과학적 연구목적을 위한 개인정보 처리에 관한 비교법적 연구

A Comparative Study on Scientific Research in the Data Protection Laws between EU and Korea

2018년에 발효된 EU의 GDPR(General Data Protection Regulation)은 과학적 연구를목적으로 하는 개인정보의 처리에 대하여 특권적 지위를 부여하고 있다. 연구에는 사전 동의를 면제하고 그 밖에도 개인정보 처리자가 준수해야 할 정보주체의 삭제권, 반대권 등 많은 의무를 면제하고 있다. GDPR은 이전의 개인정보 보호규범인 1995년 지침(Data Protection Directive 95/46/EC)에는 존재하지 않았던 “가명처리(pseudonymisation)” 개념을 도입하여, 고도화된 정보통신기술(ICT) 시대에서 개인정보의 식별성을 제거(또는 감소)하여 과학적 연구에 폭넓게 활용될 수 있도록 ‘산업발전’과 ‘정보보호’라는 양 가치의 조화를 도모하였다. 최근 우리나라도 빅데이터, 인공지능 등 ICT기술과 데이터를 활용하여 신산업을 발전시키고자 하는 산업계의 요구에 부응하여, GDPR의 입법례를 참고하여 ｢개인정보보호법｣을 개정하였다. GDPR과 같이 가명처리 개념을 도입하고, 과학적 연구를 목적으로 하는 개인정보 처리에는 사전 동의를 면제하는 등 광범위한 의무의 면제를 두고있다. 그러나 개정법은 과학적 연구에 개인정보를 활용하겠다는 방향만 설정하고 연구자가 어느 범위까지 어떻게 활용해야 하는지에 대해 명확한 답변을 주지 못하고 있어, 이로 인한 해석의 논의가 한참이다. 과학적 연구에 산업적 목적(상업적 통계 포함) 의 연구가 포함되는가에 대한 논의가 그 중심에 있다. 포함한다는 산업계 및 정부의입장에 대하여 시민단체는 정보인권의 심각한 침해를 이유로 반박하고 있다. 개정법의 가명처리와 그 면제를 규정하는 방식에도 해석의 여지가 많다. GDPR과 동일하게개정하였다고 하지만, 양 법의 법체계와 내용이 동일하지 않음에도 불구하고 개정되는 부분만을 가져오다 보니 전체적으로 체계 정합성이 결여되는 문제점을 낳았다. 첫째, 과학적 연구의 동의 면제가 본래목적의 처리와 추가처리 모두에 인정되는 것인지아니면 추가처리에만 인정되는 것인지 명확하지가 않다. 둘째, 본래목적과 추가목적이 양립가능할 때(compatible) 동의 없이 처리가 가능하도록 하는 조항과 가명처리 특례조항과의 연계가 누락되어 있다. 셋째, 정보주체로부터 개인정보를 수집하지 않을경우 가명처리 시의 고지의무를 면제하고 있으나 정보주체로부터 수집한 경우 고지에 대하여는 침묵하고 있다. 넷째, 연구자의 의무면제 항목을 한 조문에서 일률적으로제한하고 있으므로 의무의 성격과 관계없이 무제한적으로 면제하고 있다. 마지막으로, 민감정보와 가명처리와의 관계에 대해서 침묵하고 있어 가명처리만 하면 동의 없이 무제한으로 이용할 수 있는 것처럼 해석될 수 있다. 본고에서는 개정법이 가지고 있는 해석의 모호성과 법의 흠결에 대한 답변을 제시하고자 한다. 그 과정은 개정법이 입법과정에서 많은 부분을 참고한 GDPR의 규정을해석하는 것으로부터 시작하였다. 우리가 GDPR의 제도와 취지를 그대로 받아들이기위해서는, 먼저 GDPR을 정확히 이해한 다음 우리법 체계 및 법 환경에 적합한 제도로 규범화하는 것이 바람직하다고 생각하기 때문이다

EU GDPR(General Data Protection Regulation) which came into force in 2018 grants a privileged position to scientific research. GDPR permits controllers to process personal data for research purposes without the data subject’s prior consent. Further, researchers are given exemptions from a variety of responsibilities within GDPR. GDPR intends to utilize personal data by removing(or reducing) identifiability in connection with data subjects via introducing the concept of “pseudonymisation” which did not exist in Data Protection Directive of 1995, the former data protection rules in the EU. Differently put, research exemption within GDPR leads stakeholders to reconcile opposite two values, “industry innovation” and “data protection” in the advanced ICT era. Recently, Korean PIPA(Personal Information Protection Act) was revised on the basis of GDPR in order to foster new industry by combining data and technologies such as Big Data Analysis and Artificial Intelligence. Similar to GDPR, scientific research occupies a privileged position in the revised PIPA. But, it is uncertain ‘to what extent’ and ‘in what way’ researchers can process personal data exempt from responsibilities within PIPA. Whether ‘research for industrial purposes(including statistics for commercial purposes)’ qualify as scientific research is the center of the debate on uncertainty of revised PIPA. Additionally, there are some issues of interpretation on pseudonymisation and exceptional provisions. While the government authorities announce that PIPA was revised according to GDPR’s pseudonymisation rules, PIPA does not fully reflect and consider GDPR and results in systemized inconsistency within PIPA. This paper intends to give solutions in reference to this ambiguity and deficiency of revised PIPA. My study starts from understanding of GDPR because revised rules of PIPA originates from GDPR. Based upon scrutinizing GDPR and pros and cons on this issue, the paper interprets the reasonable scope of research exemption. On top of that, the paper provides re-revision direction to respond the deficiency of PIPA.