본 연구는 빅데이터와 관련한 우리나라 개인정보보호법제, 특히 개인정보보호법의개선 방향에 관한 논의로서, ‘빅데이터’의 다양한 측면 중 ‘정보 융합에 의한 새로운정보의 생성’이라는 측면을 중점적으로 다룬다. 우리나라 개인정보보호법이 이러한현상을 구체적으로 어떻게 규율하고 있는지 살펴보고, 우리 헌법상 개인정보자기결정권의 원리를 척도로 하여 규율 내용의 타당성을 검토한다. 이를 바탕으로 부당한것으로 평가된 부분을 개선하기 위한 방향성을 살펴 보았다. 이러한 과정에서 유럽일반 개인정보보호규칙(이하 “GDPR”)을 참고하였다. 논의를 위하여, 관찰된 정보와추론된 정보 모두를 포괄하는 개념으로서 ‘생성 정보’ 또는 ‘생성된 정보’라는 개념을사용하기로 한다. 검토 결과 우리 개인정보보호법은 개인정보를 이용한 추론된 정보의 생성 및 개인정보 아닌 새로운 지식의 생성과 관련하여, 정보주체의 사전 동의에 의존하는 경향이있으며, 그 예외사유가 협소한 점을 발견하였다. 그러므로 개인정보자기결정권의 본질적 내용을 침해하지 않으면서도 다른 이익을 감안하여 개별 구체적인 형량의 여지를 좀 더 부여하는 방향을 모색할 필요가 있다. 다음으로, 정보주체에게 정보처리의 상황에 관하여 제대로 전달하도록 하는 규정이유럽의 경우에 비하여 미비한 점이 발견되었다. 개인정보의 수집 및 이용에 대한 통제는 그러한 수집 및 이용에 대한 제대로 된 앎을 전제한다는 점에서, 우리 개인정보보호법의 고지 관련 규정의 개정을 제안한다. 특히, 유럽의 사례와 같이 추론된 정보에 관한 사항을 충분히 고지하도록 법제화하는 방안 또한 검토해 볼 만하다고 생각된다. 다만, 프로파일링의 로직, 중요성, 결과와 같이 상세한 내용을 정보주체에게 제공하도록 할지 여부는 그 필요성과 정당성, 그리고 개인정보처리자의 영업비밀 보호라는 관점에서 신중한 접근이 필요하다. 정보주체의 통제권 관련하여서도 우리 개인정보보호법의 접근이 다소 경직된 것으로 보인다. 그러나 추론정보의 생성 특히 개인정보 아닌 새로운 지식의 생성과 관련하여 정보주체에게 미치는 영향과 해당 처리의 성질 및 유용성, 처리를 정지할 경우 개인정보처리자에게 발생할 수 있는 권리 내지 이익의 제한 정도 등을 감안할 때반드시 모든 경우 처리정지요구권을 관철시킬 필요가 없을 수 있다는 점을 반영할 필요가 있다고 생각한다. 한편 GDPR의 경우 추론된 정보에 기하여 개인에 대한 중대한결정을 자동화된 방식으로 내리는 경우, 추론된 정보의 생성과 별도로 그러한 결정에대한 거부권을 부여하는 내용의 규정을 두고 있는바, 우리나라에도 이와 같은 규정을도입하는 방안을 검토해 볼 필요가 있다. 인공지능에 의하여 인간이 이해할 수 없는상황에서 그에 대한 중대한 결정이 내려지고, 여기에 대하여 이의제기를 할 수 없는상황이 발생할 수 있기 때문이다.

This paper aims to provide insight on data protection laws in Korea relating to big data, including recommended amendments to the Personal Information Protection Act (“PIPA”) of Korea, by mainly addressing the ‘generation of new information through the convergence of existing information’ from among the various aspects of big data. Specifically, we have analyzed how the current PIPA regulates information created in such manner and have reviewed the propriety of provisions therein when measured against the principle of the right to informational self-determination enshrined in Korea’s Constitution. Based on the foregoing analysis, we provide recommendations for improving any provisions within the PIPA that have been found to be improper. We have referred to the EU’s General Data Protection Regulation (“GDPR”) when conducting our analysis and have decided to use the terms “generative information” or “generated information” to broadly encompass concepts such as observed information and inferred information. The results of our review indicted that the provisions within the PIPA tended to rely on the prior informed consent of data subjects in order to legitimize the generation of inferred information based on personal information or the generation of new knowledge that is not personal information and that exceptions were only recognized in certain limited circumstances. Therefore, it is necessary to provide additional flexibility regarding the severity of punishments under the PIPA based on other legitimate interests without compromising the fundamental principles of the right to informational self-determination. Additionally, we discovered that provisions of the PIPA, in comparison to the EU regime, were inadequate in obligating the full disclosure to data subjects of the actual conditions under which their data is processed. As such, we propose amending relevant provisions therein relating to the provision of notice to data subjects because the regulation of the collection and use of personal information presumes there is a proper understanding of the concepts of “collection” and “use”. In particular, we believe it is recommendable to contemplate imposing legal obligations to provide adequate notice on matters related to inferred information as is the case under the EU regime. However, when determining whether to provide detailed information such as the logic, significance, or results of profiling, etc. to data subjects, it may be necessary to adopt a more measured approach that takes into account the necessity and justification for providing such information and the need to protect the trade secrets of the data handler. Further, the PIPA’s approach towards ensuring the rights of data subjects to control the processing of their data appears to be somewhat rigid. However, in regards to the generation of inferred information, especially the generation of new knowledge that is not personal information, it may not be necessary to recognize the data subject’s right to request the suspension of processing under all circumstances when considering the impact to data subjects, nature and utility of the subject processing, and the degree of restriction of the data handler’s rights and commercial interests. Meanwhile, it may necessary to contemplate the introducing provisions such as those under the GDPR which grant data subjects the right to overturn decisions rendered by automatic methods that may significantly affect the individual and are based on inferred information. This is because data subjects may face situations where they will be unable to comprehend and challenge important decisions that have been rendered through artificial intelligence.

, , , , , , , ,

PIPA, personal information, big data, amendment of the PIPA, inferred information, generated information, consent, right to informational self-determination