Personal information gradually turns into be one of the key resources in the intelligent information society in which the cutting-edge technologies such as artificial intelligence, big data, internet of things, clouds play significant roles for innovative services and products. However, there is no doubt that the probability of data breach rises as the importance of personal information grows with the latest technologies.
The definition of sensitive information is clearly written in the Personal Information Protection Act. The Act explicitly provides examples to define what the sensitive information is. Pursuant to the article 23 of the Act, information about one’s ideology, belief, admission to or withdrawal from a trade union or political party, political opinions, health, sex life falls into the scope of the sensitive information. Besides, other personal information that is likely to markedly threaten the privacy of any data subject is equivalently treated as the sensitive information. Furthermore, the Act limits the use of such information since sensitive information is highly related to the right to privacy given to each data subject.
How we set balance between the protection and the use of personal information comes to the critical task in the fast-evolving society driven by latest data technologies. The sensitive information is not in difference. To that end, this article looks into global protection laws in order to compare the protection scope of sensitive information. In addition, under the perspective that the safe use of personal information is required for economical innovation driven by the data technologies, this article suggests to amend the Personal Information Protection Act.
First, the Act should expand the scope of sensitive information by adding information about sexual orientation and information about criminal victimization. Second, in order to protect data subjects, the legal basis for processing sensitive information should be limited to laws only passed by the legislature body. These would expand the protection scope of data subjects with regard to sensitive information.
Currently, the Act only allows two conditions to process sensitive information, consent from a data subject or by other statute that allows to process sensitive information. Comparing to relevant provisions written in the EU GDPR, this limitation is likely to be narrowly regulated. Thus, the Act should be amended in order to process sensitive information by adding four exceptions like the EU GDPR. With four exceptions, the task to balance the protection and the use of personal information, including sensitive information, would be completed without harming the data subject in the intelligent information society.

지능정보사회의 도래에 따라 인공지능, 빅데이터, 사물인터넷, 클라우드 등 신기술을 바탕으로 방대한 양의 개인정보가 수집 및 이용될 것으로 전망되고 있다. 다만, 지능정보기술의 특성상 개인정보의 이용이 요청됨에 따라 그에 못지않게 개인정보의 침해가능성도 증대할 것으로 보인다. 이는 결국 개인의 사생활의 비밀과 자유, 인격권 등 헌법상 기본권 보장을 위해 개인정보의 안전한 보호와 이용이 중요한 과제로 부각하게 되는 기반을 제공하게 된다.
현행 개인정보 보호법에서는 개인정보를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 그리고 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)라고 정의하고 있다. 지능정보기술은 이러한 개인정보를 광범위하게 수집하는 과정에서 정보주체의 사생활과 밀접한 관련성이 있는 민감정보도 그 대상으로 하고 있다.
민감정보는 그 특성상 개인의 사생활과 연결이 될 뿐만 아니라 민감정보가 오･남용될 경우에는 사회적으로 부당한 편견과 차별을 유발할 수 있는 성격을 보유하고 있다. 그러나 민감정보라고 하여 보호만 하여야할 것은 아니며, 개인의 건강정보를 기반으로 맞춤형 의료 서비스를 제공하는 모바일 헬스케어 등 신산업의 부가가치를 고려하면 적정한 이용을 보장해줄 필요성도 있을 것이다.
위와 같은 관점에서 현행 개인정보 보호법상 민감정보의 보호범위를 유럽연합, 미국, 일본 등 주요 국가의 개인정보 보호법과 비교하여 민감정보의 범위와 활용에 대해 검토해본다. 그러한 비교법적 검토를 바탕으로 현행 개인정보 보호법의 정비방안을 제언함으로써 지능정보사회에서 민감정보 관련 정보주체의 보호 강화와 적정한 이용을 도모하고자 한다.

1 이창민, "캘리포니아 소비자 프라이버시법(CCPA)에 대한 비교법적 연구" 한국정보법학회 24 (24): 77-114, 2020

2 이창범, "캘리포니아 소비자 프라이버시법(CCPA)시행 함의와 전망" 한국인터넷자율정책기구 (38) : 2020

3 정보통신기술진흥센터, "차세대 인증기술로서 각광받는 생체인식(Biometrics)기술 개발 동향" 2014

4 김일환, "지능정보사회에서 헌법의 역할과 기능" 법학연구원 32 (32): 37-92, 2020

5 이한주, "지능정보사회에서 개인정보 법제정비에 관한 비교법적 검토" 법학연구원 30 (30): 1-40, 2018

6 권건보, "지능정보사회 대응을 위한 개인정보보호 법제 정비방안, 개인정보보호위원회 연구보고서" 아주대학교 산학협력단 2017

7 관계부처 합동, "제4차 산업혁명에 대응한 지능정보사회 중장기 종합대책" 2016

8 김일환, "자기결정권의 도출근거에 관한 헌법재판소 결정의 비판적 검토" 미국헌법학회 25 (25): 65-96, 2014

9 손형섭, "일본 개인정보보호법 법제 정책분석에 관한 연구" 개인정보보호위원회 2017

10 김종재, "웨어러블 시장 커질수록 생체인증 뜬다"

11 김일환, "생체인식정보의 보호와 이용에 관한 법제정비방안에 관한 연구" 유럽헌법학회 (30) : 489-529, 2019

12 이대희, "사물인터넷 활용과 개인정보 보호" 한국경영법률학회 25 (25): 365-397, 2015

13 국가인권위원회, "바이오 정보 수집, 이용 실태조사" 2016

14 김일환, "미국의 개인정보보호법제에 관한 연구" 미국헌법학회 (10) : 1999

15 이상경, "미국의 개인정보 보호법제 연구" 개인정보보호위원회 2017

16 신용우, "미국 캘리포니아 주의 개인정보보호 강화" 국회입법조사처 (43) : 동향분석제43호, 국회입법조사처-, 2020

17 한국인터넷진흥원, "미 캘리포니아주 프라이버시 권리법(CPRA)제정 배경 및 주요 내용" 2020

18 이학준, "모바일 보안인증수단으로 본격화되기 시작한 생체인증방식의 현재와 가능성" 디지에코 2016

19 김일환, "개인정보의 보호와 이용법제의 분석을 위한 헌법상 고찰" 한국헌법학회 17 (17): 353-389, 2011

20 전명근, "개인정보와 바이오정보의 안전한 결합 방법에 관한 연구" 한국인터넷진흥원 2010

21 김주영, "개인정보 보호법의 이해" 법문사 2012

22 Dorothy J. Glancy, "The Invention of the Right to Privacy" 21 : 1-, 1979

23 OECD, "Society at a Glance 2019 : OECD Social Indicators" OECD Publishing 2019

24 Daniel J. Solove, "Privacy Law Fundamentals" AN IAPP publication 2017

25 "Olmstead v. United States, 277 U.S. 438 (1928)"

26 홍선기, "GDPR 발효에 따른 주요국의 개인정보보호법제 입법동향분석 및 대응방안 연구" 개인정보보호위원회 2017

27 오태현, "EU 개인정보보호법 발효: 평가 및 대응방안" 대외경제정책연구원 2018

28 개인정보보호위원회, "2020 개인정보 보호법령 및 지침 고시 해설"