個人情報 處理委託의 법적 규율에 관한 小考 - 유럽 GDPR, 일본법과의 비교를 포함하여 -
A Study on the Legal System of the Consignment of Personal Data Processing - including comparison with European GDPR and Japanese law -
한승수(중앙대학교)
14권 2호, 71~102쪽
초록
개인정보의 보호에 관한 법률(이하 ‘개인정보보호법’)을 비롯한 소위 데이터 3법이 대대적으로 개정되어 시행되었다. 이 개정에 여러 눈에 띄는 변화가 있는데, 본고에서는 개인정보 처리위탁에 관하여 검토한다. 정보통신망 이용촉진 및 정보보호에 관한 법률에서 담고 있던 여러 개인정보 관련 규정이 사라지면서, 우리 개인정보보호법이 개인정보 처리 위탁에 관하여는 통합적으로 규율하게 되었는데, 이러한 변화는 전체적으로 긍정적으로 평가될 수 있다. 그러나 보다 구체적으로 보면 조금 더 생각해볼 점이 있다. 먼저, 취급위탁에 있어 동의 요건은 사라졌지만 여전히 모든 수탁자를 공개하도록 되어 있는데 이러한 공개가 실질적으로 개인정보자기결정권의 보장에 주는 유익함보다 그로 인해 야기되는 위험성이 더 커 보인다. 또한 실제 위수탁의 양상을 볼 때 수탁자의 책임을 법령에서 일률적으로 규정할 필요도 없다고 생각된다. 기본적으로 위탁에 관한 기존의 관점을 바꿀 필요가 있지 않은가 싶다. 즉, 개인정보의 처리위탁을 개인정보 처리에 있어서 일정한 위험을 야기하는 예외적인 양상이 아니라 현대사회의 통상적인 업무처리 방식으로 인정할 필요가 있다. 이러한 사고는 유럽 GDPR이나 일본 개인정보보호법의 내용에서도 확인할 수 있다. 그로부터 처리위탁을 업무처리에 있어서 하나의 선택지로서 이해하고 그러한 위탁자의 선택에 대해 위탁자 스스로 책임을 지도록 필요한 규율을 하는 방향으로 생각하여야 한다. 즉, 처리위탁은 개인정보자기결정권의 문제와 직결된 것이 아니라고 할 것이어서 정보주체의 개입의 문제가 아니라 적절한 업무처리 혹은 안전한 관리의 시각에서 접근하여야 할 것이다. 그러한 시각에서 보면 모든 수탁자를 명시하도록 하는 현행 개인정보보호법 규정은 일부 개선할 필요가 있어 보인다.
Abstract
The so-called ‘three data acts’, including the Personal Information Protection Act (hereinafter referred to as the "PIPA"), were revised and implemented extensively. Although there are many notable changes in this amendment, this article review the consignment of personal data processing. With the disappearance of various personal data-related regulations contained in the Information and Communication Network Utilization Promotion and Information Protection Act, the PIPA has become integrated with respect to the consignment of personal data processing, and these changes can be evaluated positively overall. But more specifically, there is something to think about. First, though the consent requirement for handling consignment has disappeared, all consignees are still required to be disclosed. However, the risks arising from such disclosure seem greater than the benefits provided to guarantee the right to self-determination of personal data. In addition, in view of the actual consignment practice, it seems that there is no need to uniformly regulate the responsibility of the consignee. Basically, it seems necessary to change the existing perspective on consignment. In other words, it is necessary to recognize the consignment of personal data as the usual way of doing business in modern society, rather than an exceptional aspect that causes a certain risk in the processing of personal data. These ideas can also be found in the content of the European GDPR and the Japanese Personal Data Act. From that point on, we have to understand it as an option in the performance of their duties, and consider it in a way that the consignors itself is responsible for the choice of themselves. In other words, the consignment of processing is not directly related to the issue of the right to self-determination of personal data, so it should be approached from the perspective of proper business handling or safe management, not from the intervention of the data owners. From that point of view, it seems necessary to make some improvements to the current PIPA which requires all consignees to be specified.
- 발행기관:
- 법학연구원 문화.미디어.엔터테인먼트법연구소
- 분류:
- 지적재산권법