사물인터넷과 블록체인 시대에 있어 개인정보보호법제의 최근 동향과 과제 ― 국내의 개인정보보호법과 GDPR을 중심으로 ―
Current Trends and Challenges of the Data Protection Law System in the Internet of Things and Blockchain era — A Study on the Data Protection Law in Korea and GDPR —
임규철(동국대학교)
29권 3호, 195~239쪽
초록
사물인터넷 및 블록체인 시대 성공을 위해서는 사회의 신뢰도 유지가 그 전제조건이다. 그 신뢰의 핵심은 개인정보법제에 있어서는 ‘개인정보의 적절한 보호조치를 통한 활용’이다. 보호원칙 중 목적구속성, 최소수집의 원칙과 정보주체의 권리는 양보할 수가 없는 영역이다. 국내 법제와 GDPR도 그런 방향이다. 사물인터넷 시대는 전환기술이 뛰어나기에 원래의 수집목적과 다른 목적으로의 처리(제공 및 공유 등) 또한 수월하다. 그런 상황을 막기 위해 국내외의 모든 법제는 규제의 정도는 다를지언정 사물인터넷의 데이터처리에 대해 제한적 허용을 하고 있다. 즉, ‘충분하고 명백한 자유로운 동의제도, 자동화된 정보처리 및 프로파일링의 제한, 자유로운 정보이동권 보장 혹은 개인정보처리자의 정당한 이익으로의 포함 혹은 최초 수집과 양립가능성이 없는 다른 목적으로의 전환은 법령의 규정이 없는 한 불가능’의 규정들을 가지고 있다. GDPR은 가명처리를 개인정보의 보호와 활용의 균형점으로 인식하고 있다. 따라서 ‘공공기록물 보존, 과학ㆍ역사연구 혹은 통계에 있어 목적범위 내에서 가명처리를 한 경우 보안조치 등을 행한 후 동의가 없이 제공 등이 가능하다. 가명처리된 정보의 경우 보안조치 등의 선행 후 처음의 목적과 연관성, 수집배경, 개인정보의 성격, 추가처리의 결과 등을 종합적으로 고려하여 동의가 없이 처리가능하다. 블록체인 생태계는 기본적으로 개인정보보호원칙과 과거 및 현재의 기술력으로 본다면 일치하기가 쉽지는 않다. 그렇다고 하더라도 블록체인 기술에 있어 개인정보 처리와 관련이 없거나 적게 하는 기술개발이 요원한 것은 아니다. 이는 기술규제 외에도 개인정보 보호기술의 촉진으로도 문제를 해결하여야 한다는 것을 의미한다. 표면적으로만 본다면 위의 상황에 대해 정보주체에 대한 침해로 볼 수도 있지만 개인정보 권리강화 목적으로 블록체인 활용이 가능하기도 하다. 따라서 블록체인과 개인정보의 보호는 상극이라고 보기는 힘들다. 여기에 개인정보와 친화적인 기술개발을 위한 특히 ‘저장 및 가명처리 기술’을 중심으로 재정적 지원도 동시에 강구해야 한다. 유럽연합이 2018년 적정성 평가 시 일본에 요구했던 추가적 보호조치 내용들, 즉, ‘민감정보 범위 확대, 정보주체의 개인정보 접근 및 수정 권리 보장장치 마련과 공공기관의 감독강화, 제3국에서 다른 제3국으로 정보의 재전송 시 보호수준 유지, 형사법 혹은 국가안보목적상의 공공기관의 접근 시 안전장치의 마련, 개인정보보호위원회의 EU 시민의 자기정보 접근 관련 민원을 조사하고 해결하는 불만처리 기구 존재’를 적극적으로 검토할 필요가 있다.
Abstract
Maintaining social trust is a prerequisite for the success of the Internet of Things and the blockchain era. The key to that trust is the use of ‘appropriate privacy measures’. Restricted permission is provided for data processing on the Internet of Things. In other words, there is ‘a free and explicit system of consent, restriction of automated data processing and profiling, guarantee of free data transport right or inclusion into the legitimate interests of persons or conversion to other purposes without initial collection and compatibility’. The GDPR recognizes pseudonym processing as a balance between the protection and utilization of personal information. Therefore, if a public record is preserved, scientific, historical research, or statistical data is given under a false name, security measures can be taken and provided without consent. For data that has been processed with pseudonym, it can be processed without consent by comprehensively considering the purpose of the first and its relevance, background of collection, characteristics of personal data, and results of additional processing. The blockchain ecosystem is not easy to harmonize based on the principles of data protection and past and present technology. This does not mean that there is a long way to develop a technology that is not related to or does little to handle personal data in blockchain technology. This means that in addition to technical regulations, the promotion of data protection technologies should solve the problem. On the surface, the above situation may be viewed as an infringement on the data subject, but it may also be possible to utilize the blockchain for the purpose of enhancing personal information rights. Therefore, the protection of blockchain and personal data is hardly a trade off. In addition, the amendment does not include the erasure and correction rights considering the blockchain era. Also the excessive expansion of pseudonym processing in the revision, the failure of the data protection officer's ‘business independence’ regulation, private expansion of privacy impact assessment. The use of blockchains can increase the reliability and the transparency of this approach while preserving the privacy of the electric vehicle owners.
- 발행기관:
- 미국헌법학회
- 분류:
- 헌법