중국 개인정보보호법은 EU의 GDPR의 주요한 내용을 적극적으로 수용하여 개인 정보의 정의, 적용 대상 및 범위, 개인정보처리의 기본원칙, 처리의 적법성, 정보주체 의 권리 등은 국제적 기준의 규정과의 정합성을 유지하고 있다. 개인정보보호권은 하나의 새로운 형태의 권리로서 개인정보의 무형의 물질적 재산권익 및 정보주체의 인격적 이익을 보호하는 것은 매우 중요하다고 할 것이다. 오늘날 개인정보의 과제 는 기본적 인권이라는 관점에서 파악되고 있으며, 세계의 많은 나라들이 성문헌법에 개인정보보호권리를 직접 규정하거나 헌법해석의 방법으로 개인정보보호권리를 도출 하고 있다. 그러나 중국학계는 개인정보권을 헌법상 기본권으로서의 지위를 인정하 자는 견해는 극소수이고, 대부분 민사적 권리로 보는 것이 타당하다는 견해가 주류 를 이루고 있다. 헌법상 기본권리는 주관적 공권으로서의 성격과 객관적 가치질서로 서의 성격을 동시에 갖기 때문에 한편으로는 공권력에 대응하고, 다른 한편으로는 국가로 하여금 기본권리를 실현하도록 요구할 수 있다. 중국헌법도 제33조 내지 38 조의 해석을 통해서 기본권으로서의 개인정보보호권을 충분히 도출해 낼 수 있다. 개인정보보호권을 헌법상 기본권으로의 지위를 강화하고, 헌법상 기본권으로서의 개 인정보보호권을 기초로 개인정보체계를 완성할 수 있기를 기대해 본다.
유럽인권재판소는 개인정보보호와 관련한 판례에서 국가기관이 보유하 는 개인정보가 개인의 사생활 및 가족생활을 존중받을 권리 위반에 해당 하는지 여부를 결정함에 있어서 다음과 같은 기준을 제시한다. 즉, 문제 가 되는 정보가 어떠한 방식으로 수집되고 보유하게 되었는지, 해당 정보 가 녹음되었다면 그러한 녹음이 어떠한 방식으로 사용되고, 결과물이 입 수되었는지와 같은 녹음물의 성질 등 각 사안의 구체적인 정황을 충분히 고려해야 한다는 것이다. ⌜일반정보보호규정⌟(General Data Protecti on Regulation, GDPR)이 유럽연합(EU)에서 통과되어 2018년 5월 25 일자로 발효되었다. 이로써, EU에 있는 사람들과 관련된 정보를 다루거나 수집하는 경우에는 전 세계 어디 있는 기관이라도 정보보호의무를 부담하 며, 사생활보호 기준을 위반하는 경우에 상당한 금액의 과징금이 부과된 다. 이처럼, 세계의 개인정보보호법 발전을 유럽이 주도하고 판결을 통하 여 개인정보보호법 개정을 선도하고 있다. 이러한 시점에서, 유럽인권재판 소의 개인정보보호와 관련한 구체적인 판례에서의 동향을 살펴보는 것은 향후 우리나라 개인정보보호법의 발전 방향을 제시할 수 있다는 점에서 의미 있다고 생각된다. 유럽인권재판소에 개인정보보호와 관련한 여러 회 원국의 사례들이 있음에도 불구하고 우리나라에 많이 소개되지 않았다. 특히 우리나라에서는 개인정보보호법의 개정안이 논의되는 등 개인정보보 호와 관련한 법적 제도 마련에 활발한 논의가 진행 중이다. 그럼에도 불 구하고, 아직 우리나라 법원에 개인정보보호와 관련하여 특히 개인정보의 수집, 저장 및 사용, 공개, 접근 및 삭제와 같이 세부적인 상황에 관한 판 례가 많이 축적되지 않은 실정이다. 이러한 점을 고려한다면 유럽인권재 판소의 개인정보보호와 관련한 여러 회원국의 사례를 통하여 판례 동향을 연구하는 것은 향후 우리나라의 개인정보보호법의 개정 추진과 장차 나오 게 될 법원 판례에 시사점을 줄 수 있을 것이라고 기대한다.
China’s Personal Information Protection Act was passed on August 20, 2021, and came into force on November 1, 2021. Prior to this, personal information has been protected by separate laws such as the Consumer Rights Protection Act and the Network Safety Act. With increasing attention to protection of personal information, comprehensive regulations related to personal information protection were introduced in the Civil Code which came into effect in 2021. Although the work of law making is ongoing, the debates about the legal nature of personal information right is still sharp. Though there have been many regulations stipulates the protection of personal information generally, the personal information right has been treated in a similar way to the right of privacy in practice. Only recently have the meaning of the personal information right and the right of privacy begun to be distinguished. In addition, the disputes related to ‘informed consent’ to collection and use of personal information have been also raised. Concerns about the infringement of personal information have significantly increased with more frequent use of personal information in the era of big data. To address the issued newly raised in the era of big data, the Personal Information Protection Act stipulates the protection of personal information in a comprehensive way, which not only protects personal information at the civil level, but also stipulates the duties of the public authorities to protect the personal information. To be specific, the Personal Information Protection Act more clearly stipulates personal information processing rules and clarifies the rights of the subject of the personal information, the duties of processor of the personal information, and the responsibilities of government ministries in charge of personal information protection. This study examines the legislation evolution and legal disputes related to personal information protection in China and analyzes the newly enacted Personal Information Protection Act of China.
COVID-19로 인해 큰 혼란이 야기되었는데, 중국은 데이터를 이용하여 방역을 하였고 중국내 감염병 발생이 어느 정도 억제되었다. 하지만 데이터화 대응 상황은 양날의 검처럼 중대한 공중위생사건이 발생하여 대응 상황을 완화하는 동시에, 개인정보의 안전에 대한 위험도 내포하고 있다. 최근 2년동안 COVID-19의 방역과정에서 생기는 개인정보 보호 문제에 대응하기 위하여, 중국은 <개인정보보호법>을 제정하여 공포하였다. 중국에서는 과거부터 개인정보 보호입법에 관한 논의가 수차례 있었으나 입법에 이르지 못하다가 최근 COVID-19의 방역과정에서 생기는 개인정보 보호의 문제에 대한 대응 필요성이 대두된 가운데 중국은 20 21년 8월 20일 개인정보보호법을 제정하여 공포되었으며 동법은 같은 해 11월 1일부터 시행되고 있다. 이 연구는 중국에서의 데이터화 대응 상황 중 발생하는 개인정보 보호의 문제점을 검토한다.
현대의 압수수색이 과거와 확연히 달라진 점 중 하나는 수사기관이 정보저장매체 등 대규모의 정보가 담긴 물건을 압수수색하여 비교적 수월하게 광범위한 전자정보를 확보할 수 있다는 점이다. 그러나 개인정보 보호 관점에서 현행 전자정보 압수수색 제도는 문제점이 많다. 압수수색 청구의 대상이 되는 범위에 관하여, 수사기관이 프라이버시에 대한 침해를 염두에 두지 않고 범죄혐의와 관련성이 존재할 수 있는 모든 정보저장매체 그 자체를 압수수색의 대상으로 특정하여 압수수색을 실행하는 경향이 있다. 또한 영장 집행과정에서 전자정보의 선별 압수보다는 복제본 또는 저장매체 원본을 외부로 반출하는 경우가 더욱 빈번하여 예외적 상황이 원칙화되고 있다. 선별절차에서는 범죄혐의 관련성 기준이 불명확하고, 담당 수사팀의 관여 하에 선별절차가 진행되어 충분한 선별이 이뤄지지 않고, 피압수자 입장에서도 개인의 내밀한 정보가 수사기관에 제공되는 것에 대하여 적극 저지할 인센티브가 생각보다 강하지 않다. 실무상 압수 목록 교부가 지연되는 경우도 있으며, 수사기관이 범죄혐의와 무관한 개인정보 를 보유하고 있는 것에 관하여 제도상 통제가 부족하다. 범죄사실과 무관한 개인정보를 압수하는 것은, 헌법과 법률에 규정된 적법절차 원리 및 영장주의에 위반됨은 물론이고, 나아가 헌법상 사생활의 비밀과 자유의 침해 및 개인정보법령 등 위반으로 이어질 수 있다. 그리고 개인정보 오남용, 유출 사태로 확대될 가능성도 존재한다는 점에서 문제의 소지가 적지 않다. 이러한 문제를 해결하기 위해, 전자정보 압수 수색 시 키워드를 특정한 영장 청구/발부를 원칙화하고, 선별 단계에서 수사팀과는 별도의 중립적인 선별팀을 구성하고 피압수자의 충분한 검토를 보장하며, 압수수색된 전자정보 상세목록 제시 후 수사팀이 자료탐색을 개시하도록 하며, 수사기관이 법원에 집행계획서, 집행보고서를 제출하도록 하는 개선안을 제시해본다.
최근 빅데이터 기술의 발전에 따라 보건의료 빅데이터를 헬스케어에 접목하여 부가가치를 창출하고자 하는 논의가 활발하다. 그러나 보건의료 정보는 민감한 개인정보로서 개인정보보호 규제를 받기 때문에, 개인정보보호와 보건의료 빅데이터 활성화 방안을 함께 검토할 필요가 있다. 이에 본 연구에서는 먼저 보건의료 빅데이터 관련 주요 개념을 살펴보고, 보건의료정보가 개인 정보보호와 보건의료법제에서 어떻게 규율되고 있는지 관련 법규 및 판결을 고찰하였다. 법원은 정보 활용시 얻을 수 있는 이익과 정보주체의 개인정보 자기결정권을 비교형량하여 정보주체의 동의 없이도 정보처리가 가능하다고 판시하였다. 그러나 개별 기업이 공개정보 등을 처리하려고 할 때마다 법익을 비교형량하여 판단하는 것은 현실적으로 불가능하다. 따라서 본 연구에서는 EU에서 진행된 시민 참 여형 보건의료 빅데이터 조성논의를 참고하여 동의 없이 어느 범위까지 정보처리가 가능한지에 대한 사회적인 합의가 선행되어야 한다고 보았다. 사회적 논의 이후 법제화 과정에서는 보건의료정 보의 세분화, 목적 외 처리가 가능한 정보의 범위 등 정보처리의 법적 근거 마련, 정보주체의 권리를 보호하면서도 악용을 방지하기 위한 보안장치가 필요함을 주장하였다.
우리나라의 개인정보보호법제는 「개인정보보호법」만을 일반법으로 두고 있을 뿐, 근로자에 대한 특별한 규정은 두고 있지 않다. 그러나 사용 자와 근로자 간의 종속성 때문에 사용자는 근로자의 개인정보처리를 오남용할 우려가 있다. 따라서 「개인정보보호법」 내 노동법에 관한 특칙을 두는 방안을 생각할 수 있다. 그리고 「개인정보보호법」의 포괄성 때문에 노동관계에 적용될 구체적인 규정도 마련하여야 한다. 이를 위해 비교법 론으로 국제기구와 해외 국가의 개인정보처리 규정을 연구하여 시사점을 도출하고자 한다.
OECD의 8원칙은 우리나라를 포함하여 다수 국가의 입법 원칙이 되었다. 최근 발효된 EU의 「일반정보보호규칙(GDPR)」을 노동관계에 대입하 여 해석하면, 동의 방식의 진정성을 확보하는 규정이 유의미하다. ILO는 그 성격에 맞게 근로자의 개인정보에 대한 지침을 구체적으로 발표한바, 법적 구속력은 없지만 입법의 주요한 가이드라인이 된다. 내용의 특징으 로 의료정보에 대한 접근 제한과 면책권을 들 수 있다.
일본은 우리와 비슷하게 근로자에 관한 특칙이 없지만 많은 가이드라 인으로 부족한 면을 채우고 있다. 그 중 대표적인 가이드라인(지침)의 내용을 살펴보면, 개인정보에 대한 하위 개념으로 ‘고용관리정보’를 두고 있다는 점이 특징이다.
독일은 최근 연방정보보호법을 전면 개정하였고 그중 한 조문에 고용 관계에 관한 특칙을 규정하고 있다. 우리가 받아들일 특징으로는 근로자의 개념이 종속성을 가진 근로자 외에 직업훈련생, 재활자, 자원봉사자, 구직자 등으로 확대된다는 것이다.
프랑스는 일반 개인정보보호법 외에 노동법에 근로자 개인정보에 관한 특칙을 두었는데, 개인정보처리의 원칙을 비례성, 즉 사용자와 근로자의 이익이 균형을 이루어야 한다는 원칙을 강조한다. 또한, 개인정보는 업무 와의 밀접한 관련성이 있을 것을 요구한다. 그리고 일반 개인정보처리에 관한 통합 감독기구인 CNIL이 존재한다.
호주는 Capital Territory주법으로 사업장 감시에 관한 특별법이 존재 한다. 사업장에서의 감시를 공지된 감시, 비밀감시, 금지된 감시로 나누어, 일정 부분 감시를 인정하되 근로자들이 예측할 수 있도록 하는 것이 특징이다.
비교하여 우리나라의 근로자 개인정보처리 가이드라인은 「개인정보보 호법」의 해설서와 같은 성격으로 새로운 내용을 창설할 수 없어 근로자에 관한 개인정보처리의 영역을 확장할 수 없는 한계가 있다. 이에 국제기구 및 해외의 법제에서 얻을 수 있는 입법 방향은 아래와 같다.
「개인정보보호법」 내에 노동에 관한 장을 신설하고, 그 안에 근로자의 개념을 확대하여야 하며, 개인정보의 하위 개념으로 ‘노동정보’를 도입하 여야 한다. 그리고 의료정보의 경우 사용자가 업무 외의 범위로는 접근 할 수 없도록 해야 하며, 적법한 근로자 감시도 근로자에게 사전 공지가 되어야 한다. 그리고 부당한 사용자의 개인정보 요구에 근로자가 거짓된 또는 부정확한 정보를 제공하였을 경우 면책권이 주어져야 한다. 마지막으로 현재 분산된 심의ᆞ조정ᆞ감독기관을 통합한 독립된 단일 정보보호 기구를 창설하여야 한다.
4차 산업혁명시대를 맞이하여 데이터는 향후 디지털 경제성장을 견인할 수 있는 주요 수단의 하나로 여겨지고 있다. 종래에는 보호의 대상으로만 인식되었던 개인정보도 이제는 빅데이터의 활용과 맞물려 그로부터 경제적 이익도 도모할 수 있는 중요한 수단으로 주목받고 있다. 개인정보의 활용과 보호를 조화롭게 발전시키려면, 이를 뒷받침할 각종 제도를 정립할 필요성이 증대 되고 있다.
특히, IPv4 시대에서 IPv6의 시대로의 전환이 전 세계적으로 진행되며, 사실상 모든 기기에 고정 IP를 부여할 수 있을 정도의 규모가 됨에 따라 빅 데이터 시대에서 각종 디지털 정보들의 연결고리 가 될 수 있는 IP 주소의 중요성은 고정 IP인지 유동 IP인지 여부와 무관하게 더욱 커지게 되었다.
이 글에서는 디지털 개인정보의 한 종류인 IP 주소에 대해 살펴보고, IP 주소의 개인정보 인정 여부에 대한 국내외 논의와 함께, IP 주소에 적용 되는 현행의 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 검토하였다.
디지털 개인정보의 활용과 보호의 조화로운 발전을 위해 개인정보보호법에 IP 주소가 개인정보임을 명시함으로써 정보의 이용자들이 수집⋅활 용 전에 IP 주소가 개인정보임을 인지하고 이에 맞는 법적 동의 절차를 이행하면, 비식별화된 IP 주소를 법적 테두리 내에서 자유로이 활용할 수 있도록 보장받을 것이다. 이와 함께 정보 주체는 법률에 명시된 제도적, 기술적 안전장치로 인해 본인의 개인정보인 IP 주소가 유출, 남용되는 피해가 발생할지도 모른다는 두려움을 확실히 해소 할 수 있게 될 것이다.
이와 같은 법적 안전장치의 마련을 통해 정보 이용자의 사업 수행 권리와 정보 주체의 개인정 보보호가 조화를 이루며, 디지털 산업의 성장이 가능할 것으로 기대된다.
보건의료 정보의 활용은 빅데이터 시대에 피할 수 없는 흐름이다. 빅데이터를 활용하여 산업발전 및 소비자 후생증진을 도모할 수 있다. 이에 따라 빅데이터 사용에 있어 개인정보 보호의 문제도 대두되었다.
미국은, HIPAA (의료정보보호법)를 제정하여 보건의료 정보의 비식별화를 규정하고 있다. 유럽은 GDPR이 제정되었다. 이에 기반하여 EU의 제 29조 작업반(Working Patty 29)은 2014년 4월 10일 익명처리기법에 대한 의견서(WP opinion on Anonymisation Techniques)를 채 택하였다. 일본은 2003년 개인정보보호법을 제 정하였고 2015년 전면개정하였다. 개정법에서는 개인정보 빅데이터의 활용을 좀 더 용이하게 하기 위해 익명가공정보의 개념을 도입하였다. 우리 나라 개인정보 보호법 제18조 제2항은 개인정보를 목적 외로 이용 또는 제3자 제공할 수 있는 예외사유를 규정하고 있다. 또한 의료법 제19조 제 1항으로 의료인이나 의료기관 종사자에게 업무상 알게 된 다른 사람의 정보를 누설하거나 발표하 지 아니할 의무를 정하고 있고, 같은 조 제2항은 의료기관 인증에 종사하고 있거나 종사하였던 자의 업무상 알게 된 정보 누설 및 부당 사용을 금지한다. 2016년 6월에는 행정자치부 등 기관들의 합동으로 ‘개인정보 비식별화 조치 가이드라 인-비식별 조치 기준 및 지원⋅관리 체계 안내’를 발표하였다.
빅 데이터, 인공지능 등 발전된 정보통신기술 시대를 대비하기 위하여 개인정보의 활용이 절실한 지금, 엄격한 사전 동의 방식을 채택하고 있는 우리의 「개인정보 보호법」이 처리자의 활용 재량을 확대하는 방향으로 개정되어야 한다는 논의가 활발하다.
이런 맥락에서 등장한 것이 「개인정보 보호법」을 개정하여 유럽과 같이 개인정보 처리에 있어서 양립 가능성 개념을 도입하자는 논의이다. 최근의 「개인정보 보호법」의 개정안 중에는 개인정보의 수집·이용(제15조), 제3자 제공(제17조) 및 목적 외 이용·제공(제18조)에 양립가능성 개념을 도입하고 정보주체의 동의 없이도 처리가 가능하도록 예외를 인정하는 법안들이 등장하였다. 그 취지는 개인정보의 보호와 활용의 균형점을 찾는다는 의미에서 의의가 있다고 볼 수 있다.
그러나 양립 가능성을 도입하고 있는 「개인정보 보호법」 개정안들도 법 기술방식과 인정 범위에는 차이가 있다. 또한 ‘정당한 이익’의 개념과 혼재되어 사용되고 있기도 하다. 이는 「개인정보 보호법」과 GDPR에서의 개인정보 ‘처리’(processing)를 규정하는 방식이 서로 다르고, 양립 가능성을 우리의 언어로 법문화 하는 과정에서 기인한 차이라고 보인다. 이러한 차이점을 최대한 수렴하여 아래와 같이 개정 방안을 제안하고자 한다.
‘양립 가능성’은 개인정보의 최초 수집이 있고, 그 수집 목적과 다른 새로운 목적이 생겼을 때 양립 가능한지를 판단하는 제도이다. 따라서 「개인정보 보호법」에서의 처리 단계 중에서 ‘목적 외 이용·제공’을 규정하는 제18조에 개념을 도입하고, 양립 가능성 여부를 판단하는 기준도 같은 조문에서 규정하는 것이 바람직할 것으로 보인다. ‘양립 가능한’의 개념은 개정안에 ‘수집 목적과 관련성이 있다고 합리적으로 인정되는’으로 법문화 되었는데 이는 정당한 이익의 개념과 혼동을 줄 수 있으므로, ‘양립 가능한’으로 기술하되 개념의 유동성은 그 판단 기준을 제공함으로써 완화할 수 있을 것이다. 현행 「개인정보 보호법」에서도 통계작성 등 목적으로 ‘특정 개인을 알아볼 수 없는 형태’로 제공하는 것은 동의없이 목적 외로 이용 또는 제공이 가능하다. 그러나 특정 개인을 알아볼 수 없는 형태에 대하여 규정하고 있는 별도의 조항이 없다. 따라서 ‘특정 개인을 알아볼 수 없는 형태’를 ‘가명처리’ 개념으로 대체하고, 통계작성 등 목적 외 처리가 인정되는 경우라 하더라도 가명처리 등 안전조치를 의무화하는 병행 개정이 이루어져야 할 것이다.
정보통신기술 고도화에 따라 스마트폰, 웨어러 블 기기, IoT 등 각종 정보통신기기를 통한 개인 정보의 처리가 일상적으로 이루어짐에 따라 대용 량의 데이터를 신속하고 다양하게 분석해서 유의 미한 통찰을 도출하는 빅데이터의 활용에 대한 사 회적 관심이 증가하고 있다. 특히 빅데이터는 이 용자의 행태정보를 기반으로 개인의 취향 등 이용 자가 직접적으로 제공하지 않은 정보까지 분석함 으로써 개인화된 맞춤형 서비스의 제공에 매우 유 용할 것으로 기대되고 있다. 그러나 이와 같은 행 태정보 기반의 빅데이터 처리는 수집 사실을 이용 자가 명확히 인지하기 어렵고, 분석 결과가 이용 자가 원치않는 민감한 정보일 수 있으며, 보다 유 의미한 결과 도출을 위해 외부의 정보와 결합하는 경우 식별 가능성이 높아지는 등 이용자의 프라이 버시 침해에 대한 우려 또한 높은 실정이다.
그러나 현행 개인정보보호 관련 법률은 빅데이 터의 주요 분석 대상인 행태정보와 같은 비정형 데이터의 처리가 아닌, 성명, 주민번호, 연락처 등 의 인적사항 중심의 정형 데이터에 대한 보호조치 중심으로 규정되어 있어 빅데이터를 위한 규제로 는 적합하지 않은 부분이 많다. 특히 행태정보의 활용이 활발한 온라인 광고 플랫폼에는 인적사항 에 대한 정보는 적재되지 않아 더욱 적합하지 않 다. 이와 관하여 방통위는 온라인 광고 가이드를 배포하였으나 기존 개인정보보호 법제가 수정되 지 않는 이상 근본적인 한계가 있다.
이에 동 논문에서는 빅데이터 사회에서의 개 인정보의 보호 및 활용에 대한 조화로운 균형을 위해 세 가지의 법제 개선 방안을 제시하였다. 첫 째, 개인정보의 법적 개념 및 정의를 수정해야 한 다. 개인 식별이 분명한 인적 사항 중심의 개인정 보와 개인 식별 가능성이 거의 없거나 낮은 행태 정보로 구분하여 규정하고 각각 다른 규제 체계 를 적용해야 한다. 둘째, 행태정보를 기반으로 빅 데이터를 분석한 경우 민감한 추론의 도출을 제 한해야 한다. 셋째, 행태정보 기반의 빅데이터 분 석 및 서비스 활용에 대한 이용자의 사후 통제권 을 보장해야 한다. 고도화된 정보통신사회에서 빅데이터의 분석은 사회적 효용을 위해서 필수불 가결하지만 현행 개인정보보호 법규 체계에는 보호와 활용 어느 한 쪽도 효과적으로 대응하지 못 하고 있으므로 개인정보 보호에 대한 인식 전환 이 필요하다.
사물인터넷, 빅데이터 등 개인정보를 적극적으 로 활용하는 기술이 발전하면서, 프라이버시 침해 위험도 커지고 있다. 개인정보 보호가 중요해지고 있는 이 시점에서, 정보주체의 동의에 의존하고 있는 현행 개인정보 보호 법제에 대한 비판의 목 소리가 많다. EU의 개인정보보호규정(GDPR)은 개인정보 자기결정권을 강화하면서도, 개인정보 보호를 개인의 책임으로만 남겨두지 않고 여러 구 조적⋅기술적 조치를 도입했다. 그중 개인정보 영 향평가는 사생활 침해 위험을 사전에 완화한다는 점에서 매우 중요한 제도이다. GDPR은 개인정보 영향평가 및 사전 협의 제도를 도입하고 있으며, 이는 우리나라 개인정보보호법에도 시사점을 준다. 우선 민간분야에 의무적인 영향평가를 도입해 야 하는지에 대해 검토할 필요가 있다. 또한 감독 기관이 영향평가 결과를 활용하여 적극적인 자문 역할을 하는 점도 참고할 만하다. 평가 대상을 결 정할 때 위험성을 초래하는 상황을 고려하는 점, 영향평가 의무 위반에 대해 강력히 제재하는 점도 고려해볼 필요가 있다. 현재처럼 평가주체를 특정 기관으로 지정해야 할지에 대해서도 고민이 필요 하다. 앞으로 평가방법론 등 개인정보 영향평가에 대한 많은 연구를 통해, 개인정보를 선제적으로 보호할 수 있는 환경을 조성할 필요가 있다.
최근 세계 여러 나라는 인터넷을 기반으로 한 대기업의 사업 활동으로부터 자국민의 개인정보 를 보호하기 위해 많은 노력을 기울이고 있다. 우 리나라 또한 국민의 개인정보를 보호하기 위해 개 인정보보호법을 제정하고, 개인정보보호위원회를 설치하는 등 개인정보 관련 법제를 정비한 바 있 다. 본고에서는 인터넷을 기반으로 한 대기업의 대표 격인 구글의 국내 분쟁 사례들을 살펴봄으로 써 우리나라 개인정보보호 현황 및 문제점을 파악 하고, 앞으로 나아가야 할 방향에 대해 검토 한다. 본고에서 다루는 구글의 대표적인 국내 분쟁 사례는 크게 세 가지로, ① 통합 개인정보보호방 침에 관한 권고 사례, ② 구글 스트리트 뷰 차량을 이용한 개인정보 무단수집 사례, ③ 개인정보 제3 자 제공내역 공개에 관한 소송사례이다. 위 사례들을 통해 본 우리나라 개인정보보호 현황과 문제점은 ① 개인정보보호 제재조치가 실 효적이지 않다는 점, ② 개인정보보호와 관련된 법령이 복잡하다는 점, ③ 개인정보보호위원회의 권한이 제한적이라는 점이다. 이와 같은 문제점을 해결하기 위해 필자는 ① 국내 영업을 제재할 수 있는 근거를 마련하고 과 징금 액수를 늘리는 등 개인정보보호와 관련된 제 재조치를 현실화하고, ② 개인정보와 관련된 법령 을 단순하게 재정비하며, ③ 개인정보보호위원회 의 권한을 확대하는 것이 필요하다고 본다. 개인정보보호의 문제는 개인의 정보보호에 관 한 문제로 국한해서 볼 것이 아니라, 개인정보를 수집⋅이용하는 기업과 개인정보처리자 중 하나 인 정부에 대한 신뢰 측면에서도 접근하여 볼 필 요가 있는 문제라고 본다. 오늘날 기업의 영업활 동은 자국민에게만 국한된 것이 아니다. 개인정보 보호제도가 잘 정비된 국가에서 관련 법규를 제대 로 준수하는 기업은 그 기업의 서비스를 이용하는 세계 여러 나라 사람들로부터 신뢰를 받게 될 것 이고, 결국 이는 기업과 국가의 성장으로 이어질 것이다. 따라서 개인정보보호 체계를 잘 갖추고, 이를 제대로 집행, 관리하는 것은 앞으로 더욱 중 요한 문제가 될 것이다.
정보화시대의 도래는 정치영역에서도 획기적 인 변화를 가져왔다. 데이터베이스 기술은 개인정 보의 수집과 처리를 가능하게 하였으며, 정보 송수신 기술은 정치적 의사표시의 시간적⋅공간적 한계를 무너뜨렸다. 이러한 변화는 ‘컴퓨터정치’ 라는 문제적 국면을 초래하였지만 ‘전자민주주의’ 의 가능성 또한 명백하게 만들어내었다. 개인정보는 개인정보자기결정권이라는 기본권 의 대상이 된다. 개인정보자기결정권은 미국의 프 라이버시권에서 도출되는데 우리 헌법재판소도 개인정보자기결정권을 인정하고 있다. 멕시코, 스위스, 그리스 등의 국가에서는 헌법에 정보기본권 을 명시하고 있다. EU의 경우 최근 EU개인정보 보호규칙이 통과되어 가입국에 적용될 예정이다. 미국의 경우 연방 및 주 차원에서 다양한 개인정보 관련 법들이 있는데 주가 정치데이터회사에게 유권자 정보를 제공하는 것이 허용된다. 우리나라는 일반법인 개인정보보호법에서 정보주체의 권리와 정보처리자의 의무를 규정하고 있다. 한편 개인정보는 당사자의 동의를 포함한 적법한 절차를 거쳐 수집되면 공적 자산이 될 수 있다. 개인정보는 일신전속적인 인권임과 동시에, 그것이 자발적이고 의식적으로 처분되고 공정하게 수집, 처리된다면 사회적, 경제적 가치를 생산할 수 있는 공적 자산으로서의 성격을 함께 가진다고 보아야 한다. 전자민주주의에 있어서의 개인정보의 보호와 활용을 통한 민주주의의 발전은 개인정보의 위법 한 유출 금지라는 보호의 영역에 머물기보다는 개인정보가 공적 자산으로서의 성격도 가진다는 것을 인정할 때 앞당겨질 수 있을 것이다. 본 논문에서는 전자민주주의에서의 개인정보의 보호와 활용에 대하여 접근, 참여 및 공론의 장, 창출이라는 세 가지 명제를 제시해 보았다.
최근 유럽 의회와 이사회가 합의한 유럽연합 개인정보보호 규칙안은 정보처리기술의 발달에 따른 다양한 개인정보 활용 태양에 대하여 기존의 유럽연합 개인정보보호지침보다 세분화된 규정들 을 두고 있다. 이 중 빅데이터의 활용과 관련하여 특히 주목할 만한 부분은, 목적외 이용과 프로파 일링을 비롯한 자동화된 개인정보처리 및 이에 근 거한 개인에 대한 중요 결정에 대한 취급에 관한 사항들이다. 이에 본고에서는 현행의 유럽연합개 인정보보호지침과 새로운 규칙안, 그리고 우리나 라의 정보통신망법과 개인정보보호법의 관련 규 정을 비교해 보았다.
특히 규칙안과 우리나라법을 비교하여 볼 때, 규칙안은 목적외 이용에 관하여 우리나라 법보다 다소 유연한 규정을 두고 있으며, 프로파일링은 물론 프로파일링에 근거한 개인에 대한 자동화된 개별 결정에 대한 규정을 따로 두고 있다. 또한, 목적외 이용 및 프로파일링, 자동화된 개별 결정 과 관련하여 정보주체의 권익을 보호하기 위한 보호조치를 강조하고 있다. 이와 같은 접근은 정 보처리기술의 발달로 다양한 방식 및 내용의 개 인정보처리가 가능해지고, 이로 인하여 정보주체 의 권익에 미치는 영향이 커지는 현실을 감안할 때 우리 법의 입법론으로서도 참고할 만하다고 생각된다.
최근 일련의 개인정보보호법령의 강화는 불가피하게 정부의 활동, 특 히 정보수집을 핵심 기능으로 하는 정보기관에 의한 사이버안보 활동에 제약을 가하게 된다. 결국 개인정보보호를 통한 개인의 권리의 보장과 국가안보를 위한 사이버안보활동의 보장이라는 두 가지 법익의 충돌을 적절히 조화할 필요가 생겨난다. 이러한 문제의식을 바탕으로 이 글에서 는 과거 및 현행 개인정보보호법령에서 사이버안보 활동에 대하여 어떻 게 규율하고 있는가를 살펴본 후 주요 국가에서는 어떻게 이를 다루고 있는지를 비교법적으로 검토하여, 최종적으로 바람직한 개인정보보호법 령의 규율태도를 도출하고자 시도하였다. 결론적으로 개인정보보호와 사 이버안보는 서로 긴장관계에 있으면서도 불가분의 관계에 있다. 사이버 안보를 꾀하기 위해서는 개인정보의 처리가 불가피하지만, 개인정보보호 를 함으로써 사이버안보도 도모할 수 있으며, 사이버안보가 확보되면 개 인정보보호도 함께 이루어질 수 있는 긴밀한 관계이다. 또한 사이버안보 는 국가안전보장이라는 측면에서도 매우 중요한 부분을 차지하고 있기 때문에 사이버안보를 위한 개인정보의 처리는 적절한 범위에서 허용할 필요가 있다. 이처럼 개인정보보호와 사이버안보는 적절한 균형관계를 꾀하여야 한다. 즉, 사이버안보를 위한 개인정보처리의 근거는 현재처럼 유지하면서도, 사이버안보 활동 과정에서 개인정보가 부당하게 침해된 경우에 적절한 구제가 이루어질 수 있는 체계를 유지하는 것이 필요하 다. 이런 관점에서 현행 개인정보보호법 상 개인정보분쟁조정위원회에 의한 개인정보분쟁해결 규정을 적용제외한 것을 재고하거나 아니면 다른 적절한 구제절차를 마련토록 하는 것이 필요하다. 또한 미국 대통령 정 책 지침에서와 같이 정보기관 내부적으로 자율적인 통제가 이루어지기 위한 법적 기반을 강화하는 정책을 추진하는 것도 바람직한 방향이다. 이런 관점에서 현행 「국가정보보안 기본지침(국가정보원)」, 「보안업 무규정」, 「국가사이버안전관리규정」의 제정 및 운영은 하나의 중요한 법적 기반이 될 수 있다.
작금의 개인정보 대량 유출 사태와 관련하여 이를 법적으로 규율하고자 기존의 법률들을 재정 비하거나 새로운 법률을 제정하는 시도들이 있었 지만, 일종의 무형적 재산으로 볼 수 있는 개인정 보를 지식재산권에 편입시키려는 시도는 대부분 문제제기의 수준에 그쳐왔다.
본 연구는 일단 여러 개인정보를 수집하여 하 나의 집합물로 형성한 것을 개인정보보호법 제2 조 제4호의 일부 개념을 차용하여 ‘집합개인정보’ 라 칭한 후, 이에 대한 저작권법상 법적 성질을 규 명하기 위해 저작권법 제2조 제19호를 분석하였 다. 그 과정에서 집합개인정보 보유자에게 데이터 베이스 권리자로서의 지위를 부여할 수 있음을 언 급하고, 집합개인정보의 보호 실익에 대해서는 구 제수단을 중심으로, 보호의 한계에 대해서는 개인 정보보호법과의 관계와 저작물 등 등록을 중심으로 살펴보았다.
선행 연구들이 이른바 ‘생래적 정보보유자’의 정보보호에만 논의 방향이 집중되어 있는 것에서 벗어나, 저작권법을 통해 집합개인정보를 보유하 는 주체에 대한 법적 권리를 보장함으로써 궁극적 인 개인정보보호를 추구할 수 있다는 점에서 이러 한 방안이 정책적으로 고려될 수 있을 것이다.
스마트 폰(Smart phone)의 등장을 비롯하여 인터넷전화(VoIP), 인터넷 TV(IPTV), 클라우드 컴퓨팅(Cloud computing), 스마트 그리드(Smart grid), OTT 등 인터넷 프로토콜을 기반으로 한 신 규 응용서비스들의 등장은 인터넷 통신망에서의 폭발적인 데이터 트래픽 증가를 가져왔다. 위와 같 은 이른바 관리형 서비스(QOS, quality of service) 의 등장은 인터넷망 사업자의 망 증설비용 증가를 초래했고, 인터넷시장의 가입자 포화는 인터넷망 사업자의 수익정체로 이어져, 당초 선순환적인 상 호보완관계에 있던 인터넷망 사업자와 컨텐츠, 서 비스, 어플리케이션 사업자 간의 관계는 점차 갈 등관계로 변화하게 되었다. 그 결과 인터넷망 사 업자는 트래픽 관리를 시도하거나 망 증설비용 분 담을 요구하기에 이르렀고, 컨텐츠 사업자 등은 인터넷상의 모든 전송행위는 네트워크 상에서 동 일한 속도로 전달되어야 하고, 이를 부당하게 차 단하거나 차별해서는 아니된다는 이른바 망중립성(Net Neutrality)의 원칙을 주장하게 되었다.
차별금지의 원칙, 차단금지의 원칙, 투명성의 원 칙 등을 주요 내용으로 하는 망중립성의 원칙은 우 리나라에서는 이른바 하나TV 사건, NHN 사건, 삼 성TV 사건, 카카오톡 mVoIP 차단사건 등을 통해 조명되었고, 미국의 경우 일찍이 2003년경 Tim Wu 교수가 개념을 언급한 이래 Madison River 사건, Brand X 사건, 2010년 Comcast 사건을 통 해 논의가 본격화 되었다. 특히 2014년 1월 미 연 방항소법원은 Verizon 사건에서 연방통신위원회 (FCC)가 인터넷망 서비스를 통신서비스가 아닌 정보서비스로 분류한 만큼 여기에 통신법상의 Common carrier로서의 의무를 지우는 것은 위법 하다고 판시하였고, 이로써 망중립성 논의는 새 국 면을 맞게 되었다.
그동안 우리나라에서도 하급심 판례를 포함하 여 판결문을 공개하여야 한다는 요구가 꾸준히 제 기되어 왔고, 그와 같은 요구에 부응하여 민사소송 법과 형사소송법의 개정으로 확정된 사건의 판결 문 등은 전자적 방법을 포함하여 판결문 등을 자유 롭게 열람 및 복사할 수 있게 되었다.
그러나 현재 인터넷을 통하여 형사소송 판결문 등을 열람 및 복사하기 위해서는 법원명과 사건번 호, 그리고 당사자를 입력하여야 하는데 이는 유사 판결을 검색하여 국민들에게 도움을 주기 위한 취 지를 무색하게 하므로 핵심단어를 입력하여 판례 를검색할수있도록하는것이타당하다고생각한다
그리고판결문을공개하는경우개인을식별할수있는개인정보는 기술적방법등으로삭제, 변경하는 것이 타당하다고 할 것이다