중국 개인정보보호법은 EU의 GDPR의 주요한 내용을 적극적으로 수용하여 개인 정보의 정의, 적용 대상 및 범위, 개인정보처리의 기본원칙, 처리의 적법성, 정보주체 의 권리 등은 국제적 기준의 규정과의 정합성을 유지하고 있다. 개인정보보호권은 하나의 새로운 형태의 권리로서 개인정보의 무형의 물질적 재산권익 및 정보주체의 인격적 이익을 보호하는 것은 매우 중요하다고 할 것이다. 오늘날 개인정보의 과제 는 기본적 인권이라는 관점에서 파악되고 있으며, 세계의 많은 나라들이 성문헌법에 개인정보보호권리를 직접 규정하거나 헌법해석의 방법으로 개인정보보호권리를 도출 하고 있다. 그러나 중국학계는 개인정보권을 헌법상 기본권으로서의 지위를 인정하 자는 견해는 극소수이고, 대부분 민사적 권리로 보는 것이 타당하다는 견해가 주류 를 이루고 있다. 헌법상 기본권리는 주관적 공권으로서의 성격과 객관적 가치질서로 서의 성격을 동시에 갖기 때문에 한편으로는 공권력에 대응하고, 다른 한편으로는 국가로 하여금 기본권리를 실현하도록 요구할 수 있다. 중국헌법도 제33조 내지 38 조의 해석을 통해서 기본권으로서의 개인정보보호권을 충분히 도출해 낼 수 있다. 개인정보보호권을 헌법상 기본권으로의 지위를 강화하고, 헌법상 기본권으로서의 개 인정보보호권을 기초로 개인정보체계를 완성할 수 있기를 기대해 본다.

PURPOSES : This study aims to suggest how to utilize "standby data" of shared mobility that does not contain personal information and examine whether "standby data" can derive existing shared mobility operation analysis items similarly. METHODS : An existing Personal Mobility (PM) traffic pattern analysis was performed by identifying the user (User ID) and the user's route in a time frame. In this study, the PM traffic pattern analysis focuses on a vehicle (ID of the standby vehicle) and its standby location. We examined whether the items derived from the User ID-based traffic pattern analysis could also be derived from the standby Vehicle ID-based analysis. RESULTS : The analysis showed that all five items (traffic volume by time slot, peak time, average travel time, average travel distance, and average travel speed) of the existing User ID-based PM travel analysis result could be derived similarly using the standby Vehicle ID-based PM traffic analysis. However, the disadvantage is that the average driving distance is calculated as a straight-line distance. It seems possible to overcome this limitation by correcting the average driving distance through linkage analysis with road network data. However, it is not possible to derive the instantaneous maximum speed or acceleration/deceleration. CONCLUSIONS : In an era in which various means of transportation are being introduced, data sharing is not preferred because of legal issues.Consequently, it is difficult to understand the use of new means of transportation and formulate new policies. To address this, data sharing can be active based on standby data that is not related to personal information.

개인정보의 가치가 높아지면서 개인정보의 보 호에 관심이 높아지고 있다. 개인정보 보호 방법 을 논의하기 위해서는 먼저 개인정보가 법적으로 어떠한 성격을 갖고 있는지에 대하여 논의할 필 요가 있다. 개인정보에 대한 정보주체의 권리를 인격권으로 파악하는 관점은 개인이 자유로운 의 사에 의하여 개인정보를 제공할지 여부를 결정하 여 제공한 것이므로 이에 대한 법적 보호가 이루 어진다고 파악한다. 미국에서는 개인정보를 재산 권의 대상으로 보는 관점이 있는데 이는 개인이 개인정보 제공에 대한 결정을 내리고 개인정보를 제공받는 상대로부터 개인정보의 제공과 사용에 대한 보상을 받아 개인정보 사용에 대한 외부 효 과를 정보주체인 자신에게 이전한다는 것을 내용 으로 한다. 생각건대개인정보가개인에게 재산적 가치를 가질 수 있더라도 명시적 근거 없이 개인 정보의 법적 성격을 재산권으로 해석하기는 어렵 고, 인격권의대상으로 보아개인정보를 인격권적 측면에서 보호하는 것이 보다 타당하다고 할 것 이다. 정보주체는 개인정보처리자로부터 서비스를 제공받기 위해서 일정한 개인정보를 제공하게 된 다. 이렇게 제공된 개인정보가 유출되는 사고가 발생하였을 때 정보주체는 피해가 현실화되는 상 황을 기다리기보다는 유출 사고 발생에 초점을 맞추어피해의구제를꾀하게된다. 우리나라에서 개인정보 유출 사고에 대한 소송은 개인정보가 유출된 정보주체들이 공동으로 소송을 제기하여 개인정보처리자에게 정신적 손해에 대한 위자료 를 청구하는 특징이 있다. 이렇게 제기된 소송은 장기간에 걸쳐 진행되고 개인정보 유출 사고 발 생 자체를 정보주체에 대한 손해 발생으로 보아 정보주체 1인당10만원상당의배상금을 인정하 는 경우가 많다. 정보주체에 대한 보호를 강화하 기 위하여 개인정보보호법에 법정손해배상제도, 징벌적손해배상제도가 도입되었으나 이러한 제도 가 활용된 사례를 찾기 어렵다. 최근 발표된 민법 개정안은 인격권을 명문화하 면서 인격권의 예시로 개인정보를 들고 있다. 개 정안이 통과된다면 우리나라에서 개인정보의 법 적 성격은 입법적으로 인격권이 된다. 다만 인격 권으로서의 개인정보 보호를 위해 개정안에 포함된 침해예방청구권 등을 활용하고자 한다면 청구 의 상대방에 개인정보처리자가 포함되는지 여부 에 대한 추가적인 논의가 필요하다. 개인정보 유 출 사고 예방과 사고 발생 시 침해된 이익 회복을 위한 적당한 조치 등에 있어 개인정보처리자를 청구의 상대방으로 포함할 수 있을 것인지에 대 한 보완이 이루어질 때 개인정보 보호가 더 강화 될 수 있을 것이다.

유럽인권재판소는 개인정보보호와 관련한 판례에서 국가기관이 보유하 는 개인정보가 개인의 사생활 및 가족생활을 존중받을 권리 위반에 해당 하는지 여부를 결정함에 있어서 다음과 같은 기준을 제시한다. 즉, 문제 가 되는 정보가 어떠한 방식으로 수집되고 보유하게 되었는지, 해당 정보 가 녹음되었다면 그러한 녹음이 어떠한 방식으로 사용되고, 결과물이 입 수되었는지와 같은 녹음물의 성질 등 각 사안의 구체적인 정황을 충분히 고려해야 한다는 것이다. ⌜일반정보보호규정⌟(General Data Protecti on Regulation, GDPR)이 유럽연합(EU)에서 통과되어 2018년 5월 25 일자로 발효되었다. 이로써, EU에 있는 사람들과 관련된 정보를 다루거나 수집하는 경우에는 전 세계 어디 있는 기관이라도 정보보호의무를 부담하 며, 사생활보호 기준을 위반하는 경우에 상당한 금액의 과징금이 부과된 다. 이처럼, 세계의 개인정보보호법 발전을 유럽이 주도하고 판결을 통하 여 개인정보보호법 개정을 선도하고 있다. 이러한 시점에서, 유럽인권재판 소의 개인정보보호와 관련한 구체적인 판례에서의 동향을 살펴보는 것은 향후 우리나라 개인정보보호법의 발전 방향을 제시할 수 있다는 점에서 의미 있다고 생각된다. 유럽인권재판소에 개인정보보호와 관련한 여러 회 원국의 사례들이 있음에도 불구하고 우리나라에 많이 소개되지 않았다. 특히 우리나라에서는 개인정보보호법의 개정안이 논의되는 등 개인정보보 호와 관련한 법적 제도 마련에 활발한 논의가 진행 중이다. 그럼에도 불 구하고, 아직 우리나라 법원에 개인정보보호와 관련하여 특히 개인정보의 수집, 저장 및 사용, 공개, 접근 및 삭제와 같이 세부적인 상황에 관한 판 례가 많이 축적되지 않은 실정이다. 이러한 점을 고려한다면 유럽인권재 판소의 개인정보보호와 관련한 여러 회원국의 사례를 통하여 판례 동향을 연구하는 것은 향후 우리나라의 개인정보보호법의 개정 추진과 장차 나오 게 될 법원 판례에 시사점을 줄 수 있을 것이라고 기대한다.

China’s Personal Information Protection Act was passed on August 20, 2021, and came into force on November 1, 2021. Prior to this, personal information has been protected by separate laws such as the Consumer Rights Protection Act and the Network Safety Act. With increasing attention to protection of personal information, comprehensive regulations related to personal information protection were introduced in the Civil Code which came into effect in 2021. Although the work of law making is ongoing, the debates about the legal nature of personal information right is still sharp. Though there have been many regulations stipulates the protection of personal information generally, the personal information right has been treated in a similar way to the right of privacy in practice. Only recently have the meaning of the personal information right and the right of privacy begun to be distinguished. In addition, the disputes related to ‘informed consent’ to collection and use of personal information have been also raised. Concerns about the infringement of personal information have significantly increased with more frequent use of personal information in the era of big data. To address the issued newly raised in the era of big data, the Personal Information Protection Act stipulates the protection of personal information in a comprehensive way, which not only protects personal information at the civil level, but also stipulates the duties of the public authorities to protect the personal information. To be specific, the Personal Information Protection Act more clearly stipulates personal information processing rules and clarifies the rights of the subject of the personal information, the duties of processor of the personal information, and the responsibilities of government ministries in charge of personal information protection. This study examines the legislation evolution and legal disputes related to personal information protection in China and analyzes the newly enacted Personal Information Protection Act of China.

COVID-19로 인해 큰 혼란이 야기되었는데, 중국은 데이터를 이용하여 방역을 하였고 중국내 감염병 발생이 어느 정도 억제되었다. 하지만 데이터화 대응 상황은 양날의 검처럼 중대한 공중위생사건이 발생하여 대응 상황을 완화하는 동시에, 개인정보의 안전에 대한 위험도 내포하고 있다. 최근 2년동안 COVID-19의 방역과정에서 생기는 개인정보 보호 문제에 대응하기 위하여, 중국은 <개인정보보호법>을 제정하여 공포하였다. 중국에서는 과거부터 개인정보 보호입법에 관한 논의가 수차례 있었으나 입법에 이르지 못하다가 최근 COVID-19의 방역과정에서 생기는 개인정보 보호의 문제에 대한 대응 필요성이 대두된 가운데 중국은 20 21년 8월 20일 개인정보보호법을 제정하여 공포되었으며 동법은 같은 해 11월 1일부터 시행되고 있다. 이 연구는 중국에서의 데이터화 대응 상황 중 발생하는 개인정보 보호의 문제점을 검토한다.

With the advent of the 4.0 era of logistics due to the Fourth Industrial Revolution, infrastructures have been built to receive the same services online and offline. Logistics services affected by logistics 4.0 and IT technology are rapidly changing. Logistics services are developing using technologies such as big data, artificial intelligence, blockchain, Internet of things, and augmented reality. The convergence of logistics services and various IT new technologies is accelerating, and the development of data management solution technology has led to the emergence of electronic cargo waybill to replace paper cargo waybill. The electronic waybill was developed to supplement paper waybill that lack economical and safety. However, the electronic waybill that appeared to complement the paper waybill are also in need of complementation in terms of efficiency and reliability. New research is needed to ensure that electronic cargo waybill gain the trust of users and are actively utilized. To solve this problem, electronic cargo waybill that combine blockchain technology are being developed. This study aims to improve the reliability, operational efficiency and safety of blockchain electronic cargo waybill. The purpose of this study is to analyze the blockchain-based electronic cargo waybill system and to derive evaluation indicators for system supplementation.

현대의 압수수색이 과거와 확연히 달라진 점 중 하나는 수사기관이 정보저장매체 등 대규모의 정보가 담긴 물건을 압수수색하여 비교적 수월하게 광범위한 전자정보를 확보할 수 있다는 점이다. 그러나 개인정보 보호 관점에서 현행 전자정보 압수수색 제도는 문제점이 많다. 압수수색 청구의 대상이 되는 범위에 관하여, 수사기관이 프라이버시에 대한 침해를 염두에 두지 않고 범죄혐의와 관련성이 존재할 수 있는 모든 정보저장매체 그 자체를 압수수색의 대상으로 특정하여 압수수색을 실행하는 경향이 있다. 또한 영장 집행과정에서 전자정보의 선별 압수보다는 복제본 또는 저장매체 원본을 외부로 반출하는 경우가 더욱 빈번하여 예외적 상황이 원칙화되고 있다. 선별절차에서는 범죄혐의 관련성 기준이 불명확하고, 담당 수사팀의 관여 하에 선별절차가 진행되어 충분한 선별이 이뤄지지 않고, 피압수자 입장에서도 개인의 내밀한 정보가 수사기관에 제공되는 것에 대하여 적극 저지할 인센티브가 생각보다 강하지 않다. 실무상 압수 목록 교부가 지연되는 경우도 있으며, 수사기관이 범죄혐의와 무관한 개인정보 를 보유하고 있는 것에 관하여 제도상 통제가 부족하다. 범죄사실과 무관한 개인정보를 압수하는 것은, 헌법과 법률에 규정된 적법절차 원리 및 영장주의에 위반됨은 물론이고, 나아가 헌법상 사생활의 비밀과 자유의 침해 및 개인정보법령 등 위반으로 이어질 수 있다. 그리고 개인정보 오남용, 유출 사태로 확대될 가능성도 존재한다는 점에서 문제의 소지가 적지 않다. 이러한 문제를 해결하기 위해, 전자정보 압수 수색 시 키워드를 특정한 영장 청구/발부를 원칙화하고, 선별 단계에서 수사팀과는 별도의 중립적인 선별팀을 구성하고 피압수자의 충분한 검토를 보장하며, 압수수색된 전자정보 상세목록 제시 후 수사팀이 자료탐색을 개시하도록 하며, 수사기관이 법원에 집행계획서, 집행보고서를 제출하도록 하는 개선안을 제시해본다.

최근 빅데이터 기술의 발전에 따라 보건의료 빅데이터를 헬스케어에 접목하여 부가가치를 창출하고자 하는 논의가 활발하다. 그러나 보건의료 정보는 민감한 개인정보로서 개인정보보호 규제를 받기 때문에, 개인정보보호와 보건의료 빅데이터 활성화 방안을 함께 검토할 필요가 있다. 이에 본 연구에서는 먼저 보건의료 빅데이터 관련 주요 개념을 살펴보고, 보건의료정보가 개인 정보보호와 보건의료법제에서 어떻게 규율되고 있는지 관련 법규 및 판결을 고찰하였다. 법원은 정보 활용시 얻을 수 있는 이익과 정보주체의 개인정보 자기결정권을 비교형량하여 정보주체의 동의 없이도 정보처리가 가능하다고 판시하였다. 그러나 개별 기업이 공개정보 등을 처리하려고 할 때마다 법익을 비교형량하여 판단하는 것은 현실적으로 불가능하다. 따라서 본 연구에서는 EU에서 진행된 시민 참 여형 보건의료 빅데이터 조성논의를 참고하여 동의 없이 어느 범위까지 정보처리가 가능한지에 대한 사회적인 합의가 선행되어야 한다고 보았다. 사회적 논의 이후 법제화 과정에서는 보건의료정 보의 세분화, 목적 외 처리가 가능한 정보의 범위 등 정보처리의 법적 근거 마련, 정보주체의 권리를 보호하면서도 악용을 방지하기 위한 보안장치가 필요함을 주장하였다.

과학기술 연구에서 기초 자료 확보의 중요성은 양질의 많은 데이터를 필요로 하는 인공지능 기술의 등장과 더불어 더욱 증대되었다. 신약개발로 대표되는 의료 분야의 연구에서는 생명 데이터가 사용된다. 생명 데이터는 복잡한 처리과정이 필요하여 인공지능 기술활용의 필요성이 높지만, 개인의 민감정보를 담고 있기에 사용에 많은 제약이 따른다. 개인정보 이용의 활성화를 위하여 이른바 ‘데이터 3법’ 개정안이 통과되었다. 개인정보 보호 법의 적용 범위에 가명정보의 개념이 새로이 포함 되었는데, 가명정보는 기존의 개인정보와는 달리 정보주체의 동의 없는 자유로운 처리가 가능하다는 점이 특징적이다. 그러나 법문 규정 상 가명정보의 의미가 명확하지 않아 개인정보 보호법의 해석과 적용에 어려움이 있을 것으로 생각된다. 광의의 개인정보 개념은 가명정보를 포함하지만, 개인정보 보호법에서는 가명정보를 일반적인 개인정보와는 다르게 취급한다. 일반적으로 사용 되는 개인정보, 가명정보, 익명정보의 정의와 비 식별화 기법으로부터 현행 개인정보 보호법 상 의료 가명정보의 개념을 이해하고자 하였다. 비식별화가 진행되면 개인정보는 가명정보 혹은 익명 정보가 되며, 이 과정에서 개인정보의 보호는 강해지지만 정보의 활용도는 감소한다. 도식을 이용 하여 정보주체와 정보활용자의 이해관계가 최적화되는 비식별화 정도를 결정하였다. 가명정보에서는 정보주체와 정보생산자가 일치하지 않으며, 그에 따라 여러 문제들이 발생한다. 가명정보의 유출로부터 개인이 식별될 위험이 있으며, 가명정보의 주체가 정보 제공의 대가를 받지 못하는 것이 문제될 수 있다. 가명정보 보유자가 개인정보를 무분별하게 처리하는 것 역시 정보주체의 의사와는 다르다는 점에서 검토할 가치가 있다. 정보활용 제외 신청 제도 도입, 정보 이용 내역의 통지 의무 부과, 개인정보 보호기금 제도와 가명정보 유출 시의 예외적 면책 사유 도입 등의 방법을 통해 정보주체의 권리를 보호하면서도 연구자의 정보활용을 촉진할 수 있을 것으로 기대된다.

우리나라의 개인정보보호법제는 ｢개인정보보호법｣만을 일반법으로 두고 있을 뿐, 근로자에 대한 특별한 규정은 두고 있지 않다. 그러나 사용 자와 근로자 간의 종속성 때문에 사용자는 근로자의 개인정보처리를 오남용할 우려가 있다. 따라서 ｢개인정보보호법｣ 내 노동법에 관한 특칙을 두는 방안을 생각할 수 있다. 그리고 ｢개인정보보호법｣의 포괄성 때문에 노동관계에 적용될 구체적인 규정도 마련하여야 한다. 이를 위해 비교법 론으로 국제기구와 해외 국가의 개인정보처리 규정을 연구하여 시사점을 도출하고자 한다. OECD의 8원칙은 우리나라를 포함하여 다수 국가의 입법 원칙이 되었다. 최근 발효된 EU의 ｢일반정보보호규칙(GDPR)｣을 노동관계에 대입하 여 해석하면, 동의 방식의 진정성을 확보하는 규정이 유의미하다. ILO는 그 성격에 맞게 근로자의 개인정보에 대한 지침을 구체적으로 발표한바, 법적 구속력은 없지만 입법의 주요한 가이드라인이 된다. 내용의 특징으 로 의료정보에 대한 접근 제한과 면책권을 들 수 있다. 일본은 우리와 비슷하게 근로자에 관한 특칙이 없지만 많은 가이드라 인으로 부족한 면을 채우고 있다. 그 중 대표적인 가이드라인(지침)의 내용을 살펴보면, 개인정보에 대한 하위 개념으로 ‘고용관리정보’를 두고 있다는 점이 특징이다. 독일은 최근 연방정보보호법을 전면 개정하였고 그중 한 조문에 고용 관계에 관한 특칙을 규정하고 있다. 우리가 받아들일 특징으로는 근로자의 개념이 종속성을 가진 근로자 외에 직업훈련생, 재활자, 자원봉사자, 구직자 등으로 확대된다는 것이다. 프랑스는 일반 개인정보보호법 외에 노동법에 근로자 개인정보에 관한 특칙을 두었는데, 개인정보처리의 원칙을 비례성, 즉 사용자와 근로자의 이익이 균형을 이루어야 한다는 원칙을 강조한다. 또한, 개인정보는 업무 와의 밀접한 관련성이 있을 것을 요구한다. 그리고 일반 개인정보처리에 관한 통합 감독기구인 CNIL이 존재한다. 호주는 Capital Territory주법으로 사업장 감시에 관한 특별법이 존재 한다. 사업장에서의 감시를 공지된 감시, 비밀감시, 금지된 감시로 나누어, 일정 부분 감시를 인정하되 근로자들이 예측할 수 있도록 하는 것이 특징이다. 비교하여 우리나라의 근로자 개인정보처리 가이드라인은 ｢개인정보보 호법｣의 해설서와 같은 성격으로 새로운 내용을 창설할 수 없어 근로자에 관한 개인정보처리의 영역을 확장할 수 없는 한계가 있다. 이에 국제기구 및 해외의 법제에서 얻을 수 있는 입법 방향은 아래와 같다. ｢개인정보보호법｣ 내에 노동에 관한 장을 신설하고, 그 안에 근로자의 개념을 확대하여야 하며, 개인정보의 하위 개념으로 ‘노동정보’를 도입하 여야 한다. 그리고 의료정보의 경우 사용자가 업무 외의 범위로는 접근 할 수 없도록 해야 하며, 적법한 근로자 감시도 근로자에게 사전 공지가 되어야 한다. 그리고 부당한 사용자의 개인정보 요구에 근로자가 거짓된 또는 부정확한 정보를 제공하였을 경우 면책권이 주어져야 한다. 마지막으로 현재 분산된 심의ᆞ조정ᆞ감독기관을 통합한 독립된 단일 정보보호 기구를 창설하여야 한다.

4차 산업혁명시대를 맞이하여 데이터는 향후 디지털 경제성장을 견인할 수 있는 주요 수단의 하나로 여겨지고 있다. 종래에는 보호의 대상으로만 인식되었던 개인정보도 이제는 빅데이터의 활용과 맞물려 그로부터 경제적 이익도 도모할 수 있는 중요한 수단으로 주목받고 있다. 개인정보의 활용과 보호를 조화롭게 발전시키려면, 이를 뒷받침할 각종 제도를 정립할 필요성이 증대 되고 있다. 특히, IPv4 시대에서 IPv6의 시대로의 전환이 전 세계적으로 진행되며, 사실상 모든 기기에 고정 IP를 부여할 수 있을 정도의 규모가 됨에 따라 빅 데이터 시대에서 각종 디지털 정보들의 연결고리 가 될 수 있는 IP 주소의 중요성은 고정 IP인지 유동 IP인지 여부와 무관하게 더욱 커지게 되었다. 이 글에서는 디지털 개인정보의 한 종류인 IP 주소에 대해 살펴보고, IP 주소의 개인정보 인정 여부에 대한 국내외 논의와 함께, IP 주소에 적용 되는 현행의 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 검토하였다. 디지털 개인정보의 활용과 보호의 조화로운 발전을 위해 개인정보보호법에 IP 주소가 개인정보임을 명시함으로써 정보의 이용자들이 수집⋅활 용 전에 IP 주소가 개인정보임을 인지하고 이에 맞는 법적 동의 절차를 이행하면, 비식별화된 IP 주소를 법적 테두리 내에서 자유로이 활용할 수 있도록 보장받을 것이다. 이와 함께 정보 주체는 법률에 명시된 제도적, 기술적 안전장치로 인해 본인의 개인정보인 IP 주소가 유출, 남용되는 피해가 발생할지도 모른다는 두려움을 확실히 해소 할 수 있게 될 것이다. 이와 같은 법적 안전장치의 마련을 통해 정보 이용자의 사업 수행 권리와 정보 주체의 개인정 보보호가 조화를 이루며, 디지털 산업의 성장이 가능할 것으로 기대된다.

보건의료 정보의 활용은 빅데이터 시대에 피할 수 없는 흐름이다. 빅데이터를 활용하여 산업발전 및 소비자 후생증진을 도모할 수 있다. 이에 따라 빅데이터 사용에 있어 개인정보 보호의 문제도 대두되었다. 미국은, HIPAA (의료정보보호법)를 제정하여 보건의료 정보의 비식별화를 규정하고 있다. 유럽은 GDPR이 제정되었다. 이에 기반하여 EU의 제 29조 작업반(Working Patty 29)은 2014년 4월 10일 익명처리기법에 대한 의견서(WP opinion on Anonymisation Techniques)를 채 택하였다. 일본은 2003년 개인정보보호법을 제 정하였고 2015년 전면개정하였다. 개정법에서는 개인정보 빅데이터의 활용을 좀 더 용이하게 하기 위해 익명가공정보의 개념을 도입하였다. 우리 나라 개인정보 보호법 제18조 제2항은 개인정보를 목적 외로 이용 또는 제3자 제공할 수 있는 예외사유를 규정하고 있다. 또한 의료법 제19조 제 1항으로 의료인이나 의료기관 종사자에게 업무상 알게 된 다른 사람의 정보를 누설하거나 발표하 지 아니할 의무를 정하고 있고, 같은 조 제2항은 의료기관 인증에 종사하고 있거나 종사하였던 자의 업무상 알게 된 정보 누설 및 부당 사용을 금지한다. 2016년 6월에는 행정자치부 등 기관들의 합동으로 ‘개인정보 비식별화 조치 가이드라 인-비식별 조치 기준 및 지원⋅관리 체계 안내’를 발표하였다.

빅 데이터, 인공지능 등 발전된 정보통신기술 시대를 대비하기 위하여 개인정보의 활용이 절실한 지금, 엄격한 사전 동의 방식을 채택하고 있는 우리의 「개인정보 보호법」이 처리자의 활용 재량을 확대하는 방향으로 개정되어야 한다는 논의가 활발하다. 이런 맥락에서 등장한 것이 「개인정보 보호법」을 개정하여 유럽과 같이 개인정보 처리에 있어서 양립 가능성 개념을 도입하자는 논의이다. 최근의 「개인정보 보호법」의 개정안 중에는 개인정보의 수집·이용(제15조), 제3자 제공(제17조) 및 목적 외 이용·제공(제18조)에 양립가능성 개념을 도입하고 정보주체의 동의 없이도 처리가 가능하도록 예외를 인정하는 법안들이 등장하였다. 그 취지는 개인정보의 보호와 활용의 균형점을 찾는다는 의미에서 의의가 있다고 볼 수 있다. 그러나 양립 가능성을 도입하고 있는 「개인정보 보호법」 개정안들도 법 기술방식과 인정 범위에는 차이가 있다. 또한 ‘정당한 이익’의 개념과 혼재되어 사용되고 있기도 하다. 이는 「개인정보 보호법」과 GDPR에서의 개인정보 ‘처리’(processing)를 규정하는 방식이 서로 다르고, 양립 가능성을 우리의 언어로 법문화 하는 과정에서 기인한 차이라고 보인다. 이러한 차이점을 최대한 수렴하여 아래와 같이 개정 방안을 제안하고자 한다. ‘양립 가능성’은 개인정보의 최초 수집이 있고, 그 수집 목적과 다른 새로운 목적이 생겼을 때 양립 가능한지를 판단하는 제도이다. 따라서 「개인정보 보호법」에서의 처리 단계 중에서 ‘목적 외 이용·제공’을 규정하는 제18조에 개념을 도입하고, 양립 가능성 여부를 판단하는 기준도 같은 조문에서 규정하는 것이 바람직할 것으로 보인다. ‘양립 가능한’의 개념은 개정안에 ‘수집 목적과 관련성이 있다고 합리적으로 인정되는’으로 법문화 되었는데 이는 정당한 이익의 개념과 혼동을 줄 수 있으므로, ‘양립 가능한’으로 기술하되 개념의 유동성은 그 판단 기준을 제공함으로써 완화할 수 있을 것이다. 현행 「개인정보 보호법」에서도 통계작성 등 목적으로 ‘특정 개인을 알아볼 수 없는 형태’로 제공하는 것은 동의없이 목적 외로 이용 또는 제공이 가능하다. 그러나 특정 개인을 알아볼 수 없는 형태에 대하여 규정하고 있는 별도의 조항이 없다. 따라서 ‘특정 개인을 알아볼 수 없는 형태’를 ‘가명처리’ 개념으로 대체하고, 통계작성 등 목적 외 처리가 인정되는 경우라 하더라도 가명처리 등 안전조치를 의무화하는 병행 개정이 이루어져야 할 것이다.

드론이나 웨어러블 기기 등 영상정보처리기기의 발달은 신산업 영역을 창출하였고, 방범·치안·근태관리 등 다양한 영역에서 편리하고 유용한 서비스를 제공 하고 있다. 그러나 정보주체의 원치 않는 개인영상정보 유ᆞ노출 등으로 인해 심각한 사생활 침해의 우려 또한 제기되고 있다. 이러한 우려를 불식시키기 위해 정부는 ｢개인영상정보 보호법 제정법률 (안)｣을 마련하여 입법을 추진하고 있다. 그러나 이 법안은 직접 개인영 상정보를 촬영하는 등 개인영상정보의 처리에 관한 실질적 통제력을 가지는 개인영상정보처리자를 규율대상으로 하므로, 개인영상정보를 매개 만 하는 정보통신서비스 제공자에게 적용하기 어려운 측면이 있다. 그리 하여 본 법안은 정보통신서비스 제공자의 매개유형의 개인영상정보 처리 에 대한 적용제외를 규정하고 있다. 그러나 정보통신망에서 개인영상정 보의 확산가능성과 침해회복의 어려움, 개인영상정보의 유통을 통한 직·간접적인 영리취득 등을 고려할 때, 정보통신서비스 제공자의 개인 영상정보 처리에 관한 특칙의 마련이 필요하다. 즉 개인영상정보의 수 집･이용의 요건과 절차, 적절한 관리를 위한 기준 등을 제시함으로써 이 용자의 신뢰를 확보할 필요가 있다. 따라서 정보통신서비스 제공자의 개인정보 처리에 관하여 규율하고 있는 ｢정보통신망법｣에 개인영상정보를 매개하는 경우 준수해야할 역할과 책무 그리고 개인영상정보 주체의 보호방안 등을 마련할 필요가 있다. 다만 이러한 제도적 장치를 마련함에 있어 정보통신서비스 제공자의 영업의 자유에 과도한 제한이 되지 않도 록 정보주체의 사생활권과 적절히 조화될 수 있는 방안이 마련되어야 한다. 그러한 방안으로 본 연구에서는 첫째, 정보통신서비스 제공자로 하여 금 개인영상정보를 처리하는 이용자가 당해 서비스를 이용할 경우 개인 영상정보주체의 권익을 침해하지 않도록 일정한 지침을 제공하고 준수하 도록 하는 방안을 제안하였다. 이는 정부가 이러한 지침의 내용을 강제 하는 것이 아니라 서비스 내용에 맞게 지침을 작성할 수 있도록 자율을 부여하므로 영업의 자유에 대한 중요한 침해에 해당되지 않으면서 개인 영상정보주체의 프라이버시를 보호할 수 있는 방안이다. 다음으로 정보 통신서비스의 전파성, 신속성 등에 비추어 볼 때 영상정보주체의 원치 않는 개인영상정보의 유출에 대한 신속한 권리구제 방안이 필요하다. 따 라서 개인영상정보에 대하여 정보주체의 삭제 등의 요청이 있는 경우 정보통신서비스 제공자가 일정한 조치를 취하는 것이 가능하도록 절차를 마련하는 방안을 제안하였다.

사물인터넷서비스는 서비스의 최종적인 제공을 위해 기기에서부터 정 보의 송수신의 기본이 되는 통신망, 서비스플랫폼까지 다양한 서비스단 계의 결합으로 구성되며 각 단계에서는 보안취약이나 관리부실 등 개별 적인 개인정보침해의 위협을 수반한다. 사물인터넷 서비스에서 개인정보 침해로 손해가 발생한 경우 기존의 정보통신서비스제공자인 사물인터넷 서비스 제공 사업자에게 사물인터넷이용계약 불이행에 따른 손해배상 및 불법행위책임으로서 손해배상책임을 부과하는 외에 개별 서비스제공단계 에서의 침해책임에 대해서는 계약을 기초로 하지 않는 경우가 일반적이 고 이에 따라 일반불법행위 책임이나 경우에 따라서는 제조물책임과 같 은 특수책임을 고려할 수 있다. 현재는 실제 서비스이용계약의 상대방인 기존의 정보통신망서비스 제공자가 서비스사업을 영위하는 경우가 대부 분이고 서비스제공에 있어서 이동통신망 서비스 제공에 따른 정보보호의 무(기존의 개인정보침해 상황과 동일) 범위 내에서만 책임을 부담하고 그 외의 부분에 대해서는 면책된다는 면책조항만을 이용자에게 제시하고 있다. 이에 사물인터넷이 하나의 서비스 제공을 위해 다수의 사업자가 결합되어 있다는 특이점에 집중해 개인정보 침해에 따른 손해 발생 시 이용자가 그 원인에 따라 용이하게 책임 주체인 사업자를 특정하고 손해 배상을 청구할 수 있을지에 대해 살펴보았다. 직접 사업자로서 계약상대 방이 되고 있는 통신망사업자에게는 기존의 정보통신관련법 및 민법상 계약책임·불법행위책임, 또는 관계 사업자들에 대해서는 일반 불법행위 책임으로서의 손해배상청구가 가능하다는 이론적 접근은 가능하지만 실 제로 이용자가 발생한 손해에 대해 효율적 구제를 받을 수 있을지 그 범 위는 어디까지인지 구체적으로 법정하기 어려운 면을 검토하였다. 사물 인터넷 서비스 제공자 지위를 인정하고 포괄적인 책임범위를 마련해야할 필요성, 관계사업자를 수범자로서 확대하는 것을 고려할 필요성에 대해 서도 검토하였다. 하지만 산업발전 초기에 이용자 보호측면에서의 책임 부담 강화가 역으로 서비스제공에 미치는 영향을 고려하지 않을 수 없고 관련해 산업정책적 측면에서는 서비스제공 상 책임부담 완화가 꾸준히 논의되어 온 만큼 정보보호와 산업발전을 함께 도모할 수 있도록 할 필 요성 및 그 예로 책임보험제도를 추가적인 검토사항으로 간략히 언급하 였다.

정보통신기술 고도화에 따라 스마트폰, 웨어러 블 기기, IoT 등 각종 정보통신기기를 통한 개인 정보의 처리가 일상적으로 이루어짐에 따라 대용 량의 데이터를 신속하고 다양하게 분석해서 유의 미한 통찰을 도출하는 빅데이터의 활용에 대한 사 회적 관심이 증가하고 있다. 특히 빅데이터는 이 용자의 행태정보를 기반으로 개인의 취향 등 이용 자가 직접적으로 제공하지 않은 정보까지 분석함 으로써 개인화된 맞춤형 서비스의 제공에 매우 유 용할 것으로 기대되고 있다. 그러나 이와 같은 행 태정보 기반의 빅데이터 처리는 수집 사실을 이용 자가 명확히 인지하기 어렵고, 분석 결과가 이용 자가 원치않는 민감한 정보일 수 있으며, 보다 유 의미한 결과 도출을 위해 외부의 정보와 결합하는 경우 식별 가능성이 높아지는 등 이용자의 프라이 버시 침해에 대한 우려 또한 높은 실정이다. 그러나 현행 개인정보보호 관련 법률은 빅데이 터의 주요 분석 대상인 행태정보와 같은 비정형 데이터의 처리가 아닌, 성명, 주민번호, 연락처 등 의 인적사항 중심의 정형 데이터에 대한 보호조치 중심으로 규정되어 있어 빅데이터를 위한 규제로 는 적합하지 않은 부분이 많다. 특히 행태정보의 활용이 활발한 온라인 광고 플랫폼에는 인적사항 에 대한 정보는 적재되지 않아 더욱 적합하지 않 다. 이와 관하여 방통위는 온라인 광고 가이드를 배포하였으나 기존 개인정보보호 법제가 수정되 지 않는 이상 근본적인 한계가 있다. 이에 동 논문에서는 빅데이터 사회에서의 개 인정보의 보호 및 활용에 대한 조화로운 균형을 위해 세 가지의 법제 개선 방안을 제시하였다. 첫 째, 개인정보의 법적 개념 및 정의를 수정해야 한 다. 개인 식별이 분명한 인적 사항 중심의 개인정 보와 개인 식별 가능성이 거의 없거나 낮은 행태 정보로 구분하여 규정하고 각각 다른 규제 체계 를 적용해야 한다. 둘째, 행태정보를 기반으로 빅 데이터를 분석한 경우 민감한 추론의 도출을 제 한해야 한다. 셋째, 행태정보 기반의 빅데이터 분 석 및 서비스 활용에 대한 이용자의 사후 통제권 을 보장해야 한다. 고도화된 정보통신사회에서 빅데이터의 분석은 사회적 효용을 위해서 필수불 가결하지만 현행 개인정보보호 법규 체계에는 보호와 활용 어느 한 쪽도 효과적으로 대응하지 못 하고 있으므로 개인정보 보호에 대한 인식 전환 이 필요하다.

우리는 일상 생활에서 각종 웹사이트를 통해 공개된 수많은 개인정보 처리방침을 접하지만 실제 그 내용을 살펴보고, 이해하는 경우는 많지 않다. 우리법은 개인정보를 처리하는 자로 하여금 이러한 개인정보 처리 방침을 반드시 공개하도록 하고 있으며, 그 안에 일정한 내용을 담도록 명하고 있다. 하지만 정작 이러한 개인정보 처리방침이 법적으로는 어떠 한 성격을 가지는 것인지, 정보주체의 개인정보 보호를 위해서는 어떻게 활용되는 것이 바람직한 것인지, 그리고 개인정보 처리방침을 통제하는 방안이 무엇인지에 대해서는 충분한 논의가 이루어지지 않고 있다. 특히 공정거래위원회는 개인정보 처리방침을 약관으로 보고 이에 대해 약관규제법에 따른 불공정약관심사를 진행하고 있는데, 개인정보 처리방 침이 개인정보를 처리하는 자와 개인정보 주체간에 계약으로서의 성격을 갖는 것인지 생각해 볼 필요가 있다. 계약이 성립하기 위해서는 청약과 승낙이라는 의사표시가 서로 교차해야 하는데, 개인정보 처리방침의 공 개와 관련하여 이러한 청약과 승낙의 의사표시가 존재한다고 보기 어렵 다. 또한 개인정보 처리방침을 계약을 보아 약관통제를 해야 할 실익도 크지 않다고 생각된다. 개인정보 처리방침은 법령이 수범자에게 요구하는 표시 의무의 이행에 따 라 공개되는 정보로서 사법 영역에서 그 성격을 규명하는 것은 부적절하다 고 할 것이다. 오히려 공법의 관점에서 규제의 결과인 이러한 표시를 어떻 게 활용하고, 통제할 것인지에 대한 논의와 고민이 필요하다고 본다. 구체적으로 개인정보 처리방침이 개인정보 보호와 정보주체의 선택권 보장이라는 본래의 취지를 달성하기 위해서는 내용이나 공개 방식에 있 어 어느 정도 자율성을 보장하여 개인정보처리자 간에 경쟁과 혁신을 유 도할 필요가 있다. 다만, 표시된 내용과 달리 개인정보가 처리되는 경우 에 대해서는 전문규제기관이 이를 직접 규제할 수 있는 방안이 마련되는 것이 바람직하다. 개인정보 처리방침 공개 제도는 사회적으로 어느 정도 정착이 되었다고 할 것이다. 이제부터는 개인정보 보호를 위해 이러한 제도를 어떻게 활용해 나갈 것인지 고민해야 할 시점이라고 생각한다.