Privacy by design의 내용과 법 제도
A normative Study on the “Privacy by Design” principle
김남심(sk경영경제연구소); 지성우(성균관대학교)
30권 4호, 35~64쪽
초록
‘개인정보의 자기결정권(right to self-determination of personal information)’이라 함은 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 것 정보 주체가 스스로 결정할 수 있는 권리”, “정보 주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리”를 의미한다. 최근 국내외에서 벌어지고 있는 개인정보보호의 규범적 대응 방향은 다음과 같이 2가지로 요약할 수 있다. 첫째, 정보 주체(data subject)의 권리 강화와 둘째, 개인정보에 대한 사전적 보호장치(Privacy by design and default, PbD) 마련이다. PbD 정책은 각 국의 개인정보보호 규제 체계에 따라 다르게 나타난다. 미국 FTC는 상품과 서비스 개발에서 개인정보보호를 고려하는 것이 필수적임을 정책의 기본 원칙으로 도입하여 운용 중이며, 시장 자율적인 행동 강령을 도입하도록 권고하고 있다. 적용 대상도 모든 상업적 주체에 적용되된다. 하지만 상업적 주체가 연간 5,000명 미만의 소비자로부터 중요하지 않은 데이터를 수집하고 제3자와 데이터를 공유하지 않는 경우 적용에서 배제된다. 반면, EU GDPR은 PbD를 개인정보보호의 원칙으로 바라보는 관점에서 더 나아가 보다 구체적으로 PbD를 “적절한 기술 및 관리조치”로 정의하고, 이를 법제화하여 정보처리자의 의무로서 명확히 하였으며 정보처리자가 PbD 이행 의무를 행동강령과 인증에 의해 입증하도록 하였다. 즉, PbD를 사전적 이행 의무로 확실히 규정하여 규제 당국의 규제 개입 근거를 마련하고 있다. PbD는 정보기술 및 시스템 설계, 상품 개발이나 서비스 기획 단계에서부터 프라이버시의 보호와 강화 조치를 확립하는 포괄적인 절차를 의미한다. PbD는 개인정보보호를 실행하는 절차 또는 원칙에서 출발해 빅데이터 기술과 관리전략으로 구체화되어 오다가, 최근 EU GDPR에 법제화되면서 그 법적 의미가 “개인정보 처리와 관련한 법 요건 충족을 위해 준수해야 할 적절한 기술 및 관리조치”로 구체화되었다. EU GDPR의 적용 범위는 광범위하여 PbD의 법적 의미 해석에 있어 참고가 될 수 있다. 우리나라에서는 IoT 정책에서 “보안이 내재화된 IoT 기반 조성(Security by Design)”로 도입되어, 홈가전, 의료, 교통, 환경, 재난, 제조, 건설 등 IoT 분야에서 보안 내재화 정책을 추진해 왔다. 하지만, PbD가 일반 개인정보보호의 규범화 논의로까지 이어진 것은 아니다. 하지만 PbD의 적용 방식은 각국의 개인정보보호 체계에 따라 달라질 수 있다.
Abstract
The General Data Protection Regulation of EU(GDPR) brings lots of important changes in 2018, and organisations have a lot to do to remain compliant. One such change is the need for ‘Privacy by Design(PbD)’. PbD includes internal projects, product development, software development, IT systems, and much more. Until today, tagging security or privacy features on at the end of a long production process would be fairly standard. According to the ‘PbD principle’ governments should take into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons. Moreover the controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. And controller should follow some principles such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. Up to now korean government has not legalized this principle. But in the future perhaps we should consider legalize PbD for the foreseeabe future.
- 발행기관:
- 법학연구원
- 분류:
- 법학