개인정보보호위원회의 조직과 권한에 관한 연구

김일환 ( Ilhwan Kim ),김재현 ( Jaehyoun Kim ) 한국인터넷정보학회 2015 인터넷정보학회논문지 Vol.16 No.4

개인정보보호위원회는 대통령 소속으로 그 권한에 속하는 업무를 독립적으로 수행하며, 장관급인 위원장과 차관급인 상임위원을 포함하여 총 15명의 위원(대통령 지명 5, 국회 선출 5, 대법원 지명 5)으로 구성된다. 개인정보 보호위원회의 주요 기능은 개인정보 보호 관련 주요 정책 심의 의결 및 법령·제도 개선, 개인정보 보호 관련 공공기관 간 의견 조정, 중앙행정기관, 지방자치단체 및 헌법기관의 침해행위 중지 등 개선권고, 개인정보 보호에 관한 연차보고서의 국회 제출 등이다. 현행 개인정보보호법제는 독립된 형태의 외부감독기관인 개인정보보호위원회와 소관 부처들이 동시에 개인정보보호에 관하여 규율하는 다중규율체계가 특징이다. 현행법에 규정된 개인정보보호위원회의 기능과 역할은 국제적 기준이나 그동안 논의되었던 수준에 비하면 보호기구의 독립성과 권한 등에서 많이 부족하다. 이러한 위원회는 효율적인 개인정보보호를 위한 독립된 기구로서 충분한 역할을 하기 어렵다고 판단된다. 따라서 개인정보보호위원회의 설립취지를 살리는 법개정작업을 제안하고자 한다. The Personal Information Protection Commission shall be established under the direct jurisdiction of the President and shall independently perform affairs under its authority. It shall be comprised of total 15 members (5 members designated by the President, 5 members elected at the National Assembly and 5 members designated by the Chief Justice of the Supreme Court), including one minister-level Chairperson and one vice-minister-level standing member. Main functions of the Personal Information Protection Commission include deliberation and resolution of major policies and improvement of ordinances and systems related to personal information protection, coordination of opinions among public institutions in regards to the management of personal information, recommendation of improvement such as suspension of infringement by a central administrative agency, a local government and a constitutional institution, and submission of annual reports on personal information protection to the National Assembly. The function and role of the Personal Information Protection Commission regulated by the current law are insufficient in terms of independence and authorities of protection agencies compared to the international standard or level of discussion. The Commission thus cannot play a sufficient role as an independent agency for efficient protection of personal information. Therefore, there is a need for law revision that revives the purpose of the establishment of the Personal Information Protection Commission.

개인정보의 개념에 관한 연구

문재완 한국공법학회 2014 공법연구 Vol.42 No.3

From the definition on the Personal Data Protection Act of Korea, we can infer that personal data is composed of two elements: personally identifiability and information. The former is crucial. Any information about a living person becomes personal data when his/her identity is apparent by the data itself or easy combination with other data. Internet business industry argues that the definition is too broad to use big data, using of which is vital in gaining a competitive edge in business. However it is inevitable to include personally identifiable information in addition to personally identified information in defining personal data, considering the high speed of IT technology development. Information classified as “personally de-identified” based upon current IT technology can be categorized as “personally identifiable” in the future. EU takes the same position as Korea in terms of defining personal data. No important distinction is found. While EU decides “personally identifiable” when data is reasonably believed to be combined with other data, Korea decides based upon easiness of combination. With regard to legislation on personal data, factors to consider are as follows; First, the definition of personal data in the Act should contain the core value of the fundamental right to self-determination over personal data, which is guaranteed in several cases since 2005 by the Consitutional Court of Korea. Personal data about personhood should be designed more protectively than others. Second, the definition should contain the possible change of “personally de-identified” into “personally identifiable” due to rapid development of IT technology. Third, the evaluation on the definition of personal data is closely related to the entire regime of protecting personal data, under which personal data has two values: protection of individual’s personhood and free flow of information. 개인정보보호법상 개인정보는 개인에 관한 정보로, 개인식별성과 정보성이라는 두 가지 요소로 구성되어 있다. 개인식별성은 살아 있는 개인을 전제로 하여, 해당 정보만으로 개인을 알아볼 수 있거나, 해당 정보와 다른 정보를 결합하여 개인을 알아볼 수 있는 경우를 말한다. 일부에서는 해당 정보와 다른 정보가 쉽게 결합할 경우 개인식별성을 인정하는 현행 개인정보의 정의 조항이 빅데이터(big data), 클라우드(cloud) 등 신산업의 발전가능성을 저해하므로 부당하다고 주장한다. 그러나 개인정보를 정의하는 데 있어 식별가능성을 중시하고, 식별을 위해 해당 정보뿐 아니라 다른 정보와의 결합 가능성을 중시하는 것은 불가피하다. 정보통신기술의 발전으로 초래된 위험은 정보가 대량으로 저장되는 데도 있지만, 정보들이 쉽게 결합될 수 있다는 데도 있는 것이다. 다른 선진국들도 결합가능성을 중시한다. EU의 경우 개인정보를 판단하는 데 있어서 해당 정보가 다른 정보와의 ‘결합이 합리적으로 기대되는지’를 기준으로 하는데 반해 우리는 ‘결합이 쉬운지’를 기준으로 하고 있다. 결합의 용이성에 대한 판단 역시 결합에 관한 그 사회의 합리적 기대를 바탕으로 한다고 보면, 양자간 차이는 사실상 없다. 개인정보의 개념은 다음과 같은 점을 고려하여 정립되는 것이 타당하다. 첫째, 개인정보의 정의는 헌법상 권리인 개인정보자기결정권의 핵심 내용을 담고 있어야 한다. 개인정보자기결정권은 개인에 관한 정보 중 개인의 인격주체성을 특징짓는 사항을 보호하는 데 그 의의가 있다. 둘째, 개인정보의 개념은 정보통신의 기술 발전을 수용할 수 있어야 한다. 기술 발전으로 현재 비식별정보로 분류된 것이 언제 식별가능정보로 바뀔지 알 수 없게 되었다. 셋째, 개인정보의 개념이 잘 정의되었는지 여부는 개인정보 보호체계 전반의 합리성과 연계하여 검토되어야 한다. 개인정보도 기본적으로 정보이며, 정보는 기본적으로 자유로운 유통을 전제로 하는 개념이기 때문에 개인정보의 자유로운 유통도 개인정보 보호법제가 추구하여야 할 또 다른 가치임이 분명히 인식되어야 한다. 개인정보가 보호의 대상이자, 유통의 대상이라는 양면적 성격을 인정하고 그 관리체계를 구축할 경우 개인정보는 그 유형에 따라 서로 다른 취급을 받아야 할 것이다. 헌법상 개인정보자기결정권의 대상이 되는 인격주체성과 관련 있는 개인정보에 대해서는 지금처럼 정보주체의 권리를 보장하는 것이 타당하다. 인격주체성과 관련 없는 개인정보는 원칙적으로 정보주체의 동의가 없어도 자유롭게 유통되도록 하되, 고유식별정보에 대한 보호는 현행 법제와 같은 수준을 유지하는 것이 타당하다고 본다.

중국의 온라인플랫폼에 대한 규제 연구 - 개인정보보호를 중심으로 -

노은영,국정훈 한중법학회 2021 中國法硏究 Vol.45 No.-

기업의 중요한 생산요소가 되고 있는 데이터는 그 수집과 이용에 있어 중요 한 법적 이슈가 있는데 바로 개인정보보호 문제이다. 개인정보는 기업에게 소 비자의 라이프 스타일을 파악하고 고객수요를 예측하는 등 경영전략 수립에 중요한 역할을 하기 때문에 여러 주체가 생산하는 데이터 중에서 가장 가치 있는 정보라 할 수 있다. 이러한 개인정보를 비즈니스에 가장 적극적으로 활용 하고 있는 곳이 바로 온라인플랫폼 기업들이다. 중국 정부는 제10차 5개년 계 획(2001-2005)을 통해 정보산업 발전과 인터넷 기술 보급을 국가의 장기적인 정책 방향으로 설정하고 인터넷 플러스 정책을 추진하며 인터넷을 기반으로 한 산업구조의 혁신을 강조하였다. 이는 중국 기업의 기술혁신과 대형 플랫폼 기업 탄생에 많은 영향을 주었다. 본 논문은 플랫폼 기업에 대한 개념정의와 개인정보와의 관계에 대해 검토한 이후, 중국 정부의 온라인플랫폼 기업에 대 한 개인정보보호의 주요 규제내용과 법제현황에 대해 살펴보았다. 중국의 개인정보보호 법제는 「네트워크 안전법」을 통해 분산 규정되어 있던 개 인정보 관련 규정이 한 차례 통합되었으며, 최근 입법 추진 중인 「개인정 보보호법(초안)」 을 통해 통합된 법률 형태로 제정될 예정이다. 이와 함께 본고에서는 개인정보 규제를 포함하는 플랫폼 기업에 대한 중국 정부의 규제를 공식적인 목적과 비공식적인 목적으로 구분하고 이러한 내용이 개인정 보 규제와 어떠한 연관성이 있는지 고찰하였다. We’re in a digital economy where data is more valuable than ever. Personal information is the most important data since it plays an significiant role in establishing management strategies. Personal information can be used to analyse customer behaviour and predict purchases. Therefore, Protection of personal data became the key legal issue in the collection and use of the data. Smartphones and the internet have made data abundant. Online platform companies are the main beneficiaries of the data economy. Through the 10th Five-Year Plan (2001-2005), the Chinese government promoted the Internet Plus policy and it prompted rises and innovations of the platform companies. With network effects, a data economy is dominated by a few giants. Existing laws were facing a new problem in protecting privacy. The recent releases of Cybersecurity Law and a draft of the Personal Information Protection Law ushers in an new era for the china online platforms.This paper aims to review key concepts of platform economy and their relationship to personal information. In addition, it examined the major regulations of the online personal information protection in China. The article also tried to explores visible and invisible purpose of the new regulation trend.

개인정보보호법 적용대상의 합리화 방안― 법 제58조의 입법론을 중심으로 ―

김일환 한국공법학회 2014 공법연구 Vol.43 No.1

According to the enaction of 「Personal Information Protection Act」 as a general law, there are special laws like 「Electronic Government Act」, 「Information Communications Network Act」, 「Protection of Credit Information Act」 and so on. Therefore 「Electronic Government Act」, 「Information Communications Network Act」, 「Protection of Credit Information Act」「Personal Data Protection Act」 etc. is special laws to Personal Information Protection Act」. Thus, it is urgent to improve legislation for making sure of legal stability and effectiveness of the law enforcement by minimizing the exceptional rules of special laws about the protection of personal information. From now on, the present system is in want of a total review according to 「Personal Information Protection Act」 as a general law. Next the problem which comes up in the application process of 「Personal Information Protection Act」should be detected and promptly fixed. The legislative purpose of article 58 of 「Personal Information Protection Act 」 is to exclude the application of the applicable law in the cases of appling principle and standard of hardship. However, this legislative system which exclude the comprehensive and overall application of the applicable law for the abstractive and general goal. These regulation urge in some cases excluding all or in other instance excluding part according to the object of the processing personal data. This kind of division is not only well-balanced but also illogical on the legal system. A necessity arises how to rule out and how much exclude based on the types of the manager of personal information and personal data rather than mode like current regulation of the law. There are, however, undeniable difficulties of lawmaking technique which is about how much application of regulation exclude according to characteristic, processing goal and all that of things of personal information like if this kind of method is selected. 일반법인 개인정보보호법이 새롭게 제정됨에 따라서 개인정보보호에 관하여 일반법인 개인정보보호법과 개별(특별)법인 전자정부법, 정보통신망법, 신용정보법 등이 있다. 따라서 개인정보에 관한 일반법인 개인정보보호법과 다른 개별 법률들은 일반법과 특별법 관계에 있다. 이에 따라서 개별(특별)법에 산재되어 있던 기존 예외규정들을 최소화함으로써 법적 안정성과 법집행의 실효성을 확보하는 법제정비가 매우 시급하다. 이제부터 일반법인 개인정보보호법에 맞추어 기존의 관련 법률들을 전면적으로 재검토해야 한다. 다음으로 일반법으로서 개인정보보호법의 적용과정에서 드러난 문제점들을 수정, 보완하는 작업도 같이 진행해야만 한다. 개인정보보호법 제58조는 이 법률이 요구하는 원칙과 기준을 적용하기 어려운 경우 이 법률의 적용을 배제할 필요가 있어 만들어진 것이다. 하지만 이처럼 매우 추상적이고 일반적인 목적을 위하여 포괄적이고 전체적으로 이 법률의 적용을 제외하는 입법방식은 문제가 있다. 개인정보처리목적에 따라 어떤 경우에는 전부 배제를, 또 다른 경우에는 일부 배제를 규정하고 있는 바, 이러한 구별이 법체계상 균형 잡히지 못하였을 뿐만 아니라 논리적이지도 못하다. 현행 법조문과 같은 방식보다는 적용을 배제할 개인정보처리자 및 다루고 있는 개인정보의 종류 등에 근거하여 이 법의 적용을 얼마만큼 배제할지를 개별적으로 고민하여 규정할 필요가 있다. 다만 이러한 방식을 택할 경우 개인정보처리자와 해당 개인정보의 특성, 처리목적 등에 따라서 개별적으로 어느 조문의 적용을 얼마만큼 배제할지를 검토해야 한다는 입법기술상의 어려움이 존재함을 부인할 수는 없다.

개인정보보호법 위반행위에 대한 제재 예외 사유

이정념(Lee, Jungnyum) 조선대학교 법학연구원 2020 法學論叢 Vol.27 No.2

개인정보보호법이 개정되어 2020년 8월 5일부터 효력을 발휘한다. 종래 개인정보보호법에 대하여는 동법이 개인정보의 개념을 모호하게 규정하고 있고, 개인정보 보호와 관련된 법적 근거가 다양한 법률 속에 분산되어 있어 이에 대한 정비가 필요하며, 4차 산업혁명시대로 전환되어 가는 흐름에 따라 신산업 육성을 위하여 동법이 규정하고 있는 개인정보의 활용범위가 확대되어야 한다는 비판이 있었다. 이에 개인정보보호법을 개정하려는 다양한 법률안들이 국회에 제출되면서 본격적인 입법논의가 이루어진 결과로, 2020년 1월 9일 개인정보보호법 일부개정법률안(대안)이 국회 본회의를 통과하기에 이르렀다. 무엇보다도 개정 개인정보보호법은 가명정보의 개념을 도입하고 가명정보 처리에 관한 특례를 명시하여 개인정보의 활용범위를 확대하고 있다는 특징을 보이고 있다. 본 논문은 개인정보보호법이 개정되면서 새로이 마련된 가명정보를 객체로 하는 동법 위반행위에 대한 제재 예외 사유의 법적 정당성을 분석하는데 중점을 두고 있는데, 구체적으로 정보주체가 지니는 개인정보에 관한 기본권 보호의 측면에서 개인정보보호법 제28조의7에 명시된 동법 위반행위에 대한 제재 예외 사유의 요건과 효과를 비판적으로 검토하여 앞으로 보완되어야 하는 내용들을 상세히 다루고 있다. The revised Personal Information Protection Act has been in force since 5 August 2020. Before the act was revised, it gave rise to various criticisms, including that the act vaguely defines the concept of personal information, that the legal basis related to the protection of personal information is distributed in various laws, and that the scope of use of personal information stipulated in the act should be expanded to foster new industries. Following the submission of various legislative proposals to amend the Personal Information Protection Act at the National Assembly, a bill amending the Personal Information Protection Act was finally adopted on 9 January 2020. An important new feature of the revised Personal Information Protection Act is the introduction of the concept of pseudonym information and the expansion of the scope of use of personal information by establishing provisions regarding pseudonymisation. This article focuses on analysing the legal justification of provisions that stipulate exceptions from the application of sanctions for violations of the revised Personal Information Protection Act in the case that the handling or use of pseudonym information violates the act. In detail, this article critically examines the concrete requirements and effects of the various reasons for exceptions from the application of sanctions regulated in Article 28-7 of the revised Personal Information Protection Act. Finally, this article suggests further conditions that should be contained in Article 28-7 to protect the basic rights on personal information of the informational subject.

정보공개제도에서 개인정보보호에 관한 논의의 발전 ― 한국과 미국에서의 정보공개에서 개인정보보호를 중심으로 ―

정하명 한국공법학회 2014 공법연구 Vol.42 No.3

The Korean Freedom of Information Act is a freedom of information law that allows for the full or partial disclosure of previously unreleased information and documents controlled by the Public Entities. The Act defines public records subject to disclosure, outlines mandatory disclosure procedures and grants eight exemptions to the statute. One of the exemptions is personal information. Public Entities can refuse to disclose of unreleased information which contains personal information. Korean regulated the personal information as personally identifiable information such as resident register number, telephone number in 1996. Korean revised the personal information as personnel files, the disclosure of which would constitute a unwarranted invasion of personal privacy in 2004. Some argued that the revision of 2004 specified the meaning of personal information more clearly and the exemption should be applied more narrowly. Korean Supreme Court did not agree with it and applied the personal information exemption broadly in 2012. According to the ruling, resident register number, telephone number, history of criminal record, medical files are exempted from disclosure. The Supreme Court's holding can be explained as a step forward to proper protection of personal information and privacy in post industrial society. 우리나라에서는 비공개대상정보로서의 개인에 관한 정보의 범위를 1996년 제정 정보공개법에서는 개인식별정보로 규정하다가 2004년 개정 정보공개법에서 사생활보호관련정보로 개정하였다. 대법원은 2012년 대법원 2012. 06. 18. 선고 2011두2361 전원합의체판결을 통하여 개인식별정보와 더불어 사생활보호관련정보도 비공개대상정보에 해당한다고 판시하여 비공개대상정보의 범위를 개인식별형정보와 더불어 사생활보호관련정보도 포함하는 것으로 판시하였다. 이에 따라 우리나라에서는 이름을 제외한 주민등록번호, 주소 내지 주거, 등록기준지, 연락처 내지 전화번호, 직업, 나이, 전과, 상훈, 병역, 교육, 경력, 가족관계, 재산, 수입, 종교, 건강상태 등의 정보는 개인에 관한 사항으로서 그 공개로 인하여 사생활의 비밀 또는 자유를 침해할 우려가 있으므로 비공개대상정보에 해당한고 할 것이다. 정보의 최대한의 공개를 통한 투명한 정부를 이루고 국민에 대한 책임성확보라는 정보공개법의 입법목적에 비추어볼 때 비공개대상정보를 광범위하게 인정하고 그 적용범위를 넓힌다면 이것은 정보공개법의 입법목적과는 상치되고 결국 정보공개법의 형해화의 폐해는 물론 정보공개법이 오히려 행정정보보호법 혹은 정보비밀법으로 전락할 우려마저 있다. 이러한 비공개대상정보에 해당하는 개인정보의 범위를 확대해가는 경향은 우리나라에서만 일어나는 경향이 아니고 미국 정보자유법(FOIA)의 적용에 관한 미국연방대법원의 판결례 등에서도 나타나는 현상이다. 연방대법원은 개인의 주소, 전화번호, 형사기록 등 통상적으로 타인에게 제공되거나 공개됨으로써 프라이버시 보호의 기대가능성이 낮은 개인정보까지도 보호대상으로 파악하여 국민의 알권리보다 프라이버시의 보호를 우선시하는 경향을 보여서 공개주의를 원칙으로 하는 정보자유법(FOIA)을 형해화할 가능성마저 제기되고 있는 실정이다. 개인정보에 관한 정보의 범위를 무한히 확대하는 것은 ‘최대한 공개’라는 정보자유법(FOIA)의 입법취지와는 정면으로 충돌한다는 비판도 있다. 인터넷, 스마트폰, CCTV, RFID 등 각종 정보통신기술이 고도로 발달한 오늘날 정보사회에서는 행정기관이 의도적이든 비의도적이든 개인관련정보의 최대 생산자이자 관리자가 될 가능성 또한 높아졌다할 것이다. 이러한 현실을 고려할 때 공공기관에 의한 개인정보의 무단유출과 불법공개의 가능성도 있다할 것이다. 이에 따라 정보공개법에서 개인정보보호의 범위를 보다 명확히 규정하고 그러한 개정을 비공개대상 개인정보의 확대로 해석한 대법원의 전원합의체 판례변경은 논란의 여지는 있지만 정보화시대의 발전에 대한 역작용으로 나타나는 개인정보의 집적과 불법유출의 우려에 대응하기 위한 시대적 흐름을 반영한 것이라고 할 것이다.

개인정보보호법의 개정 의의와 적용상 한계

이정념(Lee, Jungnyum) 한국법학원 2020 저스티스 Vol.- No.179

2011년 개인정보보호법이 제정된 이후 약 10여 년이 지난 지금, 우리 사회는 4차 산업혁명시대로 전환되는 과정 속에서 급속도로 디지털화되며 사물인터넷, 클라우드, 빅데이터, 인공지능 등 데이터를 중심으로 하는 새로운 기술의 영향 속에 놓여 있다. 이에 국내외적으로 4차 산업혁명에 발맞추어 다양한 데이터를 활용하는 새로운 기술에 기반 한 산업에서 경쟁력을 확보하려는 움직임 속에 개인정보의 보다 유연한 활용이 가능하도록 관련 법체계를 정비하려는 논의가 활발히 이루어지고 있다. 유럽연합은 데이터보호기본규정 (General Data Protection Regulation)을 마련하여 2018년 5월 25일부터 시행하고 있는데, 동 규정은 개인정보의 보호 수준을 강화하면서도 개인정보가 활용될 수 있는 범위를 체계화하고 있다는 점에서 주목할 만하다. 우리나라에서도 데이터 중심의 새로운 기술이 지배하는 4차 산업혁명시대에 대비하기 위하여 개인정보의 활용이 가능한 영역과 범위를 명확히 하는 법적 근거를 갖추기 위한 입법논의가 이루어지는 가운데, 개인정보보호법을 개정하고자 하는 다양한 법률안들이 국회에 제출되었고 이들을 토대로 한 개인정보보호법 일부개정법률안(대안)이 제안된 후 국회를 통과하여 2020년 2월 4일 공포되었다. 본 논문은 2020년 8월 5일부터 효력을 발휘하는 개정 개인정보보호법이 새로운 지능형 기술사회에서 ‘개인정보활용’ 그리고 ‘개인정보 보호’를 위한 법적 근거로 실효성 있게 적용될 수 있을지를 분석하는데 중점을 두면서, 개정 개인정보보호법의 의의와 목적, 주요내용을 살펴보는 한편, 가명정보와 가명처리에 관한 규정을 중심으로 개정 개인정보보호법이 담고 있는 적용상 한계를 검토하고 있다. About ten years, after the Personal Information Protection Act was enacted in 2011, our society is being rapidly digitalised by data-driven technologies such as the Internet of Things, cloud, big data, and artificial intelligence as part of the 4th Industrial Revolution. This is the background of discussions that are domestically and internationally under way to improve the legal system to enable more flexible use of personal data in order to have a competitive edge in new technology-based sectors that utilize various data. The European Union has established the General Data Protection Regulation, which has come into force since 25 May 2018. It is characteristic in that this regulation strengthens the level of protection of personal data while further widening the scope to which personal data can be used. In South Korea, legislative discussions are under way to establish a legal basis to clarify the scope of the use of personal data in order to catch up with the 4th Industrial Revolution dominated by new data-driven technologies. After various legislative proposals had been submitted to the legislative body, the amendment to the Personal Information Protection Act passed the National Assembly and was promulgated on 4 February 2020. This article focuses on analysing whether the revised Personal Information Protection Act can be effectively applied as a legal basis of both ‘personal information use’ and ‘personal information protection’ in the new data-driven technological society. Concretely, this article deals with the meaning, purpose, and main contents of the revised Personal Information Protection Act. Furthermore, this article reviews the limitations for the application of the revised Personal Information Protection Act, as regards special provisions for pseudonymization and the treatment of data, which has undergone pseudonymization.

개인정보보호법제의 개관

윤종수(Yoon Jong soo) 한국정보법학회 2009 정보법학 Vol.13 No.1

예전에는 재산권적 성격, 인격권적 성격, 비밀적인 성격이 옅어 법의 주목을 받지못하던 개인들의 다양한 사소한 정보들이 정보처리능력의 발달에 따라 수집되고 결합되고 분석됨으로써 아주 유용한 가치를 가지게 되어 이른바 개인에 관한 식별정보 로서의 개인정보(personal information)보호에 관한 이슈가 등장하였다. 개인정보보호를 위한 한 가지 방법론으로서의 개인정보보호법제는 아직 전체적인 법체계의 정립이나 개별입법이 많은 부분 미진한 상태로 현재도 계속 진화 중에 있다. 개인정보의 보호는 국가권력의 감시로부터 벗어나기 위한 전통적인 소극적 동기에서 전자정부로 상징되는 행정서비스의 구현에 있어 정보의 악용에 대한 의심을 제거하여 원활한 행정기능을 수행할 수 있도록 하고 전자상거래나 정보산업에 대한 신뢰와 발전을 저해하는 개인정보침해의 우려를 불식시켜 시스템을 안정시키려는 적극적 동기로 그 필요성이 확대되고 있어 소극적인 홀로 있을 권리인 프라이버시권에서 자신에 관한 정보의 자기결정권을 의미하는 정보프라이버시(Information Privacy)권이라는 적극적 개념으로 확장되었다. 최근에는 개인정보보호법의 추상적인 원칙 규정과 수동적이고 사후치유적인 조치만으로는 제대로 된 개인정보보호가 이루어지기 어렵다는 이유로 개인정보를 재산권의 목적으로 보아 그 상업적 이용여부를 정보주체가 결정하도록 하는 것이 적절하다는 주장도 등장하였다. 국제적으로는 1980년경 만들어진 유럽평의회(Council of Europe)의 개인정보보호협약과 OECD의 가이드라인이 개인정보보호 법제의 표준안으로 역할을 하였고, 특히 위 가이드라인은 국제적인 정보유통을 원활하게 하기 위한 기반을 만들기 위해서 국내정보법제의 조화를 목적으로 하는 바 개인정보보호의 일반적인 원리라 할 수 있는 8가지 원칙을 명확하게 제시함으로써 우리나라를 포함하여 많은 국가의 입법에 큰 영향을 미쳤으며, 1995년에 체결된 유럽연합의 개인정보준칙은 가맹국으로 하여금 개인정보보호와 관련된 감독기관의 설치를 의무화하고 법률의 준수를 모니터링 하도록 규정하였으며, 준칙에 규정된 기준에 미치지 못할 경우 개인정보의 제3국으로의 이전을 의무적으로 금지하도록 하였다는 점에서 개인정보보호법제에 새로운 전기를 마련한 바 있다. 각국의 개인정보보호법제는 크게 두 가지 흐름으로 나누어지는데, 하나는 주로 영국, 프랑스, 독일 등의 유럽국가들이 취하고 있는 방식으로 공적부문과 민간부문을 통할하는 기본법을 마련하고 감독기구를 통해 개인정보의 수집․이용․유지를 감시하면서 위반행위에 대한 제제를 가하는 정부규제방식과 미국으로 대표되는 자율규제 방식으로 민간의 자율적 지침에 의하여 개인정보보호의무를 준수하게 하고 필요한 경우 부문별 개별법을 제정하여 이를 보충하되 특별히 개인정보의 준수를 감시하기 위한 정부조직을 운영하지 않고 단지 사법적으로 개인정보의 유출에 대한 금지청구와 손해배상청구로서 해결하는 방법이다. 우리나라에는 공공부문과 민간부분을 포괄하여 개인정보보호를 규율하는 통합법이 없이 공공부문에 있어서는 공공기관의 개인정보에 관한 법률이 일반법으로 제정되어 있고 민간부문에 있어서는 다수의 법률에 개인정보보호에 관한 규정이 산재되어 있어 미국 및 개인정보에 관한 법률이 개정되기 전의 일본과 유사한 체제를 갖고 있다. 공공부분과 민간부문을 통할하는 일반법으로서의 기본법의 제정여부와 개인정보보호법의 실효성을 담보하기 위한 독립된 지위를 갖는 보호기구의 설치여부에 대해서 아직 해결이 되지 않은 채 계속 논란이 되고 있는바 조속히 이를 충족시키는 방향으로 입법이 이루어질 필요가 있다. As the computer technology is developed, the issue of protection personal information relating to an identified or identifiable individual gets recognized as the serious question. The personal information protection legislation as the legal instrument has been developed with other methods, such as the self-regulatory instrument and technological instrument, but it is still incomplete and under way. The issue of personal information protection needs to be dealt with in the view of the information privacy as the right of informational self-determination rather than the privacy as the right of freedom from the surveillance by the state power. The convention for the protection of individuals with regard to the automatic processing of personal data by the Council of Europe in 1980 and the guidelines on the protection of privacy and transborder flows of personal data by OECD in 1980 have been made as the transnational standard of personal information protection. Especially the eight principles presented by the guideline of OECD with a view to harmonization of various national legislations for he promotion of free movement of the personal information had a potent influence on the legislation in many countries. And the Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data by EU in 1995 as the most prominent external sources for domestic policy agenda specified the nature and function of the supervisory authority and the prohibition of personal information transfer to the third country with inadequate protection. The countries of the EU generally has the national law which covers both the public and private sectors with a supervisory authority in contrast with the legislative paradigm in USA which has the sectoral approach and depends on the enforcement by the judicial process. In Korea we have no general domestic law which governs personal information protection in both the public and the private sectors. The Act on the Protection of Personal Information Maintained by Public Agencies was enacted for the public sector, but the regulation for the private sector is scattered in the various laws. For the effective protection, the new personal information protection legislation which covers the both sectors and specifies a independent supervisory authority need to be enacted as soon as possible.

기업의 규모와 특성을 고려한 개인정보보호 방안 연구

김진형,김형종 보안공학연구지원센터 2012 보안공학연구논문지 Vol.9 No.1

한국의 정보통신망법 및 개인정보보호법에서는 개인정보의 유출·변조·훼손 등을 방지하기 위하여 개인정보의 보호조치를 시행하도록 규정하고 있다. 특히 개인정보보호법이 본격적으로 시행됨에 따라 개인정보보호와 관련된 법을 적용하는 사업자의 범위가 민간기업을 포함하게 되었다. 민간기업의 경우, 기업의 규모 및 업종이 매우 다양하기 때문에 개인정보보호방안을 수립하고자 할 때, 접근권한·인증·암호화 및 자체감사 등의 기술적·관리적 보호조치에 대한 세부적 기준이 요구된다. 본 논문에서는 각각의 민간 기업 분야별 특이요소 및 기업의 규모에 따른 고려사항을 도출하고, 이에 대한 개인정보보호 기술적 관리적 조치를 제시하였다. 본 논문의 업종 및 규모의 특성에 따른 개인정보의 관리 방안은 민간기업의 개인정보관리 담당자에게 개인정보의 안전한 관리에 유용한 정보로 이용될 것으로 기대된다.

개인정보의 상업적 판매 및 조건에 대한 비판적 고찰– 홈플러스 사건을 중심으로(대법원 2017.4.7. 선고 2016두61242 및 2016도13263 판결) -

임규철 한국법제연구원 2017 법제연구 Vol.- No.52

The Fair Trade Commission and the Supreme Court in Korea ruled that Home-Plus and seven insurance companies intentionally did not notice ‘paid-for-sale of personal information’ to data subject and user for collecting personal information. It also violated the principle of minimum collecting. Therefore they was liable for the violation of the Personal Information Protection Act in Korea Articles 16, 17 and 22. Considering the situation as a whole judged the Supreme Court that the act of Home-Plus is 'to be regarded as a person who acquires personal information or agrees to deal with personal information through false or other illegal means or methods' did. The court also judged the violation of the Display Advertising Act judging as a deceptive advertising. In the case of judgment under the Information and Communications Network Act in Korea, it was judged to be a violation of Article 24 and Article 24-2 in addition to Article 15 which is a violation of use within the purpose of collection. And to impose a duty on the personal information processor to make clear notice of consent through the amendment of Article 22(2) of the Personal Information Protection Act and the enforcement decree and the enforcement regulations(10.19.2017). In the contents of the statutory notice of Article 24-2(5) of the Information and Communications Network Act, ‘paid-for-sale of personal information’ is included(Committee pending). 홈플러스의 경품행사 시 당첨자 확인 및 경품지급을 위한 개인정보를수집하는 중에 의도적으로 개인정보의 7개 보험회사에 유상으로 제공된다는 사실을 사실상 알리지 않은 행위에 대해 공정거래위원회와 대법원은 방송통신위원회의 ‘열심히커뮤니케이션즈’ 사건처럼 일관되게 표시광고법 제3조 제1항 제2호의 ‘사업자 등은 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 표시·광고행위로서 공정한 거래질서를해칠 우려가 있는 기만적인 표시·광고를 하거나 다른 사업자 등으로 하여금 하게 하여서는 아니 된다.’는 조항을 적용하여 기만적인 표시·광고로 판단을 했다. 공정거래위원회는 홈플러스 측의 개인정보 불법수집 행위보다 광고에 있어 유상판매를 고지하지 않은 기만성 광고에 무게를 두고 결정을 했다. 불법수집을 막아야만 오남용 방지가 가능하기에 아쉬움이 많았던 결정이었다. 기존의 기만광고의 확대적용이지만은 자칫 사건의핵심을 기만적 광고라는 데에만 한정짓는 우를 범한다면 이는 개인정보의 유상판매 영역에 있어 홈플러스 측에 ‘면죄부’로서 작용할 가능성도없지 않았기 때문이다. 영리목적의 명확한 고지를 하지 않는 관행의 사후추인 방향으로의 해석도 가능하기 때문이었다. 개인정보보호법 위반에 대해서는 원심과 달리 대법원은 경품추첨 사실을 알리는데 필요한 개인정보와 관련이 없는 ‘주민등록번호, 응모자의 성별, 자녀 수, 동거 여부 등’을 사실상 강제하는 것은 개인정보보호법 제16조 제1항 및 제2항의 최소 수집의 원칙에 위반되고, 1 mm(4 point)의작은 글자크기의 부분적인 공지는 제3자 제공의 경우에 따른 동의획득시 각각의 동의사항을 정보주체가 명확하게 인지할 수 있도록 한다는 제17조 및 제22조 제1항에 위반된 행위로도 판단을 했다. 따라서 홈플러스의 행위는 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받은 행위를 한 자로 보는 것’이 옳다는 판단을 했다. 이러한 법원의 판단은 개인정보 처리의 근거 중의 하나인 ‘동의’조항을 정보주체의 입장에서 실질적으로 판단한 것으로 볼 수가 있다. 정보통신망법상 판단의 경우는 보험회사라는 제3자에게 유상으로 정보제공 시 이용자로부터 명시적이고 개별적인 동의를 받지 못했기에 수집목적 내의 이용위반인 제15조 외에도제24조 및 제24조의2의 위반으로 판단을 했다. 개인정보보호법 제22조의제2항 및 시행령과 시행규칙의 신설을 통해 동의내용의 명확한 고지를할 의무를 개인정보처리자에게 부과하도록 했다(2017.10.19. 시행). 동시에개정안 정보통신망법 제24조의2의 제5항의 법정고지내용에 명문으로 ‘개인정보의 유상판매’를 포함시켰다. 이러한 일련의 행위는 기존의 개인정보처리자나 정보통신서비스공자에 의한 정보처리의 관행이 정보주체의동의권을 사실상 무력화시켰다는 비판의 결과로 보기에 올바른 입법방향이라고 볼 수가 있다.