18.206.14.46
18.206.14.46
close menu
KCI 등재
빅데이터 분석기술 활성화를 위한 개인정보보호법의 개선 방안 - EU GDPR과의 비교 분석을 중심으로 -
Improvement of the Personal Information Protection Act for Activating Big Data Analytics - Focusing on Comparative Analysis with the EU GDPR -
박노형 ( Nohyoung Park ) , 정명현 ( Myung-hyun Chung )
고려법학 85권 1-39(39pages)
DOI 10.36532/kulri.2017.85.1
UCI I410-ECN-0102-2018-300-000562818

빅데이터 분석기술 차원에서 개인정보의 광범위한 수집과 추가 처리는 대규모의 전자적 감시, 프로파일링 및 개인정보의 공개와 관련하여 심각한 프라이버시 침해 우려를 제기한다. 빅데이터 분석기술이 정보의 최대한의 수집과 활용인 점에서 개인정보보호의 기본원칙 중에서 `개인정보 최소화` 원칙을 위반할 가능성이 높기 때문이다. 빅데이터 분석기술의 활성화를 위하여 개인의 프라이버시와 개인정보보호가 일방적으로 제한되거나 침해될 수 없을 것이고, 동시에 관련 기술과 혁신의 발전이 무조건 제한되거나 침해될 수 없다. 프라이버시와 개인정보보호의 법익과 기술발전에 근거한 빅데이터 분석기술의 활용 사이의 올바른 균형이 요구된다. 한국의 개인정보보호법은 개인정보보호에 관한 일반법으로서 2011년 채택되어 상당히 최근에 제정되었음에도, 빅데이터 분석기술 등 개인정보의 활용 측면에서는 상당히 부정적인 역할을 하는 것으로 비판을 받고 있다. IT강국이라고 자타가 공인하는 한국에서 개인정보보호와 개인정보 활용의 올바른 균형이 상실된 것으로 볼 수 있다. 한국 개인정보보호법의 빅데이터 분석기술의 활성화에 대한 문제는 크게 개인정보의 `목적 외 이용·제공`과 개인정보의 소위 `비식별처리`에 기인하는 것으로 볼 수 있다. 빅데이터 분석기술에서 개인정보가 수집 또는 제공되어 이용되는 과정에서 그 대상인 대량의 개인정보가 원래의 수집 목적으로만 처리될 수 없는 현실적인 한계가 있기 때문이다. 이러한 점에서 개인정보의 특정 개인에 대한 식별성을 제거하는 비식별처리가 빅데이터 분석기술을 위한 모범답안으로서 제시되고 있지만, 일단 비식별처리된 개인정보가 달리 재식별화되는 현실적인 문제가 제기된다. 그럼에도, 개인정보의 목적 외 이용·제공과 비식별처리는 현실적으로 불가피하고, 이들은 개인정보보호를 주된 목적으로 하는 개인정보보호법의 법적 테두리 내에 존재해야 할 것이다. 유럽연합의 `일반개인정보보호규칙`(GDPR)은 가명처리정보와 익명처리정보를 구분하여, 개인정보에 해당하는 가명처리정보는 일정한 법률요건을 충족하는 경우 목적 외 처리로서 허용하고 있다. 빅데이터 분석기술과 개인정보보호의 조화에 관하여 목적 외 처리로서 가명조치를 포함하는 유럽연합의 접근이 보다 현실적이고 법적으로 안정적이라고 판단된다. 특히 가명조치가 익명조치보다 선호되는 것은 가역성이라는 점에서 익명조치도 결코 완전하지 않으며, 또한 익명조치와 달리 가명조치는 여전히 개인정보보호법의 적용 범위 내에 있기 때문이다. 즉, 개인정보보호법의 세계적 추세인 개인정보보호와 개인정보 활용 사이의 균형 추구가 반영될 수 있을 것이다. 2016년 발표된 `개인정보 비식별 조치 가이드라인 -비식별 조치 기준 및 지원·관리체계 안내-`는 익명조치에 집중한 점에서, 또한 보다 정상적인 개인정보보호법의 개정을 `가이드라인`으로 대신하는 점에서 긍정적이라고 볼 수 없다. 개인정보보호법의 목적으로부터 빅데이터 분석기술을 포용까지 동법의 전면적인 개정이 필요할 것이다.

The digital economy in the 21st century does have to accommodate the active utilization of personal data through big data analytics. At the same time, the data protection for individuals, who are the basic components of the society being domestic or international, may not be precluded. Accordingly both big data analytics and data protection should go together, and data protection should be integrated in the use of personal data. Big data analytics, however, while aiming at collecting and processing a maximum amount of personal data, is very likely to violate the principle of data minimization, which is a primary principle of data protection. The Personal Information Protection Act(PIPA) of Korea, however, is being criticized for its lack of flexibility in allowing big data analytics, although it was adopted as a general law of data protection very recently, i.e., in 2011. The main difficulty of the PIPA in respect of big data analytics seems to come from the provisions relating to `the use and provision of personal data for purposes other than those in the original collection` and the so-called `de-identification` of personal data. Big data analytics tends to naturally require processing of an enormous amount of personal data so that personal data may not be processed only for the original purposes in collection. De-identification of personal data, in particular anonymisation, is suggested and introduced administratively for the purposes to promote big data analytics by eliminating identifiability of specific individuals. But it cannot avoid a risk of re-identification as technology develops. The approach of the EU to allow pseudonymisation for processing of personal data for the purposes other than those in the original collection seems to be more practically reasonable and legally certain. One of the reasons why pseudonymisation is preferred to anonymisation is that the latter may not be perfect in its possible reversibility, and that the former is still under the scope of the application of data protection law. However, the `de-identification guideline` published in June 2016 by the Korean governments concerned with data protection does not seem to be positive in that it focuses mainly anonymisation and that it lacks a formal legal status. The guideline seems to confuse data processors and also data subjects. The PIPA should be amended at least to include the use of personal data along with data protection in the provision of its purposes and objects and also to allow big data analytics more flexibly by adopting pseudonymisation.

Ⅰ. 빅데이터 분석기술과 개인정보보호
Ⅱ. 빅데이터 분석기술 활성화를 위한 EU의 GDPR 검토
Ⅲ. 빅데이터 분석기술 활성화를 위한 한국의 개인정보보호법 검토
Ⅳ. 빅데이터 분석기술 활용을 위한 개인정보보호법 개선 방안
Ⅴ. 결어
[자료제공 : 네이버학술정보]
×