Study on the examination of regulation measures of sensitive data in "Act On Promotion Of Information and Communications Network Utilization and Information Protection, etc."
민감정보는 ‘사생활 침해의 현저성’ 등을 이유로 일반적인 개인정보와 달리 취급하도록 요구된다. 「개인정보 보호법」과 「정보통신망법」은 각각 민감정보에 대하여 규율하고 있으나 그 유형 및 기준이 조금씩 다 르다. 특히 최근 정보통신서비스 제공과정에서 생체정보나 개인영상정보 등이 많이 활용되고 있는바 그러한 정보가 민감정보에 해당되는지, 그렇 다면 일반적인 개인정보와 달리 특별히 규율할 필요성이 있는지에 대하 여 검토할 필요가 있다. 또한 정보통신서비스 제공자와 이용자 간의 관 계를 규율하는 「정보통신망법」은 개인정보에 대한 일반법이라 할 수 있는 「개인정보 보호법」과의 정합성, 해외 입법과의 조화, 정보통신서 비스의 특수성을 반영하여 규율되어야 한다. 따라서 본 고에서는 정보통 신서비스 제공과정에 있어서 민감정보의 활용쟁점을 검토한 후 현행법상 민감정보 규율 내용과 한계를 분석하고 「정보통신망법」상 민감정보 규 율의 개선방안을 제안하였다. 그 주요내용으로 법률의 명확성, 개인정보 보호법과의 정합성 측면에서 “민감정보” 규정방식을 한정적 열거방식으 로 수정할 것을 제안하였다. 또한 민감정보의 유형으로서 생체정보, 건 강·성생활·성적 성향에 대한 정보, 유전정보 등이 추가되어야 하며, 민 감정보 처리의 허용을 무조건 법률에 위임할 것이 아니라 일정한 기준에 부합하는 경우에만 다른 법률에서 처리할 수 있는 방안을 제안하였다. 또한 민감정보의 관리, 보관, 파기 등에 있어서 특칙 필요성을 검토하였다.
Sensitive data is required to be handled differently from general personal data because of the 'seriousness of privacy invasion' and so on. 「The Personal Information Protection Act」 and 「Act On Promotion Of Information and Communications Network Utilization and Information Protection, etc.」 regulate sensitive data, respectively. However, the types and standards of sensitive data defined by each law are slightly different. In particular, biometric data and personal image data are widely used in the process of providing information and communication services. It is necessary to examine whether such data corresponds to sensitive data, and if so, it is necessary to specially regulate unlike general personal data. In addition, 「Act On Promotion Of Information and Communications Network Utilization and Information Protection, etc.」 regulates providers of information and communications services and users. This Act shall be governed by the compatibility with the 「The Personal Information Protection Act」, which is the general law of personal data, harmonization with foreign legislation, and the specificity of information and communication services. Therefore, this study examines the issues of using sensitive data in the process of providing information and communication services, analyzes the current status and limitations of sensitive data discipline, and suggests ways to improve sensitive data discipline in 「Act On Promotion Of Information and Communications Network Utilization and Information Protection, etc.」. In the main content, it is suggested that "sensitive data" should not be defined in an illustrative manner but in a limited enumeration method in terms of clarity of law and compliance with the Personal Information Protection Act. In addition, as a type of sensitive information, biometric information, information on health, sexual life, sexual orientation, and genetic information should be added. Currently, sensitive information processing is permitted without any condition if it is based on the law, but it suggests a way to deal with it only if it meets certain criteria.