개인정보 보호법과 다른 법률 간의 정합성 연구

이부하 충북대학교 법학연구소 2023 과학기술과 법 Vol.14 No.1

The consistency between the 「Personal Information Protection Act」 and other laws related to personal information is an issue. It is necessary to investigate the relationship between the 「Personal Information Protection Act」 and the Credit Information Act and between the Personal Information Protection Act and the Location Information Act. As a problem of systematic and consistent support for the protection of the rights and interests of the data subject, it is difficult to confirm the inconsistency of applicable laws and support organizations for rights relief when rights relief is necessary. It is necessary to amend the law on the subject and scope of application of the Personal Information Protection Commission, which has the general supervision of ʻpersonal information protectionʼ. It is necessary to establish a senior supervisory body to perform the role of managing and supervising all workplaces that process personal information. The hierarchical hierarchy of supervisory bodies should be rearranged, and senior supervisory bodies should be set up to separate them by sector. Supervisory body should be performed personal information protection through compliance with personal information protection principles, receipt of reports on personal information infringement notices and handling of complaints, cooperation between personal information processors and consignees, and mutual support and cooperation with the Personal Information Protection Committee. According to the revision of the Credit Information Act, similar or overlapping contents to the 「Personal Information Protection Act」 were changed to apply the 「Personal Information Protection Act」, but there are some differences in the contents of the two laws. While the Credit Information Act includes statistical and industrial research on the use of pseudonymous information, the 「Personal Information Protection Act」 has no explicit regulations, so there is a difference in interpretation. In addition, the reason for obtaining the consent of the information subject under the Credit Information Act, exceptions, and the format of the consent form are stipulated differently from the 「Personal Information Protection Act」, causing confusion. It is difficult to confirm the inconsistency of the applicable law and the organization supporting the relief of rights when remedies are applied. When personal information is leaked to credit information companies, excluding commercial enterprises and corporations, it is stipulated that the Financial Services Commission has jurisdiction. It is necessary to improve the subject and scope of application of the Personal Information Protection Committee, which has the general supervision of ʻpersonal information protectionʼ. In order to resolve the confusion in the application of personal information, the 「Personal Information Protection Act」 should be basically applied, and the Personal Information Protection Committee should perform professional and systematic supervision in each area. After deleting provisions similar to the 「Personal Information Protection Act」 in the Credit Information Act, make the 「Personal Information Protection Act」 apply as the basic law, and stipulate only the provisions requiring exceptions in the Credit Information Act.

개인정보보호 법제 정합성 강화를 위한 고찰- 정보통신망법과 신용정보법을 중심으로 -

김일환 단국대학교 법학연구소 2018 법학논총 Vol.42 No.1

「Personal information protection act」 as general law stipulates that the relationshipwith other laws shall be subject to the provisions of this Act except as otherwiseprovided in Article 6 of the Act. Accordingly, since 「Personal Information ProtectionAc」t is a general law in this field, the personal information protection regulations in「Act on Promotion of Information and Communication Network Utilization andInformation protection」 are special laws on the protection of personal information. However, the provisions of 「Personal Information Protection Act」 and existingpersonal information protection laws are largely duplicated. As a result, it isconfusing for the intervention of multiple regulatory bodies as well as for the lawsthat apply to the legal applicants. There are many laws and institutions related topersonal information protection in Korea, but it is doubtful that such laws andinstitutions give the personal information processors predictability and protect therights of information subjects. Now, we should think about the direction of enhancingthe normative power of related laws rather than revising or revising new laws. Inorder to do so, we first need to ensure the integrity of personal informationprotection laws. Personal information protection general laws and Personal informationprotection special laws should be reviewed to eliminate unnecessary laws andregulations. I believe that even if unnecessary laws related to personal information exist in accordance with ministry selfishness and various interests, only a lot ofapplication confusion and interpretation mistakes in practice are resolved. If 「Act onPromotion of Information and Communication Network Utilization and Informationprotection」 leave a wide range of privacy regulations intact, ultimately, 「PersonalInformation Protection Act」 is a general law and its meaning is diminished and isbound to be reduced or eliminated. However, there is no theoretical or practicalnecessity to exist as a special law any more, although 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」,which is the most problematic at present, does not abandon its role as a general lawwith the appearance of a special law. Therefore, according to 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」, theprotection of personal information should be deleted and abolished and integratedwith the general corporate personal information protection law. Secondly, 「CreditInformation Use and Protection Act」 should have legislative forms and systems thatregulate the contents to be specifically regulated as a special law, even if thenecessity to regulate personal information in a specific area of credit information isacknowledged to some extent. You should not try to make the appearance of generallaw as it is now. 일반법인 개인정보보호법은 다른 법률과의 관계에 대하여 제6조에서 다른법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다고 규정하고 있다. 이에 따라서 개인정보보호법이 이 분야의 일반법이므로 정보통신망법상 개인정보보호규정 등은 개인정보보호에 관한 특별법으로서 해당부문에서는 이러한 법규정들이 우선 적용된다. 하지만 개인정보보호법과 기존의 개인정보보호 관련 개별법들의 규정들이 상당부분 중복되고 있다. 이에 따라서 법적용대상자가 보기에는 적용되는 법률들은 물론, 복수의 규제기구의 개입에 대해서도 혼란을 느끼고 있는 실정이다. 현재 우리나라에서는 개인정보보호 관련 법률과 제도들은 많이 있으나, 그러한 법률과 제도들이 개인정보처리자들에게 예측가능성을 부여하고, 정보주체의 권리를 충분히 보호하고 있는지는 의심스럽다. 이제 새로운 법률의 제⋅개정보다는 관련 법률들의 규범력을 높이는 방향으로 고민해해야 한다. 그러려면 먼저 개인정보보호법제의체계정합성을 확보해야 한다. 개인정보보호 일반법과 특별법들을 검토해서 불필요한 법률이나 규제는 과감히 정비, 폐지해야 한다. 부처이기주의나 각종 이해관계 등에 따라 존재하는 개인정보보호 관련 불필요한 법률들만 정비하더라도 실무계에서 겪고 있는 상당수의 적용상 혼란과 해석상 오류는 해소되리라믿는다. 정보통신망법에 광범위한 개인정보보호규정을 그대로 두게 되면 결국개인정보보보호법은 일반법으로서 그 의미가 퇴색되고 적용대상이나 범위가줄어들거나 없어질 수밖에 없다. 그렇다면 현재 가장 문제가 되고 있는 법률중 정보통신망법은 특별법의 외관을 가진 채 일반법으로서 역할을 포기하지않으려 하고 있지만, 더 이상 특별법으로서 존재해야할 이론적, 실무적 필요성이 존재하지 않는다. 따라서 정보통신망법상 개인정보보호부분은 삭제, 폐지하고 일반법인 개인정보보호법과 통합해야 한다. 다음으로 신용정보법은 신용정보라는 특수한 영역의 개인정보를 규율할 필요성은 일정부분 인정한다 하더라도 특별법으로서 특별히 규율할 내용을 별도로 규정하는 입법형식과 체계를갖추어야지, 지금처럼 일반법의 외관을 갖추려 해서는 안 된다.

개인정보 법제의 정합성 확보방안에 관한 검토 – 개인정보보호법, 신용정보법, 위치정보법을 중심으로 –

박미사 서강대학교 법학연구소 2023 서강법률논총 Vol.12 No.3

Korea's personal information legislation consists of the 「Personal Information Protection Act」, which is both a general law and a fundamental law, and individual laws such as the 「Credit Information Use And Protection Act」, and the 「Act On The Protection And Use Of Location Information」. Until now, Korea's personal information legislation have similar and overlapping problems existed while being dispersed into the Personal Information Protection Act, the Information and Communication Network Act, and the Credit Information Act. However, through the revision of the Data 3 Act in February 2020, it was unified around the Personal Information Protection Act. In addition, in March 2023, the special provisions for provider of information and communications services were deleted through the second revision. Therefore, the problems of overlap between personal information controller and provider of information and communications services have been resolved to some extent. However, three years after the Data 3 Act took effect, the issue of overlapping regulations of the Personal Information Protection Act, the Credit Information Act, and the Location Information Act still remains. In addition, there has been no complete consultation between ministries on the revision of the Location Information Act, which transfers the processing and protection functions of personal location information to the Personal Information Protection Committee. Therefore, in this paper, I would like to examine the similar and overlapping problems of Korea's personal information legislation, focusing on the current 「Personal Information Protection Act」, the 「Credit Information Use And Protection Act」, and the 「Act On The Protection And Use Of Location Information」. Next, as a reasonable way to improve the personal information legislation in consideration of the principle of coherence of the legal system, we would like to clarify the status of the 「Personal Information Protection Act」 as a general law and a fundamental law.

중국 개인정보보호 관련 법제의 동향 - 한국의 개인정보보호법제와 비교 -

윤현석 ( Hyun-seok Yoon ) 한국법정책학회 2021 법과 정책연구 Vol.21 No.1

중국은 개인정보에 관하여 개별 법령에서 정하고 있고, 그 침해에 대해서는 민법, 형법, 전자상거래 관련법 등으로 법적 보호를 하고 있었다. 하지만 개인정보, 즉 데이터가 중요해지고 있는 제4차 산업시대에서는 중국의 개인정보 법률체계가 적시에 대응하지 못한다는 비판을 받았다. 나아가 중국 동영상 플랫폼 기업인 틱톡(TikTok)의 개인정보 불법수집 등에 따른 미국 등의 제재로 인해 중국은 개인정보보호를 위한 법률체계의 정비에 대해 관심을 가지게 되었다. 이에 따라 중국은 2017년 네트워크안전법, 2020년 데이터안전법(안)과 개인정보보호법(안)의 도입을 통해 개인정보, 즉 데이터보호와 관련된 법체계를 완비하고자 하고 있다. 특히 개인정보보호법은 국내 인터넷 사용자의 개인정보를 보호하기 위한 이유를 내세우고 있다. 하지만 그 이면에는 중국에 반하는 차별 조치를 취하는 국가나 지역에 대한 보복 조치를 취할 수 있는 법적 근거를 마련하기 위함이기도 하다. 따라서 중국의 개인정보보호 관련 입법동향을 자세히 살펴볼 필요성이 있다. 중국의 개인정보보호 관련 입법에서는 개인정보의 정의를 정하고 있는데, 각 법, 예컨대 민법, 네트워크안전법, 개인정보보호법 등에서 정한 개인정보의 법적 정의가 유사하게 보이지만, 그 실질적 내용은 다르게 해석될 여지가 많다. 따라서 중국은 개별법의 적용에 따라 개인정보의 수집범위가 달라질 수 있다는 점을 유념해야 할 것이다. 중국 개인정보보호법 제43조에서는 어떤 국가 및 지역이라도 개인정보보호 측면에서 중국에 대한 편견을 가지고 금지, 제한하거나 기타 유사한 조치를 취하는 경우에 이에 대한 대응조치규정을 두고 있다는 점이 특이하다. 또한 네트워크안전법이 시행된 이후 중국내 기업들이 개인정보, 즉 데이터의 중국 밖으로 이전할 관련 법률을 위반하는 경우 중국은 그 처벌수준을 한국 보다 높게 정하고 있다. 특히 중국 개인정보보호법에서는 불법소득을 몰수하고, 5천만 위안 또는 전년도 매출액의 5%의 벌금을 부과하도록 하고 있어 한국의 매출액의 3% 과징금보다는 중하다. 위와 같이 중국의 개인정보보호 관련 입법체계의 완성은 개인정보의 중국내 보관 및 국외이전 등과 관련된 규제 및 조정에 대한 내용을 포함하게 된다. 따라서 중국 내 외국사업자, 즉 한국 기업은 중국내 개인정보의 수집과 중국밖으로의 개인정보이전에 대한 입법상황을 면밀하게 파악하여 대응할 필요성이 있다. China has been legally protecting against infringement of personal information through civil law, criminal law, and e-commerce related laws, but regulations on personal information have been decentralized in each law. Therefore, it has been evaluated that the legal system of China is not suitable in the era of the fourth industry, when personal information, that is, data is becoming important. In addition, due to sanctions in the United States for illegal collection of personal information by Chinese video platform company TikTok, China is also trying to complete a legal system to protect personal information for its own citizens. China is seeking to complete the legal system related to personal information, that is, data protection through the enactment of the Network Safety Act in 2017, the Data Safety Act and the Personal Information Protection Act, which was announced in 2020 as a draft. In particular, the Personal Information Protection Act puts out the reasons for protecting the personal information of domestic Internet users. However, it is trying to establish a legal basis for taking retaliation against countries or regions that take discrimination against China. Therefore, it is necessary to look closely at the legislative trends related to personal information protection in China. Personal information protection legislation in China sets different definitions of personal information. In Korea, only the Personal Information Protection Act defines personal information. Therefore, China has defined the personal information protection law similarly to the definition of personal information in the Civil Law and Network Security Law, but it is necessary to unify it as each can have different interpretations. And it is peculiar in that Article 43 of the Personal Information Protection Act of China provides countermeasures in cases where any country or region has a prejudice against China in terms of personal information protection and prohibits, restricts or takes other similar measures. When foreign companies in China violate relevant laws in China when transferring their personal information, i.e. data, outside China, the punishment level is higher than in Korea. In particular, China's Personal Information Protection Act confiscates illegal income and imposes a fine of 50 million yuan or 5% of the previous year's sales, so it can be said to be heavier than the 3% penalty of sales in Korea. As described above, the completion of the legislative system related to personal information protection in China includes the contents of regulations and adjustments related to the storage and transfer of personal information abroad. Therefore, overseas business operators in China should establish countermeasures according to the legislative situation regarding the collection of personal information in China and transfers outside of China.

개인신용정보의 범위에 대한 비판적 고찰 - 기본적 상행위 거래정보는 모두 개인신용정보인가? -

김현경 ( Hyun-kyung Kim ) 이화여자대학교 법학연구소 2020 法學論集 Vol.25 No.2

「개인정보 보호법」은 개인정보 보호의 일반법·기본법으로서 그 역할을 다해야 한다. 그러나 우리나라의 개인정보 보호법제가 일반법을 중심으로 법령의 체계 정합성을 맞추어 가면서 제·개정 되지 못하고 영역별 필요에 따라 우후죽순으로 만들어진 법령을 그대로 존치한 채, 「개인정보 보호법」을 후발적으로 마련한바, 법령 간 체계 정합성이 부족한 상황이다. 개인정보 보호법제의 체계 부정합은 결국 독립된 감독기구로서 개인정보 보호위원회의 위상을 약화시키고, 「개인정보 보호법」의 집행력을 떨어뜨리게 된다. 영역별 법령이 우선 적용되고 소관부처의 지도·감독이 우선시되면서 독립된 개인정보 감독기구로서 개인정보 보호위원회의 실질적 권한과 역할이 제 기능을 발휘하지 못하게 될 수 있기 때문이다. 특히 최근 개정된 「신용정보법」상 신용정보의 범위에 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 포함시켜 그 적용범위가 대폭 확장되었고, 하물며 단순 구매이력정보 역시 신용정보의 범위에 포섭되게 되었다. 이러한 무리한 개인신용정보의 범위 확장은 「개인정보 보호법」의 일반법으로서의 지위를 불명확하게 만들고 있다. 이는 결국 「신용정보법」상 도입된 특수한 제도 즉, ‘개인신용정보 전송요구권(일명 개인정보 이동권)’ 및 '마이데이터(본인신용정보관리업)사업‘이 정작 「개인정보 보호법」에는 도입되지 않았음에도 불구하고 개인정보보호의 거의 전 영역에서 실시되는 결과를 초래할 수 있다. 따라서 “「상법」 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”를 신용정보의 범주에서 삭제하고, 신용판단의 기초가 될 수 있는 거래정보로 제한하여야 한다. 또한 개인정보 보호에 대한 금융위원회의 기능은 개인정보 보호위원회로 일원화하여야 한다. 금융위원회 등 분야별 개별법상 개인정보 기관은 관련 산업의 진흥을 동시에 고려해야 할 뿐만 아니라 업계 및 소관행정기관의 이해관계에 불가피하게 구속될 수 있기 때문이다. 신용정보의 범위 확장은 금융위원회의 개인정보 관리·감독 기능의 확대를 의미하며, 정작 개인정보 보호의 독립적 감독기구인 ‘개인정보 보호위원회’의 기능이 비정상적으로 축소될 수 있다. 개인정보 보호는 기본적으로 인권법 내지는 정보법에서 다뤄야 할 부분이며, 상사특별법인 「신용정보법」을 통하여 개인정보 보호의 원칙이 손상되어서는 안 된다. The 「Personal Information Protection Act」 should fulfill its role as a general law and basic law for personal information protection. However, Korea's personal information protection legal system was not enacted and amended as the system of laws and regulations was aligned with the general laws, and the ``Personal Information Protection Act'' was newly established while still retaining the laws and regulations made out of order according to the needs of each area. Therefore, there is a lack of system consistency between laws and regulations. The inconsistency of the Personal Information Protection Act system eventually weakens the status of the Personal Information Protection Commission as an independent supervisory body, and reduces the enforcement power of the Personal Information Protection Act. This is because the actual authority and role of the Personal Information Protection Commission as an independent personal information supervisory body may not function properly as laws and regulations for each area are applied first and the guidance and supervision of relevant ministries is given priority. In particular, the scope of credit information under the recently revised 「Credit Information Act」 has been greatly expanded by including 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’. Furthermore, simple purchase history information was also included in the scope of credit information. This unreasonable expansion of the scope of personal credit information is making its position as a general law of the 「Personal Information Protection Act」 unclear. As a result, the special systems introduced under the 「Credit Information Act」, namely the 'right to request transmission of personal credit information and my data (personal credit information management) business', were not actually introduced in the 「Personal Information Protection Act」. In spite of that, it can lead to consequences that are implemented in almost all areas of personal information protection. Therefore, 'information on the type, period, content, conditions, etc. of commercial transactions pursuant to Article 46 of the 「Commercial Act」’ should be deleted from the category of credit information and credit information should be limited to transaction information that can be the basis for credit judgment. In addition, the function of the Financial Services Commission for personal information protection should be unified with the Personal Information Protection Commission. Personal information institutions in each field, such as the Financial Services Commission, not only need to consider the promotion of related industries at the same time, but it is highly likely that they will not be free from the interests or pressures of the relevant administrative departments or related industries. This is because the expansion of the scope of credit information means the expansion of the personal information management and supervision functions of the Financial Services Commission, and the function of the “Personal Information Protection Commission,” an independent supervisory body for personal information protection, may be abnormally reduced. Personal information protection is basically a part to be dealt with in the Human Rights Laws or the Information Laws and this principle should not be damaged through the 「Credit Information Act」 as a special law of the Commercial Act.

개인정보보호법 적용대상의 합리화 방안― 법 제58조의 입법론을 중심으로 ―

김일환 한국공법학회 2014 공법연구 Vol.43 No.1

According to the enaction of 「Personal Information Protection Act」 as a general law, there are special laws like 「Electronic Government Act」, 「Information Communications Network Act」, 「Protection of Credit Information Act」 and so on. Therefore 「Electronic Government Act」, 「Information Communications Network Act」, 「Protection of Credit Information Act」「Personal Data Protection Act」 etc. is special laws to Personal Information Protection Act」. Thus, it is urgent to improve legislation for making sure of legal stability and effectiveness of the law enforcement by minimizing the exceptional rules of special laws about the protection of personal information. From now on, the present system is in want of a total review according to 「Personal Information Protection Act」 as a general law. Next the problem which comes up in the application process of 「Personal Information Protection Act」should be detected and promptly fixed. The legislative purpose of article 58 of 「Personal Information Protection Act 」 is to exclude the application of the applicable law in the cases of appling principle and standard of hardship. However, this legislative system which exclude the comprehensive and overall application of the applicable law for the abstractive and general goal. These regulation urge in some cases excluding all or in other instance excluding part according to the object of the processing personal data. This kind of division is not only well-balanced but also illogical on the legal system. A necessity arises how to rule out and how much exclude based on the types of the manager of personal information and personal data rather than mode like current regulation of the law. There are, however, undeniable difficulties of lawmaking technique which is about how much application of regulation exclude according to characteristic, processing goal and all that of things of personal information like if this kind of method is selected. 일반법인 개인정보보호법이 새롭게 제정됨에 따라서 개인정보보호에 관하여 일반법인 개인정보보호법과 개별(특별)법인 전자정부법, 정보통신망법, 신용정보법 등이 있다. 따라서 개인정보에 관한 일반법인 개인정보보호법과 다른 개별 법률들은 일반법과 특별법 관계에 있다. 이에 따라서 개별(특별)법에 산재되어 있던 기존 예외규정들을 최소화함으로써 법적 안정성과 법집행의 실효성을 확보하는 법제정비가 매우 시급하다. 이제부터 일반법인 개인정보보호법에 맞추어 기존의 관련 법률들을 전면적으로 재검토해야 한다. 다음으로 일반법으로서 개인정보보호법의 적용과정에서 드러난 문제점들을 수정, 보완하는 작업도 같이 진행해야만 한다. 개인정보보호법 제58조는 이 법률이 요구하는 원칙과 기준을 적용하기 어려운 경우 이 법률의 적용을 배제할 필요가 있어 만들어진 것이다. 하지만 이처럼 매우 추상적이고 일반적인 목적을 위하여 포괄적이고 전체적으로 이 법률의 적용을 제외하는 입법방식은 문제가 있다. 개인정보처리목적에 따라 어떤 경우에는 전부 배제를, 또 다른 경우에는 일부 배제를 규정하고 있는 바, 이러한 구별이 법체계상 균형 잡히지 못하였을 뿐만 아니라 논리적이지도 못하다. 현행 법조문과 같은 방식보다는 적용을 배제할 개인정보처리자 및 다루고 있는 개인정보의 종류 등에 근거하여 이 법의 적용을 얼마만큼 배제할지를 개별적으로 고민하여 규정할 필요가 있다. 다만 이러한 방식을 택할 경우 개인정보처리자와 해당 개인정보의 특성, 처리목적 등에 따라서 개별적으로 어느 조문의 적용을 얼마만큼 배제할지를 검토해야 한다는 입법기술상의 어려움이 존재함을 부인할 수는 없다.

개인신용정보 비식별 조치의 내용과 한계에 관한 연구

백승엽,김일환 성균관대학교 법학연구원 2017 성균관법학 Vol.29 No.4

현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다. On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...

개인정보보호를 위한 비교법적 연구

고기복 유럽헌법학회 2019 유럽헌법연구 Vol.0 No.31

As the Personal Information Protection Act passed the National Assembly in 2011, a personal information protection legislation was established that unites the public and private sectors. Although the legislative environment for personal information protection was systemized by the implementation of the Personal Information Protection Act, the Personal Information Protection Act changed once again with the bursting of personal information leakage of the three card companies. The revision of the Personal Information Protection Act prohibits the collection of sensitive personal information, such as social security numbers, in the private sector. Nevertheless, personal information leakage incidents continue to occur. In Korea, the Personal Information Protection Act is the basic law for the protection of personal information, but various laws deal with personal information, so a unified and systematic legal system should be established. The modern information society is moving toward the intelligent information society with the development of artificial intelligence. In the intelligent information society, the protection of personal information is becoming more important due to the wide use of data. The European Union has already enacted and implemented the Privacy Guidelines in 1995 with the growing importance of privacy. In 2002, the Personal Information Protection Guidelines were prepared in the area of electronic communication. Since then, privacy has been upgraded to basic rights through the European Charter of Human Rights. The European Union has implemented a GDPR that has been further embodied since 2018 and strengthened the rights of data subjects. GDPR strengthens the rights of information subjects in line with the intelligent information society, and improves efficiency through more flexible responses in the use of personal information. On the contrary, Korea's privacy protection legislation is implemented not by a single law but by plural laws, which makes it difficult to respond quickly and uniformly to personal information infringement. Therefore, a unified legal system must be established for the protection of personal information. In order to improve the system of oversight of the protection of personal information, the Commission must first become a fully independent institution and authorize equivalent international standards. The Privacy Commissioner shall establish a legal status as a central authority for the protection of personal information. In addition, the authority to supervise, investigate, and execute the supervisory authority should be granted. In addition, the rights of information subjects should be expanded to meet the new intelligent information society, and regulations should be established to specify the right to move personal information and the right for automated decision-making, and to specify the conditions of foreign relocation. In addition, through the introduction of pseudonym processing system, overall improvement is needed, such as activating the use of personal information. As the European Union implements GDPR for personal information protection in the new era of intelligent information, legislation is needed to protect personal information. The European Union has upgraded the right to privacy to basic rights through the Charter of Basic Rights. Accordingly, various measures for the protection of personal information were prospectively included in GDPR. The Personal Information Protection Act should also be improved and maintained in accordance with the intelligent information age. 유럽연합은 2018년부터 한층 구체화되고 정보주체의 권리가 강화된 GDPR을 시행하고 있다. GDPR은 지능정보사회에 걸맞게 정보주체의 권리를 강화하면서 개인정보의 활용에 있어서 보다 탄력적 대응을 통하여 효율성을 제고하고 있다. 이에 반하여 한국은 개인정보보호법제가 단일법 형태가 아니라 복수법으로 분야별로 시행되고 있어서 개인정보침해에 대하여 신속하고 통일적인 대응하기 어려운 문제를 갖고 있다. 그래서 개인정보보호를 위한 통일된 법체계를 갖추어야 한다.

개인신용정보 보호법제의 중복규제 및 해소방안 연구 ― 신용정보의 이용 및 보호에 관한 법률을 중심으로 ―

백승엽,김일환 미국헌법학회 2017 美國憲法硏究 Vol.28 No.3

오늘날 개인신용정보는 공공부문과 민간부문에서 국민에 대한 적실성 있는 행정 및 소비자 편익제공을 위해 활용도가 점증되고 있는 반면, 복지국가의 이념과 전자정부의 구현을 위한 효과적인 개인정보 처리 및 빅데이터 환경에서 무분별한 수집/활용으로 인한 헌법상 보장된 국민의 기본권이 침해되지 되지 않도록 엄격히 보호되고 규제되어야 할 필요성 또한 매우 높아지고 있는 실정이다. 그러나 국내 개인신용정보 보호법제간 중복규제 문제로 인하여 법을 적용하는 순위 면에서 상호모순적일 뿐만 아니라 법적용의 일관성 측면에서도 문제가 발생하고 있다. 이는 단순히 우선순위의 차이만을 초래하는 것이 아니라 법 적용에 따른 규제수준에도 차이가 발생하는 바, 이를 해소함으로써 개인신용정보의 효과적인 보호와 규제를 보다 철저히 시행할 필요성이 매우 높다고 할 수 있다. 과거 개인신용정보의 오ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호할 필요성뿐만 아니라, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 통해 건전한 신용질서를 확립하기 위하여 ‘신용정보의 이용 및 보호에 관한 법률(법률 제4866호)’(이하 신용정보법)이 1995년에 개정되었고, 2011년에는 ‘개인정보보호법(법률 제10465호)’이 제정되어 개인정보보호 관련 다른 법률에 특별한 규정이 있는 경우에만 해당 특별법 조항을 우선적으로 적용받게 함으로써 개인정보보호법은 일반법으로서 전체 분야를 관할하고, 그 외 신용정보법, 온라인상에서 금융거래 등과 관련된 개인정보의 보호를 관할하기 위해 제정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제14080호)’(이하 정보통신망법) 등의 특별법은 각 분야별로 적용되고 있었다. 그러나 전술한 바와 같이 개인정보보호법과 신용정보법간 법률조문 기술방식과 해석상의 문제로 인하여 개인정보보호법과 신용정보법의 일반법과 특별법 관계가 불분명한 경우가 많았고, 각 법률이 중첩적으로 적용되는 문제가 발생하고 있는 실정이다. 즉 개인정보보호법과 신용정보법 간에 실질적으로 동일하거나 유사한 내용을 갖는데도 조문 기술방식이 달라 해석의 어려움이 발생할 뿐만 아니라 신용정보법이 규정하지 않는 사항에 대해서 여전히 개인정보보호법이 적용될 수 있으므로 수범자인 금융기관 입장에서도 두 법률을 모두 검토해야 하는 규제 준수의 부담이 있어 왔다. 이에 따라 금융위원회는 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 따라 신용정보법이 규정하고 있지 않지만 개인정보보호법에는 있는 내용을 반영하여 규제의 틈새를 메워나가는 등 개인정보의 규율에 대한 두 법률의 간극을 해소하고자 개선방안을 발표하고, 입법적 정비(2014년, 2016년, 2017년)를 시도 하였으나, 여전히 조항별로 특별법이 다른 해석상 모순적인 법적용을 계속해서 초래하고 있어 각 법률간의 우선순위 문제가 해결되지 못하고 있는 실정이다. 이와 같은 규정 체계의 상호모순을 극복하고 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 맞추어 신용정보법(제3조의2) 관련 규정을 근본적으로 개정할 필요가 있다. While degree of practical use of personal credit information has been gradually increasing for precise information of administration and convenience in both public and private sector, it also should be noted that such usage should be strictly protected and regulated lest basic right enshrined in the constitution should be infringed due to imprudent collection and utilization of personal information for realization of a welfare state and e-government in so-called big data environments. However, domestic use of personal credit information is not only inter-contradictory in prioritization of legal application due to duplicated regulation but also not consistent in actual applications. Since this could cause both discrepancy in prioritization and one in degree of regulation application, it deems to be necessary to enforce efficient protection and regulation of personal credit information in more thorough fashion. ‘Credit Information Use and Protection Act’ (hereinafter referred to “Credit Information Act”) as was revised in 1995 to foster a sound credit information business, promoting an efficient utilization and systematic management of credit information, and protecting privacy, etc. from the misuse and abuse of credit information properly, thereby contributing to the establishment of sound practices in credit transaction. ‘Personal Information Protection Act’ was established by law in 2011 in which application of the act is subject to the whole industries as a general law unless it is stipulated otherwise in other special law. In the similar fashion, ‘Act on Promotion of Information and Communication Network Utilization and Information protection, etc.’ (hereinafter referred to “Information Network Act”) whose purpose is to protect security of online financial transaction and personal information has been applied to respective industries. However, due to the previously elaborated ambiguity in provision stipulation and interpretation, many occasions occur where relationship between Credit Information Act and Information Network Act are not clear and two acts are applied redundantly. Albeit same or similar contents and intentions are contained in Credit Information Act and Information Network Act, since provisions in those acts could be interpreted differently and Credit Information Act could be applied to where Personal Information Act is not applicable, financial institutions such as banks have been burdened by compliance and interpretation of two acts. To make a point of regulation alignment to Credit Information Act for legal regulation of credit information, Financial Services Commission announced an expedient plan for bridging the gap between personal information related acts reflecting what is not covered in Credit Information Act whereas covered in Personal Information Act. Even with legislative modification in 2014, 2016 and 2017, several special laws have deepened a level of equivocality in provision interpretation and prioritization issues from each legislation has not been cleared yet. To sort out confusion in regulation system and to position Credit Information Act as a special law which should be applied to financial enterprises as framework of protection system of personal information, CreditInformationAct, especially in Article3-2(Relationship to other Acts) should be fundamentally revised to stipulate that Credit Information Act is a speciall with regard to Persona lInformation Act.

개인정보 보호와 개인영향평가제도

이종구(Lee, Jong-Koo) 충북대학교 법학연구소 2012 法學硏究 Vol.23 No.2

Since e-government maturing of privacy and personal information is emerging a key issues among others. The personal information protection act established in March, 2011 in Korea. But the personal information protection act have many problems. First, it must promote the efficiency of the law. Second, it must improve the organization personal information protection. Third, it must harmonies another acts on the personal information protection. Fourth, it must well perform the personal information impact Assessment. The legislation of the Personal Information Protection Act(hereinafter 'PIPA') streamlined various Acts related personal information, and made the privacy right for the information subject reinforce. Albeit better than before, there are some articles to provide reasonable adjustment to make them clear what is to be achieved firstly, the correction of legal terminologies and legal sentences for getting the legislative purposes of this PIPA, secondly, the harmonization between the PIPA and the other related Acts, based on PIPA which is the center for the protection of personal information, thirdly, the legislative consideration of the emerging 'right to be forgotten'. The personal information protection act will promote the level of personal information protection. And the establishment of personal information protection committee enables institution and policy changes differently from the personal information protection and promote the efficiency of the law the collection and use of personal information.