개인정보자기결정권의 보호범위에 대한 분석 - 개인정보의 개념을 중심으로 -
A Study on the Scope of Personal Information and the Right to self-determination over Personal Information
권건보(아주대학교)
18권 3호, 199~224쪽
초록
개인정보는 개인정보자기결정권의 구성요건적 요소라고 할 수 있으며, 개인정보자기결정권의 효력이 미치는 물적 범위로서 이해될 수 있다. 그리고 개인정보의 개념을 결정하는 것은 개인정보자기결정권의 보호범위를 획정하는 문제와 관련지을 수 있다. 개인정보 보호의 공백을 막기 위해 개인정보자기결정권의 보호범위는 개인식별의 가능성을 전제로 가능한 한 폭넓게 설정할 필요가 있다. 다만 구체적인 상황에서 정보처리자의 권리나 공익적 요청을 더 우선적으로 고려해야 할 필요가 있다고 판단되는 경우에는 개인정보자기결정권의 보호범위 중의 일부분을 실제의 보장 영역에서 배제하는 입법적 조치를 강구할 수 있다. 개인정보처리자의 법규 준수에 대한 부담의 완화 또는 개인정보의 자유로운 유통을 통한 사회적 편익과 효용의 증대 등의 필요성은 개인정보자기결정권의 제한과 관련하여 질서유지나 공공복리의 차원에서 고려될 수 있는 문제이다. 개인정보는 내밀한 영역에 속하는 정보에 한정되는 것은 아니며, 그 보호 역시 정보프라이버시의 차원을 넘어 인격의 자율성의 관점에서 필요한 것이다. 프라이버시와 개인정보는 어느 한 쪽이 다른 한 쪽을 완전히 포함하는 관계라 할 수 없지만, 대체로 양자가 상호 중첩되는 영역이 존재하는 경우가 많다고 할 수 있다. 공적 생활에서 형성되었거나 이미 공개된 개인정보도 개인정보자기결정권에 의해 보호대상이 될 수 있으며, 개인정보를 스스로 공개한 경우에도 공개 당시에 정보주체가 예상할 수 있었던 범위를 벗어난 개인정보의 처리에 대해서는 정보주체의 통제권이 미칠 수 있어야 한다. 다만 객관적으로 보아 정보주체가 공개된 개인정보의 활용에 동의하였다고 볼 수 있는 범위 내에서는 정보주체의 동의가 있었다고 보는 해석론도 가능할 것이다. 하지만 민감한 개인정보를 처리하거나 신용정보 등 특수한 분야의 개인정보를 처리하는 경우에는 유럽연합에서와 같이 명시적 동의를 거치도록 할 필요가 있다. 개인정보의 개념상 결합의 용이성을 판단함에 있어서 개인식별가능성의 판단 기준은 객관적 합리성과 식별의 잠재적 가능성에서 찾아야 한다고 본다. 설령 입수 또는 보유의 가능성을 고려한다고 하더라도, 식별의 가능성에 대한 인식의 주체는 특정의 개인정보처리자가 아니라, 동종 업계 종사하는 일반적 보통인을 기준으로 하여 잠재적인 식별수단의 입수 가능성이나 기술적 진보의 예견 가능성 등을 고려할 필요가 있다. 다만 다른 정보에 불법적으로 접근한 경우에는 결합의 용이성을 인정하기 어렵다고 할 것이다. 입법론으로 결합의 용이성을 인정할 수 있는 범위와 관련하여 관련 법률에서 보다 명확한 기준을 제시해줄 필요가 있다. 아울러 개인식별정보와 달리 개인식별가능정보에 대해서는 구체적인 규제의 정도를 상대적으로 완화하는 방향으로 입법을 정비하는 방안을 신중하게 검토해볼 수 있다.
Abstract
In this report, I analysed on issues related to Definition of Personal Information and the Right to self-determination over Personal Information. Through these analyses I could deduce implications for the legislative improvement. It can be summarized as follows. According to the Korea’s legislation for the protection of personal information, the term “personal information” includes the information which makes it possible to identify any specific individual through simple and easy combination with other information. But it is uncertain whether the other information is likely to come into the possession of the personal information controllers or not. Considering the high speed of ICT development it is inevitable to recognize both personally identified information and personally identifiable information as the personal information. But it is necessary that legislators should establish a clear criterion to make a decision about ‘simple and easy combination’ in the definition of personal information. In this context it can help to refer to the UK’s Data Protection Act of 1988 §1(1) to mention the possibility of other information possession. Where the data subject set his/her personal information abroad on his/her own, it is reasonable to assume that he/she gave a implied consent for other people’s collection and use of his/her personal information, in the absence of unforeseen circumstances. Where the personal information controllers process the sensitive data or credit information, it is desirable that the personal information controllers is legislatively required to seek the explicit consent from the data subject with respect to collection and use of these information.
- 발행기관:
- 한국비교공법학회
- 분류:
- 법학