개인정보의 적정한 활용 관련 법적 연구-건강정보의 상업적 활용등 이슈를 중심으로-
Legal Issues Related to Proper Process of Personal Information -Focused on Some Issues about Commercial Use of Health Information-
양기진(전북대학교)
48호, 673~697쪽
초록
현행 개인정보 법제는 개인정보의 신용정보 여부에 따라 소관법과 소관당국을 달리하는데 이러한 방식은 법규 준수를 어렵게 하고 불확실성을 초래한다. 특히 현행 신용정보법은 상거래 정보를 신용정보로 명시적으로 포섭하고 있고 이에 따라 종래 잠재되어 있던 신용정보와 개인정보의 간섭에 관한 논의를 불가피하게 만들고 있다. 개인정보 보호에 관하여 일반법인 개인정보법이 있는 이상, 개인정보 보호에 관한 사항은 개인정보법에 통합시키고 개인정보위원회에 권한을 주고 신용정보법은 신용정보회사 등에 관한 감독법으로정체를 개편⋅확립하여야 할 것이다. 두 번째로는 민감정보인 건강정보의 활용⋅제공 이슈가 있다. 의료법 등 관련법의 제동에 불구하고 건강정보를 어느 수준에서 어떠한 절차를 거쳐 허용할지 관장하는 법이 마련되어 있지 않다. 이러한 법적 불확실성은 입법에 의하여 해결되어야 한다. 세 번째로, 정보주체의 동의 없이 개인정보의 활용을 가능하게 하는 과학적⋅산업적 연구 목적의 범위에 대해서 충분한 공론화를 통하여 적정한 입법을 할 필요가 있다. EU 개인정보 보호 일반규정(General Data Protection Regulation) 및 근래 2020년 1월 EU데이터 보호 감독자(European Data Protection Supervisor)가 공개한 해석, 그리고 근래 캘리포니아 소비자 프라이버시법(California Consumer Privacy Act)의 동향을 참조하면, ‘과학적 연구’ 목적으로 개인정보 처리를 허용하기 위하여는 공익 내지 공공성 요건을 요구하는 것이 타당하다. 네 번째로 추가처리에 관한 해석이다. 추가처리 허용규정은 결국 정보처리자와 정보주체의 편의성을 함께 고려하고자 도입된 규정이므로, 정보주체의 기대가능성을 고려하여균형잡힌 입법이 필요하다. 현행 신용정보법과 같이 추가처리를 널리 가능하도록 하는 입법은 개인의 자기정보 결정권을 해할 가능성이 적지 않으므로 입법적 시정이 필요하다.
Abstract
The current Korean legal system, which discriminates between the competent law and the competent authority depending on whether personal information is credit information or not, causes legal uncertainty. In particular, as Credit Information Use and Protection Act (hereinafter, CIUP Act) explicitly includes commercial information as credit information, the problem of interference with personal information of credit information, which was previously latent, has inevitably emerged. To solve this problem, as long as Personal Information Protection Act (hereinafter, PIP Act) exists as a general law on personal information protection, CIUP Act should be reorganized as a supervisory law for credit information companies, and matters related to personal information protection should be incorporated into PIP Act and authorities should be given to Personal Information Protection Commission under PIP Act. Secondly, there is an issue of processing sensitive information such as health information. Despite prohibitions under Medical Service Act, etc., there is no law governing the legal scope and processing of health information; these legal uncertainties need to be resolved by legislation. Thirdly, about the scope of scientific and industrial research purposes, it is necessary to legislate appropriately through sufficient public debate, not based on the guidelines. As we refer to the EU GDPR and recent interpretations published by the EU Data Protection Supervisor in January 2020, as well as California Consumer Privacy Act, in order to allow the processing of personal data for the purpose of scientific research without the data subjects’ consents, it is reasonable to demand public interest or publicity. Fourth recommendation is the appropriate legislation about further processing. In the end, the rules for allowing further processing are those that consider the convenience of the information controllers and the data subjects together, so a balanced legislation is required. However, current CIUP Act permits further processing so widely thereby highly likely undermining the data subjects’ determination rights on self-information.; CIUP Act is required to be revised appropriately soon.
- 발행기관:
- 법학연구소
- 분류:
- 기타법학