EU GDPR상 프로파일링 규정의 법적 분석
A Legal Analysis of the Profiling Provisions in the EU GDPR
박노형(고려대학교); 정명현(고려대학교)
56호, 283~315쪽
초록
프로파일링은 금융, 건강, 마케팅과 광고 등 다양한 부문에서 의사결정에 도움을 준다. 빅데이터 분석기술, 인공지능 및 머신 러닝 등 과학기술적 발전으로 프로파일의 생성과 자동화된 의사결정이 보다 용이하게 되었고, 결과적으로 개인의 권리와 자유에도 중대한 영향을 주게 되었다. 개인이 이러한 프로파일링 등에서 자신의 개인정보의 처리 여부 및 그 과정을 이해하기 어렵다는 사실이 문제이고, 프로파일링으로 개인이 특정 유형으로 분류됨에 따라 기존의 편견이나 사회적 격리 또는 차별에 따른 피해를 입게 될 수도 있다. 경우에 따라서는 프로파일링을 통한 예측이 정확하지 않을 수 있고 이런 경우 개인의 권리와 자유의 침해는 더욱 부당하게 될 수 있을 것이다. 프로파일링을 명시적으로 규정하고 있는 유럽연합의 GDPR은 프로파일링을 포함한 자동화된 처리에만 기초한 의사결정에 따라 정보주체가 피해를 보지 않도록 규정하고 있다. 자동화된 의사결정에 관하여 GDPR은 1995년 개인정보보호지침과 유사한 제한을 두고 있지만, 다음과 같이 중요한 사항을 변경하였다. 첫째, 프로파일링의 개념을 정의하고 있고, 둘째, 정보주체의 명시적 동의가 프로파일링을 포함하는 자동화된 처리에만 기초한 결정을 허용하는 새로운 법적 근거가 되며, 셋째, 민감정보에 기초한 프로파일링을 포함하는 자동화된 처리에만 기초한 결정을 예외적으로 허용하고, 넷째, 컨트롤러는 정보주체에게 프로파일링에 관한 정보를 고지할 의무가 있으며, 다섯째, 개인정보의 역외이전을 허용하는 ‘구속력 있는 기업규칙’ (Binding Corporate Rules)은 최소한 14개 요건을 명시해야 하는데, 프로파일링을 포함하여 자동화된 처리에만 근거한 결정을 따르지 않을 권리가 포함되어야 한다. 한국은 개인정보보호법 등에서 프로파일링을 포함한 자동화된 의사결정을 규정하지는 않지만, 일부 관련된 규정을 두고 있다. 이제 국내에서도 제4차 산업혁명에 순응하여 경제사회적 발전을 도모하는 마당에 개인정보보호법에 분명하게 프로파일링을 포함한 자동화된 의사결정에 대한 규정을 포함하도록 개정이 이루어질 필요가 있다. 개인정보보호 차원에서 정보주체와 개인정보처리자의 이익이 균형을 이루어져야 할 것이며, 이 점에서 GDPR이 좋은 선례가 될 수 있다.
Abstract
Profiling helps decision-making in various areas such as finance, health, marketing and advertisement. Scientific and technological advancements with big data analytics, artificial intelligence and machine learning are making easier the creation of profiles and the consequent decision-making. However, the rights and freedoms of individuals, here data subjects for data protection purposes, would be negatively affected by those advancements. It must be a serious matter that individuals would not easily find the fact of processing of their personal data in this context and how the processing goes. They are likely to be subject to risks of unreasonable social segregation or discrimination from a certain way of classification. The assessments through profiling may not always be correct, and in this case the rights and freedoms of those individuals may be further breached unjustifiably. The General Data Protection Regulation (GDPR) of the European Union, to be applicable on 25 May 2018, provides for profiling explicitly. It provides for specific provisions that individuals are not to suffer from decisions solely based on automated processing including profiling. As to the provisions on automated decision-making, while GDPR is roughly similar to 1995 Directive, it has the following important changes. First, the concept of profiling is introduced. Second, the explicit consent of data subjects is a new lawful basis allowing decisions solely based on automated processing including profiling. Third, those decisions above are exceptionally allowed even for special categories of personal data. Fourth, controllers are obligatory to provide the information on profiling to data subjects. Fifth, binding corporate rules must contain the right of data subjects not to be subject to those decisions above. Korean laws on data protection have certain provisions relating to profiling, although they are not directly dealing with it. As the ways to take advantage of the fourth industrial revolution are seriously explored these days, it is a right time to provide the specific rules on profiling in those laws on data protection. There must be a right balance in data protection between data subjects and data processors in Korean terminologies. GDPR must be a good model for the Korean data protection laws in this respect.
- 발행기관:
- 안암법학회
- 분류:
- 법학일반