현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다.

On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...

1 한국신용정보원, "해외 비식별 조치 동향 및 국내 적용을 위한 시사점 도출" 한국신용정보원 2017

2 김일환, "초연결사회에서 개인정보보호법제 정비방안에 관한 연구" 법학연구원 29 (29): 35-74, 2017

3 박찬일, "종합신용정보집중기관의 역할 및 기능 재조명" 전국은행여합회 (638) : 2007

4 방송통신위원회, "정보통신서비스 제공자를 위한 개인정보보호 법령 해설서"

5 한국신용정보원, "정보집합물 결합 안내서"

6 김일환, "정보자기결정권의 헌법상 근거와 보호에 관한 연구" 한국공법학회 29 (29): 2001

7 황창선, "자본시장법 개정과 신용평가회사 관련 규제의 변화" 서울대학교 금융법센터 (60) : 2013

8 김일환, "자기결정권의 도출근거에 관한 헌법재판소 결정의 비판적 검토" 미국헌법학회 25 (25): 65-96, 2014

9 황인덕, "신용정보의 체계와 정책 이슈" 한국금융정보학회 2 (2): 2013

10 한정미, "신용정보의 이용 및 보호에 관한 법제연구" 한국법제연구원 2007

11 권기준, "신용정보에 관한 연구" 법학연구소 39 (39): 347-377, 2015

12 김영도, "신용정보 집중체계 개편 논의" 한국금융연구원 2014

13 한국정보화진훙원, "새로운 미래를 여는 빅데이터 시대" 한국정보화진흥원 2013

14 심우민, "사물인터넷 개인정보보호의 입법정책" 한국헌법학회 21 (21): 1-36, 2015

15 김지훈, "빅데이터와 개인정보보호" 한국법제연구원 (46) : 115-144, 2014

16 문상일, "빅데이터와 개인정보보호" 한국경제법학회 14 (14): 263-281, 2015

17 함유근, "빅데이터, 경영을 바꾸다" 삼성경제연구소 2012

18 Fred H. Cate, "빅데이터 활용에 있어서의 프라이버시 보호" 법학연구소 8 (8): 21-33, 2015

19 성준호, "빅데이터 환경에서 개인정보보호에 관한 법적 검토" 법학연구소 21 (21): 307-333, 2013

20 최경진, "빅데이터 환경에서 개인정보보호 강화를 위한 법 제도적 대책방안 연구" 개인정보보호위원회 2012

21 차상휘, "빅데이터 산업의 활성화에 따른 개인정보 보호에 관한 연구" 전북대학교 2017

22 김수연, "빅데이터 산업 활성화를 위한 개인정보 보호규제 개선 검토" 한국경제연구원 2015

23 방송통신위원회, "빅데이터 개인정보보호 가이드라인 해설서"

24 강만모, "빅 데이터가 여는 미래의 세상" 한국정보과학회 30 (30): 2012

25 이은우, "비식별화, 개인정보보호법이 맞는 최대의 위기" 2015

26 정상조, "비식별개인정보의 보호 및 활용에 관한 연구" 방송통신위원회 2010

27 전한덕, "보험계약정보 관리체계 개선방안에 관한 법적 연구" 한국외국어대학교 2015

28 오길영, "데이터 상업화 과정으로서의 개인정보 비식별화" 민주주의법학연구회 (58) : 179-207, 2015

29 오길영, "데이터 비식별화 논의의 쟁점과 맹점" 한국공법학회 45 (45): 289-321, 2016

30 관계부처 합동, "금융분야 개인정보 유출 재발방지 종합대책" 2014

31 이인호, "개인정보자기결정권의 한계와 제한에 관한 연구" 한국정보보호진흥원 2001

32 고학수, "개인정보의 비식별화 처리가 개인정보 보호에 미치는 영향에 관한 연구" 개인정보보호위원회 2015

33 행정자치부, "개인정보 비식별화에 대한 적정성 자율평가 안내서"

34 이현승, "개인정보 비식별화기술의 쟁점 연구" 소프트웨어정책연구소 2016

35 이순환, "개인정보 비식별 조치 가이드라인의 법적 문제와 개인정보보호법제 개선방향" 한국공법학회 45 (45): 257-287, 2016

36 국무조정실, "개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-"

37 권건보, "개인정보 보호의 법과 정책" 박영사 2014

38 이창범, "개인정보 보호법" 법문사 2012

39 노태석, "「신용정보의 이용 및 보호에 관한 법률」 개정안에 대한 검토" 은행법학회 7 (7): 99-135, 2014

40 심우민, "“빅데이터 개인정보보호 가이드라인”과 입법과제" 국회입법조사처 2014

41 김세진, "IT융합 활성화를 위한 법제연구" 한국법제연구원 2013

42 고동원, "2015년 개정 ｢신용정보의 이용 및 보호에 관한 법률｣에 관한 법적 검토" 한국금융정보학회 4 (4): 2015