개인정보자기결정권의 범위와 한계에 관한 고찰 -개인정보보호법 일부개정법률안을 중심으로-

정윤경 경북대학교 IT와 법연구소 2022 IT와 법 연구 Vol.- No.24

As the 4th industrial revolution and the advent of the knowledge information society rapidly progress, the demand for data collection and use in various fields of society is increasing. The European Union passed the General Data Privacy Act (GDPR) in May 2018 Law was enacted. As such, major countries around the world are recognizing the importance of the personal information legal system and are trying to reorganize it. Korea has undergone about 15 amendments to the Personal Information Protection Act since the first enforcement of the Personal Information Protection Act in September 2011. In particular, through the revision of the so-called 3 data law in August 2020, it was evaluated that it increased the economic value of data by providing a legal basis for the use of personal information for statistical preparation, scientific research, and preservation of records for the public interest. However, criticism has been raised as to whether this revision of the law may lead to a reduction in the self-determination right of data subjects by focusing too much on the aspect of data utilization. Accordingly, in September 2021, the government proposed a partial amendment to the Personal Information Protection Act to supplement the previous amendment to the Data Act. However, some NGOs raised criticism that the contents of the above proposal did not adequately protect the rights of data subjects. As a result of this influence, the National Assembly received amendments to the Personal Information Protection Act five times in January 2022. in this regard, this paper matters concerning the introduction of the right to request transmission of personal information, review issues such as restrictions on the use of personal information for purposes other than personal information, rejection of automatic decisions and introduction of the right to request explanation, addition of an exemption clause for consent in the collection and use of personal information, and addition of a clause on overseas transfer of personal information. Then opinions were presented as to whether the content changed due to the amendment of the law is appropriate in terms of the protection of the personal information self-determination right of the information subject, and furthermore, whether it is at a reasonable level compared to the legislative practices of other countries.

개인건강정보 이동권의 실효적 보장에 관한 연구

김강한,이정현 대한의료법학회 2023 의료법학 Vol.24 No.2

As the amendment to the Personal Information Protection Act, which newly established the basis for the right to request transmission of personal information, was promulgated through the plenary session of the National Assembly, MyData, which was previously applied only to the financial sector, could spread to all fields. The right to request transmission of personal information is the right of the information subject to be guaranteed for the realization of MyData. However, since the right to request transmission of personal information stipulated in the Personal Information Protection Act is designed to be applied to all fields, not a special field such as the medical field, it has many shortcomings to act as a core basis for implementing MyData in Medicine. Based on this awareness of the problem, this paper compares and analyzes major legal trends related to the right to portability of personal health information at home and abroad, and examines the limitations of Korea's Personal Information Protection Act and Medical Act in realizing Medical MyData. Under the Personal Information Protection Act, the right to request transmission of personal information is insufficient to apply to the medical field, such as the scope of information to be transmitted, the transmission method, and the scope of the person obligated to perform the transmission, etc.. Regulations on the right to access medical information and transmission of medical records under the Medical Act also have limitations in implementing the full function of Medical My Data in that the target information and the leading institution are very limited. In order to overcome these limitations, this paper prepared a separate and independent special law to regulate matters related to the use and protection of personal health information as a measure to improve the legal system that can effectively guarantee the right to portability of personal health information, taking into account the specificity of the medical field. It was proposed to specifically regulate the contents of the movement and transmission system of personal health information. 개인정보 전송요구권에 관한 근거를 신설한 개인정보보호법 개정안이 국회 본회의를 통하여 공포됨으로써 기존의 금융분야에만 적용되었던 마이데이터가 전 분야로 확산될 수 있게 되었다. 개인정보 전송요구권은 마이데이터의 구현을 위하여 보장되어야 할 정보주체의 권리이다. 그러나 개인정보보호법상에 규정된 개인정보 전송요구권은 의료분야와 같은 특수한 분야가 아닌 모든 분야에 적용될 수 있도록 설계된 것이기에 이는 의료 마이데이터를 구현하기 위한 핵심적인 근거로서 작용하기에는 여러 미흡한 점이 있다. 이러한 문제의식을 바탕으로 본 논문은 국내외 개인건강정보 이동권에 관한 주요 법제 동향을 비교․분석하여, 의료 마이데이터를 실현함에 있어 우리나라 개인정보보호법과 의료법의 한계점 등에 대하여 검토하였다. 개인정보보호법상 개인정보 전송요구권은 의료분야에 적용하기에는 전송대상 정보의 범위와 전송방식, 전송 이행의무자의 범위 등에 미흡한 점이 있고, 입법설계의 취지를 비추어 보아도 의료 마이데이터를 실현하기에는 다소 거리가 있다. 의료법상의 의료정보 열람권과 진료기록의 송부 등에 관한 규정 또한 대상정보와 수범기관 등이 매우 한정적이라는 점에서 의료 마이데이터의 완전한 기능을 구현하기엔 한계가 있다. 이러한 한계를 극복하기 위하여 본 논문에서는 개인건강정보 이동권을 실효적으로 보장할 수 있는 법제도 개선방안으로 개인건강정보 이용 및 보호 등에 관한 사항을 규율하는 별도의 독자적인 특별법을 마련하여 의료분야의 특수성을 고려한 개인건강정보의 이동 및 전송체계에 관한 내용을 구체적으로 규정할 것을 제안하였다.

개인위치정보의 수집으로 인한 손해배상책임 - 대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결

권태상 이화여자대학교 법학연구소 2020 法學論集 Vol.24 No.4

(1) 개인정보자기결정권 침해만으로 바로 비재산적 손해에 대한 배상 책임을 인정 할 수 없다는 견해는, 다른 실체적인 권리에 대한 침해나 위험이 발생하여야 비재산 적 손해에 대한 배상 책임을 인정할 수 있다고 한다. 그런데 이러한 견해에 의하면 개 인정보자기결정권이라는 독립된 권리를 인정하는 의미가 상실될 수 있다. 개인정보가 유출된 경우 그 개인정보는 범죄에 악용될 위험성이 있다. 또한 개인정 보는 단순한 정보라도 다른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 단 순한 개인정보라 하더라도 유출되지 않게 보호할 필요가 있고, 이를 위한 권리로 개 인정보자기결정권이 인정되는 것이다. 인격권에 의하여 보호하려는 것은 사람이 자신과 관련된 사항에 대해서 가지는 자 기결정권이라고 이해할 수 있다. 개인정보자기결정권은 사람이 자신의 개인정보에 대 해서 가지는 자기결정권을 보호하는 권리이다. 초상권, 성명권 등이 실체적 권리인 것과 마찬가지로, 개인정보자기결정권 역시 실체적 권리로 보아야 할 것이다. 그리고 비재산적 손해는 그 성질상 사실적으로 파악하기 쉽지 않으므로 규범적으 로 파악되어야 한다. 개인정보자기결정권이 침해된 경우, 이로 인해 피해자가 어떠한 정신적 고통을 입었는지 또는 어떠한 정신적 이익을 상실했는지 사실적으로 증명할 것을 요구하는 것은 바람직하지 않고, 그러한 권리 침해 자체를 규범적으로 평가하여 비재산적 손해를 인정해야 할 것이다. (2) 개인위치정보는 그 자체가 바로 사생활을 의미하거나 행동의 자유와 관련될 수 있다. 그리고 개인위치정보는 개인의 생명, 신체의 안전이나 사생활과 밀접하게 관련 되는 민감성이 높은 정보이다. 또한 개인위치정보 역시 단순한 정보로 보이더라도 다 른 정보들과 결합하면 큰 의미를 가질 수 있다. 그러므로 설령 개인정보에 대한 자기결정권 침해만으로는 비재산적 손해의 배상책 임을 인정할 수 없다는 입장을 취하더라도, 개인위치정보에 관한 자기결정권이 침해 된 경우는 비재산적 손해의 배상책임을 인정하는 것이 바람직하다. 개인위치정보는 일반적인 개인정보에 비해 강화된 보호를 받아야 할 필요가 있기 때문이다. 대상판결은 개인위치정보가 동의 없이 수집된 경우 그로 인해 바로 손해배상책임 이 인정되지는 않는다는 입장을 취하였다. 그러나 정보주체에게 2차적으로 피해가 발 생하였는지 여부와 무관하게 개인위치정보에 관한 자기결정권 침해로 인한 비재산적 손해배상을 인정하는 것이 바람직하다. (1) If personal information is leaked, the personal information is at risk of being abused in a crime. In addition, personal information, even simple information, can have great meaning when combined with other information. The object to be protected by the personality rights is the right of self-determination. The right to self-determination of personal information is the right to protect the self-determination right that a person has about his or her personal information. Just as portrait right and name right are substantive rights, the right to self-determination of personal information should be viewed as a substantive right. Non-pecuniary loss is not easy to grasp realistically in nature, so it should be identified normatively. If the right to self-determination of personal information is violated, it will be necessary to acknowledge the non-pecuniary loss by normatively evaluating the infringement of such right itself. (2) Personal location information itself can mean privacy or can be related to freedom of action. And personal location information is highly sensitive information that is closely related to personal life, body safety, and privacy. In addition, personal location information can also have great meaning when combined with other information, even if it appears to be simple information. Therefore, personal location information needs to be more protected than general personal information. Supreme Court of Korea took the position that if personal location information was collected without consent, liability for damages would not be recognized immediately. However, it is desirable to recognize non-pecuniary loss caused by infringement of the right to self-determination concerning personal location information, regardless of whether or not secondary damage has occurred.

개인정보의 개념의 차등화와 개인정보이동권의 대상에 관한 연구

이성엽 서울대학교 법학연구소 2019 경제규제와 법 Vol.12 No.2

With the development of technologies utilizing the 4th industry, such as big data and artificial intelligence (AI), operators can easily collect personal information, process it, and use it. Various products are released. However, the current law focuses on protection rather than use of personal information, focusing on various obligations and requirements when processing personal information, including consent. In particular, by using a single concept of 'personal information' as a unit of law application, it is not clear to what extent the scope of information subject to obligations from the operator's point of view. It has become a reason for limiting the use of personal information. Despite the different types of information and costs and manpower for regulatory compliance, interpreting all subjects of regulation equally imposes an excessive burden on the operator or imposes a duty that cannot be implemented. Therefore, it is necessary to discuss the necessity of differentiating the concept of personal information. To this end, it is necessary to first look at the ambiguity of the concept of personal information and see if it is possible to interpret the scope of the same concept of personal information within the same legislation. In addition, it is necessary to classify personal information by type in order to limit the scope of application of personal information regulation to a reasonable range. In particular, it is necessary to classify personal information in accordance with identification or identifiability criteria, which are key factors that obscure and broaden the concept of personal information. Personal identification information that is combined with personally identifiable information and personal identification information that is not combined with personally identifiable information can be distinguished in addition to personal identification information and non personal identification information In addition, the criteria may be whether the information provided by the operator, the information generated and processed by the operator, the operator's internal purpose, or the external purpose Based on this classification, it is necessary to see how appropriate the level of personal information protection is through a standard for balancing conflicting interests between personal information self-determination rights and freedom of operation for each regulation. The same applies to the right to data portability Personally identifiable information that is not combined with personal identification information, i.e., information that is attributed to one person, if the identifiability is maintained only to the extent that the information can be attributed to a specific person whose identity is unknown and information scattered so that it is difficult to attribute to specific person, should be excluded from the provision. In addition, information created by personal information processor such as work evaluation and credit evaluation should not be provided as long as it is used internally. As attempts to rationalize the scope of regulations related to personal information are accumulated and legislation and governmental interpretations are developed, the rights of both service providers and users should be adequately defended, and a regulatory environment suitable for the future ICT new industries should be established. 빅데이터, 인공지능(AI) 등 4차산업을 활용한 기술의 발 전에 따라 사업자는 개인정보를 용이하게 수집하고 이를 손 쉽게 가공하여 이용할 수 있게 되었고, 개별 이용자에 특화 된 서비스를 통해 이용자 편의를 극대화하는 다양한 상품이 출시되고 있다. 그러나 현행법은 동의를 비롯하여 개인정보 처리 시 각종 의무와 그 요건에 집중하면서, 개인정보의 이 용보다는 보호에 초점이 맞추어져 있다. 특히, ‘개인정보’라는 단일한 개념을 법 적용의 단위로 사 용함으로써 사업자의 입장에서 의무의 대상이 되는 정보의 범위가 어디까지인지 명확하지 않다는 점 이 개인정보의 이 용을 제한하는 사유가 되고 있다. 정보의 유형별로 규제 준 수를 위한 비용⋅인력 등이 다름에도 불구하고, 규제의 대 상을 모두 동일하게 해석할 경우, 사업자에게 과도한 부담 을 주거나 이행이 불가능한 의무를 강요하게 된다. 이에 개인정보 개념의 차등화 필요성에 대한 논의가 필요 하다. 이를 위해 먼저 개인정보 개념의 모호성과 관련해, 동 일한 개인정보의 개념에 대해 동일한 법령 내에서 그 범위 를 달리 해석하는 것이 가능한지를 살펴볼 필요가 있다. 더 불어 개인정보 규제의 적용 범위를 합리적인 범위로 한정하 기 위해서는 개인정보를 유형별로 분류하는 것이 필요하다. 특히, 개인정보의 개념을 모호하고 또한 광범위하게 만드는 핵심적인 요소인 식별 내지는 식별 가능성 기준에 따라 개 인식별정보와 개인을 식별할 수 없는 정보 외에 개인식별정 보와 결합되어 있는 상태의 개인식별가능정보와 개인식별정 보와 결합되지 않은 상태의 개인식별가능정보로 구분가능하 다. 그 외에 사업자가 제공받은 정보인지, 사업자가 생성, 가공한 정보인지, 사업자 내부적 목적인지, 외부적 목적인지 등도 기준이 될 수 있다. 이런 분류를 기준으로 법령상 각 규제별로 개인정보 자기 결정권과 영업의 자유의 비교형량을 통해 어느 정도의 개인 정보보호 수준이 적정한지를 볼 필요가 있다. 개인정보이동 권의 경우에도 마찬가지이다. 개인식별정보와 결합되지 않 은 상태의 개인식별가능정보 즉, 1인으로 귀속되는 정보에 해당하여 신원을 알 수 없는 특정한 1인으로 정보들을 귀속 시킬 수 있을 정도로만 식별가능성이 유지되어 있는 경우, 특정한 1인으로 귀속시키는 것조차 어렵도록 흩어져 있는 정보의 경우에는 제공대상에서 제외하는 것이 타당하다. 또 한 근무평가, 신용평가 등과 같이 개인정보처리자가 만들어 낸 정보의 경우에는 이를 내부적으로 활용하는 한 제공대상 이 아니라고 보아야 할 것이다. 개인정보 관련 규제의 적용 범위를 합리화하려는 시도가 축적되고 이것이 입법과 정부의 해석에 반영되어, 서비스 제 공자와 이용자 양측의 권리가 적절하게 수호되고, 향후 ICT 신산업 시대에 걸맞는 규제환경을 갖출 수 있어야 할 것이다.

4차 산업혁명 시대, 개인정보자기결정권 보장을 위한 법적 논의

이제희(Lee, Je-Hee) 한국토지공법학회 2017 土地公法硏究 Vol.80 No.-

4차 산업혁명은 사람과 사물, 사물과 사물을 연결하여 다양한 정보를 수집하고, 이를 분석하여 새로운 가치를 창출하는 만큼 개인정보가 핵심 요소이다. 4차 산업혁명의 변화를 예측하기 어렵다면 개인정보의 보호와 활용은 개인의 인격권 보호의 관점에서 출발해야한다. 개인정보보호는 타인으로부터 자신의 정보를 보호하는 소극적 의미에서 개인정보 수집 활용에 대한 정보주체의 통제를 의미하는 개인정보자기결정권으로 확대되었다. 개인정보자기결정권의 핵심은 개인정보 수집 활용에 대한 정보주체의 사전동의이다. 그러나 4차산업혁명 시대, 개인정보의 수집범위가 확대되고, 개인정보의 제3국 이동 등에 따라 정보 주체가 개인정보의 활용에 따른 영향을 명확히 이해하는 것이 어려워졌다. 또한, 정보주체가 이용하고자 하는 서비스가 금융, 통신 등의 보편적 서비스이거나 관련 시장에서 독점적지위를 갖는 경우, 정보주체의 사전동의는 형식적 절차에 그칠 수 밖에 없다. 정보주체가모든 정보를 직접 통제해야 한다는 고정관념에서 벗어나야 한다. 예컨대, 서비스 개선목적의 경우, 정보주체의 사전동의를 추정하는 등의 정보통제의 유연성을 통해 실질적인 개인정보보호를 이루어야 한다. 4차 산업혁명의 핵심인 빅데이터는 비식별정보의 활용에기초한다. 비식별정보는 개인정보 활용의 문제로 헌법상 기본권인 개인정보자기결정권의 제약인 만큼 법률유보 원칙에 따라 법률에 규정되어야 한다. 비식별정보의 활용이 개인과사회에 편익을 제공하는 만큼 재식별 가능성이 존재하지 않는 익명정보에 대해서는 자유로운 활용을 보장해야 한다. 재식별 가능성이 존재하는 익명정보 이외 비식별정보의 활용에 대해서는 정보주체의 반대권 도입을 검토하여 개인정보자기결정권을 보장할 필요가 있 다. 변화하는 사회 환경에서 정보주체의 권리보호를 위해 새로운 권리의 도입도 필요하다. EU는 한국의 개인정보보호법 에서 규정하지 않은 정보주체의 권리를 보장하고 있다. 잊힐 권리와 자기정보 이전에 대한 권리는 정보주체의 인격권을 보장하는 동시에 관련 시장의 경쟁을 촉진하는 만큼 개인정보보호법제에 도입될 필요가 있다. The Fourth Industrial Revolution is based on the connections between humans and things. These connections can offer a variety of new services and produce new customer benefits. The success of the Fourth Industrial Revolution depends on information utilization, especially personal information. It is therefore important to achieve harmony between policies regarding the protection and utilization of information. Information protection ensures the right to informational self-determination, meaning that an individual is able to control the disclosure or use of their own personal information. Consent to provide information is valid if it is based on a rational, mindful decision. However, because of the diverse uses of personal information, it is difficult for an individual to understand how their personal information is utilized and what, if any, influence its use may have on them. Additionally, when an individual wants to use essential services such as e-mail or a social network service (SNS), the individual’s ability to make choices are so restricted that their right to informational self-determination is limited. Prior consent for disclosure or use of personal information given by an individual needs to be flexible in order to better protect such information and allow for its utilization. For example, in the case of essential services or improvement of services, prior consent needs to be changed to post consent to strengthen the individual’s right to informational self-determination. To alter the consent system in this manner, the individual’s right to object to the processing of their personal information must first be enhanced. Further, compensation for damages related to the use of personal information obtained without such consent must be extended to offer more substantial information protection. The European Union (EU) regulates general data protection to protect and promote the free movement of personal information. General Data Protection Regulation (GDPR) grants rights to individuals, including the right to be forgotten and the right to data portability, which are not included in the Korean Personal Information Protection Act. The right to be forgotten is aimed at strengthening an individual’s right to erase their personal data. The right to data portability supports individual rights and promotes competition in the market. Both rights have to be regulated to strengthen individuals’ power to control disclosure and utilization of their own personal information.

일본의 개인정보 보호에 관한 논의

김지만(Kim, Ji Man) 충북대학교 법학연구소 2017 과학기술과 법 Vol.8 No.2

In Korea, we have a own personal I.D. And, this personal I.D is able to distinguish one between other people. Especially, in the age of information society, personal information is used for commerce or financial transactions via the internet. Besides, for the using of Internet services, personal information is used as an essential element. But, despite the need for careful management of personal information, the careless management of personal information causes the Personal Information Leak. In other words, companies should manage and protect the collected personal information with the latest care, personal information may be leaked by others in any way or manner due to the failure of companies or the development of IT technology. In the wake of this Internet information age, the damage of personal information leakage is not only a domestic legal problem but also an international problem. So, we must need for comparative legal research for solving the dispute of international regal problems aobut the personal information using. As a first step, this studying examined a personal information protection act in Japan.

개인정보보호 법제 정합성 강화를 위한 고찰- 정보통신망법과 신용정보법을 중심으로 -

김일환 단국대학교 법학연구소 2018 법학논총 Vol.42 No.1

「Personal information protection act」 as general law stipulates that the relationshipwith other laws shall be subject to the provisions of this Act except as otherwiseprovided in Article 6 of the Act. Accordingly, since 「Personal Information ProtectionAc」t is a general law in this field, the personal information protection regulations in「Act on Promotion of Information and Communication Network Utilization andInformation protection」 are special laws on the protection of personal information. However, the provisions of 「Personal Information Protection Act」 and existingpersonal information protection laws are largely duplicated. As a result, it isconfusing for the intervention of multiple regulatory bodies as well as for the lawsthat apply to the legal applicants. There are many laws and institutions related topersonal information protection in Korea, but it is doubtful that such laws andinstitutions give the personal information processors predictability and protect therights of information subjects. Now, we should think about the direction of enhancingthe normative power of related laws rather than revising or revising new laws. Inorder to do so, we first need to ensure the integrity of personal informationprotection laws. Personal information protection general laws and Personal informationprotection special laws should be reviewed to eliminate unnecessary laws andregulations. I believe that even if unnecessary laws related to personal information exist in accordance with ministry selfishness and various interests, only a lot ofapplication confusion and interpretation mistakes in practice are resolved. If 「Act onPromotion of Information and Communication Network Utilization and Informationprotection」 leave a wide range of privacy regulations intact, ultimately, 「PersonalInformation Protection Act」 is a general law and its meaning is diminished and isbound to be reduced or eliminated. However, there is no theoretical or practicalnecessity to exist as a special law any more, although 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」,which is the most problematic at present, does not abandon its role as a general lawwith the appearance of a special law. Therefore, according to 「Act on Promotion ofInformation and Communication Network Utilization and Information protection」, theprotection of personal information should be deleted and abolished and integratedwith the general corporate personal information protection law. Secondly, 「CreditInformation Use and Protection Act」 should have legislative forms and systems thatregulate the contents to be specifically regulated as a special law, even if thenecessity to regulate personal information in a specific area of credit information isacknowledged to some extent. You should not try to make the appearance of generallaw as it is now. 일반법인 개인정보보호법은 다른 법률과의 관계에 대하여 제6조에서 다른법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다고 규정하고 있다. 이에 따라서 개인정보보호법이 이 분야의 일반법이므로 정보통신망법상 개인정보보호규정 등은 개인정보보호에 관한 특별법으로서 해당부문에서는 이러한 법규정들이 우선 적용된다. 하지만 개인정보보호법과 기존의 개인정보보호 관련 개별법들의 규정들이 상당부분 중복되고 있다. 이에 따라서 법적용대상자가 보기에는 적용되는 법률들은 물론, 복수의 규제기구의 개입에 대해서도 혼란을 느끼고 있는 실정이다. 현재 우리나라에서는 개인정보보호 관련 법률과 제도들은 많이 있으나, 그러한 법률과 제도들이 개인정보처리자들에게 예측가능성을 부여하고, 정보주체의 권리를 충분히 보호하고 있는지는 의심스럽다. 이제 새로운 법률의 제⋅개정보다는 관련 법률들의 규범력을 높이는 방향으로 고민해해야 한다. 그러려면 먼저 개인정보보호법제의체계정합성을 확보해야 한다. 개인정보보호 일반법과 특별법들을 검토해서 불필요한 법률이나 규제는 과감히 정비, 폐지해야 한다. 부처이기주의나 각종 이해관계 등에 따라 존재하는 개인정보보호 관련 불필요한 법률들만 정비하더라도 실무계에서 겪고 있는 상당수의 적용상 혼란과 해석상 오류는 해소되리라믿는다. 정보통신망법에 광범위한 개인정보보호규정을 그대로 두게 되면 결국개인정보보보호법은 일반법으로서 그 의미가 퇴색되고 적용대상이나 범위가줄어들거나 없어질 수밖에 없다. 그렇다면 현재 가장 문제가 되고 있는 법률중 정보통신망법은 특별법의 외관을 가진 채 일반법으로서 역할을 포기하지않으려 하고 있지만, 더 이상 특별법으로서 존재해야할 이론적, 실무적 필요성이 존재하지 않는다. 따라서 정보통신망법상 개인정보보호부분은 삭제, 폐지하고 일반법인 개인정보보호법과 통합해야 한다. 다음으로 신용정보법은 신용정보라는 특수한 영역의 개인정보를 규율할 필요성은 일정부분 인정한다 하더라도 특별법으로서 특별히 규율할 내용을 별도로 규정하는 입법형식과 체계를갖추어야지, 지금처럼 일반법의 외관을 갖추려 해서는 안 된다.

근로자 개인정보 처리의 정당성 요건과 한계–종속성의 관점에서

양승엽 노동법이론실무학회 2016 노동법포럼 Vol.- No.18

“Personal Information Protection Act”(PIPA), a general law for personal date protection, guarantee the free exchange as well as the protection of the personal data. That clears the PIPA’s characteristics as the private law. If the personal information manager obtain the consent of the subject of information, the manager can process the personal information unconstrainedly, and The PIPA can admit the employer to process the worker’s personal data including providing a third person and using for any purpose other than intended ones, so long as he gets the worker’s consent. So, the worker’s consent in the PIPA functions as the master-key to obtain the legitimacy to process the personal data. But, due to the worker’s subordination to the employer, the real intention of workers as the subject of information is suspected. Furthermore, the PIPA article 15 (1) 6 should allow the personal information manager, without the consent of the subject of information, to process the personal data, if the manager demonstrate his legitimate interests which is limited to cases. Thus the employer not given the worker’s consent can assert his right to obtain the worker’s personal data for his legitimate interest in the facilities and human resources management. The PIPA has a few blind spot. For example, the PIPA does not have any provisions of the biometrics. The employers use the worker’s biometrics for the facilities security and worker’s job description. The biometrics remain unchanged worker’s whole life, so if the biometrics abused, the damages are incalculable. The PIPA article 23 enacts a provision of the sensitive information (thought, beliefs, health information, etc.). The biometrics should be interpreted analogically as a sort of health information regulated so that it can regulated in the PIPA. Recently, the employer use the GPS and the electronic tag to trace the worker’s location data. The personal location data is regulated in “Act on the Protection, Use, etc., of Location Information”, but this act does not consider the unbalanced relationship of the employer and the worker, so the employer given the worker’s consent can get the worker’s location data freely. The person who has the other party’s information rules those who can’t. If those who can’t is the worker, along with the subordination to the employer, he suffers from the double power-imbalance. To overcome the double imbalance, firstly, the regulations of processing the worker’s personal data should be established in the PIPA. As a role model, the German personal data protection act is in the process of revision, which tries to insert the worker’s data protection part in the act. When the PIPA is changed, the scope of individual object should be expanded. The current law regulates the workers who offer his service to the employers, but the job-seeker, retiree, and contract laborers have to be included. Moreover, in the illegal processing of the worker’s personal data, the workers should have the right of veto and immunity. Secondly, to secure the truth of worker’s consent, in other words, to obtain the equal standing between the employer and the worker, the group decision of the labor-management representatives substitutes for the worker’s individual consent of processing his personal data. For that, the workers can entrust the representative such as the labour union representative with the right of agreement on processing. Finally, on interpreting the legislation concerned on personal data protection containing the PIPA, the regulations should be construed in the principle of being involved in the occupation and of proportion. The principle of being involved in the occupation is relevant to interpret the employer’s legitimate interests on the processing the worker’s personal data, and if the employer’s processing of the worker’s personal data is proved to be involved in the occupation, in addition, the proport...

의료 분야에서의 개인정보보호

최계영(Kae-Young Choi) 서울대학교 공익산업법센터 2016 경제규제와 법 Vol.9 No.2

의료 분야에서의 개인정보보호는 사생활의 보호, 의료행위의 원활한 수행을 위해 중요하지만, 개인의료정보의 활용이 가져다 줄 학술적⋅경제적 유용성도 외면할 수 없다. 개인의료정보의 ‘보호’와 ‘이용’ 사이에서 적절한 균형점을 찾는 것은 현재의 시급한 과제이다. 이 연구는 의료 분야에서의 개인정보보호에 관한 유럽연합과 미국의 현황을 살펴보고 우리나라에의 시사점을 도출하고자 하였다. 양 법제를 비교할 때에는 개인정보보호 규제체계를 구성하는 기본개념인 ① 보호 대상 정보, ② 동의, ③ 동의 면제 사유를 기준으로 하였다. 유럽연합의 개인정보보호 법제에는 2016년 개인정보보호일반규정(General Data Protection Regulation; GDPR)이 제정되면서 큰 변화가 일어났다. 보호 대상 정보에 관하여 보면, 기존의 개인정보/익명정보 이분법에서 벗어나 처음으로 가명정보개념이 도입되었다. 정보주체의 위험을 감소시키면서 동시에 개인정보처리자의 의무를 경감시키는 장치이다. 동의에 관해 보면, 연구를 위한 개인정보 이용에 대해서는 정보주체의 구체적 동의 대신 ‘광범위한 동의’(broad consent)도 가능하다는 해석이 규정 전문에 명시되었다. 개인의료정보의 이차적 이용을 용이하게 하기 위한 것이다. 동의 면제 사유에 관하여 보면, 민감정보에 대해서도 의학적 목적, 공중보건, 연구 목적을 위한 이용에 대하여 비교적 넓게 정보주체의 동의가 면제된다는 점을 확인할 수 있었다. 미국에는 개인의료정보 보호에 관한 법률이 별도로 제정되어 있다(HIPAA). 먼저 보호 대상 정보에 관하여 보면, 비식별화 방식에 관한 구체적 규정을 두고 있다는 점이 특징적이다. ‘전문가결정 방식’과 ‘세이프하버 방식’이 그것이다. 또한 ‘제한적 정보집합물’ 개념을 따로 두어 부분적으로 규제를 완화하고 있다. 동의 면제 사유에 관하여 보면, 기관심사위원회(IRB) 등의 동의 면제 승인이 있으면 동의 없이도 연구 목적을 위하여 개인의료정보를 이용할 수 있는 가능성을 열어 두고 있다. 이상의 논의를 토대로 우리나라 법제에의 시사점을 도출하였다. 첫째, 정부가 제정한 『개인정보 비식별 조치 가이드라인』은 법적 구속력이 없으므로 개인의료정보의 안정적인 이용을 보장하는 데에는 한계가 있고, 적어도 법률에 위임근거를 둔 법규명령의 형식으로 비식별화 방식이 규정되는 것이 바람직하다. 둘째, 동의의 요건을 완화하여 해석하는 최근의 흐름에 비추어 볼 때 연구 목적 이용을 위한 동의에 있어서는 특정 연구에 한정되지 않고, 후속 연구나 연관된 연구에 재사용하는 것을 허용하는 광범위한 동의도 허용될 것이다. 셋째, 민감정보에 대해서도 연구 목적 이용에 대해서는 동의를 면제하는 방향의 입법적 개선이 필요하다. Although personal information protection in the medical field is important for privacy protection and smooth implementation of medical practice, the scientific/economic usefulness of personal health information cannot be disregarded. Finding an appropriate balance point between the ‘protection’ and ‘use’ of personal health information is an urgent task of now. This study is aimed to examine the present situation of personal information protection in the medical field in the European Union and the USA to derive implications for South Korea. The two legislative systems were compared with each other based on ① protected information, ② consent, and ③ reasons for exemptions from consent, which are basic concepts that constitute personal information protection regulations. European Union’s legislative system for personal information protection was changed drastically when the General Data Protection Regulation (GDPR) was established in 2016. With regard to protected information, breaking from the existing dichotomy of personal information and anonymous information, the concept of pseudonymized information was introduced for the first time. Pseudonymized information is a device that reduces the risk of data subjects while relieving the obligations of data controllers. With regard to consents, an interpretation that, for use of personal information for research, data subjects’ ‘broad consents’ may be valid instead of their specific consents was stated clearly in the GDPR Recital with a view to facilitating secondary use of personal health information. With regard to reasons for exemptions from consents, it could be seen that relatively wide ranges of the use of sensitive data for medical purposes, public health related purposes and research purposes are exempted from data subjects’ consents. In the USA, a law regarding personal health information protection (HIPAA) has been separately enacted. First, with regard to protected information, the said is characteristic in that it has specific regulations for de-identification methods, which are the ‘expert determination method’ and the ‘safe harbor method.’ In addition, the concept of ‘limited data set’ is separately set forth to partially relax the regulation. With regard to reasons for exemptions from consents, the law opens up possibilities to use personal health information for research purposes without data subjects’ consents on approval of a waiver of authorization from Institutional Review Boards, etc. Based on the above discussion, implications for South Korean legislative systems were derived. First, the 『personal information de-identification action guidelines』 established by the government have limitations in ensuring stable use of personal health information because they have no legal binding force and specifying de-identification methods with a ground for delegation in a law is desirable. Second, in light of recent streams to interpret requirements for consents toward relaxation, in the case of consents for research purposes, broad consents that are not limited to specific studies but are reusable for follow-up studies or related studies will be allowed. Third, legislative improvement is necessary toward giving exemption from consents to the use of sensitive data for research purposes is exemption from consents.

개인정보 침해현황과 이용자보호

윤주희 전남대학교 법학연구소 2013 법학논총 Vol.33 No.1

As numerous personal information infringement has still been happening, thegovernment has been tryng to prevent the personal information infringement byamending APICNUIPE(the Act on Promotion of Information and CommunicationsNetwork Utilization and Information Protection, ETC) several times. Also thegovernment has been trying to protect personal information by enactingPIPA(Personal Information Protection Act). However, the huge number of personalinformation infringements have happened so far. Hence, this thesis is tried to findthe improvement of personal information protection by studying what are theproblems and the current state of dispute relating to personal information inPIDMC(Personal Information Dispute Mediation Committee), and also what are thecurrent state of the damage compensation lawsuit and the related regulations oflaw. When the personal information infringement occurrs, it is very difficult to provethe damages and the intentional or the negligence of the personal informationmanager, though there are so many victims. Therefore the APICNUIPE and PIPArequire that the personal information manager cannot be exempted fromresponsibility unless he/she proves that he/she has performed such act neitherintentionally nor by negligence. But it is not enough to rescue victims rapidly withthis regulation. Therefore, to improve these problems and rescue of the victims efficiently, theregulation of compensation of PIPA §39(2) should be interpreted focused for theusers. And to perform the intentionally or the negligence the personal informationmanager shall be based upon the premise of the occurrence of the damage. Through this, it can provoke the attention of the manager of personal information. Especially, the manager of personal information has to introduce of ISMS or PIMSobligatorily and the government has to stimulate the alternative dispute resolutionsand consider to introduce the system of insurance for compensation of thepersonal information infringement. 대량의 개인정보의 침해사고가 여전히 발생하고 있다. 그간 이러한 점을 인식하여정보통신망법을 수차례 개정하면서 침해사고를 방지하기 위한 노력을 기울여 왔다. 더욱이 개인정보보호법까지 제정하여 더욱 개인정보보호에 만전을 기하고 있다. 그럼에도 불구하고 최근까지 대형의 개인정보 침해사고가 발생하고 있어 이러한 노력이 무색해 지고 있음도 사실이다. 이에 본 논문에서는 개인정보 침해사고의 현황과피해구제를 위한 움직임으로서 개인정보분쟁조정위원회의 분쟁조정현황과 문제점그리고 개인정보 침해사고에 따른 손해배상소송의 현황과 문제점을 살펴보고 관련법규정을 검토함으로서 이용자보호를 위한 개선방안을 찾아보았다. 개인정보 침해사고는 일단 발생하면 대량의 피해자가 발생하지만 피해의 입증이나 심지어 사업자의 고의 또는 과실을 입증하는 것이 매우 어렵다. 이를 고려하여 개인정보보호법과 정보통신망법은 개인정보 침해사고에 대한 사업자의 손해배상책임을 규정하면서 사업자가 개인정보를 관리함에 있어 고의 내지 과실없음을 입증토록함으로서 입증책임을 전환하였다. 그러나 이것만 가지고 피해자의 구제가 신속하게그리고 충분하게 이루어지지 않는 것이 현실이다. 따라서 이러한 점을 개선하고 피해자를 보다 효율적으로 구제하기 위해서 손해배상에 관한 개인정보보호법 제39조 제1항을 보다 이용자 지향적으로 해석하고, 사업자에 대하여 고의 또는 과실없음의 입증에는 실질적인 보호조치를 하였는지 판단하여야 한다. 이를 통해서 사업자가 사실상의 피해없음을 입증토록 하기 보다는 사업자의 배상의무를 보다 폭넓게 해석함으로서 사업자의 주의의무를 환기시키는 것이 필요하다. 특히 정보통신망법에서 규정하고 있는 인증제도의 의무적 도입이나 분쟁조정의 활성화 및 보험등의 제도도입도 적극적으로 고려할 필요가 있다.