개인정보의 제3자 제공과 처리위탁간의 명확성에 대한 연구
A Study on Clarity in the Provision and Processing Entrustment of Personal Information
이제희(조선대학교)
67호, 59~88쪽
초록
「개인정보보호법」은 2020년 개정을 통해 가명정보의 개념이 도입되고, 2023년 개정을 통해 개인정보 수집·이용의 대원칙인 ‘사전동의 원칙’이 완화되는 등 큰 변화가 이루어졌다. 개인정보의 제3자 제공과 처리위탁에 대한 규정은 개인정보 처리업무의 재위탁 규정이 신설되는 등 일부 개정이 그쳤다. 그러나 개인정보의 수집·이용과 개인정보의 제3자 제공은 정보주체와의 관련성, 정보주체의 개인정보 활용에 대한 예측 가능성 등 본질적으로 다른 만큼 현행 규정의 전면적인 개정보다 체계 정합성 확보가 우선되어야 한다. 개인정보의 제3자 제공과 개인정보의 처리위탁을 포괄하는 개념이 개인정보의 이전이다. 양자는 구별된다는 점에서 일본의 「개인정보보호법」과 같이 개인정보의 제3자 제공의 예외사유로 개인정보의 처리위탁을 규정한 것은 바람직하지 않다. EU는 개인정보의 제3자 제공과 개인정보의 처리위탁을 별개의 조문에서 규정하기보다 정보주체의 동의 여부를 기준으로 접근한다. 이와 같은 방식은 개인정보의 활용 단계별 규율의 정도를 달리하기 어렵다는 단점이 있다. 개인정보의 제3자 제공과 개인정보의 처리위탁에 관한 규정은 현행과 같이 별도로 규정하되 체계상 정합성을 확보할 수 있는 대안을 제시하였다. 첫째, 개인정보 제3자 제공을 규정하며 정보주체의 동의에 따른 제공을 원칙으로 하고, 비동의 제공을 예외로 규정해야 한다. 둘째, 가명정보도 개인정보인 만큼 가명정보의 제공도 정보주체의 동의가 요구된다고 규정해야 한다. 셋째, 개인정보의 수집·이용과 개인정보의 제3자 제공의 동의 사항이 유사하다는 점에서 유사 조문의 통합을 검토해야 한다. 위 방식이 향후 법 개정에 어려움을 초래할 수 있지만 「개인정보보호법」이 성숙화 과정에 이른 만큼 국민의 법률 접근성 향상 측면에서 접근할 필요가 있다. 넷째, 개인정보 업무위탁에 관한 규정은 ‘개인정보의 처리 제한’에 대한 절에서 민감정보의 처리 제한과 함께 규정된 만큼 ‘개인정보의 수집·이용·제공’에 대한 절로 이동되어야 한다. 향후 「개인정보보호법」 개정 논의에서 입법 체계에 대한 활발한 논의가 이루어져야 할 것이다.
Abstract
The Personal Information Protection Act was revised in 2020 to introduce the use of pseudonym information, and to ease the "principle of informed consent," a major principle for collecting and using personal information, through the revision in 2023. Some modifications were made regarding the provision of personal information to third parties and the entrustment of processing, particularly introducing regulations on the re-entrustment of personal data processing tasks. However, since the collection and use of personal information and the provision of personal information to third parties are essentially different, it should focus on ensuring system consistency rather than modifying the content of the current regulations. It is not desirable to stipulate the entrustment of personal data processing as an exception to the provision of personal information to a third party, as in Japan's Personal Information Protection Act, given that it distinguishes both. The EU distinguishes between the two based on whether the consent of the data subject is required, but this approach has the disadvantage that it is difficult to regulate differently for each stage of use of personal information. Regulations on provision personal information to third parties and the entrustment of personal data processing should remain separate as they are now, but alternative proposals are provided to ensure system consistency. First, when regulating the provision of personal information to third parties, it should be based on the principle of providing it with the consent of the data subject, with non-consensual provision being an exception. Second, it should be stipulated that the provision of pseudonymous data also requires the consent of the data subject, considering that pseudonymous data is one of the types of personal information. Third, since the collection and use of personal information and the consent of providing personal information to a third party are similar, the accessibility of the law should be increased through the integration of similar provisions. Finally, the regulations regarding entrusting personal data processing, currently found in the section on "Restrictions on Processing Personal Information," should be relocated to the section concerning the "Collection, Use, and Provision of Personal Information.
- 발행기관:
- 안암법학회
- 분류:
- 법학일반