Direction of Legislation and Cases for the Activation of Big Data Utilization - Focusing on Healthcare Big Data -
빅데이터의 활용을 둘러싼 법적 쟁점은 개인정보보호를 우선할 것인지 아니면 빅데이터의 활용을 우선할 것인지의 문제로 귀결된다. 보건의료정보는 그것이 제한 없이 공개될 경우 개인의 신체 적⋅사회적 지위에 미치는 영향이 크다는 점에서 민감한 개인정보에 해당하는바, 개인정보보호의 대상이 된다. 그리하여 기존의 개인정보보호법제는 정보주체의 사전동의(opt-in방식)가 있는 경우를 전제로 정보의 수집⋅분석⋅이용을 규율하고 있었다. 그러나 국민 개개인에 대한 맞춤형 보건의료 서비스를 제공하기 위해서는 대량의 보건 의료정보를 신속하게 사용할 수 있어야 할 것이다. 결국 정보주체의 사전동의를 전제하는 기존의 방식으로는 내재적 한계에 부딪힐 수밖에 없으며 이에 대한 해결책이 강구되었다. 최근 정부가 발간한 개인정보 비식별 조치 가이드라인은 비식별 조치가 완료된 개인정보는 정보주체의 사전동의 없이도 제3자에게 제공이 가능하도록 하는 내용을 규정함으로써 전향적인 태도를 보이고 있다. 나아가 보건의료정보는 비식별 조치를 취함으로써 정보의 가치가 하락하는 경우 역시 발생할 수 있는바, 정보의 유형에 따라 예외적인 opt-out방 식의 도입을 검토할 필요가 있다. 또한, 동 가이 드라인은 법률의 위임 없는 행정규칙 내지는 유권해석에 해당하는바, 사법적 판단이 필요한 경우에 법적 안정성이 부족하다는 한계가 있다. 따라서 가이드라인의 취지와 핵심 내용을 개인정보보호법 또는 법률의 위임을 받은 법규명령에 반영 하기 위한 법 개정이 필요하다.
The legal issue over the utilization of Big Data comes down to the question of whether the personal information protection or the utilization of Big Data should be prioritized. Healthcare information is subject to sensitive personal information and privacy protection in that it has a large impact on an individual’s physical and social status if it is released without strict regulation. Hence, the current Personal Information Protect Act regulates the collection, analysis and use of information on the premise that the information subject has prior consent. However, providing customized health care services for individuals would require quick access to large amounts of healthcare information. In the end, the traditional method of pre-consenting the information subject was forced to meet its inherent limitations and a solution has been studied. The GDPI, recently published by the Government, has taken a forward-looking attitude by stipulating that personal information that has been de-identifiable can be provided to third parties without the prior consent of the information subjects. Moreover, it is necessary to consider the introduction of an exceptional opt-out principle depending on the type of information, which may also occur if the value of information decreases by taking de-identification measures. In addition, there is a limitation that the GDPI lacks legal stability in cases where judicial judgment is required because it might be construed to a non-legislative administrative rule or a mere authentic interpretation. Therefore, it is necessary to revise the Act to reflect the purpose and key contents of the GDPI in the Personal Information Protect Act or the statutory order entrusted by the Act.