개인정보 영향평가 제도는 사업(정보시스템, 프로젝트)의 운영, 변경, 연계 등으로인하여 개인정보 처리의 증가, 특정 개인에 대한 식별가능성 증가, 개인정보 처리 또는접근방법의 변경 등 정보주체 또는 제3자의 권리나 사생활이 침해받을 가능성이 있거나 그 위험이 증가할 경우, 위험 요소를 사전에 파악하여 대비함으로써, 실제로 사업이수행되는 경우 개인정보가 침해되지 않도록 하는 중요한 역할을 하는 제도이다. 한국의 영향평가 제도는 비교적 높은 기준(임계점)에 의한 영향평가 실시 여부를결정함으로써 개인정보 침해 위험성이 있음에도 불구하고 실시하지 않는 경우가 존재할 수 있으며, 모든 수행주체에 대하여 획일적 기준에 의하여 실시하고 외부 기관에 의하여 영향평가를 실시함으로써 수행주체나 절차 등에 대한 융통성이 존재하지않으며, 예비평가 제도의 존재하지 않음으로써 영향평가의 대상이 되는지 여부를 판단하는데 어려움이 있을 수 있다. 영향평가는 진정한 프라이버시 침해 위험을 평가하여야 하는 것이 되어야 하며, 단순히 평가항목을 체크하는 것에 그쳐서는 아니 되고영향평가 제도의 실효성을 확보할 수 있어야 할 것이다. 이 글은 한국의 영향평가 제도를 비교법적으로 분석함으로써 한국의 영향평가 제도가 나아갈 방향을 제시하고개선안을 제안하였다.
Under the Korea’s Personal Information Protection Act, government agencies shall conduct a privacy impact assessment(PIA) of the envisaged processing operations on the protection of personal information. Privacy Impact Assessments (PIAs) are an effective tool used, prior to the processing of personal information, to identify and evaluate privacy risks and their impacts. And they would mitigate privacy harm caused by the processing, resulting in contributing to the protection of privacy. Under the Korea’s PIAs, the criteria to decide whether a PIA is required are based on only types of personal information and the number of data subjects. There is no initial(threshold) privacy assessment (IPA, TPA) which is a tool used to facilitate the identification of potential privacy issues, and to help to assess whether PIA is required. And the government agencies do not have any discretion to decide whether or not to conduct a PIA, and furthermore, the same type of a PIA is applied to all agencies, mandating “one size fits all” model. Compared to other countries, Korea’s system is not reasonable. This study suggests that Korea’s PIA be reformed, and several strategies of how to improve the effectiveness of Korea’s system.
Ⅰ. 서론
Ⅱ. 개인정보 보호법상의 영향평가
Ⅲ. 주요 국가의 영향평가 제도
Ⅳ. 예비 영향평가 제도
Ⅴ. 한국 영향평가 제도의 개선방향