초록 열기/닫기 버튼
우리나라를 비롯한 미국, 유럽에서 정보주체의 권리를 보호하기 위한 법률의 기본적 접근 방식은 정보주체에게 자기의 프라이버시 또는 개인정보 관리에 대한 결정을 내릴 수 있는 일련의 권리를 제공하는 것이고 그 핵심이 ‘동의’권이다. 그러나 온라인상의 다양한 서비스에서 실재 동의가 진정성 있게 본연의 역할을 수행하고 있는가에 대하여는 부정적이다. 본 연구에서는 이러한 ‘동의’ 규범이 지니는 한계에 대하여 분석하고 개선과제를 도출하고자 하였다. 현행 동의 규정의 한계를 요약하면 다음과 같다. 첫째, 빅데이터·인공지능·사물인터넷 환경에서 데이터가 처리되고 분석되는 방식과 목적이 사람의 개입 없이 계속 변화한다. 따라서 데이터 처리 목적과 범위를 특정하는 현행법상의 ‘고지-동의’ 방식은 그 유효요건을 충족하기 곤란하다. 둘째, 그 결과 '동의'의 실질적 목적이라고 할 수 있는 ‘프라이버시·개인정보 자기관리’가 곤란해졌다. 처리되는 개인정보의 광범위성, 몰이해적 고지사항, 정보주체와 개인정보처리자간 정보의 비대칭성 등은 동의과정에서 정보주체의 진정한 참여를 불가능하게 만들었다. 이러한 ‘동의’의 한계를 해결하기 위하여 ‘프라이버시·개인정보 자기관리’를 전적으로 동의에 기반한 개인의 책임하에 두는 것이 아니라, 국가의 후견주의적 개입을 통해 보장할 필요가 있다. 그 구체적 방안으로 옵트아웃과 국가 후견주의를 적절히 조화시키면서, 옵트인은 예외적 경우에만 허용하는 방안이 고려될 수 있다. 또한 정보주체의 프라이버시·개인정보 관리능력을 향상시키는 것은 지금까지 그렇듯 한계가 있으므로, 오히려 개인정보처리자의 프라이버시·개인정보 관리능력을 향상시키는 방안을 모색하여야 한다. 그밖에 개인정보의 가치는 수집 당시가 아니라 각종 이용과정에서 더 적절히 평가될 수 있으므로 개인정보 보호를 수집 중심에서 '이용'중심으로 전환하여야 한다.
The basic approach of the law to protect the rights of data subjects in the United States and Europe, including Korea, is to provide data subjects with a set of rights to make decisions about their privacy or personal information self- management, and the core is 'consent’. However, if you ask whether real consent truly plays its role in various online services, the answer is negative. This study attempted to analyze the limitations of these “consent” norms and derive improvement tasks. The limitations of the current consent regulations are summarized below. First, in the environment of big data, artificial intelligence, and Internet of things, the way and purpose of data processing and analysis continues to change without human intervention. Therefore, the'notice-consent' method in the current law that specifies the purpose and scope of data processing is difficult to meet its validity requirements. Second, as a result, it became difficult to “privacy and personal information self-management,” which is the practical purpose of “consent”. The widespreadness of the personal information being processed, incomprehensible notices, and the asymmetry of information between the data subject and the personal information controller made it impossible for the data subject to truly participate in the consent process. In order to solve this limitation of “consent”, it is necessary to ensure that “privacy and personal information self-management” is not entirely under the responsibility of individuals based on consent, but through the intervention of the state's guardianism, ‘Paternalism’. As a concrete measure, an appropriate harmonization between opt-out and Paternalism, while allowing opt-in only in exceptional cases can be considered. In addition, there is a limit to improving the privacy and personal information self-management ability of the data subject, as so far, so rather, a method of improving the privacy management ability of the personal information controller should be sought. In addition, since the value of personal information can be more accurately evaluated during various use processes rather than at the time of collection, the protection of personal information should be shifted from ‘collection-centered’ to ‘use-centered’.
키워드열기/닫기 버튼
privacy and personal information self-management, notice, consent, opt-out, Paternalism
