인터넷 이용이 활발해지고 온라인 서비스를 비 롯한 각종 정보통신기술이 사람들의 생활 깊숙이 들어오면서 개인정보 유출사고 역시 급격히 증가 하고 있다. 이에 따라 미국은 California 주를 비롯 한 거의 모든 주에서 개인정보 유출사고 발생 시 정 보주체에게 그 사실을 통지하도록 의무화하는 개 인정보 유출통지법(Security Breach Notification Laws)을 운영하고 있다. 미국의 개인정보 유출통 지법의 내용은 크게 통지대상이 되는 개인정보, 통 지의무자 및 대상, 통지요건, 통지시기, 통지방법, 통지내용, 처벌조항으로 구성된다. 우리나라 또한 2011년 3월 29일 개인정보 보 호법 제정을 통하여 개인정보 유출사고 발생 시 정 보통신서비스제공자가 유출된 정보, 유출시점 및 대처방법 등을 이용자에게 통지하고 안전행정부장 관에게 신고하도록 의무화하는 규정을 추가하였 다. 그러나 위 규정상의 통지시점이 획일적이고 통지방법이 다양하지 못하며 개인정보 유출신고절차 가 이용자 보호에 미흡하다는 문제점이 있다. 뿐만 아니라 과태료 규정은 그 부과기준이 불명확하고 통지의무 준수 여부를 감독할 개인정보 보호위원 회의 독립성과 전문성도 보장되어 있지 않다. 향후 개인정보 보호법 개정을 통하여 위와 같은 입법적 미비는 개선될 필요가 있고, 이러한 점에서 장기간 의 입법적 노력과 선진적인 실무경험이 담겨있는 미국 각 주의 개인정보 유출통지법은 중요한 자료 로 활용될 수 있을 것이다.

우리나라 개인정보보호 법제의 특징 중 하나는 개인정보의 이용과 보호의 조화보다는 보호에 치중하고, 개인정보의 수집 및 제공 등에 있어 사전 고지·동의(Opt-in) 제도를 도입하였다는 점이고, 제재측면에서 본 특징으로는 비교법적으로 매우 강력한 형사처벌 조항을 두고 있다는 점과 친고죄나 반의사불벌죄로 규정하지 않아 개인정보보호 관련 법률 위반 행위에 대하여 수사기관이 직접 수사를 개시할 수 있다는 점이다. 형사처분과 행정처분의 취지나 목적이 동일한 것은 아니라는 점에서는 일견 수긍할 수도 있으나 사전 고지·동의 제도 위반에 대해 형사처벌을 부과하게 되면 개인정보 개념의 포괄성, 동의 제도의 허구성 등과 맞물려 법리적으로나 실무적으로 많은 문제를 야기할 수 있다. 특히 개인정보 보호에 관한 일반법인 개인정보 보호법이 동의 없는 수집을 과태료 부과 대상으로 규정하고 있는 점, ‘정보주체 이외의 자로부터 수집’하는 경우에 관해서는 일정한 고지 의무만 부과할 뿐 즉시 동의를 얻도록 하거나 삭제하도록 하지 않는 등 동의 원칙을 관철하고 있지 않은 점 등을 고려할 때 위와 같은 형사처벌 체계에 대해 근본적인 의문을 제기하지 않을 수 없다. 개인정보보호와 이용의 조화를 달성하기 위한 방안을 검토함에 있어, 동의 제도에 관한 외국 입법례를 살펴보고 사전 고지․동의 제도의 문제점을 비판적으로 살펴본다. 동의 제도와 관련된 형사제재의 문제점을 살펴보고, 그 해결방안으로 동의 관련 범죄의 비범죄화를 추진하되 일정한 인증을 받은 자에 한하여 사전 고지·동의 제도의 예외를인 정하는 방안과 주무부처의 시정권고, 시정명령 및 명령불이행죄의 단계적 제재 체계의 구축 방안에 관해서 살펴보도록 한다.

This paper which took effect in September 2011 to comply with the Privacy Act were studied in terms of the provisions for penalties. Article 70 to 75 of Privacy Act in was considered with mandatory provisions of items, and for the compliance required actions was developed and item indexing according to collection, use, offer, charge, destroying of life cycle of personal information.

사회관계망서비스는 익명성을 특징으로 하는 통상의 인터넷 서비스와 달리 이용자 스스로 개인정보를 적극 공개한다는 측면에서 프라이버시 침해의 우려가 상존한다. 특히 사회관계망서비스 제공자가 이용자들의 개인정보를 수집, 처리, 분석하여 Target Marketing에 활용하고 있는 점은 이용자의 프라이버시 침해에 대한 또 다른 위험요소로 작용한다. 이러한 측면에서 사회관계망서비스 이용자의 개인정보보호와 관련된 제도적 문제점과 법적 쟁점에 대해 살펴보았다. 먼저 적용 법률과 관련하여 개인정보보보법 제정 이후 주무부처간의 해석차이로 사회관계망서비스 제공자에게 어떤 법률이 적용되어야 하는지에 대해 의견이 분분한 상황이나 법해석의 일반원칙에 따라 정보통신서비스제공자에게 적용되는 정보통신망법이 특별법으로 우선 적용되고 동법에 특별한 규정이 없는 경우 보충적으로 일반법인 개인정보보호법이 적용된다고 보아야 할 것이다. 다음으로 개인정보의 법적 개념 역시 법규정상의 모순으로 인해 명확한 개념 규정이 쉽지 않은 상황이며 이에 대한 연구 또한 부족한 상황이나 사견으로는 개별 정보는 다른 정보와의 조합 또는 결합에 의해 그 식별력을 갖게 된다는 점에서 특정 정보가 개인정보에 해당하는지 여부는 결합의 용이성이라는 규범적 해석기준을 통해 판단해야 할 것으로 보이고, 결합의 용이성은 객관적 측면과 주관적 측면을 고려하여 판단하는 것이 타당하다고 본다. 다음으로 사회관계망서비스 제공자가 이용자의 개인정보를 이용하여 Target Marketing을 하는 것은 허용된다 하더라도 필요최소정보수집의 원칙이 적용되어야하며 개인정보의 수집 및 이용, 생성정보 수집툴의 활용 등과 관련하여 이용자에게 명확히 고지하고 사전 동의를 받아야 할 것이다. 또한 이용자의 개인정보 수집은 원칙적으로 이용자의 동의를 전제로 함이 원칙이며 관련 법령에서 예외적으로 이용자의 동의 없는 개인정보 수집을 허용하는 경우에도 이용자의 입장에서 그러한 개인정보의 수집이 예견 가능한 것이었는지 여부, 사전 동의절차 이행의 용이성, 사회관계망서비스 제공자의 정당한 이익과 이용자 개인정보보호의 필요성의 적절한 이익형량 등의 요건 등을 고려하여 신중히 판단하여야 할 것이다. 아울러 정보통신망법상 개인정보의 제3자 제공은 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 등을 모두 고지하고 개별적으로 동의를 받도록 규정하고 있어 사회관계망 서비스 제공자가 이용자의 개인정보를 불특정 다수를 상대로 판매, 양도, 대여, 열람하게 하는 등의 소위 개인정보데이터베이스 마케팅은 사실상 금지되어 있다고 보아야 할 것이다. 개인정보의 국외 이전은 정보통신망법의 규정상 이용자의 동의를 요한다고 해석할 수밖에 없으나 개인정보보호법 규정의 취지, 실무적인 측면 등을 고려할 때 개인정보 국외이전의 경우 예외 없이 이용자의 동의를 필요로 한다는 정보통신망법의 규정은 다소 문제의 소지가 있어 보인다. 개인정보와 관련된 쟁점들은 최근 연이어 발생하고 있는 대형 개인정보유출 사고와 개인정보보호법의 시행 등으로 그 관심이 높아지고 있으나 개인정보보호법과 정보통신망법의 적용 범위, 해석 기준 등이 통일되어 있지 못할뿐만 아니라 실효성 있는 개인정보 보호 대책 또한 제대로 수립되어 있지 못한 형편이며 이와 관련된 학계의 연구나 실무적 관행 수립 또한 미흡한 것이 현실이다. 부디 조속히 학계의 연구와 법률 개정 등이 이루어져 사회관계망서비스 제공자와 이용자의 이해관계를 합리적으로 조율할 수 있는 실무 관행이 정착되길 바란다.

이제 우리 생활의 일부가 되어버린 소셜 네트워크 서비스(SNS)의 대표적인 사업자인 페이스북(Facebook)은 전 세계 가입자 수가 8억4500만 명에 이를 정도로 성장하였고 대규모의 개인정보를 취급하고 있다. 페이스북은 독특한 개방적 정보공유 환경을 가지고 있어서 미국은 물론 세계 각국에서 개인정보 침해의 문제에 끊임없이 직면하고 있다. 최근 SNS가 스마트폰과 IT 기술과 만나면서 프라이버시 침해의 논란은 더욱 증폭되고 있는 상황이다. 2011년 방송통신위원회는 페이스북에게「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 상의 개인정보 보호 기준을 준수할 것을 권고하였고, 페이스북은 이에 따르기로 합의한 바 있다. 이 글은 페이스북 서비스와 관련된 개인정보 보호의 사례를 분석하고 그 법적 쟁점에 대한 해결방안을 제시하고자 하였다.구체적으로, 페이스북의 정보보호정책과 다양한 서비스로 인하여 발생되고 있는 프라이버시 침해, 개인정보 유출, 아동의 회원가입 및 정보유출 등에 관한 법적 분석을 제시하고 있다. 특히 최근 문제가 되고 있는 친구찾기 기능과 관련하여 회원과 관련된 모든 사람(비회원 포함)의 이름과 이메일 주소가 페이스북에 전달된다는 사실이 페이스북의 개인정보 취급방침에 명확히 들어나 있지 않은 점을 지적하고, 또한 이 기능이 비회원의 이메일 주소 등을 이용자가 페이스북에 제공하도록 유도하고 있는 점에 대하여 우려를 표시하였다. 또한 페이스북의 회원 정보가 외부의 애플리케이션 개발자, 광고주 등에게 무단으로 제공되고, 탈퇴 후 해당 회원의 정보가 계속하여 사용된 것과 관련하여 최근 미국 연방거래위원회(FTC)의 동의명령을 살펴보았다. 그 밖에도 이 글은 사생활 정보의 공개, 소셜광고 등과 관련된 개인정보 보호의 문제에 관하여 논하였다.

본 논문은 개인정보보호법의 벌칙조항 및 양벌규정을 기관 및 기업체의 CEO 및 최 고경영자의 관점에서 제 70조에서 제75조의 벌칙조항을 구체적이고 간결하게 기술하 였다. 이 논문의 주요 구성은 제정된 개인정보보호법에 관하여 먼저, 개인정보의 정의, 개인정보의 유형, 개인정보의 특성을 알아보았다. 또한 개인정보보호법에 대한 주요내 용과 경영진의 주요 관심사인 개인정보보호법의 처벌조항과 양벌규정에 대해 연구하 였다.

개인정보의 보호에 관한 종래의 논의는 행정의 공정성‧투명성‧신뢰성의 확보 및 국민권익의 보장을 목적으로 하는 행정절차의 실현과정에서 제기된 것이다. 행정절차는 국민의 행정참여를 도모하여 행정의 민주화‧적정화‧능률화를 꾀하려는 데 그 목적이 있는 바, 여기서 행정청을 포함한 공공기관과 대등한 위치에 당사자로서의 국민을 설정하기 위해공공기관이 보유한 행정정보의 활용은 필수적이라 할 수 있다. 그러나 관련기관에 행정정보를 제공하거나 이용토록 하기도 하고 행정정보를 직접 국민에게 공표하도록 하면서 오히려 그 개념상 개인정보를 포함할 수밖에 없는 행정정보의 활용에 대한 적절한 제한설정이 요구되게 된 것이다. 그리하여 적절한 행정절차에 부차적으로 기능하던 기존의 행정상 정보공개 및 정보보호 제도가 정보사회를 수렴하는 행정정보에 관한 규범으로 체계화되기에 이르렀다. 그와 같은 배경에는 전자정부의 출범요인인 정보기술의 발전은 개인정보를 통합 관리할 수 있게 함으로써 오히려 디지털화된 개인정보의 유출 가능성을 증폭시키고 있다는 점과 전자정부의 구현원리이자 운영원칙인 행정정보의 공개 및 공동이용은 대상정보의 성격상 개인정보보호와 상충될 수 있다는 점이 관여한다. 따라서 헌법상 알 권리‧행정수요‧개인정보의 보호가치가 모순되지 아니하도록 관련 법규범의 조화로운 적용과 실천적인 운용이 요청된다고 할 것이다.이와 같은 관점에서 이 글에서는 컴퓨터시스템과 네트워크를 활용한 방법으로 정보전달의 신속성‧정확성 확보, 지리적‧시간적 한계의 극복, 종이문서사용의 절감 등의 효과를 유발하는 행정정보의 공동이용 및 범죄예방이라는 공익적 목적을 수행하기 위하여 폐쇄회로텔레비전을 운용함으로써 경찰인력의 소모를 감쇄시킬 수 있는 화상정보의 수집이라는 행정정보의 활용이 지니는 역기능으로서 개인정보에 관한 정보주체의 권리제한의 적합성에 관해 살펴보기로 한다. 지난 해 5월 5일부터 시행된 ｢전자정부법｣은 행정정보 공동이용의 범위를 확장하고 있는 반면 지난 9월 30일부터 시행된 ｢개인정보 보호법｣은 영상정보처리기기의 운용에 관한 제한을 설정하면서도 정보주체의 권리보장을 명시하고 있기에 상호 충돌된 가치에 있으므로 그 향방이 주목될 뿐 아니라 두 쟁점 모두 개인정보를 포함하는 행정정보 활용에 관한 것이기에, 결국 헌법상 일반원칙에 부합하고 개인정보의 보호에 관한 국제기준에 부합하는지에 대하여 실질적으로 되짚어보아야 하기 때문이다. 이 글은 이와 관련하여 위 두 법률의 상호관련성에서의 바람직한 개정방향의 단초를 짚어보아 개인정보자기결정권 보장에 관한 헌법합치적 법제도를 타진해본다.

Under limited resources such as budgets and experts, it is necessary to make decisions for promotion strategy of standardization work items in Information and Communication Technologies (ICTs). This paper focuses on a method of setting standardization pro

To give a solution to solve personal information problems issued in this study, the domestic and overseas cases about information security management system including an authentication technique are analyzed. To preserve the outflow of personal information, which is such a major issue all over the world, a new security audit check list is also proposed. We hope this study to help information system developers construct and operate confidential information systems through the three steps: Analysis of risk factors that expose personal information, Proposal to solve the problem, Verification of audit checking items.

현재 개인정보보호법제는 공공부문은「공공기관의 개인정보보호에 관한 법률」이 제정되어 있으나, 민간부문에서의 개인정보보호에 관한 일반법은 아직 제정되어 있지 않다. 개인정보보호를 실질화하기 위해서는 공공부문과 민간부문을 아우르는 통합법의 제정이 필요하다. 이러한 요청을 반영하여 공공부문과 민간부문을 통합하는 성격을 가진 개인정보보호법제정법률안이 2개의 의원안과 1개의 정부안으로 지난 국회에 제출되었으나 입법되지 못하고 자동폐기되었다. 그러나 종래 상정되었던 3건의 제정법률안 속에 개인정보보호법의 핵심내용들이 망라되어 있고 추후에 개인정보보호법의 전부개정이 이루어진다면 이들 3개 제정법률안의 내용이 골격을 이룰 것으로 예상되고 있다. 따라서 이들 3개의 제정법률안을 다룰 필요성은 현시점에서도 여전히 존재한다. 그리하여 종래 상정되었던 3개 제정법률안의 주요사항을 비교검토를 통해 각 제정법률안의 장단점을 분석하는데 주안점을 두었다.결국 개인정보보호 통합입법에 실패함으로써 개별법률간 처리기준의 상이성문제, 공공․민간을 망라하지 못하는 개인정보 처리원칙문제, 개인정보 침해로 인한 국민의 피해구제의 불충분성 등이 심화되고 있다. 개인정보보호법상 개인정보영향평가제도와 관련해서도 개인정보영향평가 실시대상의 설정문제, 평가대상 확정시 적절한 기준과 절차에 따른 평가실시와 객관성과 실질성을 담보할 수 있는 최소한의 절차상 장치 마련문제, 평가결과의 수용 여부를 감독하고 제재할 수 있는 방안의 모색문제 등이 현안이 도사리고 있다. 그리고 개인정보감독기구도 전형적인 세 가지 감독기능인 예방적 기능, 사후적 민원해결기능, 그리고 정책조언기능을 완전하게 수행할 수 있도록 제도도입이 이루어져야 할 것이다. 위와 같은 개인정보보호 관련 문제점을 근원적으로 해결하기 위해서라도 조속한 개인정보 통합입법이 이루어져야 할 것이다.

정보통신서비스 기반이 유비쿼터스 환경으로 변화되면서 이용자가 인터넷을 이용하면서 생성하는 정보를 사업자가 활용하는 다양한 행태의 마케팅 기법이 등장하고 있으며 이에 따른 개인정보보호에 대한 문제가 사회적 이슈로 대두되고 있다. 인터넷상에서 생성정보를 활용한 마케팅에서 개인정보보호 이슈를 검토할 때는 기본적으로“정보통신망의 이용촉진 및 정보보호 등에 관한 법률”에 따른 개인정보보호를 위한 조치에 대해서 사전적으로고찰하여야한다고본다“. 개인정보자기결정권”은 자신에 관한 정보가 언제, 어떻게, 어디까지 타인에게 전달되고 이용될 수 있는 지를 그 정보 주체가 스스로 결정할 수 있는 권리를 의미하며 동법의 입법취지의 근간을 이루고 있다. 유비쿼터스 환경에서 발생하는 변화와 다양성에 대응하기 위해서는 법적인 규제만으로는 상당한 제한이 있을 것을 판단되며 사업자 자율에 의한 규제와 사업자에 대한 이용자의 견제가 수반되어야만 효과적으로 개인정보를 보호할 수 있으며 관련 산업이 건강하게 성장할 것으로 사료된다.

현대의 고도화된 첨단기술로 인해 누구나가 전자상거래나 인터넷뱅킹 등을 할 수 있게 되면서 개인의 금융정보와 신용정보는 전자화되어 종합적이고 체계적으로 수집, 가공, 처리할 수 있게 되었다. 그러나, 단순히 일반적인 개인인식정보가 아니라 보험가입과정 등에 제공되는 개인의 건강정보나 신용정보가 공개되는 경우 개인에게 훨씬 심각한 영향을 미칠 수 있으며, 더욱이 그 정보가 불법적으로 유출되거나 악용되는 경우 그 개인 뿐만 아니라 국가 사회적으로 심각한 문제를 일으킬 수 있다. 이에, 금융회사 특히 보험회사가 취급하는 개인정보는 개인의 건강상태나 신용에 관한 사항을 담고 있는 중요한 정보로서 보호될 필요가 있다. 즉, 앞으로도 자본주의가 고도화 되면 될수록 이와 같은 각종 정보기술을 이용한 개인의 신용정보나 금융정보의 불법사용이나 유출 등에 따른 다양한 문제가 발생할 수 있으며, 그에 따른 분쟁이 양상도 복잡하고 다양하게 전개될 것으로 보인다. 이와 관련해, 보험사업자는 당해 기관의 영업행태, 개인신용정보 활용 정도 등을 고려하여 개인신용정보 관리보호정책을 수립하고 이의 실행을 담보할 수 있는 구체적인 지침과 체제를 구축할 필요가 있는 것이다. 한편, 보험사업은 통신판매사업이나 방카슈랑스(Bancassurance)사업 등 그 사업의 형태에 따라 은행 등 타사업자와 정보의 교류가 활발하게 이루어질 수 있는 사업분야의 하나로서 고객개인정보의 보호와 더불어 그 정보의 활용문제 또한 부각될 수 있는 분야이다. 즉, 현대 정보통신기술의 발달로 인해 사업자들이 개인정보를 보다 쉽고 광범위하게 수집하고 처리할 수 있게 하게 됨에 따라 그 수집처리 과정에서 발생할 수 있는 개인정보의 유출 등을 방지하는 등의 개인정보보호의 필요성이 중요하게 부각되는 반면, 현대 자본주의 시장경제에서 그 정보를 보다 다양하고 원활하게 이용 활용할 수 있는 방안도 함께 연구될 수 있는 것이다. 자본주의 경제의 보다 원활한 성장과 발전을 위하여는 개인정보보호에 못지 않게 개인관련정보를 합리적인 범위 내에서 그 접근, 저장 및 이용 내지 활용할 수 있도록 함으로써 신용정보의 효율적 이용과 그 보호의 문제를 조화시킬 필요가 있는 것이다. 이를 통해 개인정보를 이용한 보험산업 등 각종 관련 산업의 발전과 더불어 개인정보보호라는 중요한 가치가 상호 공존할 수 있는 길을 모색해 볼 수 있다.

온라인 광고 시장은 사용자에게 무료로 정보를 제공하고 디지털 경제를 이끄는 수단이지만 동시에 온라인 맞춤형 광고에는 사용자에 관한 정보 침해의 우려가 존재한다. 온라인 광고 형태의 발달로 개인형 맞춤형 광고의 도입이 멀지 않은 지금 온라인 맞춤형 광고 시장의 발전과 개인에 관한 정보 보호의 균형을 어떻게 이룰 것인가를 미국 FTC와 EU의 가이드라인에 비추어 살펴 보고자 한다. 사용자 정보 보호를 위해 사업자는 사용자에게 사용자에 관한 정보가 언제, 어떻게 수집되고 사용되며, 사용자로부터 수집된 정보, 또는 사용자에 대해 수집된 다른 정보들은 어떻게 결합이 되어 사용되는지 사용자에게 알기 쉽고 발견 하기 좋은 곳에 개인정보보호정책을 게시하고, 사용자가 그러한 정보의 수집과 이용에 동의하지 않는 경우 수집과 이용을 손쉽게 거절할 수 있는 방법을 제공하고, 수집된 정보에 대한 물리적, 기술적인 보안이 철저히 이루어지도록 해야 한다. 또한 13세 미만의 어린이로부터의 정보 수집은 반드시 부모의 동의가 있어야 하고, 민감한 정보는 수집과 이용이 아예 금지되거나 사용자의 명시적 동의가 있을 경우에만 이용하도록 해야 한다. 그리고 현재 사업자들이 채택하고 있는 기술적, 정책적 우수 사례를 연구하여 다른 사업자들에게도 제안하고자 한다.