개인정보 비식별 조치 가이드라인의 법률적 의미와 쟁점
= Legal Issues on Guideline for Personal Information De-identification Measures
- 저자[authors] 전승재(Jeon, Seung Jae),주문호(Joo, Moon Ho)***178),권헌영(Kwon, Hun Yeong)
- 학술지명[periodical name] 정보법학
- 권호사항[Volume/Issue] Vol.20No.3[2017]
- 발행처[publisher] 한국정보법학회
- 자료유형[Document Type] 학술저널
- 수록면[Pagination] 259-290
- 발행년[Publication Year] 2017
- KDC[Korean Decimal Classification] 366
- 주제어[descriptor] 개인정보,빅데이터,비식별,재식별,Opt-In,법률유보원칙
- Personal Information,De-identification,Re-identification,Opt-In,Principle of Statutory Reservation
초록[abstracts]
[The Personal Information Protection Act of Korea includes strict opt-in clause for prior consent thereby forcing personal information processors who collect⋅use⋅provide personal information to third parties(herein after denoted collectively as ‘processing’) to clearly acquire consent from the individuals concerned in advance; at the same time, personal information thusly acquired may only be used within the parameters of the consent given explicitly for processing. However, it is difficult to apply such measures in the big data environment we are facing. As alternative, the concerted effort from 6 government ministries of the Korean government led to the announcement of the 「Guideline for Personal Information De-identification Measures」 on June 30, 2016 which allows the use of de-identified personal information for big data analysis and also the establishment of standards for technical⋅managerial measures for data processors. Such efforts are very encouraging in that the institutional foundation that allow big data analysis and exchange of analyzed data is being built. However, despite the establishment of such a guideline, there still exist a number of issues that need legislative⋅policy actions. First, despite the title of the Guideline for Personal Information De-identification Measures, the legal characteristics of this Guideline confers administrative regulatory authority that greatly affects the big data industry and the rights⋅obligations of its practitioners; as such, prior to enactment of this Guideline, appropriate regulatory control procedures such as administrative notice and opinion gathering should have been followed. Second, this Guideline imposes post management responsibilities on de-identified information; the core of this management basically consists of the transferor of personal information to inform and demand the transferee to stop processing of the transferred personal information if there is possibility of re-identification as well as all other measures such as the retrieval⋅deletion of the compromised information. But because such post management responsibilities have been incorporated into this Guideline and enforced on the public without proper delegation from legal regulations, thereby creating a possible conflict with the principle of legal reservation. Third, the enforcement of post management responsibilities above possesses a large likelihood of discouraging the exchange of the result of big data analysis. The burden posed on the transferor of de-identified personal information even after the transfer to monitor possible risks of re-identification means that the transferor is not free from the risk of re-identification of transferred information over which the transferor has no control whatsoever. Therefore, preparing relevant legal regulations to reasonably limit the responsibility of the transferor so long as the transferor has faithfully followed the measures in the Guideline and punishing the perpetrators of the illegal act of re-identification together with the transferee for not preventing such acts is more in line with the efforts to promote the big data industry. Fourth, the Guideline for Personal Information De-identification Measures defines information that have not been properly processed in accordance with the de-identification measures and procedures as ‘personal information’ which leads to the logical conclusion that the act of de-identification may be seen as intrusion on personal information. In such case, a review is needed to determine if such minor negligence should be punished based on the same legal grounds. Fifth, because external experts carry out the evaluation of the appropriateness of the de-identification measures and these experts are legally different entities from the personal information processors, a standard for distributing responsibility of the risk of de-identification is needed.
우리나라 개인정보 보호법은 엄격한 사전동의 방식(Opt-In)을 채택하여, 개인정보처리자는 개인정보를 수집⋅활용⋅제3자 제공(이들을 일괄하여 지칭할 경우 이하 ‘처리’라 한다)함에 있어 사전에 정보주체의 명시적 동의를 받아야 하며, 그 동의 받은 처리목적 범위 내에 한정하여서만 이를 활용할 수 있다. 그러나 이와 같은 규제 방식은 빅데이터 환경에서 그대로 적용되기 어렵다. 대안으로 정부는 6개 부처 합동으로 2016. 6. 30. 「개인정보 비식별 조치 가이드라인」을 발표함으로써 비식별화(de-identification)를 거친 개인정보를 빅데이터 분석 용도로 사용할 수 있도록 허용하고 이를 위해 사업자가 취해야 할 기술적⋅관리적 조치의 기준을 마련하기에 이르렀다. 이로 인해 빅데이터 분석 및 분석된 데이터의 교류가 가능해지도록 하는 제도적 기반이 조성되었다는 점은 상당히 고무적이다. 다만, 이번 가이드라인의 제정에도 불구하고 다음과 같은 문제점이 발견되어 입법적⋅정책적 해결을 요한다. 첫째, 개인정보 비식별 조치 가이드라인은 그 명칭에도 불구하고 법적 성질은 행정규칙에 해당하며, 빅데이터 산업의 방향성과 그 종사자들의 권리⋅의무에 지대한 영향을 미친다는 점을 고려할 때 그 제정에 앞서 행정예고 및 사전 의견청취와 같은 규 범통제 절차를 거칠 필요가 있었다. 둘째, 개인정보 비식별 조치 가이드라인은 비식별 정보에 대한 사후관리 의무를 부과하고 있는데, 여기에는 비식별 정보의 양도인이 사후에 재식별 가능성을 발견할 경우 이를 즉시 양수인에게 통지하고 처리 중단 요구 및 해당 정보의 회수⋅파기 등 조 치를 하여야 한다는 내용이 포함되어 있다. 그런데 위와 같은 사후관리 의무는 법률규정의 위임 없이 이번 가이드라인에서 독자적으로 정하여 일반국민에게 부과한 것으로서 법률유보원칙과 조화되기 어려운 측면이 있다. 셋째, 위와 같은 사후관리 의무의 부과는 빅데이터 분석 결과의 교류 자체를 위축시킬 우려가 크다. 비식별 정보의 양도인으로서는 해당 데이터를 양수인에게 전달한 이후에도 출현할 수 있는 재식별 위험을 모니터링하여 이를 양수인에게 알려주어야 하 는 새로운 의무를 부담함으로 인하여, 향후 양도인 자신의 책임 영역 밖에서 언제든지발생할 수 있는 재식별 리스크를 떨치지 못하게 되기 때문이다. 따라서 비식별 정보의 양도인이 가이드라인에 따른 조치를 충실히 수행한 경우 향후 그의 책임 영역 밖에서 발생하는 재식별 행위에 대하여는 그 재식별 행위자 및 재식별을 방지하지 못한 양수인의 책임을 추궁하는 것에 그치고, 양도인의 책임을 합리적인 범위 내로 제한할 수있는 근거규정을 마련하는 것이 빅데이터 산업 활성화 취지에 부합할 것이다. 넷째, 개인정보 비식별 조치 가이드라인은 비식별 조치의무를 ‘불충분’하게 거친 정보의 경우 ‘개인정보’에 해당한다고 보아 그 처리 행위에 대해 개인정보 침해에 관한처벌규정을 그대로 적용하는 논리구조를 취하고 있으나, 고의⋅중과실에 이르지 않고 단순 경과실로 비식별 조치의무를 불이행한 경우에도 동일한 근거규정으로 처벌할 수 있는지 여부에 대하여 검토가 필요하다. 다섯째, 비식별 조치의 적정성 평가를 수행하는 외부위원은 해당 정보의 개인정보처리자와는 별개의 법적 주체이므로, 그러한 외부위원에게 어느 정도의 비식별 위험에 관한 책임을 분배시킬 수 있는지에 관한 기준이 필요하다.]
목차[Table of content]
Ⅰ. 서론 Ⅱ. 빅데이터의 등장에 따른 개인정보 규제의 패러다임 변화 1. 현행법상 개인정보 규제 패러다임 – ‘통지 및 동의 원칙’ 2. 빅데이터 환경에 있어 현행법상 규제 패러다임의 한계 3. ‘개인정보’의 범위에 관한 논의 및 ‘비식별화’ 개념의 등장 Ⅲ. 개인정보 비식별 조치 가이드라인의 제정 및 주요 내용 1. 제정 경과 및 취지 2. 의무부과 규정의 내용 3. 가이드라인 발표에 따른 각계의 반응 Ⅳ. 개인정보 비식별 조치 가이드라인의 법률적 쟁점 1. 법적 성격 및 공표 절차상의 쟁점 2. 법률의 수권 없이 제정된 사후관리 의무 규정의 무효성 3. 사후관리 책임 범위의 합리적인 제한 필요성 4. 개인정보처리자의 비식별 조치의무 불이행 책임 추궁의 문제 5. 외부 평가위원과의 재식별 위험 책임 분배 관련 고려사항 Ⅴ. 결론 및 제언