초록 ▼

용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

맞춤형광고부터 자율주행에 이르기까지 데이터를 기반으로 하는 4차 산업혁명 사회에서 데이터의 중요성은 정보산업의 ‘원유(oil)’로 비유될 정도로 높아졌다. 그러나 개인정보의 집적으로 인해 국가에 의한 감시의 위험성이 높아졌고, 정보의 부정사용 등에 의해 정보주체에 관한 왜곡된 인격이 형성될 경우, 이는 사생활 침해에 그치는 것이 아니라 정부의 복지서비스부터 신용, 고용에 이르기까지 정보주체 생활 전반에 미치는 부작용이 상당하다.
컴퓨터가 발달하기 전에는 개인정보를 규율함에 있어, 사생활비밀보호법제에 의하여 규율하는 것으로 충분하였으나, 이러한 법제만으로는 다량의 개인정보 수집 및 이용에 의한 감시의 위험성·사회적 인격의 왜곡가능성이라는 위험을 예방할 수 없기에 정보주체가 자신에 관한 정보를 언제, 누구에게, 어느 범위까지 공개할 것인지 스스로 결정할 수 있는 개인정보자기결정권이라는 새로운 권리가 대두되었다.
그러나 대규모 개인정보의 유출 및 부정사용이라는 일련의 사건들이 발생하면서, 개인정보자기결정권을 마치 사생활비밀보호권과 같은 불가침의 영역으로 인식하여, 정보주체의 동의를 받지 않은 개인정보의 처리는 불법이며, 이를 위반할 경우에는 침해결과의 발생 및 경중을 묻지 않고 엄중히 처벌하려는 경향이 생겼다.
그러나 정보주체의 개인정보처리에 관한 동의는 개인정보처리에 관한 합법성의 근거일 뿐, 개인정보자기결정권의 본질적 내용이 아니며, 개인정보자기결정권의 구체적 구현 방법은 입법자의 자유재량 영역이라 할 것이다. 다만, 정보주체의 개인정보처리 통제권을 인정하기 위해서 개인정보의 열람·정정·삭제 및 사후적 처리거부 등의 권리는 보장되어야 한다.
이러한 정보주체의 개인정보자기결정권은 무제한적인 기본권이 아니다. 공공부문에 있어 개인정보처리가 필요한 경우, 행정의 법률유보 원칙에 따라 엄격한 제한을 받지만, 민간부문의 경우에는 기업 및 다른 기본권주체에게 헌법상 영업의 자유, 알 권리를 포함한 언론의 자유 및 ...

맞춤형광고부터 자율주행에 이르기까지 데이터를 기반으로 하는 4차 산업혁명 사회에서 데이터의 중요성은 정보산업의 ‘원유(oil)’로 비유될 정도로 높아졌다. 그러나 개인정보의 집적으로 인해 국가에 의한 감시의 위험성이 높아졌고, 정보의 부정사용 등에 의해 정보주체에 관한 왜곡된 인격이 형성될 경우, 이는 사생활 침해에 그치는 것이 아니라 정부의 복지서비스부터 신용, 고용에 이르기까지 정보주체 생활 전반에 미치는 부작용이 상당하다.
컴퓨터가 발달하기 전에는 개인정보를 규율함에 있어, 사생활비밀보호법제에 의하여 규율하는 것으로 충분하였으나, 이러한 법제만으로는 다량의 개인정보 수집 및 이용에 의한 감시의 위험성·사회적 인격의 왜곡가능성이라는 위험을 예방할 수 없기에 정보주체가 자신에 관한 정보를 언제, 누구에게, 어느 범위까지 공개할 것인지 스스로 결정할 수 있는 개인정보자기결정권이라는 새로운 권리가 대두되었다.
그러나 대규모 개인정보의 유출 및 부정사용이라는 일련의 사건들이 발생하면서, 개인정보자기결정권을 마치 사생활비밀보호권과 같은 불가침의 영역으로 인식하여, 정보주체의 동의를 받지 않은 개인정보의 처리는 불법이며, 이를 위반할 경우에는 침해결과의 발생 및 경중을 묻지 않고 엄중히 처벌하려는 경향이 생겼다.
그러나 정보주체의 개인정보처리에 관한 동의는 개인정보처리에 관한 합법성의 근거일 뿐, 개인정보자기결정권의 본질적 내용이 아니며, 개인정보자기결정권의 구체적 구현 방법은 입법자의 자유재량 영역이라 할 것이다. 다만, 정보주체의 개인정보처리 통제권을 인정하기 위해서 개인정보의 열람·정정·삭제 및 사후적 처리거부 등의 권리는 보장되어야 한다.
이러한 정보주체의 개인정보자기결정권은 무제한적인 기본권이 아니다. 공공부문에 있어 개인정보처리가 필요한 경우, 행정의 법률유보 원칙에 따라 엄격한 제한을 받지만, 민간부문의 경우에는 기업 및 다른 기본권주체에게 헌법상 영업의 자유, 알 권리를 포함한 언론의 자유 및 표현의 자유 등의 기본권에 의해 개인정보처리의 자유를 인정할 수 있고, 하나의 사안에 있어 양자의 대립하는 기본권이 충돌할 경우에는 실제적 조화의 원칙에 의해 적정한 조화점을 모색하여야 한다.
정보주체의 개인정보자기결정권과 개인정보처리자의 개인정보처리의 자유의 적정한 조화는 개인정보보호법제에 의해 구현된다. 개인정보보호법제는 개인정보처리의 원칙과 개인정보주체의 권리, 개인정보보호감독기구를 구체화하면서 개인정보의 보호와 안전한 활용을 도모하여야 한다.
그러나 한국의 개인정보보호법제는 기본적으로 사전동의원칙에 기반한 형벌중심의 경직된 보호입법으로 설계되었다. 정보주체의 동의를 받지 않고는 개인정보를 제3자에게 제공할 수 없을 뿐 아니라 개인정보처리자의 정당한 이익을 위한 수집 또한 해외의 개인정보보호법제에 비해 어렵다.
사물인터넷의 발달에 의해 정보주체의 동의를 받고 정보를 수집하는 것이 불가능해지고, 빅데이터와 인공지능 기술의 경우, 수집·이용되는 개인정보 및 수집·이용의 목적을 특정하는 것이 불가능해짐에 따라 이러한 개인정보보호법제는 새로운 패러다임으로 전환될 것이 요청되고 있다.
4차 산업혁명 시대에 데이터의 보호와 안전한 활용을 위해 가명정보의 활용 및 결합에 관한 법적 근거 마련 및 수행체계의 일원화를 주 내용으로 하는 데이터 3법이 2020년에 개정되었다. 그러나 여전히 사전동의원칙에 형벌 제재를 결합하여 개인정보처리자의 개인정보처리의 자유를 과도하게 제한하고 있고, 행사요건과 예외사유 없는 개인정보자기결정권을 인정하여 정보주체의 열람·정정·삭제요구가 있으면 정보처리자의 정당한 이익이 있음에도 그 요구에 응하도록 하고 있다. 이러한 불합리성을 개선하기 위하여 개인정보주체의 개인정보자기결정권 보호와 개인정보처리자의 처리의 자유를 실제적으로 조화시키는 입법이 필요하다.
이러한 입법의 개정방향으로, 먼저 사후규제로의 패러다임 전환을 제안한다. 합리적 목적을 위한 개인정보 활용을 허용하고, 개인정보처리에 관한 내용을 알기 쉽도록 고지한 후 정보주체가 통제권을 행사할 수 있는 방법을 마련하여야 한다. 그리고 정보주체의 정정·삭제·사후적 처리거부 등 사후적 통제수단뿐 아니라 기술적 조치, 기업의 자율 규제 등 다른 보호수단들과의 상호보완을 통하여 개인정보자기결정권을 실질적으로 보호하여야 할 것이다.
둘째, 개인정보자기결정권의 행사요건과 예외사유를 정함에 있어 정보주체의 보호이익과 정보처리자의 활용이익을 조화롭게 고려하여야 한다.

셋째, 가명정보의 활용목적을 명확히 규정하여 해석적 분쟁을 막고, 안전한 결합방법을 다각도로 구상하여 기업이 가명정보의 결합을 활발히 하는 동시에 가명정보에 대해서도 재식별의 위험이 있는 경우 정보주체가 개인정보자기결정권을 행사할 수 있게 하여야 한다.
넷째, 형벌중심의 제재규범을 사법적·행정적 제재로 전환하는 동시에, 개인정보보호위원회의 구성에 있어 독립성을 저해할 수 있는 국회의 추천방식 대신 국회의 동의를 거치는 방식으로 전환하여 민주적 정당성과 독립성을 확보하고, 수행체계의 일원화를 도모하여 개인정보보호규범이 통일적으로 집행될 수 있게 하여야 한다. 그리고 기술의 발달에 따른 개인정보보호 및 처리의 균형방법 모색에 유연히 대처하기 위해 기업의 자율규제를 지원하여야 한다.

Abstract ▼ AI-Helper

The importance of data in the 4th Industrial Revolution society, which is based on data from customized advertisements to autonomous driving, has increased to the point that it is likened to "oil" in the information industry. However, if the aggregation of personal information increases the risk of ...

The importance of data in the 4th Industrial Revolution society, which is based on data from customized advertisements to autonomous driving, has increased to the point that it is likened to "oil" in the information industry. However, if the aggregation of personal information increases the risk of surveillance by the state, and if the information is misused, it is not just a violation of privacy, but has significant side effects on the entire life of the information subjects, from government welfare services to credit and employment.
Before the development of computers, it was sufficient to regulate personal information under the Privacy Protection Act, but as information technology developed, such legislation alone could not prevent the risk of monitoring and distortion of social personality. This has led to a new right to decide when, to whom, and to what extent to disclose information about oneself. Our Constitutional Court called this the right to self-determination of personal information.
However, with the occurrence of a series of incidents of massive leakage and fraudulent use of personal information, the right to self-determination of personal information is recognised as an inviolable area, such as privacy rights. As a result, the processing of personal information without the consent of the information subjects is illegal, and if it is violated, it tends to be severely punished without asking for the occurrence and gravity of the infringement results.
However, the consent of the information subjects to the processing personal information is only the basis for the legitimacy of the processing personal information, not an essential content of the right to self-determination of personal information. The specific method of implementation of the right to self-determination of personal information is the discretion of the legislator. However, in order to recognize the control over the processing personal information by the information subjects, the right to access, correct, delete, and refuse to process personal information shall be recognized.
The right to self-determination of personal information is not an unlimited fundamental right. If it is necessary to process personal information in the public sector, it is strictly restricted by the rule of law, but in the private sector, companies and other subjects of fundamental rights may be granted freedom of processing personal information by the Constitution's fundamental right to freedom of business, freedom of expression, and freedom of speech including the right to know. Where the fundamental rights of opposition between the two parties conflict in one issue, appropriate harmony shall be sought by the principle of substantive harmonization.
An appropriate harmony between the right to control one’s personal information by the information subject and the freedom of processing personal information by the controller are implemented by the personal information protection laws. The personal information protection laws shall promote the protection and safe utilization of personal information while specifying the principles of personal information processing, rights to self-determination of personal information of information subjects, and Personal Information Protection Supervisory Authority.
However, Korea's personal information protection laws was basically designed as punishment-oriented rigid protection legislation based on the principle of prior consent. Not only cannot personal information be provided to third parties without the consent of the information subject, but collection for the legitimate interests of the controller is also difficult compared to overseas personal information protection act.
As the development of the Internet of Things makes it impossible to collect information with the consent of the information subject, and in the case of big data and artificial intelligence technologies, it is impossible to specify the purpose of collection and use.
For the protection and safe use of data in the era of the Fourth Industrial Revolution, ｢the Personal Information Protection Act｣, ｢the Credit Information Use and Protection Act｣ and ｢the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.｣ were revised in 2020 with the main focus on establishing a legal basis for the utilization and combination of pseudonymized information and unifying the performance system. However, Korea's personal information protection laws still excessively restrict the freedom of processing personal information of controller by combining penal sanctions with the principle of prior consent. And in recognition of the right to self-determination of personal information with no reason for exceptions and requirements for exercise of rights, if there is a request for access, correction or deletion of the information subject, it is required to comply with the request even though there is legitimate interest of the controller. In order to improve this irrationality, legislation is needed that actually harmonizes the protection of the right to self-determination of personal information of the information subject with the freedom of processing personal information of the controller.
In this direction of revision of legislation, we first propose a paradigm shift to post-regulation. Allow the use of personal information for rational purposes. It shall allow the use of personal information for rational purposes. After notifying the information on the processing of personal information so that it is easy to understand, a method for the information subject to exercise control over the processing of information shall be prepared. And the right to self-determination of personal information shall be substantially protected by supplementation with other means of protection, such as technical measures and autonomous regulations of enterprises, as well as follow-up control measures, such as the right to correct, the right to delete, and the right to refuse processing.
Second, in determining the exercise requirements for the right to self-determination of personal information and the reasons for the exception, the protective interests of the information subject and the benefits of utilization of the controller should be considered in harmony.
Third, the purpose of utilization of pseudonymized information shall be clearly prescribed to prevent interpretative disputes. A safe combination method shall be devised in various ways so that an enterprise can actively combine pseudonymized information. At the same time, where there is a risk of re-identification of pseudonymized information, the information subject shall be allowed to exercise his/her right to self-determination of personal information.
Fourth, at the same time as shifting punishment-oriented sanctions to judicial and administrative sanctions, the recommendation method of the National Assembly, which may hinder independence, shall be converted to the consent of the National Assembly to secure democratic legitimacy and independence in the composition of the Personal Information Protection Committee. In addition, the personal information protection laws shall be executed uniformly by promoting the unification of the performance system. And self-regulation of enterprises shall be supported to flexibly cope with the search for balanced methods of protecting and processing personal information following the development of technology.

주제어