정보통신기술의 발달과 한국의 프라이버시권 관련 주요 쟁점

권건보 헌법재판연구원 2021 헌법재판연구 Vol.8 No.1

국가에 의한 개인정보의 처리는 어떤 면에서 시민들의 더 많은 자유를 보장하는 데 기여할 수도 있다. 하지만 개인에 대한 국가의 무분별한 감시는 민주주의와 인권에 대한 근본적 위협이 될 수 있다. 이러한 점에서 민주주의의 이념과 법치국가의 원리에 입각하여 국가의 감시행위를 효율적으로 통제할 수 있는 법적 장치가 필요하다. 그리고 이것은 시민들이 국가가 어떤 개인정보를 수집할 것인지, 개인과 집단의 행동을 어떻게 추적하고 기록할 것인지 결정하는 과정에 참여하고 통제할 수 있는 권리를 헌법적 차원에서 보장될 때 실질적인 의미를 가질 수 있다. 정보프라이버시 또는 개인정보자기결정권은 자신에 관한 정보의 노출을 억제하는 데만 중점이 있는 것이 아니라 그 흐름을 적극적으로 형성하는 측면도 있다. 따라서 개인이 자신에 관한 정보를 필요에 따라 자의에 의하여 제공하거나 타인에게 알릴 수 있고 타인이 보유하고 있는 자신에 관한 정보의 상태를 파악하여 그것이 그 상태로 계속 보유되거나 활용되어도 좋을 것인지 아니면 새로운 내용으로 변경되어야 할 것인지를 결정할 수 있어야 한다. 이러한 점에서 정보의 상태와 흐름을 일반인이 자유롭게 확인하고 이용할 수 있는 권리인 알 권리와 더불어 개인정보자기결정권은 의사소통의 활성화와 원활화에 기여하며, 궁극적으로는 시민의 의사소통능력과 민주사회의 기능촉진을 위하여 기능한다고 할 수 있다. 개인정보자기결정권은 다른 기본권이나 헌법적 가치와 견주어서 항상 우선시되어야 할 만큼 절대적 의미를 갖는 기본권으로 이해될 수는 없는 것이다. 이에 따라 개인정보자기결정권은 국방, 경찰, 수사, 재판, 통계, 조세, 복지 등을 위하여 제한될 수 있으며, 언론의 자유, 알 권리 등 타인의 기본권과 충돌되는 경우에 일정한 제약을 받을 수 있다. 이러한 점에서 개인정보자기결정권도 다른 기본권과의 관계에서 적절한 조화를 이루는 한도에서 그 구체적인 보장의 수준이 결정되어야 할 것이다. 그러한 한계 속에서 개인정보자기결정권이 실효적으로 보장되기 위해서는 입법적으로 충분한 뒷받침이 이루어져야 한다. 나날이 고도화되는 정보통신 테크놀로지의 등장으로 개인정보보호의 과제는 항상 새로운 도전에 직면하게 된다. 이에 따라 새로운 개인정보침해의 양상에 대처하기 위한 입법적 보완조치를 지속적으로 강구해나갈 필요가 있다. 지능정보기술의 적용으로 인하여 인간의 주체성과 존엄성이 침해될지 모른다는 우려를 불식하기 위해서는 무엇보다도 정보처리에 대한 정보주체의 자율적 통제권, 즉 개인정보자기결정권이 실효적으로 보장되도록 입법적으로 뒷받침하는 것이 중요하다. Monitoring by the government through the handling of personal information may be suppressive to individuals, but from a wider perspective, it may also contribute to guaranteeing the freedom of more people. However, given that indiscreet monitoring is a fundamental threat to democracy and human rights, it may be necessary to develop legal and institutional mechanisms to effectively control monitoring by the government and civil society based on the principles of democracy, separation of powers and the guarantee of basic rights. By doing so, people should be able to participate in and control the process of establishing the plans regarding what forms of personal information should be collected and how the activities of individuals and groups should be tracked and recorded as part of the administrative functions of a government. This legal status of the people would have meaning when incorporated into legislation for the guarantee of basic rights. Data privacy or the right to self-determination of personal information not only focuses on containing the exposure of personal information but also actively forms and leads the flow of personal information. Therefore, it is important that an individual should be able to provide his or her personal information to other people voluntarily when there is a need, to identify the status of his or her personal information held by others and to decide whether to allow it to be retained and used by others or to change it into new information. In this respect, it can be said that the right to self-determination of personal information, along with the right to know that enables ordinary people to freely check the status and flow of information and use it, contributes to the facilitation of communication and ultimately serves to promote the communication capabilities of people and to facilitate the functions of a democratic society. The right to self-determination cannot be an absolute right that can never be restricted under any circumstances or for whatever reason. As such, the right to self-determination can be restricted to some degree when doing so is necessary for the sake of national defense, policing, investigation, court trials, statistics, taxation and welfare, etc., and also when it is in conflict with the basic rights of others, such as the freedom of information and the right to know, etc. In this regard, a harmonious balance between the necessity of handling personal information and the potential for human rights infringement could be found by guaranteeing the right to self-determination to an appropriate degree. In order for the right to self-determination to be effectively guaranteed, there must be a sufficient legislative foundation. With the advent of ICT that becomes more sophisticated each day, the task of protecting personal information faces new challenges. Against this backdrop, it would be necessary to continuously seek measures to supplement legislation in order to cope with the new patterns of personal information infringement. In Korea, opinions have been raised to modernize legislation regarding the protection of personal information in order to protect the rights and interests of data subjects in preparation for the Fourth Industrial Revolution, to rationalize regulations regarding personal information in response to ICT innovations and to secure the international applicability of legislation regarding personal information. The higher our expectations for the intelligent information society, the greater the necessity to devise effective measures to protect and control personal information to deal with the expanding use of personal information. In order to dispel the concerns that the application of intelligent information technology may infringe upon the identity and the dignity of humans, it is most important to provide legislative foundations so that data subjects’ autonomous control over the handling of information, or the right to self-determination, could...

코로나19 시대의 개인정보자기결정권의 보호

조소영(Cho, Soyoung) 한국헌법학회 2021 憲法學硏究 Vol.27 No.2

개인정보자기결정권은 헌법전에 명문으로 규정되지 않았음에도 불구하고 헌법해석에 의해 기본권으로 인정되는 기본권이다. 그리고 개인정보자기결정권이라는 기본권은 정보화시대에 정보주체의 사생활 보호 등 여러 보호영역과의 관련성을 갖는 중요한 기본권이다. 그런데 메르스 사태 이후 현재의 코로나19 상황에 이르기까지 감염병 예방과 전파방지의 과정 속에서 개인정보의 제한과 침해에 대한 숙고와 검토가 필요하다는 것이 자명해졌다. 왜냐하면 실제로 코로나 19에 대한 효과적 대응을 위한 정보공개 시스템 실행의 이면에는 확진환자 개인의 사생활이 여과 없이 공개되는 부작용 발생이 적지 않았기 때문이다. 이미 국가인권위원회도 확진자의 과도한 사생활 노출로 인한 인권침해가 발생하지 않도록 해야 한다고 권고한 바 있다. 이러한 상황에 대한 문제의식을 바탕으로 이 글에서는 개인의 민감정보 등 개인정보 공개와 관련한 개인정보 보호법과 감염병 예방법의 관련 규정들을 상관적으로 검토하였다. 특히 개인정보자기결정권과 관련하여 감염병 예방법상의 정보공개와 관련된 규정인 제34조의2 규정을 중심으로, 확진자의 내밀한 사생활을 보호할 수 있는 세부적이고 합리적인 공개기준의 정립 여부와 특히 위치정보 등의 공개로 인한 권리침해의 문제에 대해 살펴 보았다. 일반적인 개인정보와 구분되는 개인위치정보의 특성을 고려할 때 개인위치정보가 개인정보 보호법상의 민감정보에 해당될 수 있는가, 개인위치정보의 분류에 관하여 온라인행태정보유형으로 생존하는 개인에 관한 정보로써 개인정보 가명가공정보익명가공정보 중 어디에도 해당하지 않는 정보유형으로 새로이 “개인관련정보”를 입안하는 방안의 검토, 감염병 예방법상 개인위치정보를 비롯한 개인정보를 제공하고 공개함으로써 발생될 수 있는 권리침해에 관한 대책과 절차에 대해 검토하였다. 개인정보에 관련된 법제는 그 정보의 보호와 이용이 동시에 고려되어야 할 필요가 있다. 즉 개인정보 관련법제는 ‘개인정보의 유용성 배려’와 ‘개인의 권리이익 보호’의 균형을 맞추는 병존적 구조를 반영한 것이어야 할 것이다. 다만 양법익 간의 관계에 있어서는 ‘개인의 권리이익 보호’가 우선적으로 고려되는 것이어야만 함은 물론이다. 안전사회 추구로 인한 부작용을 간과해서는 안되는 것도, 개인정보의 유통으로 인한 비재산적 손해에 대한 배상책임을 고민해야 하는 것 도 이러한 헌법정신에 기인한다고 하겠다. 감염병 예방법의 새로운 수정이 시작되어야 한다. The right to self-determination of personal information is a basic right recognized as a basic right by constitutional interpretation, even though it was not prescribed in the Constitution. And this right is an important basic right that has relevance to various areas of protection, such as protection of the privacy of the information subject in the information age. However, from the MERS outbreak to the current COVID-19, it has become apparent that it is necessary to consider and review the restrictions and infringements of personal information in the process of preventing infectious diseases and preventing transmission. This is because, in fact, behind the implementation of the information disclosure system for effective response to COVID-19, there were not a few occurrences of side effects in which the personal life of confirmed patients was disclosed without filtering. The National Human Rights Commission of Korea has already recommended that human rights violations should not occur due to excessive exposure of the confirmed person s private life. Based on the awareness of the problem in this situation, in this article, the related regulations of the Personal Information Protection Act and the Infectious Disease Control and Prevention Act related to the disclosure of personal information, such as personal sensitive information, were reviewed correlatively. In particular, with respect to the right to self-determination of personal information, detailed and reasonable disclosure standards have been established to protect the confidential personal life of the confirmed person, with a focus on Article 34-2, which is a regulation related to the disclosure of information in the Infectious Disease Prevention Act, and, in particular, disclosure of location information, etc., I reviewed the problem of infringement of rights caused by. Considering the characteristics of personal location information that are distinguished from general personal information, can personal location information correspond to sensitive information of the Personal Information Protection Act?, review of a plan to devise a new “personal-related information” as an information type, review measures and procedures for rights infringement that may occur by providing and disclosing personal information including personal location information in the Infectious Disease Control and Prevention Act. Legal systems related to personal information need to consider the protection and use of the information at the same time. In other words, the legislation related to personal information should reflect the coexistence structure that balances “consideration of the usefulness of personal information” and “protection of individual rights and interests”. However, in the relationship between the two legal interests, ‘protection of individual rights and interests’ should be given priority. It can be said that this constitutional spirit should not overlook the side effects caused by the pursuit of a safe society and the need to consider liability for compensation for non-property damages caused by the distribution of personal information. A new modification of the Infectious Disease Control and Prevention Act must be initiated.

개인정보보호의 헌법적 기초와 과제

권건보(Kwon, Geon-Bo) 한국법학원 2014 저스티스 Vol.- No.144

본 연구에서는 헌법상 보장되는 개인정보자기결정권의 내용과 한계 등에 관한 논의를 토대로 하여 개인정보의 보호를 헌법적 과제의 하나로서 부각하고자 하였다. 이러한 관점에서 분석한 주요 내용은 다음과 같다. 개인정보보호의 문제는 헌법상 개인정보자기결정권의 보장이라는 관점에서 접근할 필요가 있다. 여기서 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로 정의될 수 있다. 개인정보자기결정권은 정보주체가 자신에 관한 정보의 수집?이용?제공 등에 대해 동의 또는 반대할 수 있는 권리를 핵심적 내용으로 하며, 경우에 따라 자신에 관한 정보에 통제력을 행사하기 위하여 자신의 개인정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 처리정지 등을 요구하는 권리로 발현될 수도 있다. 그런데 개인정보자기결정권은 무한정 보장되는 절대적 기본권은 아니다. 자신에 관한 정보라 할지라도 개인의 무제한적 지배는 허용되지 않는다. 하지만 개인정보자기결정권의 제한에도 일정한 한계가 따른다. 우선 그 제한은 반드시 법률에 의거해야 할 뿐만 아니라, 과잉금지의 원칙을 준수하여야 한다. 이는 개인정보보호에 있어서 특히 목적구속의 원칙, 최소수집의 원칙, 정확성?안전성의 원칙 등으로 구체화된다. 언론에 의한 개인정보의 취급에 있어서 개인정보자기결정권과 언론의 자유는 서로 상충되는 측면이 있다. 언론매체는 보도를 위한 경우라 하더라도 원칙적으로 정보주체의 의사에 따라 개인정보를 수집하고 처리하여야 한다. 정보원에 대한 접근은 적법한 절차에 따라 이루어져야 하고, 가능한 한 익명이나 가명으로 처리하여 보도하려는 자세를 견지하여야 한다. 공표된 개인정보가 부정확한 것일 때에는 반론보도나 정정보도를 청구할 수 있다. 다만 국민들의 알 권리를 충족시킬 필요가 크다고 인정될 때에는 그 예외가 인정될 수 있을 것이다. 개인정보자기결정권과 정보공개청구권은 독자적인 의의와 성격을 가지고 있지만, 부분적으로는 서로 중첩적으로 기능하기도 한다. 개인정보보호의 이익과 정보공개의 이익이 서로 충돌하는 경우에는 성급하게 양자택일을 할 것이 아니라 부분공개의 법리나 정보주체에 대한 통지제도 등을 통해 대안적 해결을 충분히 모색할 필요가 있다. 최근 일반법인 개인정보보호법이 제정되었으나, 기존의 개인정보보호에 관한 조항들이 개별법이 다수 산재하고 있어 규범간에 중복 내지 충돌의 문제를 야기하고 있다. 개인정보보호법의 입법취지에 부합하지 않는 조항은 특별한 규율의 필요성이 있다고 인정되지 않는 한 삭제하는 등의 입법적 정비가 필요하다. 특히 정보통신서비스를 이용한 개인정보의 처리가 사회 전반에 걸쳐 일반화되고 있는 상황을 감안할 때 정보통신망법상의 개인정보보호 관련 규정들은 개인정보보호법으로 흡수하는 것이 바람직하다고 본다. This study set out to examine the possibility to establish the right of self-control over personal information as one of the fundamental rights guaranteed by the constitution. The research efforts lead to the following conclusions; The protection of personal information issue needs to be approached from the perspective of guaranteeing the right of self-control over one"s own personal information(Personal Information Control Right) in the constitution. This right can be generally defined as individual"s constitutional right to control the circulation of information related to oneself. On the basis of the Personal Information Control Right(PICR), the data subject has the right to consent or object to the processing of personal information. S/he also has the right to access to the personal information, as well as the right to demand rectification, deletion or blocking of personal information etc. The PICR can be restricted for the sake of national security, social order, and public interest, but in its restriction should the government comply with the principle of statutory reservation and proportionality. And also the processors of personal information have to comply with purpose specification principle, collection limitation principle, principle of accuracy and security, system openness principle etc. In the cases where the PICR conflicts with the Freedom of Speech, it is desirable to respect the choice of the data subject. However, we can offer an exceptions when the need to satisfy the right to know of the public is greater. If the PICR conflicts with the Freedom of Information, It is necessary to search for alternatives through the legal principle of partial disclosure or notification system to the data subject. There are not only confusion of personal information processors but also overlapping of regulations for personal information protection because of many acts and regulations to protect personal informations, so the PIPA should be reformed to actually function as the general act vis-a-vis protecting personal information both on-line and off-line.

정보인권의 침해와 국가인권위원회의 역할

권건보(Kwon, Geon-Bo) 한국헌법학회 2012 憲法學硏究 Vol.18 No.2

그동안 국가인권위원회는 출범이래 주요 이슈에 대한 의견표명을 통해 정보인권의 신장에 크게 기여하여 왔다. 그러나 최근 들어서는 국가인권위원회가 정치적으로 민감한 사안에 있어서 소극적인 태도를 보여줌으로써 인권보호기구로서의 사명에 충실하지 못한다는 비판을 받고 있다. 국민주권주의의 실현을 위해 필수불가결한 정치적 표현의 자유나 소수자 또는 사회적 약자의 인권을 증진하기 위해서 보다 적극적인 자세를 견지할 필요가 있다고 본다. 개인정보보호위원회의 출범에 따라 국가인권위원회가 정보인권과 관련하여 종래에 수행해오던 역할에 일정 정도 변화가 불가피하게 되었다. 하지만 현행 개인정보보호법의 한계로 인하여 개인정보보호위원회가 감독기능을 충분히 수행하지 못하는 때에는 국가인권위원회가 정보인권의 보호를 위하여 의견을 표명해야 할 경우도 있을 것이다. 또한 개인정보와 무관한 온라인상 표현의 자유나 정보접근권 등의 정보인권 침해에 대해서는 여전히 국가인권위원회가 역할을 수행할 수 있다. 이러한 점에서 정보인권에 관한 국가인권위원회의 역할은 향후에도 중요한 의미를 가질 수 있다고 본다. Informational Human Rights include freedom of expression, right of access to information, Personal Information Control Right etc. The notion of freedom of expression is intimately linked to political debate and the concept of democracy. The right of access to information is an extension of freedom of speech. It may also refer to the right to privacy in the context of the information technology. Personal Information Control Right can be generally defined as individual's constitutional right to control the circulation of information relating to oneself. These rights can be restricted for the sake of national security, social order, and public interest, but its restriction should be based on a clear statutory and comply with the rule against excessive restriction. About ten and half years has passed since the National Human Rights Commission of Korea(NHRCK) was established on November 25, 2001, based on the National Human Rights Commission Act. Though NHRCK has played an active role in Korean Society in terms of the protection of Informational Human Rights of Korean people, recently NHRCK' attitude to Informational Human Rights, especially freedom of expression in on-line has been backward. After Personal Information Protection Commission was established on September 30, 2011, most of NHRCK' function in the protection of Personal Information Control Right will be substituted by Personal Information Protection Commission. But in my opinion NHRCK' role is still important to protect Informational Human Rights.

행정정보공동이용과 정보인권

장진숙(Jin-Sook Jang) 한국인권사회복지학회 2010 인권복지연구 Vol.- No.6

본 논문에서는 정보사회의 도래와 전자정부의 등장에 따른 행정정보공동이용으로 인하여 헌법상 보장되는 기본권인 개인정보의 보호와 자기정보관리통제권의 정립가능성을 모색하고, 보장의 내용 및 한계와 제한을 기본권 보장의 체계적 측면에서 구체화하며, 나아가 이러한 기본적 이해를 바탕으로 하여 헌법적 근거와 법률체계의 구체적 내용과 문제점을 검토하고자 하였다. 그리고 결과를 토대로 전자정부 구축에 따르는 ‘행정정보공동이용’과 ‘자기정보관리통제권’이라는 서로 상충될 수 있는 두 개의 법적 가치가 각각의 기능을 충분히 발휘할 수 있는 법제정비 방안의 도출 및 보다 바람직한 입법방향의 제시를 목적으로 연구하였다. 헌법상 보장되는 정보인권의 보호를 위해서는 개인정보침해를 사전적으로 예방하거나 사후적으로 구제하기 위한 법제의 정비와 이에 못지않은 보안 시스템이나 보안 프로그램의 개발과 같은 기술적 차원의 연구개발도 중요하다. 하지만 여기서는 규범적 차원에서 개인정보보호 및 자기정보관리통제권에 대한 법제도적 보호방안에 주안점을 두고 규범적 방법에 입각하여 연구를 진행하였다. 더 나아가 자기정보관리통제권의 확보를 위해서는 정보주체가 자신의 정보에 대해 익명 또는 삭제를 청구할 수 있는 한편, 정보처리상황에 대해 설명을 들을 권리를 보장하며, 전산화에 의하여 확대되는 조직의 권력을 적절하게 통제하여 개인정보의 남용을 억제하기 위한 외부통제의 기능을 수행하는 독립된 개인정보보호기구를 설치할 필요가 있다고 본다. 그리고 전자정부를 운영함에 있어서는 사전영향평가제가 도입되어 개인정보를 수집하기 전부터 개인정보 침해문제를 미연에 방지하고 나아가 국가 예산절감의 효과도 동시에 만족할 수 있는 방안을 고려하는 것도 필요하다. The purpose of this study is ⅰ) to search for the possibility of establishing the personal information protection and the individual's right to personal information management and control as fundamental rights of the constitution through the introduction of the administration information sharing with the advent of the era of information society and electronic government, ⅱ) to specify the content of and restrictions on the guarantee of those fundamental rights in a systematic way, ⅲ) to examine the constitutional basis, and the specific contents of and problems of the law system, and thereby, ⅳ) to suggest measures to improve the legislative system, and more appropriate future direction of legislation so that the two values, 'administration information sharing' and 'the individual's right to personal information management and control,'become able to fully function, otherwise they might conflict with each other in the process of the establishment of electronic government. In order to protect human rights to information guaranteed by the constitution, what is most needed is prevention of personal information infringement and improvement of legal system to provide remedy for it. The technical research and development of security systems and programs is also imperative. The main focus of this study is, however, on the protection of personal information at a normative level, and on the legal ways to secure the individual's right to personal information management and control. From a more fundamental point of view, to pursue this goal, it is regarded as necessary to set up the independent organization for personal information protection that plays the role of external security control against personal information abuse by increasingly expanding power of organizations due to computerization. Through the organization, the agent of the information provided would hopefully be guaranteed the right to demand anonymity or deletion of his or her own information and the right to be provided with explanation of the information processing state. Besides, the introduction of the preliminary examination system of the effect should be considered in operating e-government to keep personal information violation from occurring and to reduce the national budget at the same time.

디지털증거 압수ㆍ수색에서 참여권 보장을 통한 개인정보통제권 구현 방안

안민탁,권헌영 한국디지털포렌식학회 2022 디지털 포렌식 연구 Vol.16 No.3

The most effective way to protect personal information and privacy is to guarantee an active legal right for individuals to manage, decide and control their own information. If you can directly control your own information, you will not only block in advance any falsification or leakage that may occur in the process of information processing, but will also greatly reduce anxiety and distrust of investigative agencies. In this paper, we would like to discuss how to implement the right to control personal information in the current seizure and search procedures. First, for a theoretical review of the right to control personal information in Chapter 2, the concept of personal information and the meaning and limitations of the right to control personal information will be explored. In Chapter 3, we will look for examples of the realization of personal information control rights in the private and public sectors at home and abroad, and in Chapter 4 we will look at foreign personal information related laws and cases. Lastly, in Chapter 5, after accessing the existing integrated digital evidence management system in 'participant mode' to realize the right to control personal information in the process of confiscating and searching digital evidence, We would like to propose a self-directed participation system that allows viewing, inquiry, and even confirmation of deletion. 개인정보와 프라이버시 보호를 위해 가장 효과적인 방법은 개인이 스스로 자신의 정보를 관리ㆍ결정ㆍ통제할 수 있도록 적극적인 법적 권리를 보장하는 것이다. 자신의 정보를 직접 통제할 수 있게 되면 정보처리 과정에서 일어날 수 있는 변조나 유출을 사전에 차단하는 것은 물론, 수사기관에 대한 불안과 불신도 훨씬 줄어들 것이다. 본 논문에서는 현행 압수ㆍ수색 절차에 개인정보통제권을 어떻게 구현할 수 있을지에 대해서 논의하고자 한다. 우선 제2장에서 개인정보통제권에 대한 이론적인 검토를 위해 개인정보의 개념, 개인정보통제권의 의의와 한계에 대하여 알아볼 것이다. 제3장에서는 국내외 민간·공공 부문의 개인정보통제권 구현 사례를 찾아보고, 제4장에서 외국의 개인정보 관련 법제 및 사례를 살펴볼 것이다. 마지막으로 제5장에서는 디지털증거 압수ㆍ수색 절차에서 개인정보통제권 구현을 위하여 기존 디지털증거 통합관리시스템에 ‘참여인 모드’로 접속 후, 정보주체 여부에 따라 사전에 허용된 범위의 증거들에 대해 열람 및 조회, 삭제 확인까지 하는 자기통제형 참여 시스템을 제안하고자 한다.

정보주체의 개인정보자기결정권 보장과 개인정보의 활용

김창조 경북대학교 법학연구원 2021 법학논고 Vol.- No.75

This thesis analyzes legal guarantee for the right to decision-making and control of personal information and the use of personal information. The research methods employed in this thesis examines the development of the legal system and case laws related to this problem in Korea. The right to self-determination of personal information is the right of data subjects to decide for themselves when, to whom, and to what extent their information is known and used. In order to legally guarantee the right to self-determination of personal information, the Personal Information Protection Act stipulates the right to consent, the right to request access to personal information, the right to request correction of personal information and the right to request deletion/blocking, the right to request suspension of processing of personal information, and the right to claim damages. To expand the use of personal information, the revised Personal Information Protection Act introduced the pseudonymous information and anonymous information system and the extended use of personal information without the consent of a data subject within the scope reasonably related to the initial purpose. The improvement of this system can be evaluated positively in terms of utilization of personal information. However, it can be pointed out as a major task in the future to establish an appropriate control system for the broad technical and professional discretion recognized in these legal systems. In addition, to overcome the guideline administration excessively admitted in these fields and to establish the rule of law_is a major topic of institutional reform in the future. 지식정보화사회에서 개인정보의 적절한 보호와 활용을 가능하게 하는 법체계 구축은 경제와 사회발전에 중요한 기반이다. 통신과 컴퓨터 기술의 발전에 따라 과거에 없었던 새로운 해킹과 같은 개인정보의 침해 등의 문제가 발생함으로써 개인정보보호의 중요성이 커지고 있다. 이와 함께 빅데이터 산업이 활성화될수록 개인정보의 활용방안이 이슈로 부각되고 있다. 개인정보보호와 개인정보활용을 통한 산업진흥의 균형을 확보하는 것은 개인정보보호제도의 핵심적 과제로 부각되고 있다. 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권은 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 독립한 기본권이다. 주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 삭제 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제・차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 규정하고 있다. 개인정보의 활용은 개인식별성・개인식별가능성이 유지된 개인정보의 활용과 개인식별성・개인식별가능성이 제한 또는 삭제된 개인정보의 활용이 경우로 나눌 수 있다. 개인식별성・개인식별가능성이 유지된 개인정보의 활용을 확대하기 위하여 합리적 관련범위 내에서 당초 수집목적과 다른 개인정보의 추가적인 이용의 가능성이 개정 개인정보보호법에서는 새롭게 인정되고 있다. 즉, 정보주체에게 불이익을 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 당초 수집목적과 합리적으로 연관된 범위 내에서 정보주체 동의없이 개인정보의 추가 이용・제공이 가능하다고 규정하고 있다. 개인식별성・개인식별가능성의 제한 또는 삭제를 통한 개인정보의 활용을 확대하기 위해 가명정보와 익명정보 제도를 개인정보보호법에 규정하게 되었다. 가명정보와 익명정보의 차이는 개인정보의 식별가능성 내지 식별가능성에 대한 복원가능여부를 기준으로 가명정보와 익명정보를 구별한다. 전자는 개인식별가능성을 낮추는 형태로 개인정보의 활용가능성을 확대하는 것이고, 후자는 식별가능성을 삭제하여 당해 정보를 일반정보화 하는 형태로 정보의 활용가능성을 확대하는 것이다. 개정 개인정보보호법에서 새롭게 인정한 정보주체의 동의 없이 합리적 관련범위 내에서 당초 수집목적과 다른 개인정보의 추가적인 이용을 승인하는 시스템과 비식별화조치를 통한 가명정보와 익명정보제도 도입은 개인정보의 활용이라는 측면에서 긍정적 평가가 가능하다. 그러나 이들 법제도에서 인정되는 폭넓은 기술적・전문적 재량에 대한 적절한 통제제도를 확립하고 이들 분야에서 과도하게 인정되는 지침행정을 극복하여 법률유보원칙을 적절히 확립하는 것이 향후 해결해야 할 주요과제로 부각되고 있다.

传染病防治中个人信息保护法律制度的建构 - 以隐私权保护模式与个人信息自决权保护模式的比较为视角 -

???(장어풍),尹鍾玟(윤종민) 동아대학교 법학연구소 2021 東亞法學 Vol.- No.90

인터넷이 널리 보급된 오늘날에 있어서 개인정보의 프라이버시권 보호모델은 개인정보 보호와 이용의 요구를 충족시키기 어렵다. 개인정보자기결정권의 이론은 개인정보를 기본적으로 자기의 결정에 따라 보호하여야 하지만 그 보호와 이용에 있어서는 균형 있게 대처해야 한다는 것이다. 전염병 예방치료 과정에서 개인정보 보호의 필요성도 있으나 동시에 그 보호에 적절한 제한을 가하는 것이 요구된다. 전염병 예방치료 분야의 특수성으로 인하여 개인정보 보호를 더욱 엄격하게 하면서도 개인정보 보호의 제한과 그 제한의 정도를 파악함에 있어서는 전염병 예방치료의 특별한 주체·목적·정보사용범위 등을 종합적으로 고려하여야 한다. 중국의 「중화인민공화국전염병예방치료법」(中華人民共和國傳染病防治法)(이하 “전염병예방치료법”이라 함)과 「중화인민공화국돌발응급조례」(中華人民共和國突發應急條例)(이하 “돌발응급조례”라 함)는 전염병 예방치료에 관한 법령으로서 개인정보보호에 관하여 여전히 프라이버시권 보호모델을 취하고 있다. 이 때문에 전염병 예방치료 과정에서 개인정보 보호와 이용 간에 불균형이 초래되고 있다. 따라서 앞으로 중국 전염병 예방치료 분야에서는 개인정보자기결정권 이론을 참고하되 전염병 예방치료의 현실을 바탕으로 개인정보 보호와 이용에 관한 상세한 규칙을 마련하는 것이 바람직하다. 구체적으로 보면, 개인정보수집단계에서 개인정보의 수집 주체를 입법으로 명확히 함은 물론, 각 유형에 따라 전염병 예방치료에 있어서의 개인정보 수집 범위도 입법으로 명확하여야 한다. 개인정보 이용단계에서도 익명화된 개인정보의 이용에 관하여 규정으로 엄격히 명시하고, 익명화된 개인정보 이용에 관한 표본을 제공하는 것이 필요하다. 또한 전염병 예방치료와 돌발적 응급의료에 있어서 개인정보 모니터링시스템에 대한 접근권한을 부여하고, 각 전염병 예방치료 조직 간에 정보를 공유하도록 하여야 한다. 마지막으로 개인정보 보호에 관한 전문 관리 인력의 배치를 입법으로 규정하고, 개인정보의 전 수명주기를 관통하는 사전․사중․사후의 개인정보보호 메카니즘을 구축하여야 한다. The privacy protection mode of personal information can not meet the needs of personal information protection and use today. The theory of the right of self-determination of personal information holds that personal information should be protected, but its protection and use should be balanced. It is also necessary to protect personal information in the prevention and control of infectious diseases. Due to the particularity of the field of infectious disease prevention and control, it is better to protect personal information more strictly. The restriction of personal information protection and the limit of the restriction should be combined with the special subject, purpose and scope of information use in the field etc. In China, as the legal documents regulating the prevention and control of infectious diseases, the protection of personal information still adopts the mode of privacy protection. This leads to the imbalance between the protection and use of personal information in epidemic prevention and control. Looking forward to the future, in the field of infectious diseases prevention and control in China, it is best to establish the relevant detailed rules for personal information protection and use according to the theory of personal information self-determination and the actual needs of epidemic prevention and control. Specifically, in the stage of personal information collection, legislation should clarify the main body of personal information collection, and distinguish the scope of personal information that should be focused on collection in different types of infectious diseases prevention and control. In the use stage of personal information, the anonymization requirements of personal information use should be strictly enforced, and relevant examples and standards for anonymization should be provided. In addition, it is necessary to open the application authority of infectious diseases and public health emergency monitoring information system, and promote the sharing of personal information among departments. Finally, legislation should require the establishment of the personnel who are responsible for personal information, and establish a personal information security mechanism in advance, during and after the event throughout the life cycle of personal information.

개인정보자기결정권의 헌법상 근거와 보호영역

전상현(Jeon, Sang-Hyoen) 한국법학원 2018 저스티스 Vol.- No.169

헌법재판소는 개인정보자기결정권을 헌법상 열거되지 않은 기본권의 하나로 인정한 이래로 개인정보자기결정권의 적용영역을 계속해서 확대해 오고 있다. 그러나 개인정보자기결정권의 헌법상 근거에 대해서는 구체적인 논증을 제시하지 않았고, 다른 기본권들과의 관계에서 개인정보자기결정권이 갖는 고유한 보호영역도 명확하게 확정하지 않았다. 개인정보자기결정권의 고유한 보호영역을 확정하지 않은 채 그 적용범위를 확대하는 것은 다른 기본권들의 의미와 기능을 저하시킬 뿐 아니라 기본권침해의 적정한 심사를 위해서도 바람직하지 못한 결과를 초래한다. 개인정보자기결정권은 자신의 정보에 대한 통제권이라는 점에서 우리 헌법이 이미 명시하고 있는 사생활의 비밀에 근거하는 기본권이다. 다만, 개인정보자기결정권은 두 가지 점에서 사생활의 비밀과 자유와 구별되는 독자적 기본권으로서의 의미를 갖는다. 하나는 문제된 정보 그 자체만으로는 사생활의 비밀과 자유에 대한 진지한 제한으로 인정되기 어려운 내용의 정보, 즉 이른바 중립적 정보에 대한 통제권을 기본권 차원에서 보장한다는 것이고, 다른 하나는 정보의 통제에 필요한 적극적 권리로서의 청구권 행사도 포함한다는 것이다. 개인정보자기결정권에 대해 그 헌법적 근거와 고유한 보호영역을 분명히 인식하여야만 다른 기본권들과의 관계에서 개인정보자기결정권의 적용범위를 적정하게 설정할 수 있고 기본권침해 여부에 대한 심사의 타당성도 보장할 수 있는 것이다. In order to recognize rights that are not listed in the Constitution as fundamental rights, the constitutional grounds must be clarified, and the protection areas of newly recognized rights should be clearly defined. The Constitutional Court recognized the right to control personal information as one of the fundamental rights not enumerated in the Constitution. But the Court did not provide a detailed argument on the grounds of the Constitution and did not clearly establish the inherent protection area of the right. In addition, the Court has continued to expand the scope of the right to control personal information. The right to control personal information is derived from the Clause 17(confidentiality and freedom of privacy) in the Constitution. The right to control personal information has been recognized to guarantee the confidentiality and freedom, which was not able to be fulfilled by the Clause 17 under the social circumstance named as the data-computerized era. The right to control personal information includes the right to control so-called “neutral information” and the right to access to personal information which is used by the government, and to require correction or deletion of the information. In this sense, the right to control personal information is distinguished from other fundamental rights.

사생활의 비밀의 절차적 보호규범으로서의 개인정보보호법리 ― 개인정보보호법 및 위치정보보호법의 해석 및 적용의 헌법적 한계 ―

박경신 한국공법학회 2011 公法硏究 Vol.40 No.1

The Personal Information Protection Act (PIPA) defines all information concerning a living person 'personal information' and restricts the personal information thereby restricting people's right to talk about others. A closer examination of the EU Directive and the OECD Guideline that has deeply influenced Korea's adoption of PIPA reveals that the personal information protection norm expanding world-wide places the privacy right as the central legal interest to be protected, and that the norm works as a prophylactic and affirmative rule intentionally overly protecting the mass accumulation and circulation of personal information made possible by information technology. In this article, the author reviews the articles of Warren-Brandeis and Prosser, and how the fair information practice principles came into being, to find that all the literature commonly interpret the privacy right as one's right to regulate private information about oneself. Then, the PIPA should be interpreted to apply only 'private information' or 'information that has the risk of violating privacy' and thereby we can reduce the conflict with the freedom of speech. In the same light, the Korean Location Information Protection Act (LIPA), which requires tracking of location information of all things to be consented to by their owners even if the tracking method does not identify the owners, should be revised or interpreted narrowly as they may not implicate privacy interest 개인정보보호법은 모든 개인에 관한 정보를 ‘개인정보’로 정하고 개인정보의 유통을 규제함으로써 타인에 대해 말할 권리를 제약하는 방식으로 해석될 우려가 있다. 우리나라 개인정보보호법의 제정에 심대한 영향을 준 EU디렉티브와 OECD가이드라인을 자세히 검토해보면 세계적으로 그 적용범위가 확대되고 있는 개인정보보호규범은 프라이버시권을 그 핵심적인 보호법익으로 두고 있고 정보통신기술의 발달로 개인정보의 대규모집적 및 유통을 통해 프라이버시권 침해 가능성이 높아지는 상황에서 개인정보보호규범은 프라이버시권을 ‘과잉’보호하기 위한 절차적 규범 (prophylactic) 또는 적극적 규범으로 이해된다. 그리고 프라이버시권의 연혁을 워렌-브렌다이스 논문부터 프롯서 그리고 개인정보보호법제의 연혁을 검토해보면 나라마다 ‘사적인 정보’의 범위는 다르지만 공통적으로 프라이버시권은 ‘자신에 대한 사적인 정보의 공개 및 취득’의 통제를 핵심내용으로 삼고 있음을 알 수 있다. 그렇다면 개인정보보호법의 적용범위도 ‘사적인 정보’ 또는 ‘프라이버시권 침해의 가능성있는 정보’들로 한정함으로써 표현의 자유와의 충돌 가능성을 최소화할 수 있다. 이에 따라 개인정보보호법의 특별법인 위치정보보호법은 물건의 소유자를 식별해내지 않는 방법으로 그 물건의 위치정보를 수집하는 행위까지 규제하는 것에 대해서는 개정 또는 축소해석의 필요가 있다.