빅데이터 시대 생성정보의 처리 체계 -

추론된 정보의 처리에 관한 우리 개인정보보호법의 규율과 개선 방안에 관한 고찰 

 = Legal Treatment of Inferred Data in Korea - With a suggestion for the amendment of the Personal Information Protection Act -

• 저자[authors] : 박광배(Kwang Bae Park),채성희(Sunghee Chae),김현진(Hyun Jin Kim)
• 학술지명[periodical name] : 정보법학
• 권호사항[Volume/Issue] : Vol.21No.2[2017]
• 발행처[publisher] : 한국정보법학회
• 자료유형[Document Type] : 학술저널
• 수록면[Pagination] : 1-44
• 언어[language] : Korean
• 발행년[Publication Year] : 2017
• KDC[Korean Decimal Classification] : 366
• 주제어[descriptor] : 개인정보보호법,개인정보,빅데이터,개인정보보호법 개정,추론된 정보,생성정보,프로파 일,동의,개인정보자기결정권,PIPA,personal information,big data,amendment of the PIPA,inferred information,generated information,consent,right to informational self-determination

초록[abstracts]

[본 연구는 빅데이터와 관련한 우리나라 개인정보보호법제, 특히 개인정보보호법의 개선 방향에 관한 논의로서, ‘빅데이터’의 다양한 측면 중 ‘정보 융합에 의한 새로운 정보의 생성’이라는 측면을 중점적으로 다룬다. 우리나라 개인정보보호법이 이러한 현상을 구체적으로 어떻게 규율하고 있는지 살펴보고, 우리 헌법상 개인정보자기결 정권의 원리를 척도로 하여 규율 내용의 타당성을 검토한다. 이를 바탕으로 부당한 것으로 평가된 부분을 개선하기 위한 방향성을 살펴 보았다. 이러한 과정에서 유럽 일반 개인정보보호규칙(이하 “GDPR”)을 참고하였다. 논의를 위하여, 관찰된 정보와 추론된 정보 모두를 포괄하는 개념으로서 ‘생성 정보’ 또는 ‘생성된 정보’라는 개념을 사용하기로 한다. 검토 결과 우리 개인정보보호법은 개인정보를 이용한 추론된 정보의 생성 및 개인 정보 아닌 새로운 지식의 생성과 관련하여, 정보주체의 사전 동의에 의존하는 경향이 있으며, 그 예외사유가 협소한 점을 발견하였다. 그러므로 개인정보자기결정권의 본질적 내용을 침해하지 않으면서도 다른 이익을 감안하여 개별 구체적인 형량의 여지를 좀 더 부여하는 방향을 모색할 필요가 있다. 다음으로, 정보주체에게 정보처리의 상황에 관하여 제대로 전달하도록 하는 규정이 유럽의 경우에 비하여 미비한 점이 발견되었다. 개인정보의 수집 및 이용에 대한 통제는 그러한 수집 및 이용에 대한 제대로 된 앎을 전제한다는 점에서, 우리 개인정보 보호법의 고지 관련 규정의 개정을 제안한다. 특히, 유럽의 사례와 같이 추론된 정보에 관한 사항을 충분히 고지하도록 법제화하는 방안 또한 검토해 볼 만하다고 생각된 다. 다만, 프로파일링의 로직, 중요성, 결과와 같이 상세한 내용을 정보주체에게 제공 하도록 할지 여부는 그 필요성과 정당성, 그리고 개인정보처리자의 영업비밀 보호라는 관점에서 신중한 접근이 필요하다. 정보주체의 통제권 관련하여서도 우리 개인정보보호법의 접근이 다소 경직된 것으로 보인다. 그러나 추론정보의 생성 특히 개인정보 아닌 새로운 지식의 생성과 관련 하여 정보주체에게 미치는 영향과 해당 처리의 성질 및 유용성, 처리를 정지할 경우개인정보처리자에게 발생할 수 있는 권리 내지 이익의 제한 정도 등을 감안할 때반드시 모든 경우 처리정지요구권을 관철시킬 필요가 없을 수 있다는 점을 반영할 필요가 있다고 생각한다. 한편 GDPR의 경우 추론된 정보에 기하여 개인에 대한 중대한 결정을 자동화된 방식으로 내리는 경우, 추론된 정보의 생성과 별도로 그러한 결정에 대한 거부권을 부여하는 내용의 규정을 두고 있는바, 우리나라에도 이와 같은 규정을 도입하는 방안을 검토해 볼 필요가 있다. 인공지능에 의하여 인간이 이해할 수 없는 상황에서 그에 대한 중대한 결정이 내려지고, 여기에 대하여 이의제기를 할 수 없는 상황이 발생할 수 있기 때문이다.,

This paper aims to provide insight on data protection laws in Korea relating to big data, including recommended amendments to the Personal Information Protection Act (“PIPA”) of Korea, by mainly addressing the ‘generation of new information through the convergence of existing information’ from among the various aspects of big data. Specifically, we have analyzed how the current PIPA regulates information created in such manner and have reviewed the propriety of provisions therein when measured against the principle of the right to informational self-determination enshrined in Korea’s Constitution. Based on the foregoing analysis, we provide recommendations for improving any provisions within the PIPA that have been found to be improper. We have referred to the EU’s General Data Protection Regulation (“GDPR”) when conducting our analysis and have decided to use the terms “generative information” or “generated information” to broadly encompass concepts such as observed information and inferred information. The results of our review indicted that the provisions within the PIPA tended to rely on the prior informed consent of data subjects in order to legitimize the generation of inferred information based on personal information or the generation of new knowledge that is not personal information and that exceptions were only recognized in certain limited circumstances. Therefore, it is necessary to provide additional flexibility regarding the severity of punishments under the PIPA based on other legitimate interests without compromising the fundamental principles of the right to informational self-determination. Additionally, we discovered that provisions of the PIPA, in comparison to the EU regime, were inadequate in obligating the full disclosure to data subjects of the actual conditions under which their data is processed. As such, we propose amending relevant provisions therein relating to the provision of notice to data subjects because the regulation of the collection and use of personal information presumes there is a proper understanding of the concepts of “collection” and “use”. In particular, we believe it is recommendable to contemplate imposing legal obligations to provide adequate notice on matters related to inferred information as is the case under the EU regime. However, when determining whether to provide detailed information such as the logic, significance, or results of profiling, etc. to data subjects, it may be necessary to adopt a more measured approach that takes into account the necessity and justification for providing such information and the need to protect the trade secrets of the data handler. Further, the PIPA’s approach towards ensuring the rights of data subjects to control the processing of their data appears to be somewhat rigid. However, in regards to the generation of inferred information, especially the generation of new knowledge that is not personal information, it may not be necessary to recognize the data subject’s right to request the suspension of processing under all circumstances when considering the impact to data subjects, nature and utility of the subject processing, and the degree of restriction of the data handler’s rights and commercial interests. Meanwhile, it may necessary to contemplate the introducing provisions such as those under the GDPR which grant data subjects the right to overturn decisions rendered by automatic methods that may significantly affect the individual and are based on inferred information. This is because data subjects may face situations where they will be unable to comprehend and challenge important decisions that have been rendered through artificial intelligence.]

목차[Table of content]

Ⅰ. 서론

Ⅱ. 검토의 전제 - 개인정보자기결정권의 의미 1. 서론 2. 개인정보자기결정권의 개념 및 내용

Ⅲ. ‘생성정보’ - 빅데이터 처리로 새롭게 생성된 정보에 대한 명명 문제 1. 서론 2. 현행법상 개인정보의 분류 3. 개인정보 구분에 관한 국내의 학설들 - 생성정보와 생산정보의 구분 4. 관찰된 정보와 추론된 정보의 구분 5. 검토

Ⅳ. 생성된 정보에 대한 현행 개인정보보호법상 취급 1. 개인에 관한 정보의 생성을 개인정보의 수집으로 볼 것인가? 2. 생성정보의 수집에 대하여 개인정보보호법 제20조가 적용되는가? 3. 생성정보의 수집 및 이용의 법적 근거 - 개인정보보호법 제15조와 제18조의 누적적 적용 4. 추론된 정보에 대한 개인의 통제권 내용

Ⅴ. 결론 - 현행법의 문제점 및 개선방안