이동형 영상정보 처리기기의 개인정보 보호를 위한 법·정책 개선방안

계태화,손승우 한국경호경비학회 2021 시큐리티연구 Vol.- No.69

4차 산업시대, 드론·자율주행 자동차와 같은 ‘이동형 영상정보 처리기기’로 수집 된 개인 영상정보의 처리·이용에 대한 「개인정보 보호법」의 법제 정비 요구가 계속 되어왔다. 이에, 국회와 정부에서는 제·개정안을 통해 이동형 영상정보 처리기기의 정의규정을 신설하고, 사후동의(opt-out) 제도를 도입하는 것으로 이를 해결하고 자 하였다. 그러나, 이동형 영상정보 처리기기의 특성상 정보주체가 촬영 대상 여부 를 인지하기가 쉽지 않고, 정보주체는 개인정보 보호에 대한 추상적 인식으로 사후 적 통제 수단을 활용할 의지가 약하다. 본 연구에서는 유럽과 미국의 드론·자율주행 자동차 관련 규율체계 중 개인정보 보호를 위한 제도와 정책을 검토하여, 당면한 문제를 보완할 제도적 개선방안을 제 시하고자 하였다. 그 결과, 정보주체의 ‘동의’ 책임을 경감하기 위해 기업의 개인정 보 보호책임을 강화하는 방향으로 ‘Privacy by Design’의 개념을 도입하고, 현재 운영 중인 ‘개인정보 영향평가제도’의 개선을 제안하였다. 또한, ‘개인영상정보 침해 실태조사’를 통해 정보주체의 인식수준과 기대하는 활용범위 등을 확인하여 ‘사회 통념상 이용 가능한 개인정보 활용범위’를 정하는 것이 필요하다. ICT기술이 내재 된 영상정보 처리기기의 경우에는 ‘융합보안’ 기술을 적용하여 자율방어체계를 갖추 도록 정책적으로 지원해야 한다. In the 4th industrial era, there have been continuous requests for legislative revision of the 「Personal Information Protection Act」 regarding the processing and use of personal data through video devices collected by UAS and Automated vehicles. Accordingly, the National Assembly and the Government have attempted to amend the 「Personal Information Protection Act」. A new legal definition of a ‘movable video devices', such as a 'UAS' and 'Automated vehicles' with a camera attached, was introduced as part of a bill in order to make amendments. It is allowed if the data subject does not indicate his/her intention to refuse (Opt-out) even though he/she has indicated or informed the fact of the filming. However, due to the characteristics of the 'movable video devices', it is difficult for the data subject to know whether he or she is being filmed. Additionally, data subjects have a weak will to use ex post control measures due to their abstract awareness of personal information protection. In this study, Acts and Regulations, codes of conduct, and guidelines for the protection of privacy of UAS and autonomous vehicles in the European Union and the United States were identified. Through this, we intend to suggest a systematic improvement plan to supplement the current legislative problems. As a result, we have come to the conclusion that it is necessary to reduce the responsibility of the data subject's act of consent and strengthen the company's responsibility to protect privacy. To this end, the concept of ‘Privacy by Design’ should be applied, and it is necessary to improve the ‘privacy Impact Assessment’ currently in operation. In addition, ‘Infringement of privacy investigation[survey]’ should be conducted. This will be helpful in determining the perception of the data subject's personal information and the scope of use of the personal information. In the case of movable video devices with embedded ICT technology, policy support should be given to equipping an 'autonomous defense system' by applying ‘convergence security’ technology.

개인정보보호법상의 국외이전 개정방안 연구

안정민 서울대학교 법학연구소 2020 경제규제와 법 Vol.13 No.1

With the world moving toward a hyper-connected society, personal information functions as the most valued resource to the success of innovative services. In the absence of international regulations that can be applied universally, countries have adopted different cross-border regulation or data localization for different purposes. The Personal Information Protection Act of Korea also has regulation on cross-border transfer of personal information in order to protect privacy and data security. However, inadequate rules and discrepancy in regulations act as barrier to global digital trade and cross-border data flows. Most of the recent services or applications require the collection and process of users' personal information. And even if these services are only provided within a certain country, many service providers are using global cloud services which inevitably transfer personal information to oversea servers. The articles on cross-border transfer under the Korean Personal Information Protection Act is very tightly interpreted allowing only few types of cross-border data transfer is permitted. And although it is heavily regulated, it does not have sufficient regulatory system for the management nor remedies against the infringement of the already transferred personal information. And due to the recent revisions of the data related Acts, confusion over the application and the interpretation of the cross-border regulation is expected to grow. It is the goal of this paper to present a number of recommendations on the regulations of cross-border transfer of Korea that align with the laws in other jurisdictions. Measures and provisions suggested will reduce controversy and confusion on cross-border regulations while ensuring sufficient privacy protection and still maintain the benefits of cross-border data flows. 전 세계가 초연결사회로 나아가고 있는 지금 개인정보는 새로운 서비스의 성패를 가늠하는 핵심 자원으로서 기능하고 있다. 보편적으로 적용될 수 있는 국제규범이 없는 상태에서 나라마다 다른 개인정보 국외이전에 대한 규제나 보호수준은 시장에 대한 진입장벽이나 역차별 요소로 작용하고 있는 동시에, 현실과 맞지 않는 현행 개인정보 국외이전 제도는 법이 추구하는 바와는 달리 정보주체를 충분히 보호하지도 못하고 있는 상황이다. 최근 등장하는 대부분의 서비스는 이용자의 개인정보 수집 및 처리가 필수적이고, 많은 서비스제공자가 글로벌 사업자의 클라우드 서비스를 사용하고 있다. 이와 같이 개인정보의 국외이전이 불가피하게 발생함에도 불구하고 개인정보보호법상의 국외이전제도는 법적으로 허용하는 범위도 제한적이고 이전되는 개인정보의 관리나 보호에 대해서도 충분한 규제체계를 가지고 있지 못하다. 특히 최근 법의 개정으로 개인정보보호법 내에서 국외 이전을 일반적인 경우와 정보통신서비스를 통한 국외 이전과 구별하고 있어 법의 적용이나 해석에 대한 혼란이 예상된다. 개인정보보호를 강화하는 다른 나라에서도 이미 동의 이외의 방법으로 국외이전이 허용되고 있고, 개인정보보호와 산업 활성화의 균형을 추구하는 현실적인 대안이 실행되고 있는 상황이다. 이에 본 연구에서는 강력한 개인정보보호제도를 갖춘 EU를 비롯해, 우리나라의 법제와 유사한 일본, 주요 무역국인 미국의 개인정보 국외이전에 관한 규제를 비교해보면서 현행 개인정보보호법상의 국외이전의 개정방향을 연구해보고자 한다.

의료영역에서의 개인정보보호의 문제점과 해결방안

이한주 한국의료법학회 2012 한국의료법학회지 Vol.20 No.2

지식정보사회에서 개인정보 보호의 문제는 더 이상 각 개인의 사생활 문제의 차원에서 해결할 수 있는 것이 아니라 사회적으로 해결해야할 중요한 과제로 인식되고 있다. 특히 개인의료정보 보호의 문제는 정보의 특성과 함께 의료적 특수성을 함께 고려해서 판단해야할 것이다. 본 논문에서는 개인정보를 포함한 개인의료정보의 개념과 특성을 통하여 법적 보호의 필요성을 파악하고자 하였다. 특히 개인정보의 보호가 헌법적으로 어떤 의미를 갖고 있는지에 대해 기존의 논의와 헌법재판소 등의 판례와 함께 검토하였다. 이를 바탕으로 개인의료정보가 의료 프로세스 상에서 수집, 이용, 제공, 폐기 등의 각 단계에서 어떤 문제점이 발생할 수 있는지를 판단하고자 하였다. 특히 2011년 ‘개인정보보호법’이 제정·시행됨으로서 기존의 법령을 통해서 해결할 수 없었던 많은 부분들을 보완할 수 있게 되었으나, 아직 해결해야할 많은 문제들이 있음을 적시하였다. 결론적으로 개인의료정보는 다른 정보와 달리 보호뿐만 아니라 이용의 필요성도 함께 제기되고 있다는 점을 고려하여 양측을 균형적으로 고려하는 것이 무엇보다 중요하다. 또한 의료행위 과정에서 개인의료정보는 여러 가지 문제에 직면할 수 있기 때문에, 각 단계별로 침해여부에 대한 면밀한 검토가 필요하다.

일반개인정보보호규정(GDPR) 발효에 따른 독일 개인정보보호법제의 입법동향 및 시사점

홍선기 한국정보법학회 2018 정보법학 Vol.22 No.1

As GDPR (EU 2016679) becomes effective in May 2018, each member of the EU is to follow the GDPR (European Union) and apply the Personal Information Protection Act in place. Germany was the first country to reflect this. Germany was the first country in the world to pass a personal information protection law that reflected GDPR. The Federal Personal Information Protection Act revised in 2017 is especially in part 2 (the Implementation of GDPR) and part 4 (the areas where GDPR and the criminal judicial guidelines 2016 / 680 EU are excluded). As can be seen, the German Federal Personal Information Protection Act was revised from the beginning to reflect GDPR and criminal judicial guidelines. Germany’s quick response is expected to have a significant impact on other EU legislation in the future. Consequently, it is likely that identifying German legislative trends, which first reflected GDPR, would have the same effect as observing the legislative trends of the European Union Personal Information Protection Act. And it will be a good reference for finding ways to respond to and improve Korea’s Personal Information Protection Policy through comparative analysis of German law and policies. Amid this trend, the privacy protection law in Korea is also required to revise the law to reflect GDPR. It is necessary for private information supervisory authorities to consider strengthening their authority and to strengthen their characteristics as a general law under the Korean Personal Information Protection Act. Moreover, it is also necessary to seek substantial protection of personal information through strong sanctions by institutions and to infer the urgent need for a bill to protect personal information that reflects the fourth industrial revolution. 2018년 5월에 일반개인정보보호규정(GDPR)(Regulation (EU) 2016/679)이 발효됨에 따라 EU의 각 회원국들은 각국의 개인정보보호법을 개정하는 등 일반개인정보보호 규정(GDPR)의 발효에 따른 다양한 대비노력을 하고 있다. 현재 가장 먼저 이를 반영 한 국가는 독일이다. 독일은 세계에서 가장 먼저 일반개인정보보호규정(GDPR) 반영 한 자국의 연방개인정보보호법을 2017년에 통과시켰다. 2017년 개정된 연방개인정보 보호법(BDSG)은 특히 제2부(일반개인정보보호규정(GDPR)의 이행 규정)와 제4부(일 반개인정보보호규정(GDPR)과 형사사법지침 2016/680/EU가 적용되지 않는 영역)에서 특별 규정들을 두고 있다. 이를 통해 독일의 개인정보보호법제는 처음부터 일반개인 정보보호규정(GDPR)과 형사사법지침을 반영하기 위해서 개정되었다는 것을 확인할 수 있다. 독일의 이러한 발 빠른 대응은 향후 다른 유럽연합의 회원국 법제에 많은 영 향을 미칠 것으로 판단된다. 따라서 일반개인정보보호규정(GDPR)을 최초로 반영한 독일의 입법동향을 파악하는 것은 결국 유럽연합 회원국의 개인정보보호법제의 입법 동향을 살피는 것과 거의 같은 효과를 볼 수 있다고 해도 과언은 아닌 것이다. 그리고 이러한 독일의 개인정보보호관련 법제와 정책의 비교 분석은 우리나라의 개인정보보 호법제의 대응 및 개선방향 도출에 좋은 참고자료가 될 것이다

개인신용정보 보호법제의 중복규제 및 해소방안 연구 ― 신용정보의 이용 및 보호에 관한 법률을 중심으로 ―

백승엽,김일환 미국헌법학회 2017 美國憲法硏究 Vol.28 No.3

오늘날 개인신용정보는 공공부문과 민간부문에서 국민에 대한 적실성 있는 행정 및 소비자 편익제공을 위해 활용도가 점증되고 있는 반면, 복지국가의 이념과 전자정부의 구현을 위한 효과적인 개인정보 처리 및 빅데이터 환경에서 무분별한 수집/활용으로 인한 헌법상 보장된 국민의 기본권이 침해되지 되지 않도록 엄격히 보호되고 규제되어야 할 필요성 또한 매우 높아지고 있는 실정이다. 그러나 국내 개인신용정보 보호법제간 중복규제 문제로 인하여 법을 적용하는 순위 면에서 상호모순적일 뿐만 아니라 법적용의 일관성 측면에서도 문제가 발생하고 있다. 이는 단순히 우선순위의 차이만을 초래하는 것이 아니라 법 적용에 따른 규제수준에도 차이가 발생하는 바, 이를 해소함으로써 개인신용정보의 효과적인 보호와 규제를 보다 철저히 시행할 필요성이 매우 높다고 할 수 있다. 과거 개인신용정보의 오ㆍ남용으로부터 사생활의 비밀 등을 적절히 보호할 필요성뿐만 아니라, 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 통해 건전한 신용질서를 확립하기 위하여 ‘신용정보의 이용 및 보호에 관한 법률(법률 제4866호)’(이하 신용정보법)이 1995년에 개정되었고, 2011년에는 ‘개인정보보호법(법률 제10465호)’이 제정되어 개인정보보호 관련 다른 법률에 특별한 규정이 있는 경우에만 해당 특별법 조항을 우선적으로 적용받게 함으로써 개인정보보호법은 일반법으로서 전체 분야를 관할하고, 그 외 신용정보법, 온라인상에서 금융거래 등과 관련된 개인정보의 보호를 관할하기 위해 제정한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제14080호)’(이하 정보통신망법) 등의 특별법은 각 분야별로 적용되고 있었다. 그러나 전술한 바와 같이 개인정보보호법과 신용정보법간 법률조문 기술방식과 해석상의 문제로 인하여 개인정보보호법과 신용정보법의 일반법과 특별법 관계가 불분명한 경우가 많았고, 각 법률이 중첩적으로 적용되는 문제가 발생하고 있는 실정이다. 즉 개인정보보호법과 신용정보법 간에 실질적으로 동일하거나 유사한 내용을 갖는데도 조문 기술방식이 달라 해석의 어려움이 발생할 뿐만 아니라 신용정보법이 규정하지 않는 사항에 대해서 여전히 개인정보보호법이 적용될 수 있으므로 수범자인 금융기관 입장에서도 두 법률을 모두 검토해야 하는 규제 준수의 부담이 있어 왔다. 이에 따라 금융위원회는 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 따라 신용정보법이 규정하고 있지 않지만 개인정보보호법에는 있는 내용을 반영하여 규제의 틈새를 메워나가는 등 개인정보의 규율에 대한 두 법률의 간극을 해소하고자 개선방안을 발표하고, 입법적 정비(2014년, 2016년, 2017년)를 시도 하였으나, 여전히 조항별로 특별법이 다른 해석상 모순적인 법적용을 계속해서 초래하고 있어 각 법률간의 우선순위 문제가 해결되지 못하고 있는 실정이다. 이와 같은 규정 체계의 상호모순을 극복하고 신용정보의 법적 규율에 대해서는 신용정보법으로 규제를 일원화한다는 제도변화의 취지에 맞추어 신용정보법(제3조의2) 관련 규정을 근본적으로 개정할 필요가 있다. While degree of practical use of personal credit information has been gradually increasing for precise information of administration and convenience in both public and private sector, it also should be noted that such usage should be strictly protected and regulated lest basic right enshrined in the constitution should be infringed due to imprudent collection and utilization of personal information for realization of a welfare state and e-government in so-called big data environments. However, domestic use of personal credit information is not only inter-contradictory in prioritization of legal application due to duplicated regulation but also not consistent in actual applications. Since this could cause both discrepancy in prioritization and one in degree of regulation application, it deems to be necessary to enforce efficient protection and regulation of personal credit information in more thorough fashion. ‘Credit Information Use and Protection Act’ (hereinafter referred to “Credit Information Act”) as was revised in 1995 to foster a sound credit information business, promoting an efficient utilization and systematic management of credit information, and protecting privacy, etc. from the misuse and abuse of credit information properly, thereby contributing to the establishment of sound practices in credit transaction. ‘Personal Information Protection Act’ was established by law in 2011 in which application of the act is subject to the whole industries as a general law unless it is stipulated otherwise in other special law. In the similar fashion, ‘Act on Promotion of Information and Communication Network Utilization and Information protection, etc.’ (hereinafter referred to “Information Network Act”) whose purpose is to protect security of online financial transaction and personal information has been applied to respective industries. However, due to the previously elaborated ambiguity in provision stipulation and interpretation, many occasions occur where relationship between Credit Information Act and Information Network Act are not clear and two acts are applied redundantly. Albeit same or similar contents and intentions are contained in Credit Information Act and Information Network Act, since provisions in those acts could be interpreted differently and Credit Information Act could be applied to where Personal Information Act is not applicable, financial institutions such as banks have been burdened by compliance and interpretation of two acts. To make a point of regulation alignment to Credit Information Act for legal regulation of credit information, Financial Services Commission announced an expedient plan for bridging the gap between personal information related acts reflecting what is not covered in Credit Information Act whereas covered in Personal Information Act. Even with legislative modification in 2014, 2016 and 2017, several special laws have deepened a level of equivocality in provision interpretation and prioritization issues from each legislation has not been cleared yet. To sort out confusion in regulation system and to position Credit Information Act as a special law which should be applied to financial enterprises as framework of protection system of personal information, CreditInformationAct, especially in Article3-2(Relationship to other Acts) should be fundamentally revised to stipulate that Credit Information Act is a speciall with regard to Persona lInformation Act.

홈페이지에 공개된 개인정보와 인격권 - 대상판결: 대법원 2016. 8. 17. 선고 2014다235080, 서울중앙지방법원 2014. 11. 4 선고 2013나49885 -

손형섭 언론중재위원회 2019 미디어와 인격권 Vol.5 No.1

This paper reviews cases - Supreme Court 2014 da 235080, Seoul Central District Court 2013 na 49885 - in the Supreme Court of Korea, Seoul Central District Court on the collection and use of personal data disclosed on the homepage of university. According to the Constitution, it is necessary to interpret whether the concept of personal data, the presumed consent about the disclosed personal data. Some critics have also criticized the Supreme Court opinion for failing to fully consider the right to collect personal data. In this case, however, the Supreme Court's decision is interpreted as judging from the premise that the concept of personal data ① is based on human dignity and ② Considering the social reality that can be accepted even by the presumptive consent and that there is no breach on public figures. In the Seoul Central District Court 2013 na 49885, the legality of collecting public personal data without the consent of the data of the subject and providing it to a third party is judged on commercial or non-commercial purpose of collecting the data. Seoul Central District Court decided “Collecting data for non-commercial purposes and providing it to a third party Unless there was special circumstances, is legal. In the case where profiting on use of the data of the subject when it is made for commercial purposes and is not for the purpose of achieving the intrinsic purpose of the press, but simply collecting personal data disclosed for commercial purposes and providing it to a third party without the consent of the data of the subject, It should be considered illegal unless there are other special circumstances.” However, the Supreme Court in Supreme Court 2014 da 235080, made the following judgment: The plaintiff is a public entity, and the personal data in this case has already been disclosed on the homepage. And public data should be provided at least to an individual or group as a professor of a plaintiff. The freedom of expression of information prisoners based on such ‘right to know’ is also included in the legal interest. Ultimately, as for the actions that the defendant when collecting by a third party until this collection of the personal data of this case was delivered to this third party, it is reasonable to state that it is objectively recognized that the plaintiff had implicit consent. In the end, it was judged that “the defendant had complied with Article 15 or Article 17 of the Personal Information Protection Act because the plaintiff had not received the separate consent of from the plaintiff.” In the interpretation of the Personal Information Protection Act, the right to self-control personal data based on Articles 10 and 17 of the Constitution of South Korea. It is applied to interpret the concept of personal data and the consent. In order to prevent infringement of personal data from infringing human dignity, it is subject to the right of self-information control. In this case, there is a criticism that the defendant's actions such as the acknowledged the unauthorized collection and use of the data. However, It can be considered in a comprehensive manner, the “presumptive consent” based on Article 15-1 (1) is intended to protect the personal right of self control of information. Furthermore, after the personal data is publicly posted online, it is necessary to ensure that after right of control on personal data by the information subject pursuant to Article 20 of the Personal Information Protection Act, It should effectively guarantee the right to self-control of personal data of the subject. It is originally meaning that the protection of personal data is not a self-objective value but a preliminary guarantee to protect the human dignity and individuality. Therefore, the protection of personal data should not be regarded as uncomfortable in itself, but should be approached with constitutional values such as the realization of personal information self-control right to gu... 이 평석은 홈페이지에 공개된 개인정보의 수집과 활용에 대한 대법원2016. 8. 17. 선고 2014다235080 판결, 원판결 서울중앙지방법원 2014. 11. 4. 선고 2013나49885 판결, 서울중앙지방법원 2013. 8. 29 선고 2012 가단133614 판결을 검토하면서, 개인정보의 개념과 그 보호의 본질을 탐색한다. 이 판례에서는 헌법의 해석에 따라 ①개인정보의 개념, 특히 인격권 보호를 전제로 한 개념 정의와 ②공개된 개인정보 제공의 추정적 동의를인정할 것인지를 종합적으로 검토할 필요가 있다. 일부 평석에서는 ②에중점을 두어 대법원 판례가 개인정보 수집에 대한 동의권을 충분히 검토하지 못했다는 비판도 있다. 그러나 이 사건에서 ①의 개인정보 개념이인격권에 근거한 것으로 이에 대한 침해가 없는 공인의 공개된 개인정보에 대해서는 보호영역 밖에 있는 활용 가능한 개인정보라고 판단하고, 그활용에 대한 추정적 동의도 인정할 수 있는 사회적 현실을 종합적으로고려하여 대법원 판결과 유사한 입장에서 사례를 검토한다. 헌법적 가치인 기본적 인권인 개인정보자기결정권이 일반규정을 통하여 사법상으로 보호되어 개인정보에 관한 인격적 법익침해 등의 형태로구체화하고 개인정보 보호법의 해석에서 헌법 제10조와 17조에 근거한개인정보자기결정권의 내용과 의미에 대한 헌법적 검토가 필요하며, 이를 근거로 개인정보 보호법 등의 해석과 사건 검토가 진행되어야 한다. 개인정보의 침해로 인간존엄이 훼손되는 것을 막기 위해 자기정보통제권을헌법적으로 보장하고 있다. 개인정보를 수집・제공하여 개인의 인간존엄과 인격적 법익을 침해하는 것은 개인정보자기통제권의 침해가 된다. 대법원 판결이 피고의 행위에 근거가 없는 동의 없는 수집・이용을 인정했다는 비평이 있지만, 개인정보 보호법 제15조제1항제1호에 근거한 “추정적 동의”를 개인정보자기통제권의 인격적 법익 보장의 취지를 종합적으로 고려하여 인정할 수 있다. 나아가 개인정보 보호법 제20조에 의한 정보주체의 정보 수집과 활용, 그리고 사후 사용 정지에 대한 의사를 신속히 반영해 주는 사후적 관리도 효과적일 수 있도록 하여, 개인정보를 공개적으로 온라인에 게시한 이후에도 이에 대한 정보주체의 자기정보통제권을 실효적으로 보장해야 한다. 개인정보 보호는 자기 목적적 가치가 아니라 이로 인해 발생할 인격적가치 등의 위해를 예방하기 위한 사전적 보장이라는 본래 가치가 있다. 따라서 개인정보 보호가 그 자체로 불편한 것으로 취급되어서는 아니 되며, 개인의 인격적 법익과 재산적 법익과 같은 헌법적 가치를 보장하기위한 개인정보자기통제권의 실현이라는 접근을 하여야 한다.

개인신용정보의 보호법제에 관한 법적 연구

정순섭 ( Sun Seop Jung ),양기진 ( Gi Jin Yang ) 한국금융정보학회 2012 금융정보연구 Vol.1 No.1

이 논문은 우리나라의 개인신용정보 이용현황 및 관련 법제를 소개·분석하고, 신용정보법과 개인정보보호법간의 규제체계의 변동 및 상충여지가 있는 부분들을 적시하고 해결방안을 제시하였다. 개인신용정보가 해당 정보주체에게 어떠한 재산적 권리성인 인정되지 않으나 헌법적 기본권인 자기정보결정권의 선상에서 보호받아야 한다. 그러나 이 역시 공동체의 다른 이익과의 조화의 필요성상 제한될 수 있으며 헌법재판소 역시 이러한 의견을 지지하고 있다. 정보주체의 측면에서 개인신용정보는 해당 정보주체의 여러 가지 헌법적 권리와 긴밀하지만, 사회공동체적 관점에서 개인신용정보는 공공재적 성격을 띠고 있으므로 오히려 적정하게 정보의 수집·유통을 조장하는 것이 사회의 이익에 부합한다고 할 수 있다. 최신의 정확한 개인신용정보가 집적·공유되어야 정보불균형에 의한 금융시장 왜곡을 방지할 수 있다. 그러나 부정적인 정보에 주로 기초한 신용정보법제의 운용은 오늘날과 같은 신용사회에서 개인신용정보의 공공재적 속성에 요구되는 필요에 부응하지 못하고 있다. 따라서 개인신용정보라 할지라도 신용정보집중기관이나 신용조회회사에 정보주체의 동의없이 제공·집적될 수 있는 정보의 범위를 확대시켜야 할 것이다. 개인신용정보의 정확성 담보와 적정한 보호는 그 자체로 완결된 목적이 아니다. 개인신용정보의 정확성 담보는 개인신용평가 결과에 따른 금융상품의 개발 및 거래의 원활화로 연결될 수 있다. 또한 적확한 신용평가의 기초자료로서의 개인신용정보가 충분히 제공·유통될 수 있으려면 개인신용정보가 남용되지 않고 충분히 보호된다는 믿음 및 실질적인 보호가 주어져야 한다. 이제 축적된 개인신용정보의 효용을 깨닫고 정확·충분한 개인신용정보 인프라 구축에 노력해야 할 것이며, 향후에도 이를 위한 많은 연구결과가 나오기를 기대한다. This paper analyzes current law and practice of personal credit information in Korea. It also shows some conflicts between the Act on the Use and Protection of Credit Information and the newly enacted Personal Information Act. Personal Credit Information is not property right in its strict sense, but should be protected as part of the right of self-determination of information, a fundamental right in the Constitution Law. However, this protection may be compromised for public interest, which is to alleviate the financial market weaknesses inevitably caused by information asymmetry. Evaluation of personal credit with correct credit information can encourage the development of more efficient financial markets. Furthermore, personal credit information should not be abused so that the use of personal credit information as the basic data for accurate credit assessment can be expanded. This paper also suggests several proposals to reform the legal infrastructure for collecting and using correct personal credit information.

한국내 글로벌 외국법인의 개인정보보호 전략에 관한 연구 - C사의 개인정보보호 TFT 운영사례를 중심으로 -

이대영,정진홍 보안공학연구지원센터(JSE) 2014 보안공학연구논문지 Vol.11 No.5

본 논문은 국내의 외국법인 수가 1,500개를 넘어서는 비즈니스 환경 속에서 개인정보보호를 위한 글로벌 외국법인인 C사의 개인정보보호 TFT 운영 사례 연구를 통하여 모범적인 개인정보보호 전략 을 제시하고자 하였다. 1930년대부터 국내에서 영업활동을 시작한 C사의 경우 2011년 상반기부터 개 인정보보호법과 관련하여 주기적인 모니터링을 실시하여 왔으며 안전행정부와 한국인터넷진흥원에서 실시하는 개인정보보호 전문가 교육에 사내 전산부서 담당자를 파견하여 지속적으로 대응준비를 하 여왔다. 외국법인의 특성으로 인해 한국 본사와 아시아 지역 본부 및 미국 본사 법률 팀과의 연계가 필수적이었으며 임원회의 결과에 따라 2011년 하반기부터 개인정보보호 TFT 활동을 수행하였다. C사 는 국내 법 준수를 위해 다각적인 업무 프로세스 및 IT 시스템 개선작업 등을 통하여 성공적인 개인 정보보호 규정, 조직, 시스템 구축 등을 이루었으며 지속적인 직원 교육 및 감사프로세스를 통하여 실질적으로 운영되는 개인정보보호 시스템을 구축·운영하고 있다. 따라서 본 연구는 C사의 TFT 운영 시의 산출물과 이메일기록 및 TFT 리더와의 면담을 통하여 조직 내의 전반적인 TFT활동 내역을 점 검하여 국내 기업뿐 아니라 글로벌 외국법인들의 국내 개인정보보호법 준수를 위한 10가지 전략과 4 가지 제언을 제시하였다. In this paper, The best practice for implementing of Personal Information Protection TFT which is operated in global foreign C Corporation is presented in to other companies in more then 1,400 foreign companies. C Corporation has been operated the business in Korea from 1930s. They monitored new Personal Information Protection Law in Korea and trained IT specialist for it in special course which are opened by Ministry of Public Administration and Security, Korea Internet and Security Agency. From 2011 year, They operated Task Force Team for implementing strategy and organization for Personal Information Protection Law. As C Corporation is a global foreign company in Korea, there are lots of gaps between local regulation and internal corporate policy. They have been cooperated with local legal team and corporate legal team to find out proper strategy and organization to comply. They improved business process and IT system and consequentially accomplished to build strategy, policy, organization and audit process. From the result of this case study of C Corporation’s TFT activities and outputs, 10 strategies and 4 recommendations are presented to not other local companies but also global foreign companies in Korea.

초등학생의 개인정보보호에 관한 지식이 행동에 미치는 영향 분석

이경찬,김자미,이원규 한국정보교육학회 2015 정보교육학회논문지 Vol.19 No.3

본 연구는 개인정보보호에 관한 지식이 실제 행동에 미치는 영향에 대해서 분석하는 것을 목적으로 한다. 개 인정보보호 관련 지식은 개인정보 개념, 정보주체 권리, 정보보호 행동수칙, 개인정보 가치인식의 영역으로 구성 하였고, 개인정보보호 행동은 개인정보보호수칙의 준수, 개인정보침해에 따른 피해구제 노력으로 설정하여, 초등 학생 510명을 대상으로 조사하였다. 자기기입식의 방법으로 지식과 행동의 연관성을 측정하고, 행동에 미치는 영향 요인을 분석하였다. 연구결과, 첫째, 교육 유무에 따라서 지식과 행동의 4개 요인은 차이가 없었다. 둘째, 개인정보보호 행동에 영향을 미치는 요인으로 정보보호 행동수칙의 인지와 개인정보 중요성에 대한 가치인식에 관한 지식이었다. 본 연구는 개인정보보호에 관한 교육에 있어서, 어떤 지식을 위주로 제공해야 하는지에 대한 시사점을 제시했다는 데 의의가 있다. This study was conducted with the goal to identify the degree to which elementary school students’ knowledge about personal information protection practices impacted their actual behavior with regard to privacy protection. To fulfill this goal, knowledge about personal information protection was set as (1) knowledge about concepts of personal information, (2) knowledge of the rights of information holders, (3) knowledge about the code of conduct for information protection, and (4) awareness of the value of personal information. As for students’ behaviors to ensure their personal information protection those were set as their habits to comply with the personal in-formation protection code of conduct and their efforts to respond and recover from any personal information violation. This study was conducted targeting 510 elementary students. The degree of the students’ knowledge and their behaviors was measured by first distributing a self-report survey to the students and then analyzing their responses. The results of the analysis revealed the following: First, it was found that there are no differences among the four factors of knowledge and behavior according to the status of their education. Second, the two factors that primarily affected their personal information protection behavior were found to be their awareness of the information protection code of conduct and awareness of the value of personal information. This study holds significance in that it makes suggestions as to how personal protection practices should be taught to public school students.

개인정보의 개념의 차등화와 개인정보이동권의 대상에 관한 연구

이성엽 서울대학교 법학연구소 2019 경제규제와 법 Vol.12 No.2

With the development of technologies utilizing the 4th industry, such as big data and artificial intelligence (AI), operators can easily collect personal information, process it, and use it. Various products are released. However, the current law focuses on protection rather than use of personal information, focusing on various obligations and requirements when processing personal information, including consent. In particular, by using a single concept of 'personal information' as a unit of law application, it is not clear to what extent the scope of information subject to obligations from the operator's point of view. It has become a reason for limiting the use of personal information. Despite the different types of information and costs and manpower for regulatory compliance, interpreting all subjects of regulation equally imposes an excessive burden on the operator or imposes a duty that cannot be implemented. Therefore, it is necessary to discuss the necessity of differentiating the concept of personal information. To this end, it is necessary to first look at the ambiguity of the concept of personal information and see if it is possible to interpret the scope of the same concept of personal information within the same legislation. In addition, it is necessary to classify personal information by type in order to limit the scope of application of personal information regulation to a reasonable range. In particular, it is necessary to classify personal information in accordance with identification or identifiability criteria, which are key factors that obscure and broaden the concept of personal information. Personal identification information that is combined with personally identifiable information and personal identification information that is not combined with personally identifiable information can be distinguished in addition to personal identification information and non personal identification information In addition, the criteria may be whether the information provided by the operator, the information generated and processed by the operator, the operator's internal purpose, or the external purpose Based on this classification, it is necessary to see how appropriate the level of personal information protection is through a standard for balancing conflicting interests between personal information self-determination rights and freedom of operation for each regulation. The same applies to the right to data portability Personally identifiable information that is not combined with personal identification information, i.e., information that is attributed to one person, if the identifiability is maintained only to the extent that the information can be attributed to a specific person whose identity is unknown and information scattered so that it is difficult to attribute to specific person, should be excluded from the provision. In addition, information created by personal information processor such as work evaluation and credit evaluation should not be provided as long as it is used internally. As attempts to rationalize the scope of regulations related to personal information are accumulated and legislation and governmental interpretations are developed, the rights of both service providers and users should be adequately defended, and a regulatory environment suitable for the future ICT new industries should be established. 빅데이터, 인공지능(AI) 등 4차산업을 활용한 기술의 발 전에 따라 사업자는 개인정보를 용이하게 수집하고 이를 손 쉽게 가공하여 이용할 수 있게 되었고, 개별 이용자에 특화 된 서비스를 통해 이용자 편의를 극대화하는 다양한 상품이 출시되고 있다. 그러나 현행법은 동의를 비롯하여 개인정보 처리 시 각종 의무와 그 요건에 집중하면서, 개인정보의 이 용보다는 보호에 초점이 맞추어져 있다. 특히, ‘개인정보’라는 단일한 개념을 법 적용의 단위로 사 용함으로써 사업자의 입장에서 의무의 대상이 되는 정보의 범위가 어디까지인지 명확하지 않다는 점 이 개인정보의 이 용을 제한하는 사유가 되고 있다. 정보의 유형별로 규제 준 수를 위한 비용⋅인력 등이 다름에도 불구하고, 규제의 대 상을 모두 동일하게 해석할 경우, 사업자에게 과도한 부담 을 주거나 이행이 불가능한 의무를 강요하게 된다. 이에 개인정보 개념의 차등화 필요성에 대한 논의가 필요 하다. 이를 위해 먼저 개인정보 개념의 모호성과 관련해, 동 일한 개인정보의 개념에 대해 동일한 법령 내에서 그 범위 를 달리 해석하는 것이 가능한지를 살펴볼 필요가 있다. 더 불어 개인정보 규제의 적용 범위를 합리적인 범위로 한정하 기 위해서는 개인정보를 유형별로 분류하는 것이 필요하다. 특히, 개인정보의 개념을 모호하고 또한 광범위하게 만드는 핵심적인 요소인 식별 내지는 식별 가능성 기준에 따라 개 인식별정보와 개인을 식별할 수 없는 정보 외에 개인식별정 보와 결합되어 있는 상태의 개인식별가능정보와 개인식별정 보와 결합되지 않은 상태의 개인식별가능정보로 구분가능하 다. 그 외에 사업자가 제공받은 정보인지, 사업자가 생성, 가공한 정보인지, 사업자 내부적 목적인지, 외부적 목적인지 등도 기준이 될 수 있다. 이런 분류를 기준으로 법령상 각 규제별로 개인정보 자기 결정권과 영업의 자유의 비교형량을 통해 어느 정도의 개인 정보보호 수준이 적정한지를 볼 필요가 있다. 개인정보이동 권의 경우에도 마찬가지이다. 개인식별정보와 결합되지 않 은 상태의 개인식별가능정보 즉, 1인으로 귀속되는 정보에 해당하여 신원을 알 수 없는 특정한 1인으로 정보들을 귀속 시킬 수 있을 정도로만 식별가능성이 유지되어 있는 경우, 특정한 1인으로 귀속시키는 것조차 어렵도록 흩어져 있는 정보의 경우에는 제공대상에서 제외하는 것이 타당하다. 또 한 근무평가, 신용평가 등과 같이 개인정보처리자가 만들어 낸 정보의 경우에는 이를 내부적으로 활용하는 한 제공대상 이 아니라고 보아야 할 것이다. 개인정보 관련 규제의 적용 범위를 합리화하려는 시도가 축적되고 이것이 입법과 정부의 해석에 반영되어, 서비스 제 공자와 이용자 양측의 권리가 적절하게 수호되고, 향후 ICT 신산업 시대에 걸맞는 규제환경을 갖출 수 있어야 할 것이다.