논문 상세보기
개인정보 영향평가에 대한 비교법적 검토 - EU 개인정보보호규정과 개인정보보호법 간의 비교를 중심으로 -
A Comparative Study on the Data Protection Impact Assessment in EU and Korean Law
사물인터넷, 빅데이터 등 개인정보를 적극적으 로 활용하는 기술이 발전하면서, 프라이버시 침해 위험도 커지고 있다. 개인정보 보호가 중요해지고 있는 이 시점에서, 정보주체의 동의에 의존하고 있는 현행 개인정보 보호 법제에 대한 비판의 목 소리가 많다. EU의 개인정보보호규정(GDPR)은 개인정보 자기결정권을 강화하면서도, 개인정보 보호를 개인의 책임으로만 남겨두지 않고 여러 구 조적⋅기술적 조치를 도입했다. 그중 개인정보 영 향평가는 사생활 침해 위험을 사전에 완화한다는 점에서 매우 중요한 제도이다. GDPR은 개인정보 영향평가 및 사전 협의 제도를 도입하고 있으며, 이는 우리나라 개인정보보호법에도 시사점을 준다. 우선 민간분야에 의무적인 영향평가를 도입해 야 하는지에 대해 검토할 필요가 있다. 또한 감독 기관이 영향평가 결과를 활용하여 적극적인 자문 역할을 하는 점도 참고할 만하다. 평가 대상을 결 정할 때 위험성을 초래하는 상황을 고려하는 점, 영향평가 의무 위반에 대해 강력히 제재하는 점도 고려해볼 필요가 있다. 현재처럼 평가주체를 특정 기관으로 지정해야 할지에 대해서도 고민이 필요 하다. 앞으로 평가방법론 등 개인정보 영향평가에 대한 많은 연구를 통해, 개인정보를 선제적으로 보호할 수 있는 환경을 조성할 필요가 있다.
As new technologies like Internet of Things or Big Data raise privacy concerns, data protection becomes increasingly important. The current data protection legislation, which only depends on the data subject’s consent, generates much criticism. EU GDPR (General Data Protection Regulation) introduces several organizational and technological tools, since the data subject is unable to bear all responsibilities of data protection. Among these tools, the Data Protection Impact Assessment (DPIA) is an important measure that can mitigate privacy risks at an early stage. Since GDPR requires DPIA and prior consultation, there are implications regarding Korea’s Personal Information Protection Act. It is necessary to consider the needs of mandatory DPIA for private sectors. The supervisory authorities can play a role by providing active consultations to the controllers, which could serve as a good example for Korean law. In addition, it is important to consider the context of privacy risk in DPIA. Imposing administrative fines for violations of rules of DPIA is also worthy of consideration. Also, we have to review the necessity of designating particular agencies that can assess the controller’s level of data protection. Further studies regarding DPIA, including a methodology of DPIA, are needed to foster an environment in which individual privacy can be preemptively protected.
