2021년 이후 2년간 전 세계에서 모두 26억 건의 개인정보유출 피해가 발생했는데, 이는 10년 전인 2013년과 비교할 때 3배 이상 증가한 수치 라고 한다. 우리나라 또한 2020년 8월 이후 3년 동안 유출된 개인정보 건수가 6,505만 2,2232건에 달할 정도로 개인정보의 침해 사례가 많이 발생하였다. 이로 인하여 기업들은 자신들의 책임문제가 대두되어 고객의 개인정보를 적극적으로 수집·분석하여 마케팅에 활용하지 못하고 있다. 이 에 기업들은 관련 법률에 정보주체의 권리를 명확하게 설정하여 책임 범위 를 예측하여 고객들의 개인정보를 적극적으로 활용할 수 있도록 해 줄 것 을 요구하였으며, 고객들 또한 관련 법률에 그들의 권리를 명시하여 자신들 의 개인정보를 보호받기를 원하고 있다. 물론 우리나라는 2011년 개인정 보호법의 제정, 2020년 데이터3법의 개정 그리고 2023년 3월 14일 공포 되어 2023년 9월 15일 시행하는 개인정보보호법의 개정을 통해 정보주체 의 권리를 강화하기는 하였지만 여전히 미흡하다. 이에 이 논문에서는 2018년 5월부터 적용되는 EU의 일반 데이터 보호 규칙상 정보주체의 권리를 우리나라 개인정보보호법상 정보주체의 권리와 비교 검토를 통해 개선방안을 마련하고자 하였다. 그 결과 개인정보보호법 상 개인정보 열람권, 개인정보 전송권, 개인정보의 정정·삭제권, 개인정보 의 처리 제한권, 자동화된 결정에 대한 정보주체의 권리 및 이의제기권 관 련하여 일부 규정을 도입할 필요가 있다고 보고 그에 대한 개선방안을 제 시하였다.

빅 데이터, 인공지능 등 발전된 정보통신기술 시대를 대비하기 위하여 개인정보의 활용이 절실한 지금, 엄격한 사전 동의 방식을 채택하고 있는 우리의 「개인정보 보호법」이 처리자의 활용 재량을 확대하는 방향으로 개정되어야 한다는 논의가 활발하다. 이런 맥락에서 등장한 것이 「개인정보 보호법」을 개정하여 유럽과 같이 개인정보 처리에 있어서 양립 가능성 개념을 도입하자는 논의이다. 최근의 「개인정보 보호법」의 개정안 중에는 개인정보의 수집·이용(제15조), 제3자 제공(제17조) 및 목적 외 이용·제공(제18조)에 양립가능성 개념을 도입하고 정보주체의 동의 없이도 처리가 가능하도록 예외를 인정하는 법안들이 등장하였다. 그 취지는 개인정보의 보호와 활용의 균형점을 찾는다는 의미에서 의의가 있다고 볼 수 있다. 그러나 양립 가능성을 도입하고 있는 「개인정보 보호법」 개정안들도 법 기술방식과 인정 범위에는 차이가 있다. 또한 ‘정당한 이익’의 개념과 혼재되어 사용되고 있기도 하다. 이는 「개인정보 보호법」과 GDPR에서의 개인정보 ‘처리’(processing)를 규정하는 방식이 서로 다르고, 양립 가능성을 우리의 언어로 법문화 하는 과정에서 기인한 차이라고 보인다. 이러한 차이점을 최대한 수렴하여 아래와 같이 개정 방안을 제안하고자 한다. ‘양립 가능성’은 개인정보의 최초 수집이 있고, 그 수집 목적과 다른 새로운 목적이 생겼을 때 양립 가능한지를 판단하는 제도이다. 따라서 「개인정보 보호법」에서의 처리 단계 중에서 ‘목적 외 이용·제공’을 규정하는 제18조에 개념을 도입하고, 양립 가능성 여부를 판단하는 기준도 같은 조문에서 규정하는 것이 바람직할 것으로 보인다. ‘양립 가능한’의 개념은 개정안에 ‘수집 목적과 관련성이 있다고 합리적으로 인정되는’으로 법문화 되었는데 이는 정당한 이익의 개념과 혼동을 줄 수 있으므로, ‘양립 가능한’으로 기술하되 개념의 유동성은 그 판단 기준을 제공함으로써 완화할 수 있을 것이다. 현행 「개인정보 보호법」에서도 통계작성 등 목적으로 ‘특정 개인을 알아볼 수 없는 형태’로 제공하는 것은 동의없이 목적 외로 이용 또는 제공이 가능하다. 그러나 특정 개인을 알아볼 수 없는 형태에 대하여 규정하고 있는 별도의 조항이 없다. 따라서 ‘특정 개인을 알아볼 수 없는 형태’를 ‘가명처리’ 개념으로 대체하고, 통계작성 등 목적 외 처리가 인정되는 경우라 하더라도 가명처리 등 안전조치를 의무화하는 병행 개정이 이루어져야 할 것이다.