earticle

영어

Data Protection Act in Korea was designed in accordance with the principle of prior consent(Opt-in), which requires consent of the data subject prior to data processing. In addition, the Act prescribes two things in a manner of consent, one is the consent method, which prohibits comprehensive consent on the processing of personal information and requires each to be consented to separately, and the other is the consent method, which allows the collection of only the minimum information required for processing purposes and provides an option of consent except for the minimum information. Such a strong system of consent has not adequately protected the data subject and has been a barrier to the development of related industries, such as big data industries, while formalizing consent. ｢General Data Protection Regulation(GDPR)｣ in European Union offers a number of implications for improving our consent system. First of all, by defining the consent of the data subject as one of the six legal requirements for the processing of personal data, data processing is possible without the consent of the data subject. In particular, data can be processed for the ‘legitimate interests’ of the data controller or third party receiving the data. Second, the GDPR requires consent for each processing purpose. If the purpose of the process is changed or added, new consent is required, but there are no other restrictions. It is possible to present a simple and clear consent form, because there is no need to separate consent for a purpose like us. Third, while data is processed for the legitimate interest of the data controller, the data controller can no longer process the data if the data subject exercises the right to object(Article 21). There is virtually no place for such an opt-out method under our legislation, which excludes the possibility of processing data for the legitimate interests of data controller. However, the introduction of the right to object should be considered also if other legal requirements for data processing are prescribed in addition to the consent of data subject. Fourth, in the GDPR, public authorities cannot, in principle, process data based on the consent of the data subject, but only in exceptional cases. This is because, among the four requirements for the consent to be valid, it is not considered to meet the first requirements of ‘freely given’. In our case, public authorities also mainly use the consent system, which cannot be harmonized with the rule of law. With the revision of the law, the practice should also be improved. Fifth, the GDPR specifies four requirements for valid consent and when explicit consent is required. There are no such provisions in our legislation, which can be problematic because consents made in circumstances that are disadvantageous to the data subject are either valid consent and consent is given to sensitive and non-sensitive data in the same way. Finally, like Europe Union, it is necessary to enrich the contents of the guidelines to help the data controller to understand the Act. Furthermore, the revision of the consent system should be accompanied by the enhancement of the right to the protection of personal data. The ultimate goal is to prevent and reduce the risk of infringing on the substantive rights that may arise from the processing of personal data, by giving the data subject substantial and effective control rights.

한국어

우리의 개인정보보호법제는 정보처리에 앞서 정보주체의 동의를 받아야 하는 사전 동의의 원칙에 따라 설계되었다. 아울러 사전동의를 받는 방식으로 수집·이용·제공 에 대한 포괄동의를 금지하고 각 동의사항을 분리해서 별도로 받도록 하는 동의방식 (‘개별적 동의방식’)과 처리목적에 필요한 최소정보만을 수집하게 하면서 최소정보 외 에는 ‘선택’으로 동의를 받도록 하는 동의방식(‘선택적 동의방식’)에 의하도록 하고 있 다. 이러한 강력한 동의체계는 오히려 정보주체를 제대로 보호하지 못하고, 동의를 형 식화하면서, 빅데이터 산업 등 관련 산업의 발전에 장애 요소가 되고 있다. 유럽연합(EU)의 ｢일반개인정보보호규칙｣(GDPR; General Data Protection Regulation; 이하 ‘GDPR’)은 우리의 동의제도 개선에 있어서 여러 시사점을 제시한다. 우선, 정보 주체의 동의를 개인정보 처리의 6가지 합법성 요건 중 하나로 규정함으로써 정보주체 의 동의 없이도 데이터를 처리할 수 있는 길을 열어놓고 있다. 특히 정보처리자나 제공 을 받는 제3자의 ‘정당한 이익’을 위해서 데이터를 처리할 수 있다. 둘째로, GDPR은 처리 목적 중심의 동의를 받도록 하고 있다. 처리 목적이 변경되거나 추가되면 새로운 동의를 받아야 하지만, 그 외에는 규제가 없다. 우리와 같이 하나의 처리 목적을 위해 서도 모든 항목을 구분하여 받을 필요가 없으므로 보다 단순하고 명료한 동의서식을 제시하는 것이 가능하다. 셋째로, 정보처리자의 정당한 이익을 위하여 정보를 처리하 는 경우, 정보주체가 이에 대한 거부권(제21조)을 행사하면 정보처리자는 더이상 그 정보를 처리할 수 없다. 이를 사후거부권(opt-out)이라고 하는데, 정보처리자의 정당한 이익을 위하여 정보를 처리할 수 있는 가능성을 배제한 우리 법제 하에서는 사실상 이러한 옵트아웃 방식이 들어설 자리는 없다. 그러나 정보주체의 동의 이외에도 데이 터 처리가 가능한 다른 합법성 요건을 규정하게 될 때에는 이와 같은 사후거부권의 도입을 함께 고려해야 할 것이다. 넷째, GDPR에서는, 공공기관의 경우 원칙적으로 정 보주체의 동의에 근거한 데이터 처리를 할 수 없고 예외적인 경우에만 가능하다. 동의 가 유효하기 위한 4가지 요건 중 첫 번째, 자유로운 상태에서 이루어진 동의(freely given)의 요건을 충족하지 못한다고 보기 때문이다. 우리의 경우, 공공기관 역시 동의 제도를 만연히 이용하고 있는데, 이는 법률유보원칙과도 조화될 수 없다. 법제도적으 로나 관행적으로나 개선을 요한다. 다섯째, GDPR은 유효한 동의이기 위한 네 가지 요건과 특별히 명시적 동의가 요구되는 경우를 별도로 규정하고 있다. 우리 법제에는 이와 같은 규정이 없는데, 정보주체에게 불리한 상황에서 이루어진 동의도 유효한 동 의가 되거나 민감정보와 아닌 정보를 구분 없이 동일한 방식으로 동의를 받게 하므로 문제가 될 수 있다. 마지막으로, 유럽과 같이 가이드라인이 수범자에게 보다 확실한 지침이 될 수 있게끔 내용적인 면에서 충실한 개선이 필요하다. 나아가 동의제도의 수정은 개인정보자기결정권, 즉 개인정보보호권의 강화가 함께 수반되어야 한다. 정보주체에게 실질적이고 효과적인 통제권을 부여함으로써 개인정 보의 처리로 발생할 수 있는 실체적 권리가 침해될 위험을 예방하고 감소시켜나가는 것이 최종 목표가 되어야 할 것이다.