A comparative study between European laws and Korean laws on purpose limitation and restriction to profiling and automated individual decision making
최근 유럽 의회와 이사회가 합의한 유럽연합 개인정보보호 규칙안은 정보처리기술의 발달에 따른 다양한 개인정보 활용 태양에 대하여 기존의 유럽연합 개인정보보호지침보다 세분화된 규정들 을 두고 있다. 이 중 빅데이터의 활용과 관련하여 특히 주목할 만한 부분은, 목적외 이용과 프로파 일링을 비롯한 자동화된 개인정보처리 및 이에 근 거한 개인에 대한 중요 결정에 대한 취급에 관한 사항들이다. 이에 본고에서는 현행의 유럽연합개 인정보보호지침과 새로운 규칙안, 그리고 우리나 라의 정보통신망법과 개인정보보호법의 관련 규 정을 비교해 보았다.
특히 규칙안과 우리나라법을 비교하여 볼 때, 규칙안은 목적외 이용에 관하여 우리나라 법보다 다소 유연한 규정을 두고 있으며, 프로파일링은 물론 프로파일링에 근거한 개인에 대한 자동화된 개별 결정에 대한 규정을 따로 두고 있다. 또한, 목적외 이용 및 프로파일링, 자동화된 개별 결정 과 관련하여 정보주체의 권익을 보호하기 위한 보호조치를 강조하고 있다. 이와 같은 접근은 정 보처리기술의 발달로 다양한 방식 및 내용의 개 인정보처리가 가능해지고, 이로 인하여 정보주체 의 권익에 미치는 영향이 커지는 현실을 감안할 때 우리 법의 입법론으로서도 참고할 만하다고 생각된다.
In December 2015, European Parliament and the Council informally agreed on a new European Data Protection Regulation. The agreed Regulation contains many rules to deal with new data processing practices that came with the recent developments in information technology. Among these, provisions on purpose limitation and profiling and automated individual decisions have important implication in connection with the use of Big Data. This paper compares these provisions with the corresponding ones in European Data Protection Directive and Korean law.
The most prominent features of the newly agreed Regulation, compared to Korean laws, are as follows:
1) the purpose limitation rules of the Regulation give more room for the data controller to use the data for purposes different from those specified at the time of initial collection;
2) while Korean laws do not have a specific rule that handles profiling and automatic individual decisions based on profiling, the Regulation includes detailed rules on these practices, which goes much further even compared with the Directive.
3) In realtion to the purpose limitation and profiling and the automated individual decision, the Regulation seems to focus on the measures to be taken by the controllers to safeguard data subjects’ rights and interests. This approach makes a contrast to Korean laws which tend to put more emphasis on the legitimate ground of data processing, in particlar data subjects’ consent.