발행년 : | 2018 |
---|---|
구분 : | 국내학술지 |
학술지명 : | 정보법학 |
관련링크 : | http://www.riss.kr/link?id=A106016776 |
개인정보, 가명정보, 익명정보에 관한 4개국 법제 비교분석
= Comparative Analysis of 4 Countries’ Legal System Regarding Personal Information, Pseudonymised Information, and Anonymous Information
국문 초록[abstracts]
엑스레이 사진에 환자의 이름이나 고유번호 등 인적사항이 쓰여 있지 않다면 이것을 개인정보로 볼 수 있을까. 만약 이것을 개인정보로 분류한다면 의료 데이터를 기반으로 질병 진단 인공지능을 연구⋅개발하는 딥러닝 회사는 사업을 포기해야 할 수도 있다. 정보주체의 동의를 받지 못하면 이를 촬영한 의료기관 외 제3자에게 제공하거나 목적 외로 활용하는 것이 법상 금지되기 때문이다. 엑스레이 사진은 지문정보처럼 전산 관리되지 않기 때문에 현재로서는 개인 식별에 사용될 여지가 적다. 즉, 활용상의 리스크가 낮다. 반면에, 이것을 활용하여 폐암 등의 진단을 자동화함으로써 얻어지는 가치는 국가 경쟁력과 국민의 삶의 질을 좌우한다. 이 때문에 EU, 일본, 미국에서는 그러한 데이터 활용의 길을 제도적으로 열어주고 있다. 그런데 우리나라에서는 그 간 개인정보의 범위를 상당히 넓게 해석하면서, 개인식별성이 극히 낮은 정보라 할지라도 보수적으로 접근하여 개인정보로서 분류하는 경향이 있어 왔다. 광범위한 규제는 신산업을 위축시킨다. 우리나라에서도 개인정보의 산업적 활용의 길을 열어주기 위한 시도가 있었다. 2016. 6. 30. 정부 6개 부처 합동으로 발표한 개인정보 비식별 조치 가이드라인이 그것 이다. 그런데 이것을 받아들이는 사회주체들의 관점은 크게 엇갈린다. 산업계는 빅데이터 산업의 활로를 열었다며 환영하면서도, 다른 한편으로는 위 가이드라인은 개인 정보를 비(比)개인정보로 만들면 규제 적용을 면해주겠다는 당연한 내용에 불과하여 종전과 달라진 것이 없다고 평가한다. 그런데 오히려 시민단체는 비식별 정보가 여전히 개인정보에 해당한다고 보아 가이드라인에 따라 서비스를 하던 공공기관과 기업을 개인정보 보호법 위반으로 고발하는 사태까지 빚었다. 한편, 일선 법원은 기술에 대한 이해 부족으로 재식별 위험이 현저한 정보를 가리켜 비식별 조치 완료된 정보로 판단해버리는 혼란을 겪고 있다. 물론 비식별화 제도는 외국에서도 통일이 되지 않아 국가별로 가명정보의 개념 및 활용 요건을 조금씩 다르게 규율하고 있기는 하다. 다만, 적어도 EU, 일본, 미국의 법제는 구체적 사안에서 재식별 리스크에 비추어 적정한 통제를 요구한다는 방향성에 있어서는 공통된다는 점을 참고할 필요가 있다. 이상과 같은 문제의식을 반영하여 2018. 11. 15. 국회에 발의된 개정법안은 개인정보 정의규정을 정비하고 가명정보 활용 여지를 열어주는 내용을 담고 있다. 개정안에 대한 논의 과정에서 우리 사회의 위험 통제 역량을 검증하며 개인정보 보호와 활용의 균형점을 도출할 것을 간절히 기대한다.
다국어 초록[Multilingual Abstract]
If the information such as the patient’s name or ID is not written to the x-ray photographs, can it be treated as personal information? If this is classified as personal information, a deep-running company that researches diagnostic artificial intelligence based on medical data may have to give up the business. If the consent of the data subject is not received, it is prohibited by law to provide it to a third party or use it in further research purpose. X-ray photographs are not computerized like fingerprint information, so there is little room for personal identification at this time. Thus, utilization risk is low. On the other hand, using this information to automate the diagnosis of lung cancer is very valuable. For this reason, the EU, Japan, and the US are institutionally opening the way to utilize such data. In Korea, however, the scope of personal information has been widely interpreted. For this reason, even if the possibility of individual identification of data is significantly low, there has been a tendency to approach conservatively and classify it as personal information. This widespread regulation undermines new industries. There has been an attempt to open the way of industrial utilization of personal information in Korea - “Guideline for Personal Information De-identification Measures” has been announced by the government on June 30, 2016. However, the viewpoints of the social actors who accept this guideline are very different. Industry welcomes the guildeline because it make big data industry legal. On the other hand, the above guidelines do not seem to be different from the previous status, because it is merely a reaffirmation of the content that the information will be exempted from regulation if personal information is made into non-personal information. However, NGOs have been accused of violating the personal information protection law of public institutions and companies that have been providing services according to the guideline, because de-identified information still belongs to personal information. Furthermore, the court confuses the information with significant re-identification risk with de-identified information. Of course, the de-identification legislation is not unified globally, concepts and of pseudonym information and legal obligation around it are slightly different by each country. But it should be noted that at least the EU, Japan, and the United States legislation are common in the direction of requiring appropriate control in light of re-identification risks in specific cases. The revision bill initiated by the National Assembly reflects the above-mentioned issues, and it contains the contents to improve the definition of personal information and to open the room for industrial utilization of pseudonymised information. In the process of discussing the amendment, we are eager to verify the risk control capacity of our society and to derive a balance of protection and utilization of personal information.
목차[Table of content]
Ⅰ. 서론 Ⅱ. 개인정보 범위 정의에 관한 법제 비교분석 1. 우리나라의 개인정보 정의규정 2. EU의 개인정보 정의규정 3. 일본의 개인정보 정의규정 4. 미국의 개인정보 범위에 관한 규율 5. 개인정보 범위 설정에 관한 국내의 혼란 및 시사점 Ⅲ. 개인정보 비식별화에 관한 법제 비교분석 1. EU의 가명화 및 익명화 개념 2. 우리나라의 개인정보 비식별 조치 가이드라인 3. 일본의 익명가공정보 법제 4. 미국의 개인정보 비식별화에 관한 법제 5. 국내 과도기 상황에서 본 외국법제의 시사점 Ⅳ. 결론 및 개정법안에 대한 소고