익명・가명정보의 활용과 인격권 보호를 위한 민법상 과제
An Agenda in Civil Law for the Protecting Personal Rights from Use of Data
- 한국사법학회(구 한국비교사법학회)
- 비교사법
- 比較私法 제27권 제4호
- : KCI등재
- 2020.11
- 37 - 69 (33 pages)
4차 산업혁명 시대에 맞춰 개인과 기업이 정보를 활용할 수 있는 폭을 넓히기 위해 2020년 1월 9일 국회에서 이른바 ‘데이터 3법’이 통과되었다. 이번 개정법에서 특히 주목할만한 부분은 ‘가명처리’를 통해 생성된 ‘가명정보’의 활용에 대한 법적 근거를 마련하였다는 점이다. 익명뿐만 아니라 가명처리를 통해 개인정보의 식별성을 낮춤으로써 개인정보의 활용을 막고 있는 규제의 완화를 도모하겠다는 것이 핵심이다. 이러한 입법적 조치는 우리나라에서 처음 시작된 것이 아니라 유럽연합(EU), 미국, 일본 등 국제적인 흐름에 보조를 맞춘 것이다. 그러나 제3자에 의해 개인정보가 다양하게 활용될수록 그만큼 인격권이 침해될 위험은 커지게 된다. 그렇다고 하여 이제 와서 개인정보 보호만을 강조하거나 빅데이터 시대 이전의 상태로 되돌릴 수도 없다. 오히려 바람직한 빅데이터 활용을 도모하면서도 개인의 인격권 침해를 최소화하고 역기능을 억제하도록 법적으로 대응해 나가는 것이 필요하다. 이 점과 관련하여 민법학에서는 개인정보를 활용하는데 있어 어느 경우에 불법행위책임을 인정할 것인지 그 판단기준을 제시할 필요가 있다. 이러한 문제의식에서 이 연구에서는 EU의 GDPR(General Data Protection Regulation)과 미국 캘리포니아주의 CCPA(California Consumer Privacy Act)를 비교법적으로 검토하면서 익명처리나 가명처리 등으로 개인정보를 활용하여 다른 사람에게 침해가 발생할 경우에 있어서의 불법행위책임을 중심으로 한 민법상 과제에 대하여 논해 보았다. 데이터 3법의 개정이 국제사회의 흐름에 맞춰 다양한 비식별정보를 폭넓게 이용할 수 있도록 하는 산업발전 측면에 무게를 두다 보니, 우리가 많이 참고한 GDPR에 비해 개인정보 침해에 대한 방어조치에 있어서는 미흡한 감이 있다. 향후 입법적 보완이 이루어질 것으로 기대되나, 현재로서도 익명처리 또는 가명처리를 하였더라도 그것이 재식별화되지 않도록 얼마나 최선을 다했는지에 따라 불법행위책임 유무가 달라질 수 있을 것으로 판단된다. 또한 재식별화 금지조치와 관련하여 중요한 것이 무분별한 온라인 행위추적을 규제하는 것인데, 현행법 하에서도 정보주체의 동의를 얻지 않은 행위추적이나 이미 이루어진 행위추적에 대해 거부했음에도 불구하고 계속되는 행위추적은 위법하다고 본다.
On January 9, 2020, the National Assembly passed the amendments to the “Three Major Data Laws” in order to broaden the spectrum of individual’s and company’s information usage in the advent of fourth industrial revolution. What is noticeable in this amendments is that a legal basis was made regarding the application of pseudonymous data. The key is that by using pseudonyms, identifiability of personal information is declined and this can ease the regulations preventing the usage of personal information. This legislative action in Korea was taken to keep pace with the international flow with EU, United States, Japan, etc. On the other hand, the more application of personal information by a third party can increase the risk of violating personal rights. However, it is implausible to solely pursue protection of personal rights or return to the era before big data. Therefore, taking legal action to establish sound usage of big data and minimize violation of personal rights is necessary. In the study of civil law, presenting the criteria for judging responsibility of illegal act regarding personal information usage is needed. This study seeks to present a standard for illegality judgement when using personal information with anonymity or pseudonyms, by examining EU’s GDPR (General Data Protection Regulation) and America’s CCPA(California Consumer Privacy Act). The amendment of Three Major Data Laws is focusing on development of industry, in order to allow extensive usage of non-identifying information like the international society. This mades Three Major Data Laws insufficient for the function of protecting personal information from being violated in comparison to GDPR. There will be legislative supplement regarding this problem, but degrees of responsibility for illegal act will alter depending on whether actions were taken to avoid re-identification of anonymized or pseudonymized information. What is important with avoiding re-identification is regulating indiscreet online behavioural tracking, and current law also states that tracking user behavior without consent or even after rejection is illegal.
Ⅰ. 머리말
Ⅱ. 개정 데이터 3법의 주요내용과 국제적 동향
Ⅲ. 익명·가명정보의 활용과 불법행위책임
Ⅳ. 맺음말