earticle

영어

As the recent digital industrialization, often described as a data-driven economy, has been driven by a few data monopolies, it has recently been highlighted that there may be serious leakage of users’ personal information, including data with commercial use value. The main difference between the Korean Personal Information Protection Act and the GDPR in terms of the consent process is that the Korean Act stipulates consent as an essential element of personal information processing, while the GDPR only establishes consent as one of the requirements for the legality of personal information processing, namely, the consent of the data subject, the conclusion and performance of a contract, the fulfillment of a legal obligation, the protection of the vital interests of the data subject or other natural persons, the processing of tasks in the public interest or the exercise of public authority, and the achievement of the legitimate interests of the data processor or a third party. However, there are many similarities in the practical aspects of the two procedures. The differences can be interpreted as differences in the extent and scope of the actual application of the law. It is clear that the practice of large online platforms, i.e., processing personal information through blanket consent, is a violation of the transparency principle of the GDPR and a violation of the consent procedure regulation, and in recent years, through the intervention of the German Federal Cartel Office and court decisions, the meaning of data protection as a means of competition law regulation to weaken the monopoly power of large online platforms has gained importance. In particular, the new regulatory approach created in the course of the EU’s DMA enactment, starting with the Facebook case in Germany, which prohibits market-dominant operators from using personal information for business activities through formal consent to terms and conditions that violate privacy laws or otherwise infringe on the right to self-determination of personal information, has implications for our legal system. In particular, the issue of the legitimacy of personal information collection by large-scale online platforms that have entered a new stage through the evolution of generative artificial intelligence in 2023 is consequently developing into a discussion on how to apply the substantiality of existing consent, which is likely to require more in-depth consideration from the position of our legal system, which is still showing a passive stance.

한국어

흔히 데이터 주도 경제로 표현되는 최근의 디지털 산업화가 몇몇의 데이터 독점 기업을 통해 주도 되어지면서 결과적으로 상업적 이용가치를 가지는 데이터가 포함하고 있는 이용자 개인정보가 심각하게 누출될 수 있다는 점이 최근에 부각되기 시작하였다. 데이터의 경제성과 소비자프라이버시(Privacy) 보호라는 두 가지 목적을 동시에 달성하기 위해서는 개인정보 수집 및 활용에 있어 정보주체인 이용자의 권리를 보호하면서 동시에 이를 정당하게 활용하기 위한 동의 획득 방안을 구체화하여야 하여야 한다. 우리 개인정보보호법과 GDPR에서 정하고 있는 동의 절차의 측면에서 가장 크게 차이가 나는 부분은 우리 법이 동의라는 요소를 개인정보처리의 필수적인 사항으로 규정하고 있음에 반해 GDPR은 동의를 개인정보처리의 합법성 요건 즉 정보주체의 동의, 계약의 체결과 이행, 법적의무의 이행, 정보주체 혹은 다른 자연인의 중대한 이익의 보호, 공익을 위한 업무의 처리 또는 공적 권한의 행사, 정보처리자 또는 제3자의 정당한 이익의 달성 중에서 하나로만 정하고 있다는 점이다. 그렇지만 양자의 절차상의 실제적인 부분은 유사한 점이 많다. 양자의 차이란 결국 실제 법 적용의 정도와 범위의 차이를 의미하는 것으로 해석할 수 있다. 거대 온라인 플랫폼의 영업방식 즉 포괄적 동의를 통한 개인정보 처리 방식은 GDPR의 투명성 원칙의 위반이자 동의 절차 규정의 위반임은 명백하며 이와 더불어 근래에는 독일 연방카르텔청 개입과 법원의 결정을 통하여 대규모 온라인 플랫폼의 독점력을 약화시킬 경쟁법적 규제 수단으로서의 데이터 보호라는 의미가 중요성을 가지게 되었다. 특히 독일의 Facebook 사건을 시작으로 EU의 DMA 제정의 일련의 과정에서 만들어진 새로운 규제 방식 즉 시장지배적 사업자가 개인정보 보호법을 위반하거나 기타의 방법으로 개인정보 자기결정권을 침해하는 내용의 약관에 형식적 동의를 통해 적법하게 개인정보를 영업활동에 사용하는 행위를 금지하는 점은 우리 법제에도 시사하는 바가 적지 않다. 특히 2023년 현재 생성형 인공지능의 진화를 통해 새로운 단계로 진입한 대규모 온라인 플랫폼의 개인정보 수집의 정당성의 문제는 결과적으로 기존의 동의의 실질성 여부를 어떻게 적용할 것인가라는 논의로 발전되고 있으며 이는 여전히 소극적인 입장을 보이고 있는 우리 법제의 입장에서도 좀더 깊이 있는 고민이 필요할 것으로 보인다.