EU GDPR상 개인정보보호를 위한 기업의 책임 제도 개선 방안에 대한 고찰
A Study on the Improvement of Corporate Responsibility System for Personal Information Protection under the EU GDPR
고재종(선문대학교 법경찰학과)
32권 3호, 309~350쪽
초록
빅데이터, 사물인터넷, 인공지능 등 4차 산업혁명 시대에 정보주체의 개인정보 가치는 급속도로 증가하고 있다. 특히, 기업은 빅데이터 분석 아키텍처와 인공지능 기반 알고리즘, 클라우드 컴퓨팅 등을 통해 거의 실시간의 데이터 분석을 함으로써 사회 각 분야에 효율성과 통찰력을 제공하고, 미래 예측을 통해 경제와 산업의 지속적 발전을 위한 새로운 동력을 제공하고 있다. 다만, 수많은 정보주체의 정보처리 과정에서 민감한 개인정보가 노출되거나 노출될 위험성도 그만큼 증가할 수 있다는 문제점이 지적되었다. 이에 EU는 일반데이터보호규정을 제정 및 개정을 하여 개인정보에 대한 정보주체의 권리 보장 및 기업의 책임성 강화하는 규정을 마련하였다. 따라서 이 논문에서는 정보주체의 권리 보호를 위하여 EU가 규정한 기업의 책임성 강화 제도를 검토하여 우리나라의 「개인정보보호법」의 개선방안을 제시하고자 하였다. 개선 방안으로는 다음을 들 수 있다. 첫째, 우리나라도 포괄적인 개인정보처리자로 규정할 것이 아니라 이를 세분화하여 GDPR처럼 개인정보 관리자, 처리담당자 및 그들의 대리인으로 구분할 필요가 있고, 그들 간의 책임관계를 명확하게 할 필요가 있다고 본다. 둘째, 우리나라 개인정보보호법도 GDPR처럼 설계 및 기본 설정에 의한 개인정보 보호의무를 도입하여 설계 단계에서부터 개인정보를 철저히 보호할 필요가 있다고 본다. 셋째, 개인정보 처리 활동의 기록의무의 대상자와 관련하여 개인정보의 보유량이 아닌 종업원수에 따라 기록의무를 부여할 필요가 있다고 본다. 마지막으로 개인정보보호책임자와 관련하여 소규모 영세 기업에 대해서는 여러 기업을 통합하여 1인의 개인정보보호책임자를 두는 방안을 검토할 필요가 있으며, 비밀유지의무 내지 이해상충방지의무 규정을 마련할 필요가 있다고 본다.
Abstract
Entering the era of the 4th industrial revolution, such as big data, the Internet of Things, artificial intelligence, and cloud computing, the value of personal information of data subjects is constantly increasing. In particular, companies analyzed data in almost real-time through big data analysis architecture, artificial intelligence-based algorithms, and cloud computing. It provides efficiency and insight to each field of society and provides a new engine for the sustainable development of the economy and industry through future prediction. However, it was pointed out that the risk of exposing or exposing sensitive personal information while processing the data of the data subject increases accordingly. Accordingly, the EU enacted and revised general data protection regulations to protect the rights of data subjects to personal information and to strengthen corporate responsibility. Therefore, this paper compares and reviews the EU's system to strengthen corporate responsibility to protect the rights of data subjects and suggests ways to improve Korea's current legal system. As a result, some improvement measures are as follows. First, First, Korea also needs to define it as a segmented personal information controller, not a comprehensive personal information controller. By doing this, I think it is possible to clarify the relationship of responsibility between them. Second, Korea's Personal Information Protection Act, like the GDPR, needs to introduce a personal information protection obligation by design and basic setting. In this way, I think it is possible to thoroughly protect the personal information of the data subject from the design stage. Third, it is necessary to assign a recording obligation according to the number of employees, not the amount of personal information held, in relation to those subject to the recording obligation of personal information processing activities. Finally, for small businesses in relation to personal information protection managers, it is necessary to consider integrating several companies to have one personal information protection manager, and it is necessary to prepare confidentiality obligations or conflict of interest obligations.
- 발행기관:
- 서울시립대학교 법학연구소
- 분류:
- 법학