국민의 기본권을 보장할 수 있으며, 질적 심사보다 상대적으로 다툼의 여지가 적다는 점에서 정보공개와 관련된 분쟁을 줄일 수 있다. 이외 비공개대상 정보의 판단에 있어 공공기관의 비공개대상 정보에 대한 예외적인 공개 권한을 법률로 보장해야 한다. 일본의 정보공개법과 유사하게 공익상 필요한 경우, 비공개대상 정보라도 이를 공개할 수 있는 예외 규정을 마련하는 것이 공공기관의 적극적인 정보공개를 유도할 수 있다. 정보비공개 결정에 대해 행정소송을 통해 취소결정이 이루어져도 공공기관은 「정보공개법」의 다른 비공개 사유를 근거로 다시 정보비공개를 결정할 수 있다. 공공기관의 정보비공개 결정의 반복을 막기 위해 의무이행소송이 도입되어야 한다. 이와 더불어 사법부의 정보공개 판단에 대한 적극적인 심사가 요구된다. 전문적인 영역임을 이유로 행정부의 판단을 존중하기보다 국민의 권리 보호가 우선되기 때문이다. 정보공개제도의 성공적 운영을 위해 입법‧행정‧사법기관의 역할이 요구하며, 이를 통해 국민의 알권리 보장과 민주주의 실현에 기여할 수 있다.

동의 없이 가명화한 개인정보의 사용은 정당한가?: IRB의 승인도 정보 주체의 동의도 없는, 개인정보의 2차적 연구 사용의 문제

최경석 이화여자대학교 생명의료법연구소 2022 Asia Pacific Journal of Health Law & Ethics Vol.16 No.1

The recent development of big data technology has increased our interest in collecting, storing, and using personal information like genetic or health information in the use of health and medical data. The ethical principle to obtaining informed consent has been observed in bioethics for human subject research with the exceptional allowance to waive informed consent through the review of IRB. However, Europe’s GDPR allows to use personal information pseudonymized without informed consent from or notification to data subject for the the secondary use like public record, scientific or historic research, or statistics although respecting the ethical principle to obtain informed consent. Similarly, Personal Information Protection Act in Korea allows to use the personal information with the pseudonymisation for the secondary use without consent. However, these have the following problems. First, GDPR’s requirement for the exempt from notification to data subject cannot be considered to be close to the criteria for waiving an informed consent, which have been adopted in bioethics. Second, unlike GDPR, there is no regulation in Personal Information Protection Act to indicate the criteria for the secondary use of the collected personal information without the notification to data subject. Third, there is no clear regulation to give a controller, who determines the purposes and means of the processing of personal data, the authority to pseudonymize the already-collected personal information without informed consent. Fourth, GDPR has the regulation to give a controller the authority to pseudonymize personal information without consent. However, its theoretical ground is too weak. Public good may be a reason to support such a secondary use. This reason cannot be a sufficient one because the concept of public good is vague. Restriction on right to self-determination of date subject for public good may distrupt trust building necessary to the improvement in using data. In order to overcome the problems mentioned earlier, I argue that the introduction of blanket consent for secondary use into Bioethics and Safety Act in Korea is needed as observed in the revision of 45 CFR 46 in U.S.A. 최근 빅데이터 기술의 발달로 보건의료 데이터 활용의 영역에서는 유전정보, 건강정보와 같은 개인정보의 수집과 축적 및 이용에 대한 관심이 더욱 증대되고 있다. 인간대상연구와 관련하여 생명윤리의 영역에서는 연구대상자로부터의 동의 획득이란 윤리 원칙을 존중해 왔으며, 동의 획득이 곤란한 경우에는 예외적으로 IRB의 심의를 거쳐 동의 획득을 면제하였다. 유럽의 GDPR 은 동의 획득이나 통보라는 원칙을 존중하고는 있지만, 공익적 기록이나 과학적 연구나 역사적 연구, 또는 통계 목적 등과 같은 목적에는 동의나 통보 없이도, 수집된 정보를 2차적으로 사용할 수 있도록 허용하고 있다. 우리나라의 개인정보보호법은 상기한 목적의 경우 가명처리를 필수요 건으로 정보 주체의 동의 없는 2차적 사용을 허용하고 있다. 하지만 이러한 정보 이용에는 다음과 같은 문제점이 있다. 첫째, GDPR은 정보 주체의 통보라는 원칙의 예외 조건을 두고 있지만 그것이 생명윤리 분야에서 축적된 원칙인 IRB의 동의 획득 면제 승인에 따르는 것이라고 보기 어렵다. 둘째, 우리나라의 개인정보보호법은 GDPR과는 달리 통보의 예외 조건과 같은 통보 없이, 수집된 정보를 2차적으로 사용하는 기준에 대한 규정이 없다. 셋째, 우리나라의 개인정보보호법은 정보 주체의 동의 없는 가명처리의 권한을 개인정보처리자에게 부여하는 명문의 규정이 존재하지 않는다. 넷째, GDPR은 정보 주체에게 동의 없는 가명처리의 권한을 개인정보처리자에게 부여하는 조항은 있지만, 이 조항을 정당화하는 이론적 근거가 빈약하다. 공익이 하나의 근거가 될 수 있지만, 공익 개념의 모호성으로 인해 충분한 근거가 되기 어렵다. 공익을 명분으로 정보 주체 의 자기결정권을 제한하는 것은 정보 이용의 활성화를 위해 필수적인 신뢰 구축을 저해할 수 있다. 따라서 열거한 문제점을 극복하기 위해서는 미국의 45 CFR 46의 개정에서 확인할 수 있듯이, 2차적 사용에 대해 포괄 동의를 획득하는 방안을 좀 더 구체적으로 생명윤리법에 도입할 필요가 있다.

신약개발 연구를 위한 의료 가명정보 이용의 문제점과 해결방안

김성윤 서울대학교 기술과법센터 2020 Law & technology Vol.16 No.6

과학기술 연구에서 기초 자료 확보의 중요성은 양질의 많은 데이터를 필요로 하는 인공지능 기술의 등장과 더불어 더욱 증대되었다. 신약개발로 대표되는 의료 분야의 연구에서는 생명 데이터가 사용된다. 생명 데이터는 복잡한 처리과정이 필요하여 인공지능 기술활용의 필요성이 높지만, 개인의 민감정보를 담고 있기에 사용에 많은 제약이 따른다. 개인정보 이용의 활성화를 위하여 이른바 ‘데이터 3법’ 개정안이 통과되었다. 개인정보 보호 법의 적용 범위에 가명정보의 개념이 새로이 포함 되었는데, 가명정보는 기존의 개인정보와는 달리 정보주체의 동의 없는 자유로운 처리가 가능하다는 점이 특징적이다. 그러나 법문 규정 상 가명정보의 의미가 명확하지 않아 개인정보 보호법의 해석과 적용에 어려움이 있을 것으로 생각된다. 광의의 개인정보 개념은 가명정보를 포함하지만, 개인정보 보호법에서는 가명정보를 일반적인 개인정보와는 다르게 취급한다. 일반적으로 사용 되는 개인정보, 가명정보, 익명정보의 정의와 비 식별화 기법으로부터 현행 개인정보 보호법 상 의료 가명정보의 개념을 이해하고자 하였다. 비식별화가 진행되면 개인정보는 가명정보 혹은 익명 정보가 되며, 이 과정에서 개인정보의 보호는 강해지지만 정보의 활용도는 감소한다. 도식을 이용 하여 정보주체와 정보활용자의 이해관계가 최적화되는 비식별화 정도를 결정하였다. 가명정보에서는 정보주체와 정보생산자가 일치하지 않으며, 그에 따라 여러 문제들이 발생한다. 가명정보의 유출로부터 개인이 식별될 위험이 있으며, 가명정보의 주체가 정보 제공의 대가를 받지 못하는 것이 문제될 수 있다. 가명정보 보유자가 개인정보를 무분별하게 처리하는 것 역시 정보주체의 의사와는 다르다는 점에서 검토할 가치가 있다. 정보활용 제외 신청 제도 도입, 정보 이용 내역의 통지 의무 부과, 개인정보 보호기금 제도와 가명정보 유출 시의 예외적 면책 사유 도입 등의 방법을 통해 정보주체의 권리를 보호하면서도 연구자의 정보활용을 촉진할 수 있을 것으로 기대된다. In the era of artificial intelligence, the importance of data has been increased. Biological data, used in medical research including drug development, need the application of artificial intelligence due to their complexity. However, sensitive information included in those data limits their use. To facilitate the use of personal information, amendments for three different laws passed the National Assembly. The concept of pseudonymization was introduced to Personal Information Protection Act. Processing of pseudonymized information does not require consent of data subject. Because of its vague definition, the interpretation and application of pseudonymized information seems to be difficult. Although personal information includes pseudonymized information in the Definition Article, these two types of information are separate over the Personal Information Protection Act. To understand pseudonymized medical information, general concepts of personal information, pseudonymized information, and anonymized information, and the techniques for de-identification are introduced. Personal information changes to pseudonymized or anonymized information depending on the degree of de-identification. In this process, protection of personal information becomes stronger while the usability decreases. Optimal degree of de-identification is determined with schematic approach. In pseudonymized information, data subject and data producer are not the same. This results in several problems: the danger of personal identification, lack of compensation for the data subject, and indiscriminate processing of pseudonymized information by data possessor. It is expected that the introduction of (1) opt-out policy, (2) obligation of data usage notification, (3) personal information protection fund, and (4) exceptional exemption from responsibility for pseudonymized information leakage will protect both data subject and researcher using those data.