Embed Size (px)
Citation preview
손형섭 (경성대학교 법정대학 교수)
2019 NAVER Privacy White Paper
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
요약문 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 3
1 서론 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 8
2 일본 개인정보보호법의 특징 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 9
가 제정과 개정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 9
나 개인정보의 활용과 보호 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 13
3 개인정보의 개념 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 16
가 개념의 명확화 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 16
나 한국과의 비교 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 17
4 익명가공정보 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 20
가 도입 내용 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 20
나 익명정보의 비교 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 22
다 미치는 영향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
5 개인정보의 취급 위탁 제3자 제공 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
가 규정의 운영 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
나 한국과의 차이점 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 29
6 개인정보보호위원회 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 31
가 설치와 운영 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 31
나 한국과의 차이점 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 33
7 개인정보의 국외 이전 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 35
가 규정의 개정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 35
나 EU 적정성 평가의 인정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 37
8 ICT산업 생태계에 미치는 영향과 법의 방향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 41
가 국제 ICT산업에 대한 고려 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 41
나 한국의 법 정비 방향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 43
참고문헌 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 49
목차
3
1 머리말
1 서론
1) 데이터 3법의 개정논의에서 볼 수 있듯이 한국의 개인정보보호법은 EU의 GDPR의
실시와 4차 산업혁명의 ICT 사회의 변화에 발맞출 버전 20으로의 개혁이 필요한 시점에
직면해 있음
2) 일본은 2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진
이 법의 단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증함
3) 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있어 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 필요가 있음
2 일본 개인정보보호법의 특징
1) 2003년 일본 개인정보보호법 5법의 제정 시에도 미국과 유럽의 동향 검토가 있었음
2015년 개정 개인정보보호법에서는 일본 내의 개인정보보호법에 대한 비판과 개인정보 유출사건에
대한 대처 그리고 EU 등 외국의 데이터 보호 동향을 고려한 개정 사항이 반영됨
2) 주요 개정 내용으로는 ① 개인정보 정의를 명확화 ② 데이터의 이용 및 활용 촉진을
위한 법ㆍ제도 구축 ③ 목적제한의 예외 사유(보호법 제16조 제2항 제4호) ④ 개인정보취급
시 정보주체의 권리보장을 위한 동의 및 고지제도 ⑤ 명부업자 법적 지위 명확화 ⑥
개인정보위원회 설치 ⑦ 번호이용법 ⑧ 기타 주요 개정사항 ⑨ 데이터베이스 제공죄(제83조)
신설 ⑩ 개인정보 국외 이전에 대한 대응(개인정보취급의 글로벌화)이 도입되어 개인정보와
프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는 법적 환경 정비가
추진됨
요약문
4
3 개인정보의 개념
1) 일본은 개정 개인정보보호법을 통하여 개인정보의 개념을 더욱 명확히하였음 우선
제2조 정의에서 개인정보는 특정의 개인을 식별할 수 있는 것으로 다른 정보와 용이하게
조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있는 것을 포함한다는 구법의
용이조합성을 여전히 유지하면서 개인식별부호 규정을 두어 종래 개념에 포함되는지 논란이
되었던 생체정보 즉 DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문을
디지털 데이터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것을 포함하였고 여권번호
기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공공기관에서
부여하는 번호를 포함하였음
4 익명가공정보
1) 일본의 구법에서도 개인정보의 개념에 용이조합성이 인정되기 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점이 있었음
따라서 정보제공자가 쉽게 특정 개인을 식별할 수 있는 경우에도 익명가공정보라는 개념을
인정하여 법적으로 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를
복원하지 못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것임
2) 일본 개정법의 lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는
전제하에 법적 선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의
익명성을 법적으로 보장하는 것으로 해석 결국 이 규정에 의하여 익명가공정보의 식별불가능하고
불가역적이라는 것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는
자에게도 요구됨
3) 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에 의한 위치정보
빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이 퍼스널
데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과 같은
주로 공적 요소의 강화 등에서 활용되고 있음 익명가공정보제도의 도입에 의해 보다 넓은
용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의 다양한 방면에서
소비자가 혜택을 받는 서비스가 제공되었음
5
5 개인정보의 취급 위탁 제3자 제공
1) 일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
개인데이터를 제3자에게 제공할 때에는 본인의 사전 동의가 필요 그 외에 법령에 따라 1 법령에
의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서 본인의
동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기 위해
특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은 지방공공단체
또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할 필요가 있는
경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠 우려가 있을
때에 본인의 동의 없이 개인데이터의 이전 가능
2) 일본법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위
내에서 개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정
3) 한편 개인정보취급사업자는 외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에
대하여 감독책임(일본법 제22조) 개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에
의한 재위탁 업체의 감독에도 의무자가 됨
4) 우리나라 개인정보보호법 제26조에도 업무위탁에 따른 개인정보의 처리를 규정하고 있고
업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보처리가 행해지고
위탁자인 개인정보처리자의 관리 middot 감독을 받지만 제3자 제공은 제3자의 이익을 위해서
개인정보처리가 행해지고 제3자가 자신의 책임하에 개인정보를 처리하게 됨 위탁과 제3자
제공의 두 규정을 유용하게 활용하여 법규 내의 데이터 활용의 활성화를 기대해 볼 수 있음
6 개인정보보호위원회
1) 일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서는 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게 정비
2) 일본 개인정보보호위원회는 익명가공정보의 세부규정을 정비하고 금융 의료ㆍ복지
등의 익명가공정보의 작성 등을 공표 금융 의료ㆍ복지 등 분야의 사업자가 익명가공정보의
작성 등을 공표하도록 지도해 왔음 비식별가공정보의 가공이나 그 취급에 대한 공적인 상담
창구로서 개정 행정기관개인정보보호법 등에 근거하여 행정기관 등 비식별가공정보에 관한
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
요약문 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 3
1 서론 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 8
2 일본 개인정보보호법의 특징 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 9
가 제정과 개정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 9
나 개인정보의 활용과 보호 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 13
3 개인정보의 개념 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 16
가 개념의 명확화 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 16
나 한국과의 비교 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 17
4 익명가공정보 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 20
가 도입 내용 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 20
나 익명정보의 비교 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 22
다 미치는 영향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
5 개인정보의 취급 위탁 제3자 제공 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
가 규정의 운영 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 24
나 한국과의 차이점 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 29
6 개인정보보호위원회 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 31
가 설치와 운영 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 31
나 한국과의 차이점 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 33
7 개인정보의 국외 이전 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 35
가 규정의 개정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 35
나 EU 적정성 평가의 인정 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 37
8 ICT산업 생태계에 미치는 영향과 법의 방향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 41
가 국제 ICT산업에 대한 고려 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 41
나 한국의 법 정비 방향 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 43
참고문헌 middotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddotmiddot 49
목차
3
1 머리말
1 서론
1) 데이터 3법의 개정논의에서 볼 수 있듯이 한국의 개인정보보호법은 EU의 GDPR의
실시와 4차 산업혁명의 ICT 사회의 변화에 발맞출 버전 20으로의 개혁이 필요한 시점에
직면해 있음
2) 일본은 2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진
이 법의 단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증함
3) 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있어 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 필요가 있음
2 일본 개인정보보호법의 특징
1) 2003년 일본 개인정보보호법 5법의 제정 시에도 미국과 유럽의 동향 검토가 있었음
2015년 개정 개인정보보호법에서는 일본 내의 개인정보보호법에 대한 비판과 개인정보 유출사건에
대한 대처 그리고 EU 등 외국의 데이터 보호 동향을 고려한 개정 사항이 반영됨
2) 주요 개정 내용으로는 ① 개인정보 정의를 명확화 ② 데이터의 이용 및 활용 촉진을
위한 법ㆍ제도 구축 ③ 목적제한의 예외 사유(보호법 제16조 제2항 제4호) ④ 개인정보취급
시 정보주체의 권리보장을 위한 동의 및 고지제도 ⑤ 명부업자 법적 지위 명확화 ⑥
개인정보위원회 설치 ⑦ 번호이용법 ⑧ 기타 주요 개정사항 ⑨ 데이터베이스 제공죄(제83조)
신설 ⑩ 개인정보 국외 이전에 대한 대응(개인정보취급의 글로벌화)이 도입되어 개인정보와
프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는 법적 환경 정비가
추진됨
요약문
4
3 개인정보의 개념
1) 일본은 개정 개인정보보호법을 통하여 개인정보의 개념을 더욱 명확히하였음 우선
제2조 정의에서 개인정보는 특정의 개인을 식별할 수 있는 것으로 다른 정보와 용이하게
조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있는 것을 포함한다는 구법의
용이조합성을 여전히 유지하면서 개인식별부호 규정을 두어 종래 개념에 포함되는지 논란이
되었던 생체정보 즉 DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문을
디지털 데이터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것을 포함하였고 여권번호
기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공공기관에서
부여하는 번호를 포함하였음
4 익명가공정보
1) 일본의 구법에서도 개인정보의 개념에 용이조합성이 인정되기 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점이 있었음
따라서 정보제공자가 쉽게 특정 개인을 식별할 수 있는 경우에도 익명가공정보라는 개념을
인정하여 법적으로 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를
복원하지 못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것임
2) 일본 개정법의 lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는
전제하에 법적 선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의
익명성을 법적으로 보장하는 것으로 해석 결국 이 규정에 의하여 익명가공정보의 식별불가능하고
불가역적이라는 것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는
자에게도 요구됨
3) 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에 의한 위치정보
빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이 퍼스널
데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과 같은
주로 공적 요소의 강화 등에서 활용되고 있음 익명가공정보제도의 도입에 의해 보다 넓은
용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의 다양한 방면에서
소비자가 혜택을 받는 서비스가 제공되었음
5
5 개인정보의 취급 위탁 제3자 제공
1) 일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
개인데이터를 제3자에게 제공할 때에는 본인의 사전 동의가 필요 그 외에 법령에 따라 1 법령에
의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서 본인의
동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기 위해
특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은 지방공공단체
또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할 필요가 있는
경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠 우려가 있을
때에 본인의 동의 없이 개인데이터의 이전 가능
2) 일본법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위
내에서 개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정
3) 한편 개인정보취급사업자는 외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에
대하여 감독책임(일본법 제22조) 개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에
의한 재위탁 업체의 감독에도 의무자가 됨
4) 우리나라 개인정보보호법 제26조에도 업무위탁에 따른 개인정보의 처리를 규정하고 있고
업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보처리가 행해지고
위탁자인 개인정보처리자의 관리 middot 감독을 받지만 제3자 제공은 제3자의 이익을 위해서
개인정보처리가 행해지고 제3자가 자신의 책임하에 개인정보를 처리하게 됨 위탁과 제3자
제공의 두 규정을 유용하게 활용하여 법규 내의 데이터 활용의 활성화를 기대해 볼 수 있음
6 개인정보보호위원회
1) 일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서는 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게 정비
2) 일본 개인정보보호위원회는 익명가공정보의 세부규정을 정비하고 금융 의료ㆍ복지
등의 익명가공정보의 작성 등을 공표 금융 의료ㆍ복지 등 분야의 사업자가 익명가공정보의
작성 등을 공표하도록 지도해 왔음 비식별가공정보의 가공이나 그 취급에 대한 공적인 상담
창구로서 개정 행정기관개인정보보호법 등에 근거하여 행정기관 등 비식별가공정보에 관한
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
3
1 머리말
1 서론
1) 데이터 3법의 개정논의에서 볼 수 있듯이 한국의 개인정보보호법은 EU의 GDPR의
실시와 4차 산업혁명의 ICT 사회의 변화에 발맞출 버전 20으로의 개혁이 필요한 시점에
직면해 있음
2) 일본은 2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진
이 법의 단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증함
3) 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있어 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 필요가 있음
2 일본 개인정보보호법의 특징
1) 2003년 일본 개인정보보호법 5법의 제정 시에도 미국과 유럽의 동향 검토가 있었음
2015년 개정 개인정보보호법에서는 일본 내의 개인정보보호법에 대한 비판과 개인정보 유출사건에
대한 대처 그리고 EU 등 외국의 데이터 보호 동향을 고려한 개정 사항이 반영됨
2) 주요 개정 내용으로는 ① 개인정보 정의를 명확화 ② 데이터의 이용 및 활용 촉진을
위한 법ㆍ제도 구축 ③ 목적제한의 예외 사유(보호법 제16조 제2항 제4호) ④ 개인정보취급
시 정보주체의 권리보장을 위한 동의 및 고지제도 ⑤ 명부업자 법적 지위 명확화 ⑥
개인정보위원회 설치 ⑦ 번호이용법 ⑧ 기타 주요 개정사항 ⑨ 데이터베이스 제공죄(제83조)
신설 ⑩ 개인정보 국외 이전에 대한 대응(개인정보취급의 글로벌화)이 도입되어 개인정보와
프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는 법적 환경 정비가
추진됨
요약문
4
3 개인정보의 개념
1) 일본은 개정 개인정보보호법을 통하여 개인정보의 개념을 더욱 명확히하였음 우선
제2조 정의에서 개인정보는 특정의 개인을 식별할 수 있는 것으로 다른 정보와 용이하게
조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있는 것을 포함한다는 구법의
용이조합성을 여전히 유지하면서 개인식별부호 규정을 두어 종래 개념에 포함되는지 논란이
되었던 생체정보 즉 DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문을
디지털 데이터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것을 포함하였고 여권번호
기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공공기관에서
부여하는 번호를 포함하였음
4 익명가공정보
1) 일본의 구법에서도 개인정보의 개념에 용이조합성이 인정되기 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점이 있었음
따라서 정보제공자가 쉽게 특정 개인을 식별할 수 있는 경우에도 익명가공정보라는 개념을
인정하여 법적으로 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를
복원하지 못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것임
2) 일본 개정법의 lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는
전제하에 법적 선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의
익명성을 법적으로 보장하는 것으로 해석 결국 이 규정에 의하여 익명가공정보의 식별불가능하고
불가역적이라는 것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는
자에게도 요구됨
3) 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에 의한 위치정보
빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이 퍼스널
데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과 같은
주로 공적 요소의 강화 등에서 활용되고 있음 익명가공정보제도의 도입에 의해 보다 넓은
용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의 다양한 방면에서
소비자가 혜택을 받는 서비스가 제공되었음
5
5 개인정보의 취급 위탁 제3자 제공
1) 일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
개인데이터를 제3자에게 제공할 때에는 본인의 사전 동의가 필요 그 외에 법령에 따라 1 법령에
의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서 본인의
동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기 위해
특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은 지방공공단체
또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할 필요가 있는
경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠 우려가 있을
때에 본인의 동의 없이 개인데이터의 이전 가능
2) 일본법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위
내에서 개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정
3) 한편 개인정보취급사업자는 외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에
대하여 감독책임(일본법 제22조) 개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에
의한 재위탁 업체의 감독에도 의무자가 됨
4) 우리나라 개인정보보호법 제26조에도 업무위탁에 따른 개인정보의 처리를 규정하고 있고
업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보처리가 행해지고
위탁자인 개인정보처리자의 관리 middot 감독을 받지만 제3자 제공은 제3자의 이익을 위해서
개인정보처리가 행해지고 제3자가 자신의 책임하에 개인정보를 처리하게 됨 위탁과 제3자
제공의 두 규정을 유용하게 활용하여 법규 내의 데이터 활용의 활성화를 기대해 볼 수 있음
6 개인정보보호위원회
1) 일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서는 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게 정비
2) 일본 개인정보보호위원회는 익명가공정보의 세부규정을 정비하고 금융 의료ㆍ복지
등의 익명가공정보의 작성 등을 공표 금융 의료ㆍ복지 등 분야의 사업자가 익명가공정보의
작성 등을 공표하도록 지도해 왔음 비식별가공정보의 가공이나 그 취급에 대한 공적인 상담
창구로서 개정 행정기관개인정보보호법 등에 근거하여 행정기관 등 비식별가공정보에 관한
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
4
3 개인정보의 개념
1) 일본은 개정 개인정보보호법을 통하여 개인정보의 개념을 더욱 명확히하였음 우선
제2조 정의에서 개인정보는 특정의 개인을 식별할 수 있는 것으로 다른 정보와 용이하게
조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있는 것을 포함한다는 구법의
용이조합성을 여전히 유지하면서 개인식별부호 규정을 두어 종래 개념에 포함되는지 논란이
되었던 생체정보 즉 DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문을
디지털 데이터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것을 포함하였고 여권번호
기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공공기관에서
부여하는 번호를 포함하였음
4 익명가공정보
1) 일본의 구법에서도 개인정보의 개념에 용이조합성이 인정되기 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점이 있었음
따라서 정보제공자가 쉽게 특정 개인을 식별할 수 있는 경우에도 익명가공정보라는 개념을
인정하여 법적으로 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를
복원하지 못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것임
2) 일본 개정법의 lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는
전제하에 법적 선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의
익명성을 법적으로 보장하는 것으로 해석 결국 이 규정에 의하여 익명가공정보의 식별불가능하고
불가역적이라는 것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는
자에게도 요구됨
3) 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에 의한 위치정보
빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이 퍼스널
데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과 같은
주로 공적 요소의 강화 등에서 활용되고 있음 익명가공정보제도의 도입에 의해 보다 넓은
용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의 다양한 방면에서
소비자가 혜택을 받는 서비스가 제공되었음
5
5 개인정보의 취급 위탁 제3자 제공
1) 일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
개인데이터를 제3자에게 제공할 때에는 본인의 사전 동의가 필요 그 외에 법령에 따라 1 법령에
의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서 본인의
동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기 위해
특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은 지방공공단체
또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할 필요가 있는
경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠 우려가 있을
때에 본인의 동의 없이 개인데이터의 이전 가능
2) 일본법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위
내에서 개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정
3) 한편 개인정보취급사업자는 외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에
대하여 감독책임(일본법 제22조) 개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에
의한 재위탁 업체의 감독에도 의무자가 됨
4) 우리나라 개인정보보호법 제26조에도 업무위탁에 따른 개인정보의 처리를 규정하고 있고
업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보처리가 행해지고
위탁자인 개인정보처리자의 관리 middot 감독을 받지만 제3자 제공은 제3자의 이익을 위해서
개인정보처리가 행해지고 제3자가 자신의 책임하에 개인정보를 처리하게 됨 위탁과 제3자
제공의 두 규정을 유용하게 활용하여 법규 내의 데이터 활용의 활성화를 기대해 볼 수 있음
6 개인정보보호위원회
1) 일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서는 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게 정비
2) 일본 개인정보보호위원회는 익명가공정보의 세부규정을 정비하고 금융 의료ㆍ복지
등의 익명가공정보의 작성 등을 공표 금융 의료ㆍ복지 등 분야의 사업자가 익명가공정보의
작성 등을 공표하도록 지도해 왔음 비식별가공정보의 가공이나 그 취급에 대한 공적인 상담
창구로서 개정 행정기관개인정보보호법 등에 근거하여 행정기관 등 비식별가공정보에 관한
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
5
5 개인정보의 취급 위탁 제3자 제공
1) 일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
개인데이터를 제3자에게 제공할 때에는 본인의 사전 동의가 필요 그 외에 법령에 따라 1 법령에
의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서 본인의
동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기 위해
특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은 지방공공단체
또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할 필요가 있는
경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠 우려가 있을
때에 본인의 동의 없이 개인데이터의 이전 가능
2) 일본법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위
내에서 개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정
3) 한편 개인정보취급사업자는 외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에
대하여 감독책임(일본법 제22조) 개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에
의한 재위탁 업체의 감독에도 의무자가 됨
4) 우리나라 개인정보보호법 제26조에도 업무위탁에 따른 개인정보의 처리를 규정하고 있고
업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보처리가 행해지고
위탁자인 개인정보처리자의 관리 middot 감독을 받지만 제3자 제공은 제3자의 이익을 위해서
개인정보처리가 행해지고 제3자가 자신의 책임하에 개인정보를 처리하게 됨 위탁과 제3자
제공의 두 규정을 유용하게 활용하여 법규 내의 데이터 활용의 활성화를 기대해 볼 수 있음
6 개인정보보호위원회
1) 일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서는 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게 정비
2) 일본 개인정보보호위원회는 익명가공정보의 세부규정을 정비하고 금융 의료ㆍ복지
등의 익명가공정보의 작성 등을 공표 금융 의료ㆍ복지 등 분야의 사업자가 익명가공정보의
작성 등을 공표하도록 지도해 왔음 비식별가공정보의 가공이나 그 취급에 대한 공적인 상담
창구로서 개정 행정기관개인정보보호법 등에 근거하여 행정기관 등 비식별가공정보에 관한
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
6
종합 안내소를 2017년 개설하고 행정기관 및 민간사업자 등으로부터의 문의에 대응
3) 향후 한국에서는 EU의 적정성 평가에서 개인정보보호기구가 일원적이고 독립적인가라는
관점에서 평가될 때 현재의 개인정보보호위원회를 중심으로 정보통신망법 신용정보보호법상의
개인정보에 관한 업무를 통괄할 필요성에 대해 검토해야 함
7 개인정보의 국외 이전
1) 개인데이터의 국외 이전을 고려하여 일본 개인정보보호법 제24조에서는 ldquo개인정보취급
사업자는 외국에 있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에
열거된 경우를 제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를
얻어야만 한다rdquo고 규정하였고 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데
우리나라와 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는
외국으로서 개인정보보호위원회 규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른
괄호에서 ldquo개인데이터의 취급에 대하여 이 절의 규정에 의해 개인정보취급사업자가 취하여야
할 조치에 상당하는 조치를 계속적으로 취하기 위하여 필요한 것으로서 개인정보보호위원회
규칙으로 정하는 기준에 적합한 체제를 정비하고 있는 자를 제외한다rdquo고 규정하여 이른바
개인정보보호의 동일수준을 충분히 인정하는 국가와 제3자에게 본인의 동의 없이 개인정보를
제공하는 것을 인정하고 있음
2) 결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 됨
3) 우리나라는 개인정보보호위원회를 중심으로 독립되고 단일한 권한 조정을 확립하고
개인정보 이전에 대한 동의 절차와 적절한 해외 이전의 근거를 정비할 필요가 있음
8 ICT산업 생태계에 미치는 영향과 법의 방향
1) 21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고
있음 인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의
혁신이 초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 AI 기술의
발전을 모색하고 있음
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
7
2) 우리 개인정보보호법은 이러한 기술 상황을 고려하면 빅데이터의 활용 등에 의한
개인의 인권 침해 여지를 막는 역할과 이러한 신 데이터 기술 혁신이 가능하게 하는 양쪽의
이해를 다 수용할 수 있는 법으로 개선할 필요가 있음
3) 일본에서는 개인정보보호법의 정비에서 관련 전문가들이 법안 작성에 직접 참여하여
법령 개정의 구체적인 논의를 진행한 점을 고려할 때 정치적인 논쟁 속에서 이론적이고 체계적인
검토는 부족한 개정안을 제시해온 우리가 크게 고려해야 할 입법 태도임
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
8
관한 연구
손형섭 (경성대학교 법정대학 교수)
1 서론
옥션 등 여러 개인정보 유출 사건 이후 lsquo개인정보보호rsquo가 강조되어 왔다 그럼에도
불구하고 실제 법에서는 개인정보의 활용을 위한 시도가 계속되었고 이에 개인정보의 적절한
활용과 보호를 위한 논의와 제도 설계가 진행되어야 하는데 여전히 보호와 활용 사이의
대립적인 논의만 제기되고 있는 것이 현실이다 2019년 데이터 3법의 개정논의에서 볼 수
있듯이 한국의 개인정보보호법은 EU의 GDPR의 실시와 4차 산업혁명의 ICT사회의 변화에
발맞출 버전 20으로의 개혁이 필요한 시점에 직면해 있다
데이터 3법 개정안에서는 개인정보와 익명정보 사이에 ldquo가명정보rdquo라는 개념을 신설하고
가명정보를 ldquo새로운 기술 middot 제품 middot 서비스의 개발 등 산업적 목적을 포함하는 과학적 연구 통계
작성 공익적 기록 보존 등의 목적rdquo으로 활용할 수 있게 하는 취지를 규정하고 있다 이
가명정보 규정에 대해서는 개인정보의 보호와 침해 발생에 대한 우려로 찬반이 대립 중이다
찬성론은 가명정보를 만들 때 익명화 기법(k-익명성 l-다양성)처럼 익명성이 확실히 보장되는
기술을 적용하여 개인정보를 보호할 수 있다는 것이고 반대론은 데이터 3법에서는 결합된
데이터베이스를 가명정보 상태 그대로 가져갈 수 있도록 되어 있어 개인정보 침해 우려가
높다는 것이다
데이터 3법 개정안에서는 또한 개인정보보호위원회를 독립적 중앙행정기구로 승격시켜
개인정보보호의 수준을 높이는 내용도 담고 있는데 데이터 3법에서의 이러한 개혁 방안이
유럽연합의 일반개인정보보호법(GDPR)의 적정성 평가 심사를 통과할 수 있는 충분한 조치인가에
대해서는 검토가 필요하다 결국 개인정보의 보호와 활용 사이에 헌법과 법률에서 정하는
한국 개인정보보호법과 일본 개인정보보호법의
비교 분석
- ICT산업 생태계에 미치는 영향을 중심으로 -
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
9
적절한 기준을 설정해야 하는 상황에서 실증적인 연구를 포함하여 적정한 규제 합리적인
가이드라인의 설정이 요구된다
이러한 때에 미국의 프라이버시법과 정책 변화 유럽의 개인정보보호법제의 변화 등을 두루
검토하여 개인정보의 보호와 활용을 위한 적정한 기준을 정립하여 2018년에 이미 EU로부터
적정성 평가를 인정받은 일본의 법제를 검토하고 참구할 필요성은 매우 크다 일본은
2015년에 개인정보보호법을 대폭으로 개정하여 버전 20으로의 변화를 추진한바 이 법의
단계적인 전면 시행 그리고 2019년 EU로부터의 적정성 평가 인정으로 그 효과를
입증하였다
따라서 국제적인 변화와 ICT 산업환경의 발전과 개인정보의 보호라는 두 가지 면을 다
추구해야 하는 대한민국의 개인정보보호법의 버전 20으로의 개혁에서 일본은 효과적인
벤치마킹이 될 수 있다 2019년 말과 2020년 초 시점에 ICT 산업 생태계에 미치는 영향을
중심으로 한국 개인정보보호법과 일본 개인정보보호법을 비교 분석하여 우리의 개인정보보호법
등의 개혁에 필요한 시사점을 도출하고 이를 우리 현실에 맞게 적용할 수 있을 것이다 이를
통하여 규제와 허용 사이에 적절한 기준 관련법과 제도의 논의 중 가짜 논의와 과잉반응을
제거하고 실제 필요하고 합리적인 법과 제도 개혁안을 실증적으로 제시하고자 한다 이를
위하여 우리 법에는 없는 일본의 법 규정을 중심으로 분석하여 일본 개인정보보호법에서의
변화와 우리 개인정보보호법에서 수용해야 할 변화방법에 대한 논의를 제공하겠다 특히
개인정보의 보호와 활용 사이의 접점을 찾아 구체화하는 데 이미 EU로부터 적정성 평가를
인정받은 일본의 입법과 이후 시행과정을 분석하여 대한민국 ICT사회의 변화와 발전에
필요한 시사점을 검토해본다
2 일본 개인정보보호법의 특징
가 제정과 개정
일본은 2003년 5월에 민간영역을 규제대상에 포함한 개인정보보호법을 제정했다 이때
개인정보보호법과 공공부문에 적용되는 lsquo행정기관의 개인정보보호법rsquo lsquo독립행정법인의 개인정보보호법rsquo
lsquo정보공개 middot 개인정보보호심사회 설치법rsquo lsquo행정기관이 보유하는 개인정보의 보호에 관한 법률
등의 시행에 따른 관계 법률의 정비 등에 관한 법률rsquo의 4개 관련법도 정비되었다 이와 함께
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
10
종래 존재했던 자치단체의 lsquo개인정보보호 조례rsquo와 관련 의료 금융 정보통신 분야 등의
가이드라인 등이 제 middot 개정 시행되었다 이를 통하여 개인정보보호에 대한 국민의식이 높아지고
개인정보의 일반적인 보호가 가능하게 되었다 반면 개인정보의 자유로운 활용이라는
측면에서는 다양한 문제가 제기되었는데 개인정보보호법이 시행된 이후에도 크고 작은 개인정보
유출사건이 계속되어 법의 기능적 한계를 보이기도 했다1)
2004년 일본 개인정보보호법에서는 개인정보 데이터베이스 등을 사업용에 제공하고 있는
자는 개인정보취급사업자에 해당되지만 ① 국가기관 ② 지방공공단체 ③ 독립행정법인 등 ④ 지방
독립행정법인 ⑤ 개인정보에 의해 식별되는 특정 개인의 수의 합계가 과거 6개월 이내의 날에
있어서 5천을 넘지 않는 자는 개인정보취급사업자에 해당되지 않았고 또한 개인정보취급사업자에
해당하는 경우라도 신고 등의 절차는 필요하지 않았다 이것이 개정법의 전면시행일 이후에 ⑤의
적용제외는 없어지고 개인정보 데이터베이스 등을 사업용으로 제공하고 있는 자는 당해
개인정보 데이터베이스 등을 구성하는 개인정보에 의해 식별되는 특정 개인의 수가 많고
적음에 관계없이 개인정보취급사업자에 해당하게 되었다 하지만 ①sim④까지의 주체는
계속해서 개인정보취급사업자에 해당되지 않았다
2010년대에 들어와서 일본은 2013년 6월 내각에서 lsquo세계최첨단 IT 국가 창조선언rsquo을
통해 퍼스널 데이터 이활용(利活用)에 관한 제도 개선 방향을 도출하였다 이에 따라
개인정보보호법 개정심의가 시작되고 2014년 6월 24일 lsquo퍼스널 데이터 이활용에 관한
제도개정 대강rsquo이 작성되었다 이 대강의 3대 포인트는 ① 본인 동의가 없어도 데이터를 활용
가능하도록 하는 구도의 도입 ② 기본적인 제도 틀과 이것을 보완하는 민간의 자주적인 조직
활용 ③ 제3자 기관의 체제정비 등에 의한 실효성 있는 제도 집행의 확보였다
1) 일본의 구 개인정보보호법은 주무대신의 권고 시정조치(제34조)를 위반하거나 허위보고를 한 경우에 벌금형을 부과하고 있으
며(제56조 제57조) 이 법의 직접 위반을 이유로 한 형사처벌은 규정하고 있지 않다 따라서 규제의 정도는 우리나라의
그것에 비해서 약한 편이다 따라서 개인정보 유출 사건에 대하여 우리 법보다 엄격하지 못한 측면이 있었다 손형섭 ldquo개
인정보보호법의 특징과 앞으로의 방향 ‒업계의 반응에 대한 몇 가지 대안을 중심으로 ‒rdquo 언론과 법(2012) 114면
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
11
lt그림 1gt 일본 개인정보보호법 개정 후의 쟁점 변화
2015년 개정 일본 개인정보보호법의 주요 개정 내용을 정리하면 다음과 같다2)
개정 사항 세부 내용
① 개인정보
정의를 명확화bull 그동안 개인정보와 관련한 회색지대 문제 해결
bull 개인식별부호 규정 정비 필요배려개인정보에 대한 개념 도입
② 데이터의 이용 및 활용 촉진을 위한법ㆍ제도 구축
bull 가공된 ldquo익명가공정보rdquo에 대한 기업의 자유로운 이용과 활용을 인정하여 경제 활성
화를 추구
bull 익명가공정보의 개념 취급 관리에 대한 사항 규정
③ 목적제한의예외 사유(보호법 16조 제2항 제4호)
bull 공중위생 향상을 위한 의료정보의 이용 및 활용범위 안전한 관리를 위한 취급 방
법 등 제도화
④ 개인정보취급
시 정보주체의
권리보장을
위한 동의 및
고지제도
bull 개인정보취급시 옵트아웃의 허용범위
bull 개인정보취급시 준수절차(고지 및 신고)
bull 개인정보의 이용목적 변경시 정보주체의 의사 반영을 위한 절차 마련
bull 정보주체 이외로부터 수집한 경우(조합에 의한 개인정보 생성 제3자로부터 제공
받은 경우 등)에 있어 고지 절차
⑤ 명부업자의
법적 지위
명확화
bull 명부업자에 대해 필요에 따라 개인정보의 유통경로를 알 수 있도록 함
bull 명부업자가 부정하게 개인정보를 제공한 경우의 벌칙을 신설
bull 명부업자의 부정한 개인정보의 유통을 방지
bull 추적가능성(traceability) 확보(제25조 제26조 3항 및 4항) 개인정보의 제3자 제공시
수령자는 제공자의 성명 및 데이터 취급경위 등을 확인하고 일정 기간 그 내용을 보
관 제공자도 수령자의 성명 등을 일정 기간 보존 개인정보의 제공자 제공처 연월일
등 기록 작성 및 보존 의무
lt표 1gt 2015년 개정 일본 개인정보보호법의 주요 개정 내용
2) 손형섭 ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46 no2 2017 300면~301면
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
12
개정 사항 세부 내용
⑥ 개인정보보호
위원회 설치
bull개인정보취급의 감독권한을 가진 개인정보보호위원회 설치
bull개인정보보호위원회 위원장+8명 위원(4명은 비상근 임기 5년 전문위원)
bull내각부의 외국(外局)으로 개인정보보호위원회를 신설(번호 등 특정개인정보보호위원
회를 개조)
bull현행 각 주무대신이 갖는 감독권한을 개인정보보호위원회에 집약
bull立入(현장)검사의 권한 등 추가
bull보고집수 및 현장검사의 권한은 사무소관대신에게 위임 가능
⑦ 번호이용법
bull특정개인정보(마이넘버)의 이용 추진에 관한 제도 개정
bull금융 분야 의료등 분야에 이용범위 확대
bull예ㆍ적금계좌에의 번호 특정검진 보험지도에 관한 사항에 이용 예방접종에 관한
사무에 있어서 접종이력 연대 등
⑧ 기타 주요
개정사항
bull개인정보로 보호해야 할 정보의 범위와 사업자 준수 규칙
bull개인정보 악용으로부터 소비자 우려를 안심시키는 제도
bull개인정보와 프라이버시를 보호하며 신사업 신서비스의 창출을 위해 활용할 수 있는
환경 정비
⑨ 데이터베이스
제공죄
(제83조)
bull개인정보 데이터베이스 등 부정제공의 경우 1년 이하 징역 또는 50만 엔 이하 벌금
처벌규정 신설
bull개인정보 데이터베이스 등 취급사무에 종사하는 자 또는 종사한 자가 부정한 이익을
도모할 목적으로 제공하거나 도용하는 행위를 처벌
⑩ 개인정보 국외
이전에 대한
대응(개인정보
취급의 글로벌
화)
bull개인정보가 국경을 넘는 경우의 적용
bull외국에서 당해 개인정보 또는 당해 개인정보를 이용하여 작성한 익명가공정보를 취
급하는 경우에도 적용하도록 함
bull위원회는 이 법률에 상당하는 외국 법령을 집행하는 외국 당국에 대하여 그 직무
수행에 이바지한다고 인정하는 정보제공을 할 수 있도록 함
bull외국과 동일 수준 보호 원칙
bull외국사업자에 제3자 제공(제25조)
bull국제적 수준의 개인정보보호제도
bull일본 국민의 개인정보 국외 이전의 허용요건 안전관리규정 정비
2016년 1월에는 개인정보보호법에 근거하여 개인정보보호위원회가 설치되었고 2016년
3월에는 lsquo행정기관 등 개인정보보호법rsquo 개정안이 일본 국회에 제출되었다 개인정보보호법의
시행령 시행규칙 기준 등의 세부 사항은 개인정보보호위원회에 의해서 만들어졌는데
2016년 8월 2일 개인정보보호위원회 시행령과 시행규칙안 의견에 대한 공모가 이루어지고
이후 개인정보보호위원회 주도로 일본 개인정보보호 middot 제공기준 익명정보처리기준 등이 마련되었다
그리고 2017년 5월 30일 일본의 개정 개인정보보호법이 전면 시행되었다3)
3) 경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보보호위원회(201712) 9면
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
13
나 개인정보의 활용과 보호
일본 개정 개인정보보호법 제1조 목적에 종전 규정에 더하여 ldquo개인정보의 적정하고
효과적인 활용이 새로운 산업 창출 및 활력이라는 경제사회 및 풍요로운 국민생활 실현에
이바지rdquo가 추가되었다 즉 lsquo새로운 산업 창출 및 활력rsquo이 새로운 개인정보보호법에서 추가된
변화 방향이라 할 수 있다 최근 정보 활용과 관련하여 가장 크게 주목받는 분야는
빅데이터의 활용과 인공지능이다 그런데 빅데이터 특히 인공지능과 관련된 빅데이터를
활용하기 위해서는 개인정보의 보호와 충돌되는 면이 많아 기존 개인정보보호 법제하에서는
빅데이터의 활용 인공지능에서의 정보 활용이 곤란해지는 측면이 다수 존재한다 이에
새로운 개정 개인정보보호법에서는 이러한 문제를 해결하여 빅데이터 등의 정보 활용과
관련해서 정보이용가능성을 보다 높이는 것이 주목적 중 하나였다4)
이 법의 개정 취지는 첫째 정보통신기술 진보에 의해 대량의 개인데이터가 수집 middot 분석되는
빅데이터 시대 도래에 대한 대응 둘째 개인정보로서 취급해야 하는 범위의 불명확함으로
인해 기업은 개인정보의 이활용을 주저5)하는 문제가 발생하는 한편 대기업의 개인정보 대량
유출사건6) 등으로 개인정보취급에 대하여 국민 염려가 증대된 데 대한 대책 마련이었다
당시 일본의 대형 교육출판 기업인 베네세에서의 개인정보 대량 유출사건은 아동 정보
거래의 실상을 온 국민에게 알리는 계기가 되었으며 이 사건의 여파는 일개 기업의 신뢰성
하락 정보 유출 책임이 있는 관리회사 전 직원의 처벌에만 그치지 않았다 일본 현지
신문에서는 2013년 12월에 발생한 미국 대형 유통업체 타깃(TARGET)의 신용카드 정보
유출 원인으로 지목되는 POS 단말기의 악성코드가 일본에서도 발견됐다거나 소프트웨어
업데이트를 가장한 해킹 공격이 성행한다는 등 일상생활 곳곳에서 개인정보 유출의 가능성을
경고하는 기사를 연일 보도하며 개인정보의 유출 우려를 증폭시켰다 이렇게 사건의 후폭풍이
4) 宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162) 42頁
5) 교통관련 대기업의 데이터 제공
6) 이른바 명부옥(名簿屋 data broker) 사건 일본의 대형 교육출판 기업인 베네세에서의 개인정보 유출사건으로 베네세의
외부 위탁업체의 시스템 엔지니어가 2013년 7월부터 2014년 6월까지 20여 차례에 걸쳐 총 2억 300만 건의 고객 데이
터를 팔아 400만 엔의 이익을 챙긴 사건이다 주로 1993년 1월부터 2013년 12월 사이에 출생한 아동의 이름과 생년월
일 보호자 이름 주소 및 전화번호 등이 유출됐는데 이 데이터는 여러 업자를 통해 영어회화 학원 소프트웨어개발 기업
등에 팔려나갔다 아동의 정보는 상대적으로 사용할 수 있는 기간이 길고 학원 등 교육업계에서 지속적으로 수요가 발생
하고 있기 때문에 고가에 거래되는데 이번 사건은 아동 정보 거래의 실상을 온 국민에게 알리는 계기가 됐다
출처 조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는 자 숨기려는 자 (3)rdquo
20141105 httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
14
컸던 이유는 개인정보가 넘치는 빅데이터 시대로 돌입했기 때문이었다7)
lt그림 2gt EU 적정성 평가를 위한 일본의 개정법 정비8)
나아가 일본의 개인정보보호법의 개정은 EU GDPR의 정비 middot 실행과 발맞추어 국제적인 기준을
준수하기 위한 것이기도 했다 EU는 1995년 개인정보보호지침을 제정하여 실시하였으나 2012년
1월 이를 대체하는 새로운 개인정보보호규칙안을 제정middot 공포하여 2018년 실시했다(이른바 EU의
GDPR)
당시 일본은 개인정보보호법의 주무대신이 27개 분야로 40개 가이드라인이 제정되어
EU에서 보기에 데이터 이전에 관한 ldquo충분한 보호rdquo를 하기 위해서는 감독 middot 집행체제 창설이
필요했었다 또한 GDPR은 ① EU 역내 국민의 개인정보를 처리하는 역외 기업에게도 적용되며
② 중대 사항 위반 시 2천만 유로 또는 직전 회계연도 전세계 매출액의 4까지 벌금을
부과할 수 있고 ③ 개인정보처리 기준을 매우 높게 설정하고 있으며 ④ 정보주체인 개인의
7) 조은진 위의 기사
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategoryId=58787(20191222확인)
8) 이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
15
권리를 확대하기 위해 데이터 삭제권과 이동권 등을 법제화하고 있다9)
lt그림 3gt EU GDPR의 주요 내용10)
따라서 일본의 개정 개인정보보호법은 종래 일본에서의 개인정보 유출사건 등의 개인정보
유출문제에 대한 대책을 강화하고 EU의 정정성 평가를 고려한 국제기준을 준수하여 개인정보
의 보호와 활용을 함께 도모한 개인정보보호법 20으로의 제도적 도약을 추진하며 이후 후술
하는 EU로부터의 적정성 평가 인정과 함께 인공지능 빅데이터 시대에 합리적인 대응의 행보
를 보여주고 있다
이러한 과정에서 개인정보보호를 위한 보안시장의 확대 또한 진행되었다 일본에서는
2013년 5월 한국의 주민등록번호에 해당하는 마이넘버 부여를 골자로 하는 lsquo마이넘버법rsquo의
제정으로 2015년 10월부터 전 국민에게 번호를 부여하고 2016년부터 본격적으로 사용하게
되면서 보안 시스템에 대한 수요가 커질 수밖에 없었다11) 이에 새롭게 창출되는 시장을
생각하기에 앞서 기업과 개인 간의 신뢰를 확보하기 위한 첨단 보안 제품과 서비스 기술의
발전이 필요했던 것이다
9) 채은정 한국과 유럽의 개인정보보호법 비교 httpsblognavercomhappykdic221570446667(20191221 확인)
10) 이정은(연구원) 정은숙(작가) 앞의 자료
11) 조은진 앞의 기사
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
16
3 개인정보의 개념
가 개념의 명확화
일부 견해에서는 일본법에서의 개인정보의 개념이 우리보다 협소하여 개인정보 활용의
가능성이 더 많다는 주장12)이 있으나 이러한 주장은 다음의 설명과 같이 사실과 다르다
일본에서도 개인정보의 개념을 축소하여 정보의 유통을 자유롭게 하자는 주장이 없는 것은
아니었다 이러한 주장을 일본 정부도 충분히 검토하였으나 결국 개인정보의 개념을
명확히하는 내용의 개정법이 추진되었다
lt그림 4gt 일본의 구법에 따른 개인정보에 관한 범위와 회색지대13)
종래 일본의 개인정보의 개념에 대하여 개인정보에 해당하는지 알기 힘든 회색지대(Gray
zone)를 해소해야 한다는 논의가 진행되었다 예를 들어 기상데이터는 개인정보보호법이 적
용되지 않는다 그런데 정부나 기업에서 수집하고 사용하게 되는 데이터는 기상데이터 등 극
소수의 데이터를 제외하면 대부분 개인정보이거나 개인정보가 될 가능성이 있는 정보여서 개
인정보법제의 잠재적 적용대상이 되기 때문에 이에 대하여 명확히 할 필요가 있었다14)
12) 김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정기세미나(20151017) 발표
13) 日本経済新聞 2014 6 30 한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제26권 13
호 통권 581호(2014) 24면
14) 김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연세 글로벌 비즈니스 법학연구(2016)
119면
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
17
일본의 개정법에서는 개인정보의 정의를 변경하여 개인식별부호가 포함된 것을 개인정보로서
명확히하였다 특정 개인을 식별할 수 있는가는 다른 정보와 쉽게 조합할 수 있는가도
고려하여 판단할 필요가 있지만 이 판단은 각 사업자의 정보관리체제 기술 등을 종합적으로
고려하여 행하기 때문에 동종의 정보라 하더라도 사업자로부터는 개인정보 해당성이 명확하지
않고 이것이 퍼스널 데이터15)의 활용을 주저시키는 곤란함이 되어 개인정보 범위의 명확화를
요구하는 목소리가 있었다 다른 한편 소비자 측에서도 퍼스널 데이터의 범위가 개인정보로서
보호되고 있는가가 불명확하다는 불안이 높아지고 있었다 그래서 개인식별부호를 개인정보에
포함시켜 개인정보 범위의 명확화를 도모한 것이다16) 개인식별부호가 개인정보 개념에
포함되어 DNA와 BIO정보는 물론 ldquo보행 때 자세 및 양팔의 동작 보폭 그 외 보행의 양태rdquo도
추가하여 빅데이터에서 흔히 말하는 비정형 데이터도 개인식별부호에 포함시켜 법 내에서
논의하도록 하였다
나 한국과의 비교
lt표 2gt를 보면 우리 개인정보보호법의 규정은 일본의 구법에서와 같이 ldquo다른 정보와 쉽게
결합하여 알아볼 수 있는 것rdquo을 포함한다 이른바 용이조합성(容易照合性)을 요구하여 양국의
규정이 거의 유사함을 알 수 있다 그런데 일본의 행정기관개인정보보호법은 ldquo다른 정보와
조합할 수 있고 그에 의해 특정 개인을 식별할 수 있는 것rdquo으로 규정하여 용이조합성은
요구하고 있지 않다 이것은 행정기관에서 종이에 쓰인 개인정보도 용이하지는 않지만 서로
대조하여 특정 개인을 식별할 수 있기에 이러한 경우에도 개인정보로서 해당 법으로
규율한다는 것으로 행정기관에서 보다 엄격한 개인정보보호를 요구한 것이다17)
그런데 국내에서는 용이조합성으로 인하여 개인정보의 개념이 넓어진 것으로 이해하는
견해가 있는데 이것은 잘못된 주장이다 즉 용이조합성이 있는 것을 개인정보로 보는 것이고
ldquo쉽게 결합하여 알아볼 수 없는 것rdquo은 개인정보에 해당하지 않는다는 것을 의미한 것이다
일본의 구법과 개정법 그리고 행정기관개인정보보호법과 우리의 개인정보보호법의 개념 규정을
15) 일본에서 퍼스널 데이터는 개인의 속성정보로 이동ㆍ행동ㆍ구매이력 웨어러블 기기로부터 수집된 개인정보를 포함한다 따
라서 퍼스널 데이터는 개인정보와 동일한 것으로 생각되기 쉽지만 개인식별성이 없는 정보도 포함하고 있어 개인정보와
는 다르다 즉 단독으로 개인을 특정할 수 있는가 여부와 관계없이 개인과 관련 지울 수 있는 정보를 퍼스널 데이터라고
하는 경우가 있다
16) 宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017) 41頁
17) 宇賀克也 前掲書 413頁
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
18
비교하면 다음과 같다
일본 구법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo란 생존하는 개인에 관한 정보로서 당해 정보에
포함된 성명 생년월일 기타의 기술 등에 의해 특정의 개인을 식별할 수 있는 것(다른 정
보와 쉽게 조합(照合)되어 그것에 의하여 특정의 개인을 식별하는 것이 가능하게 되는 것
을 포함한다)을 말한다
일본
개정법
제2조(정의) ① 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로서 다음 각
호의 어느 하나에 해당하는 것을 말한다
1 당해 정보에 포함되어 있는 성명 생년월일 기타 기술 등문서 도화 혹은 電磁的 기록
[電磁的 방식(電子的 방식 磁氣的 방식 기타 사람의 지각에 의해서는 인식할 수 없는 방식
을 말한다 다음 항 제2호에서도 동일함)으로 작성된 기록을 말한다 제18조 제2항에서도
동일함]에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일
체의 사항(개인식별부호를 제외함)을 말한다 이하 동일함에 의해 특정의 개인을 식별할
수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할
수 있도록 되어 있는 것을 포함한다)
2 개인식별부호가 포함된 것
일본
행정기관
개인정보
보호법
제2조 ② 이 법률에서 ldquo개인정보rdquo라 함은 생존하는 개인에 관한 정보로 다음 각 호의 어
느 것에 해당하는 것을 말한다
1 당해 정보에 포함되는 성명 생년월일 기타의 기술 등문서 도화 혹은 電磁的 기록[電
磁的 방식(電子的 방식 磁氣的 방식 기타의 지각에 의해서는 인식할 수 없는 방식을 말함
다음 항 제2호에서 동일함)으로 만들어진 기록을 말함 이하 같음]에 기재거나 기록되거나
음성 동작 기타의 방법을 이용하여 표현된 일체의 사항(개인식별부호를 제외)을 말한다
이하 같음에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 조합할 수 있고 그에 의해
특정 개인을 식별할 수 있는 것을 포함한다)
2 개인식별부호가 포함된 것
한국
개인정보
보호법
제2조(정의) 1 ldquo개인정보rdquo란 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영
상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없
더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
한국
생명윤리법
제2조(정의) 17 ldquo개인식별정보rdquo란 연구대상자와 배아ㆍ난자ㆍ정자 또는 인체유래물의 기
증자(이하 ldquo연구대상자등rdquo이라 한다)의 성명ㆍ주민등록번호 등 개인을 식별할 수 있는 정보
를 말한다
18 ldquo개인정보rdquo란 개인식별정보 유전정보 또는 건강에 관한 정보 등 개인에 관한 정보를
말한다
19 ldquo익명화rdquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의 전부 또는
일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다
EU의
GDPR
제4조 제1항 개인정보란 식별된 또는 식별가능한 자연인(정보주체)과 관련된 모든 정보를
의미한다 식별가능한 자연인은 직접적 또는 간접적으로 특히 이름 식별번호 위치정보
온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의 신체적 생리적 유전적 정신
적 경제적 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를 참조하여 식별될 수
있는 자이다
lt표 2gt 일본법과 한국법의 개인정보의 개념
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
19
물론 일본의 구법과 한국의 법이 유사하다고 해도 관련 시행령 시행규칙 그리고 판례를
통하여 개인정보의 범위를 서로 달리하게 된다 국내에서도 과거 아이디 전화번호 쿠키
IP와 이메일 주소 로그기록 등과 같은 정보는 개인식별정보가 아니므로 개인정보로 보아서는
안 된다는 주장이 있었다 그러나 판례는 아이디와 비밀번호18)나 이메일 주소19)와 휴대폰
번호20)는 물론 IMEI(국제모바일 단말기 인증번호)와 USIM일련번호의 조합도 수집시 동의를
얻어야 하는 개인정보로 인정21)한 바 있다 방송통신위원회와 인터넷진흥원 등 정부 기관은
개인정보보호법령 해설에서 쿠키도 개인정보에 포함하고 있다22) 한편 판례는 스스로 공개한
개인정보에 대하여 묵시적 동의를 인정하기도 했다23)24)
한국에서는 2016년 관계부처 합동으로 마련한 ldquo개인정보 비식별조치 가이드라인rdquo에서
ldquo식별가능성rdquo에 대한 해석을 ldquo결합 대상이 될 다른 정보의 입수 가능성이 있어야 하고 다른
정보와의 결합 가능성이 높아야 하며 합법적으로 정보를 수집할 수 없거나 결합을 위해
불합리한 정도의 시간과 비용 등이 필요한 경우라면 lsquo쉽게 결합rsquo할 수 있는 상태라고 볼 수
없음rdquo이라고 하였다 다만 해당 가이드라인은 폐기된 바 있다25)
2019년 12월 행정안전위원회에서 이채익 법안소위원장은 20대 국회 개인정보보호법 개정안의
골자에 대하여 ldquo추가 정보를 사용하거나 결합하지 않으면 특정 개인을 알아볼 수 없는
가명정보의 개념을 명시하고 가명정보는 정보주체의 동의 없이도 통계작성 과학적 연구
공익적 기록보존 등을 위하여 예외적으로 이용 middot 제공할 수 있도록 하여 가명정보의 산업
활용을 규정하였으며 기업 간 가명정보의 결합은 개인정보보호위원회 또는 관계 행정기관이
지정한 전문기관에서 할 수 있도록 하는 데이터 결합에 대한 명시 근거를 마련했다 그리고
현행법상 개인정보의 정의에서 다른 정보와 쉽게 결합할 수 있는지 여부에 대한 기준을
명확히 규정함으로써 법적용에 혼란을 일으키지 않도록 하고 익명정보는 이 법의 적용대상이
18) 서울중앙지법 2007 1 26 선고 2006나12182 판결
19) 서울중앙지법 2007 2 8 선고 2006가합33062 53332 판결
20) 대전지방법원 논산지원 2013 8 9 선고 2013고단17 판결
21) 서울중앙지방법원 2011 2 23 선고 2010고단5343 판결 [정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반] 사건
이 사건에서는 스마트폰 증권시세 애플리케이션을 통하여 스마트폰 이용자의 IMEI(국제모바일 단말기 인증번호)와 USIM
일련번호의 조합 정보를 읽어 오는 등의 방법으로 개인정보를 수집한 피고인 등에게 벌금 700만 원 등을 선고하였다
22) 법률신문 2013 6 28 lsquo쿠키 파일rsquo도 법적 보호받아야 할 개인정보인가
23) 대법원 2016 8 17 선고 2014다235080 판결
24) 손형섭 앞의 각주2 304면
25) 관계부처합동 개인정보 비식별조치 가이드라인 20166
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
20
아님을 명시하였다
그런데 일본에서는 제2조 개인정보의 개념에 ldquo기재되거나 기록되거나 음성 동작 기타의 방법을
이용하여 표현된 일체의 사항rdquo을 포함시키고 생채정보 개념을 포함할 수 있는 개인식별부호를
규정하고 있다 개인식별부호란 그 정보 하나로부터 특정 개인을 식별할 수 있는 것으로
개인정보보호에 관한 법률시행령(2003년 정령 제507호 이하 lsquo정령rsquo이라 함)에서 정하는 것을
말하며 다음 항목 중 어느 하나에 해당하는 것을 말한다26)
1)특정 개인의 신체 일부 특징을 전자계산기 사용을 목적으로 변환한 부호
생체정보(DNA 얼굴 홍채 성문 걷는 모습 손가락 정맥 지문 및 장문)를 디지털 데이
터로 변환한 것 중 특정 개인을 식별하는 데 충분한 것으로 규칙에서 정하는 기준에 적
합한 것 【정령 제1조 제1호 규칙 제2조】
2)대상자마다 다르게 되도록 역무의 이용 상품 구입 또는 서류에 붙는 부호
여권번호 기초연금번호 면허증번호 주민표코드와 마이넘버 각종 보험증의 번호 등 공
공기관에서 부여하는 번호 【정령 제1조 제2호 ~ 제8호 규칙 제3조 제4조】
따라서 한국에서 빅데이터 인공지능을 고려한 개인정보보호법의 개정을 한다면 비정형정
보와 생체정보를 포함한 개인정보의 개념이 정비되는 것이 타당하나 이에 대한 논의가 부족
하다 관련 전문가들에 의한 의견 개진이 필요한 시점이다
4 익명가공정보
가 도입 내용
일본에서는 2013년 ldquo내각부규제개혁위원회 국제첨단데스트rdquo에서 lsquo익명화된 정보의 이용제한의
개선rsquo이 다루어졌다 또한 준개인정보라 하여 하나로는 개인의 특정성이 있다고 말할 수 없는
정보라도 다량 또는 각종 정보가 수집됨으로써 개인이 특정될 우려가 있는 정보에 대한
논의가 있었다 이것은 신용카드 번호 및 위치 데이터가 이에 해당될 것이라고 논의되었으나
26) 일본 개인식별부호의 정의의 상세에 대해서는 통칙 가이드라인 2-2 (개인식별부호) 참조
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
21
최종 단계에서 준개인정보 관련 규정은 개정법에 반영되지 않았다
대신 이러한 익명가공정보 논의는 개인정보를 일정한 익명화 조치를 통하여 ldquo특정 가능성
저감 데이터rdquo로 처리하면 본인의 동의 없이 외부 제공 등 이용이 가능하다는 것이 핵심이다
즉 익명화하면 본인의 동의 없이도 데이터를 제공할 수 있다 특정 가능성을 저감한
데이터로의 가공방법을 일률적으로 정하지 않고 민간단체가 자체적인 규칙을 정하고 제3자
기관은 해당 규칙 또는 민간단체의 인정 등을 행하도록 하였다
개정법에서는 빅데이터 비즈니스의 실현 등을 위하여 익명가공정보를 다음과 같이 규정하고
있다 제2조 제9항에서 ldquo익명가공정보rdquo를 특정 개인을 식별할 수 없도록 개인정보를 가공하여
얻어지는 개인에 관한 정보로서 당해 개인정보를 복원할 수 없도록 한 것으로 정의하였다
일본의 익명가공정보 조항의 특징은 익명가공정보라는 데이터를 가공해 주는 측에서는
원본데이터를 폐기하지 않은 이상 식별가능성이 잔존할 수 있으나 이를 법률로 금지하여
익명성을 보장하고 있는 것이다 일본에서 익명가공정보가 나오게 된 원인은 일본의 개인정보
개념에서 유래한다 일본의 개인정보 개념(제2조 제1항 제1호)은 ldquo성명 생년월일 기타 기술
등에 기재 혹은 기록되거나 또는 음성 동작 및 그 밖의 방법을 사용하여 표시된 일체의
사항에 의해 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합(照合)할 수 있고
그에 의해 특정의 개인을 식별할 수 있도록 되어 있는 것을 포함한다)rdquo인바 구법에서도 괄호
안의 용이조합성 때문에 익명화된 정보도 정보제공자 입장에서는 쉽게 재식별될 수 있기에
비개인정보로 단정하기 어려운 점이 있었다 따라서 정보제공자가 쉽게 특정 개인을 식별할
수 있는 경우에도 제공자가 개인을 식별하는 행위를 금지하고 사용되는 개인정보를 복원하지
못하도록 하여 정보주체의 프라이버시에 미치는 영향을 최소화한 것이다27) 그런데 일본의
개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo 개인정보로 포함하고 있는
한국에서도 익명정보의 입법시에 일본의 복원불가능성에 대한 규정을 둘 것인지에 대해
심각히 고민해봐야 할 것이다
lsquo익명가공정보rsquo의 lsquo불가역성rsquo은 물리적 불가역성이 기술적으로 불가능하다는 전제하에 법적
선언에 그치는 것이 아니라 법적으로 불가역성을 금지하여 익명가공정보의 익명성을 법적으로
보장하는 것으로 해석한다 결국 이 규정에 의하여 익명가공정보의 식별불가능하고 불가역적이라는
27) 김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
22
것은 데이터를 받는 자는 물론 식별하는 자 즉 익명가공정보를 작성하는 자에게도 요구되는
것이다 익명가공의 수단으로는 k-익명성28) 레코드의 일부 추출29) 등을 들 수 있다
나 익명정보의 비교
1) 유럽
익명가공정보와 관련하여 검토하면 이미 EU 9546EC 해설 전문 제26항에서 익명처리정보를
규정하고 정보주체가 더 이상 식별할 수 없도록 정보요소의 충분한 제거 불가역적(irreversible)
이라는 개념요소를 규정한 바 있다 개인데이터의 익명가공에 관하여는 제19조 작업부회에
의한 의견(2014년 4월)에서 ldquo개인을 식별 가능한가의 판단은 식별에 이용되는 모든 합리적인
수단을 고려하는 것이다 기술이 진보하는 것을 바탕으로 모든 상황에서 식별이 불가능한
것까지를 요구하는 것이 아닌 식별에 걸리는 노동력 및 비용 등에서 합리적인 익명화 레벨이
요구되어 진다rdquo고 하였다
또한 기존의 익명가공 수법에 대하여 그 효과나 한계를 분석하는 것으로 각 수법에
대하여 (i) 어느 개인을 추출(single out)할 수 있는가 (ii) 어느 개인에 관한 기록(record)과
연결 가능한가 (iii) 정보가 어느 개인에 관계하고 있다고 추정 가능한가 라는 3가지의
관점으로부터 그 수법의 강력(robust)성을 판단하기도 한다 가명화 노이즈부여 환치 집약화
k-익명성 ℓ-다양화 차분 프라이버시(differential privacy) 해시(hash)화토큰화와 같은
익명가공수법이 있고 각 수법에 대한 평가는 리스크의 유무를 평가하는 것이며 익명성을
담보할 수 있는가를 측정하는 것은 아니다30)
28) 익명화 데이터의 원본이 되는 개인정보의 항목을 식별자(단독해서 개인을 알 수 있는 것) 준식별자(조합하여 개인을 알 수
있는 것) 비식별자의 3종으로 분류하고 식별자는 삭제한 후에 준식별자의 조합이 대상이 되는 데이터세트 중 k건 이상
존재하는 상태에서 가공한 것을 의미하고 있다 이것으로 개인이 특정될 확률은 k분의 1 이하가 된다고 평가된다 k-익명
성이 달성되도록 데이터를 변환하는 것을 ldquok-익명성rdquo이라고 한다 L Sweeney ldquok-Anonymity A Model For Protecting
Privacyrdquo International Journal of Uncertainty Fuzziness and Knowledge-Based Systems 10(5) pp 557-570
2002
29) 레코드의 일부 추출은 가공대상이 되는 개인정보 데이터베이스 등에 포함된 개인정보(레코드)를 일부 분할하거나 일정한 갯
수로 추출하는 것이다 이른바 샘플링 수법에 포함된다 이 수법은 각각의 개인정보에 대하여 가공을 하는 방법이 아니기
때문에 정보자체의 식별성은 낮지 않지만 본래 개인정보 데이터베이스 등에 포함되었던 개인정보가 익명가공정보 데이터
베이스 등에 포함될 수 있게 하는 효과가 있다 또한 레코드의 일부 추출을 하였다하더라도 개인정보 데이터베이스 등을
구성하는 각각의 개인정보에 포함된 수치이나 기술 등의 경향(예 연령 분포와 지역 분포)을 유지하는 방식으로 레코드를
추출함으로써 데이터의 유용성을 유지하는 효과도 기대할 수 있다
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 위하
여rdquo(2017년2월) httpswwwppcgojpfilespdfreport_officepdf 32면 이하
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
23
2) 미국
미국에서 ldquoDe-identifiedrdquo는 마이크로 데이터에 식별자를 삭제한 것 다른 것과 조합해서는
식별 가능한 것으로 정확히 규정하고 있다 ldquoanonymousrdquo는 역치되어도 알아볼 수 없는
경우를 의미하는 것으로 볼 수 있다
개인데이터의 익명가공에 관해서는 상업 활동에 있어서 불공정ㆍ기만적인 행위 및 관습을
감시ㆍ감독하는 미국 연방거래위원회(FTC)가 ldquoProtecting Consumer Privacy in an Era of
Rapid Changerdquo라는 명칭의 리포트(FTC 스태프 리포트)를 2012년 발행하고 이 중에서
개인데이터의 익명가공(de-identification)에 대하여 언급하고 있으며 국립표준기술연구소
(NIST)가 ldquoDe-identification of Personal Informationrdquo이라는 개인데이터의 익명가공에 관한
리포트(NIST 리포트)를 2015년 10월에 공표하였다
또한 의료 분야에 특화한 예로서 ldquoGuidance Regarding Methods of De-identification
of Protected Health Information in Accordance with the Health Insurance Portability
and Accountability Actrdquo라는 가이드라인(HIPAA 가이드라인)이 발행되었다31)
3) 한국
우리 개인정보보호법과 lsquo생명윤리 및 안전에 관한 법률rsquo32) 제2조(정의) 19호에 익명화에
대한 규정이 있다 ldquo19 lsquo익명화rsquo(匿名化)란 개인식별정보를 영구적으로 삭제하거나 개인식별정보의
전부 또는 일부를 해당 기관의 고유식별기호로 대체하는 것을 말한다rdquo고 규정하고 있다 우리
개인정보보호법 제3조(개인정보보호원칙) 제7항에서는 ldquo개인정보처리자는 개인정보의 익명처리가
가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다rdquo고 규정하고 있다
30) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅶ 인용
31) 일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과 소비자의 신뢰성 확보의 양립을 향
하여rdquo(2017년 2월) ⅴ 이하 인용
32) 생명윤리 및 안전에 관한 법률[법률 제14839호(정부조직법) 일부개정 2017 07 26]
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
24
다 미치는 영향
익명가공정보는 개정법의 시행 이전에도 NTT 도코모의 모바일 공간 통계 및 KDDI 등에
의한 위치정보 빅데이터 분석 서비스 토요타 자동차의 빅데이터 교통정보 서비스 등과 같이
퍼스널 데이터를 통계화하여 이용하는 등 지역의 관광진흥 및 도시계획 방재 및 안전대책과
같은 주로 공적 요소의 강화 등에서 활용되고 있었다 다만 개정법의 익명가공정보제도의
도입에 의해 보다 넓은 용도에 효과적인 형태로 빅데이터의 분석 middot 활용이 진행되고 일상생활의
다양한 방면에서 소비자가 혜택을 받는 서비스가 제공되게 되었다33)
일본은 개정법 시행 전후에 익명가공정보에 관한 가이드라인까지 정비하여 활용가능성을
열었으나 2020년을 기준으로 볼 때 익명가공정보의 활용도가 높지 않다고 한다 따라서
가명정보와 익명정보로 구별하는 EU의 방식으로 변화하여 가명정보의 활용성을 높여야
된다는 논의와 법 개정 논의가 제기되고 있다
반면 한국의 제20대 국회 개인정보보호법 개정안에서는 제2조 제1항 2의2호에서
ldquo가명처리란 다른 정보와 결합하지 아니하고는 합리적인 범위에서 특정 개인을 알아볼 수
없도록 개인정보를 대통령령으로 정하는 방법으로 가공하는 것을 말한다rdquo 2의3호에서
ldquo가명정보란 개인정보에 가명처리를 하여 생성된 정보를 말한다rdquo고 규정하고 제2조의2(적용
범위)에서 ldquo이 법은 다른 정보와 결합하여도 특정 개인을 알아볼 수 없도록 가공한 정보에
대하여는 적용하지 아니한다rdquo고 규정하여 EU에서 가명정보는 개인정보의 범위에 속하도록
한 것보다 활용성을 높인 개정안으로 보인다
5 개인정보의 취급 위탁 제3자 제공
가 규정의 운영
1) 제3자 제공
일본 개인정보보호법 제23조(제3자 제공의 제한) 제1항에 의해 개인정보취급사업자는
본인의 사전 동의 없이 개인데이터를 제3자에게 제공해서는 안 된다 다만 각목에서 규정한
33) 大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社(2017) 15頁
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
25
ldquo1 법령에 의거한 경우 2 사람의 생명 신체 또는 재산을 보호하기 위해 필요한 경우이면서
본인의 동의를 얻기가 곤란할 때 3 공중위생의 향상 또는 아동의 건전한 육성을 추진하기
위해 특별히 필요한 경우이면서 본인의 동의를 얻기가 곤란할 때 4 국가기관 혹은
지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 것에 대해 협력할
필요가 있는 경우이면서 본인의 동의를 얻는 것으로 인해 해당 사무의 수행에 지장을 미칠
우려가 있을 때rdquo에만 개인정보를 제3자에게 제공하는 것이 가능하다 이 규정의 개인데이터의
제3자 제공에 관한 사전 본인동의 원칙은 개인의 권리이익의 침해를 방지하기 위한 것이다
사전 본인동의 없는 제3자 제공이 항상 직접 개인의 권리이익 침해를 야기하지는 않기
때문에 사전 본인동의를 의무화하는 것의 폐해를 비교형량하여 관련 의무가 적절하지 않은
경우를 적용제외로 정하여 합리성을 추구하였다34)
2) 위탁 합병 등
이법 제23조 제5항에서는 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서
개인데이터의 취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지
아니한다고 규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있다 일본에서는
구법에서부터 개인정보취급사업자는 개인정보취급의 전부 또는 일부 위탁을 받은 자(수탁자)에
대하여 ldquo개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한
감독을 하여야 한다rdquo고 규정하고 있다(법 제22조)35)
고도정보통신사회의 도래로 기업에서 고객정보를 시작으로 방대한 개인데이터가 축적되고
있지만 그 고객 등 정보처리작업은 외부 위탁하는 것이 일반적이 되었다 이것도 제3자
정보제공에 해당시킬 경우 정보처리의 대상이 되는 개인데이터의 본인 전원으로부터 동의를
얻어야 하는데 이러한 시간 비용을 고려하면 외부위탁이 실제로는 불가능하게 되어 기업의
정보처리 효율을 크게 악화시킬 수 있을 뿐만 아니라 정보처리 산업의 발달을 크게 저해하게
된다 따라서 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터의
취급의 전부 또는 일부를 위탁하는 경우 등에는 위 규정의 제3자에게 해당하지 아니한다고
34) 宇賀克也 前掲書 1563頁
35) 일본 개인정보보호법 제22조(위탁자에 대한 감독) 개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경
우에 그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고 적절한 감독을 하여
야 한다
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
26
규정하여 위탁 합병에 의한 개인정보의 처리를 인정하고 있는 것이다 한편 개인정보취급사업자는
외부 위탁한 경우에도 위탁처의 개인데이터 안전관리에 대하여 감독책임을 진다(제22조)
이러한 점을 볼 때 개인정보취급사업자가 이용목적의 달성에 필요한 범위 내에서 개인데이터
취급의 전부 또는 일부를 위탁하는 경우에는 개인정보취급사업자 자체에 의한 취급이라고
보아 수탁자는 본조 제3자에 해당하지 않는 것으로 한다36) 반대로 정보처리를 마친 수탁자가
위탁한 개인정보취급사업자에게 반환하기 위하여 개인데이터를 제공하는 경우도 수취인인
개인정보취급사업자는 제3자가 아닌 것이 된다37)
개인정보취급사업자라면 수탁자가 재위탁을 한 경우의 수탁자에 의한 재위탁 업체의
감독에도 의무자가 된다 이러한 위탁업무를 폭넓게 인정하는 것이 일본법의 특징이며
한국에서도 이러한 제도의 검토는 개인정보의 이용과 활용 측면에서 고려할만하다 회사의
업무가 주로 개인정보의 위탁사무를 하는 회사의 경우 관련 조문은 일본 개정 개인정보보호법
제22조에 따라 ldquo개인정보취급사업자는 개인데이터의 취급의 전부 또는 일부를 위탁한 경우에
그 취급을 위탁한 개인데이터의 안전관리가 도모될 수 있도록 위탁을 받은 자에 대한 필요하고
적절한 감독을 하여야 한다rdquo
이법 제23조(제3자 제공의 제한) 제5항에서의 위탁 합병에 의한 개인정보의 처리는 개인정보를
제공하는 제3자에 해당하지 않는 것으로 한다 이러한 위탁 등의 경우로는 ldquo1 개인정보취급사업자가
이용 목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁함에 따라
해당 개인데이터가 제공될 경우 2 합병 기타 사유로 인해 사업의 승계에 수반되어 개인데이터가
제공될 경우 3 특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo를 동조 제5항 각 항목에 규정하고 있다
2호 합병 기타의 사유에는 영업양도 분리(分社化) 등이 있다 ldquo사업 승계에 따라 개인데이터가
제공된 경우rdquo에는 경영자산의 일부로서 고객정보 등의 개인데이터를 승계하는 경우이다 이
경우에 본조의 제3자 제공에 해당하는 것으로 하면 승계된 개인데이터의 본인 전원으로부터
개별 동의를 받을 필요가 있고 사업승계 자체가 곤란하게 될 수 있다38)
36) 宇賀克也 前掲書 169면~170頁
37) 宇賀克也 前掲書 170頁
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
27
3호 ldquo특정한 자와의 사이에서 공동으로 이용되는 개인데이터가 해당 특정한 자에게
제공되는 경우이면서 그 취지 및 공동으로 이용되는 개인데이터의 항목 공동으로 이용하는
자의 범위 이용하는 자의 이용 목적 및 해당 개인데이터 관리에 관해 책임이 있는 자의 이름
또는 명칭에 관해 사전에 본인에게 통지하거나 또는 본인이 쉽게 알 수 있는 상태로 두었을
때rdquo는 금융기관 간에서 연대정보를 교환하는 경우 여행업계에서 고객정보를 공유하는 경우와
같이 기업이 취득한 개인정보를 계약에 근거하여 특정 타기업과의 관계에서 상호 교환하고
공동이용하는 것이 일반적이다 이것은 본인의 편의에 이바지하는 경우도 되고 기업활동의
효율화에 기여하기도 한다 병원과 lsquo방문간호사업체rsquo가 공동으로 의료서비스를 제공하고 있는
경우 등에도 개인데이터가 공동이용된다39) 이러한 관계는 lt그림 5gt와 같다 개인정보취급사업자는
오른쪽 위 집 그림에서는 개인정보수탁자와의 관계(제23조 제5항) 다음 그림에서는 제3자와의
관계(제23조 제1항)를 보여준다
개인정보취급사업자(B)는 취급을 위탁한 마케팅 회사(A)가 개인데이터의 안전관리가
도모될 수 있도록 적절한 감독을 하여야 한다 따라서 개인정보취급사업자 B에게 안전관리
책임이 있다 이것은 개정법 제23조(제3자 제공의 제한)에서 개인정보를 본인의 동의를 얻어
제3자에게 제공하여 처리하는 경우와는 법적 책임이 다르다
lt그림 5gt 개인정보의 위탁과 제3자 제공
개인정보의 제3자 제공의 경우는 위의 lt그림 5gt와 같이 개정법 제23조에 따라 기본적으로
38) 宇賀克也 前掲書 170頁
39) 宇賀克也 前掲書 171頁
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
28
제3자도 개인정보 주체자인 본인의 동의를 얻어 사무를 처리해야 한다 이 경우에는 제3자는
본인으로부터 동의를 얻은 이용목적의 범위 내에서 개인정보를 활용ㆍ처리할 수 있다
예를 들어 일본에서 이처럼 제3자 즉 3rd Party로서 또는 인터넷상의 정보 수집
분석하는 기업으로는 DAC40)를 예로 들 수 있다 일본의 합작 디지털 광고회사 DAC는 웹
사이트 등에서 얻은 인터넷 이용자의 정보를 이용하여 다양한 서비스를 제공하고 있다
당사는 해당 정보의 이용에 관한 기본 사항을 정한 법령을 준수하면서 ldquo쿠키rdquo라는 웹 서버가
인터넷 이용자의 컴퓨터(브라우저)를 식별하는 업계 표준기술을 이용하여 인터넷 이용자의
웹 사이트 방문기록이나 전자상거래 사이트에서의 구매내역 등을 축적하여 이용자의 흥미ㆍ기호의
분석에 제공할 수 있는 정보를 취득하고 있다 이 정보는 개인 단위의 식별만을 하며 개인의
특정은 하지 않는다41)
일본에서 2013년 6월에 히가시니혼 철도회사가 스이카(철도 패스) 정보를 히타치에 주어
데이터를 분석한 사건에서 히가시니혼 철도회사가 개인정보의 처리를 히타치에게 위탁하여 처리한
것은 개인정보의 이용목적 내의 범위를 넘은 위탁으로 개인정보의 제3자 제공(법 제23조)에
해당한다는 주장이 제기되어 일본의 사회문제가 된 바 있다 이 사건 당시에도 일본 개인정보
보호법의 위탁과 제3자 제공 관련 조문은 현재 개정법과 동일했으나(제22조 제23조) 이때
익명가공정보 등을 신설할 필요성이 제기되어 일본 개인정보보호법의 개정에 중요한 계기가 되었다
ldquo위탁을 받은 자에 대한 필요하고 적절한 감독을 해야 한다rdquo에서 ldquo위탁을 받은 자rdquo가 당해
수탁 사업 이외의 사업을 하고 있는 것은 충분히 있을 수 있지만 이 경우 본 조에 근거한
개인정보취급사업자의 감독책임이 스스로 위탁한 사업에 대하여만 생기는 것은 당연하다
위탁 계약 중에 개정법 제20조의 규정에 근거한 안전관리조치를 강구하는 수탁자의
의무(비밀보유의무 사업소 내의 개인데이터 지출(持出)금지 사무 종료 후 개인데이터의 반납
또는 폐기의무 등)를 포함시키는 것만으로는 ldquo필요하고 적절한 감독rdquo을 한 것이 아니며
계약내용의 준수상황에 대하여 정기적인 보고를 받거나 부정기로 현장검사를 하는 등에 의해
당해 계약내용이 준수되고 있는가를 감독해야 한다 독일에서도 위임을 통한 개인정보의 수집
등이 인정된다42) 유사한 규정으로 한국의 개인정보보호법 제26조(업무위탁에 따른 개인정보의
처리 제한) 규정이 있다
40) 일본 The Digital Advertising Consortium Inc(DAC) httpswwwdaccojpcompanypresident 참조
41) 손형섭 앞의 각주2 312면
42) 임규철 개인정보보호법제 푸른세상(2004) 167면
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
29
나 한국과의 차이점
일본 개인정보보호법에서는 물론 지방자치단체의 개인정보보호조례에서도 ldquo취급rdquo에 관한
정의 규정은 없으며 한국이 개인정보보호법 제2조 제1항 제1호에서 ldquo처리rdquo43)에 대하여
정의하고 있는 입법태도와는 다르다 개인정보취급사업자에 대한 규정에서도 취급에 대한
설명은 없다44) 일본의 개인정보취급사업자는 GDPR에서 말하는 관리자(controller)와
처리자(processor)를 모두 포함하는 것으로 이해된다 따라서 GDPR에서의 관리자(controller)와
달리 일본의 개인정보취급사업자는 개인정보를 데이터베이스 등을 사업용으로 사용하기만 하면
인정된다는 점에서 GDPR의 관리자(controller)와는 다르다
최근 일본에서는 위탁사무로 취급하여 이를 활용하는 경우도 있지만 제3자 제공으로
데이터 이용을 할 수 있도록 하는 방법도 동일하게 사용되고 있다 제3자 제공의 경우에는
개인데이터를 제3자에게 제공하고 그 책임은 제3자에게 주어진다 따라서 사전에 제3자
동의를 받은 경우에는 제3자 제공을 통하여 관리책임을 지지 않으려는 경향도 있다 반면
위탁사무로 취급하게 되면 상기 기술한 바와 같이 위탁자(controller)는 개인데이터를 처음
수집한 때의 이용목적 범위 내에서만 수탁자(processor)에게 위탁하여 처리하게 할 수 있다
제3자 제공의 경우에는 제공자가 책임도 면하고 제3자가 이용할 때 새로운 이용 범위를
설정할 수도 있다 따라서 이 두 가지 제도는 각기 장점을 활용하여 사용되고 있다
한국에서도 일본에서와 같이 개인정보의 위탁사무와 동의 후 제3자 제공을 통한 개인정보의
활용이 국내에서 활성화되면 좋을 것이다 한국 개인정보보호법 제26조에는 업무위탁에 따른
개인정보의 처리제한에 대하여 규정하고 있는데45) 이 경우 위탁자가 제3자가 되는지
43) 개인정보보호법 제2조제1항 2 ldquo처리rdquo란 개인정보의 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정
(訂正) 복구 이용 제공 공개 파기(破棄) 그 밖에 이와 유사한 행위를 말한다
44) 個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003) 20頁
45) 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위
탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다 1 위탁업무 수행 목적 외 개인정보의 처리 금지에
관한 사항 2 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3 그 밖에 개인정보의 안전한 관리를 위하여 대통령령
으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 ldquo위탁자rdquo라 한다)는 위탁하는 업무의 내용과 개인
정보 처리 업무를 위탁받아 처리하는 자(이하 ldquo수탁자rdquo라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으
로 정하는 방법에 따라 공개하여야 한다
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에
따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다 위탁하는 업무의 내용이나 수탁자가 변경된 경우
에도 또한 같다
④ 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
30
일본법에서의 제3자가 아닌 위탁 합병에 의한 개인정보의 처리에 해당하는 지가 다소
불명확하게 보인다 그러나 개인정보보호법 해설에서는 ldquo업무위탁의 경우에는 개인정보처리자의
업무처리 범위 내에서 개인정보처리가 행해지고 위탁자인 개인정보처리자의 관리 middot 감독을
받지만 제3자 제공은 제3자의 이익을 위해서 개인정보처리가 행해지고 제3자가 자신의
책임하에 개인정보를 처리하게 된다rdquo46)고 하여 일본의 규정과 동일한 취지의 조항임을 알 수
있다 판례는 개인정보의 제3자 제공은 그 제3자의 업무를 처리할 목적 및 그 제3자의
이익을 위해서 개인정보가 이전되는 것이지만 개인정보처리위탁의 경우에는 개인정보처리자의
업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는
차이가 있다47)고 설시하고 있다
다만 국내에서 제3자 취급 위탁의 경우에도 개인정보의 이전이 본인에 의하여 거부할 수
있는 절차와 본인의 개인정보가 침해되지 않도록 관리 및 개인정보처리자 및 개인정보보호위원회
등의 기관으로부터의 감독이 필요할 것이다48) 따라서 국내법에서 개인정보의 위탁사무와
제3자 취급의 경우를 구체화하여 개인정보의 합리적 범위의 활용과 적정한 보호를
합리적으로 배분할 필요가 있다
자를 교육하고 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여
야 한다 lt개정 2015 7 24gt
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는
아니 된다
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는
수탁자를 개인정보처리자의 소속 직원으로 본다
⑦ 수탁자에 관하여는 제15조부터 제25조까지 제27조부터 제31조까지 제33조부터 제38조까지 및 제59조를 준용한다
46) 행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612 181면
47) 대법원 2011 7 14 선고 2011도1960 판결 참조
48) 손형섭 앞의 각주2 324면
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
31
6 개인정보보호위원회
가 설치와 운영
1) 설치
일본에서는 마이넘버법에 따라 2014년 1월 특정개인정보보호위원회가 설치되어 마이넘버
보호에 관한 업무를 시작했고 개정 개인정보보호법(및 개정 마이넘버법)에서 개인정보보호
위원회를 규정하여 2016년 1월 특정개인정보보호위원회를 개인정보보호위원회로 새롭게
정비했다49) 2016년 8월 개인정보보호위원회는 개정 개인정보보호법의 시행령과 시행규칙
안에 대한 다양한 의견을 공모하여 개인정보보호 제공기준을 마련하고 익명정보처리기준을
구체화하기 위해 노력했다50) 각 주무대신이 행사하던 감독권한을 2015년 개정 개인정보
보호법의 전면 시행(2017년 5월 30일)부터 개인정보보호위원회가 일원적으로 관장하는 등
위원회의 사무가 확대되었다51)
개인정보보호위원회는 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력
있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 타인의
개인정보의 유용성을 고려하면서 개인의 권리이익을 보호하기 위하여 개인정보의 적정한
취급을 확보하는 것을 임무로 한다(법 제60조)
2) 독립기관
위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다 위원회는 위원장 및 위원
8인으로 조직하며 위원 중 4인은 비상근으로 한다 위원장 및 위원은 인격이 고결하고
식견이 높은 자 중에서 양 의원의 동의를 얻어 내각총리대신이 임명한다(개정법 제63조
제3항) 또한 위원장 및 위원에는 개인정보의 보호 및 적정하고 효과적인 활용에 관한
학식경험이 있는 자 소비자의 보호에 관하여 충분한 지식과 경험을 가진 자 정보처리기술에
관한 학식경험이 있는 자 특정개인정보가 이용되는 행정분야에 관한 학식경험이 있는 자
민간기업의 실무에 관하여 충분한 지식과 경험을 가진 자 및 연합조직52)이 추천하는 자가
49) 일본 개인정보보호위원회 平成28年度年次報告(2016) 1면
50) 일본 개인정보보호위원회는 개인정보보호법에 대한 주관부서가 되어 시행령과 시행규칙도 제정할 권한을 갖게 되었다
51) 종래 각 주무대신의 감독권한이 개인정보보호위원회로 일원화되었다 일본 개인정보보호위원회 平成28年度年次報告(2016) 2면
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
32
포함되는 것으로 한다(법 제62조 제63조)
일본의 부성(府省)의 외국(外局)에 설치된 위원회의 위원장 위원의 직권행사의 독립에
대하여는 독점금지법 제29조 공해등조정위원회설치법 제5조 운수안전위원회설치법 제6조
공안심사위원회설치법 제3조 원자력규제위원회설치법 제5조에 규정이 있다53) 일본의
개인정보보호위원회는 이러한 독립위원회 중에서도 강한 독립성을 가지고 조직되어 독립적으로
업무를 추진하고 있다54)
3) 업무
위원회는 개인정보취급사업자 및 익명가공정보취급업자에 대하여 개인정보 및 익명가공정보의
취급에 관하여 필요한 보고 및 자료 제출을 요구하거나 그 직원에게 당해 개인정보 등을
취급하는 자 기타 관계자의 사무소 기타 필요한 장소에 불러 개인정보 등 취급에 관하여
질문하거나 장부서류 기타 물건을 검사시킬 수 있다(일본 개인정보보호법 제4조) 기타
법령에 따라 지도 조언 권고 명령 등의 업무를 하고 있다
2017년 말까지 위원회에 직접 보고된 유출 등 사안은 약 300건에 달한다 이들 대부분은
서류나 전자 메일의 잘못된 송부로 그 외의 발생 원인은 분실 인터넷 등 네트워크를 경유하는
부정 액세스 등이었다 누설 등 사안을 보고받고 사실관계 및 재발방지책의 확인 등을
실시하고 필요에 따라 지도 등을 실시했다
일본 개인정보보호위원회는 2017년도 상반기에 보고 징수를 2건 지도ㆍ조언을 116건
실시했는데 주요 지도의 내용으로는 기업이 개인정보를 부적절하게 취득한 사안에 대해서
개인정보보호법에 기초한 보고를 받고 재발 방지대책의 실시를 지도한 것이나 안전관리조치가
미흡한 사안에 대해서 개인정보의 적절한 취급을 하도록 지도ㆍ조언을 실시한 것 등이 있었다
일본의 lsquo관민데이터 활용추진기본법rsquo 제21조 제4항에서 관민데이터 활용전략회의가
관민데이터 추진기본계획안을 작성할 때 위원회의 의견을 청취하는 것으로 규정되어 있어 이
52) 연합조직은 일본 지방자치법(소화 22년 법률 제67호) 제263조의3 제1항의 연합조직으로서 동항의 규정에 의한 신고를 한 것
을 말한다 제263조의3제1항은 ldquo도도부현지사 또는 도도부현 의회 의장 시장 또는 시의회의 의장이나 읍면장 또는 정촌의
회 의장이 그 상호간의 연락을 긴밀히 하고 및 공통문제를 협의 및 처리하는 각각의 전국적 연합조직rdquo의 신고의무를 정하
고 있다 현재 이러한 지방자치단체장의 연합조직은 전국지사회ㆍ전국시장회ㆍ전국정촌회의 집행 3단체와 지방의회의 의장
의 연합조직인 전국도도부현의회의장회ㆍ전국시의회의장회ㆍ전국정촌의회의장회의 3단체를 포함한 6개 단체를 총칭한다
53) 宇賀克也 前掲書 306頁
54) 제62조(권한행사의 독립성) 위원회의 위원장 및 위원은 독립하여 그 권한을 행사한다
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
33
회의에서 제시된 방안에 대하여 2017년 5월 26일 개인정보 등을 포함한 관민데이터를
다루는 시책을 실시하는 데 있어서의 유의점 등을 통지했다55)
개정법의 전면시행에 의해 익명가공정보의 유형이 신설되고 개인정보의 취급이 보다
원활하고 자유로운 유통ㆍ활용을 촉진하기 위한 환경이 정비됐다 이에 2017년 9월
30일까지 80개 이상의 사업자(금융 의료 복지 등)가 익명가공정보의 작성 등을 공표했다
비식별가공정보의 가공이나 그 취급에 대한 공적인 상담창구로서 개정 행정기관개인정보보호법
등에 근거하여 행정기관 등 비식별가공정보에 관한 종합 안내소를 2017년 5월 30일에
개설하고 행정기관 및 민간 사업자 등으로부터의 문의에 대응하고 있다
나 한국과의 차이점
일본 개인정보보호위원회와 한국 개인정보보호위원회의 주된 내용 및 차이점을 서로 비교하면
lt표 3gt과 같다
한국 개인정보보호위원회와 일본 개인정보보호위원회의 가장 큰 차이점은 그 권한에 있다
일본 개인정보보호위원회는 자체적으로 규칙제정권을 보유하고 법령집행권도 가지고 있다 즉
일본 개인정보보호위원회는 개인정보보호에 관한 총괄적인 정책과 집행기관으로서의 지위를 가진다
하지만 한국의 개인정보보호위원회는 자체적으로 정책결정권과 집행권을 보유하고 있다고 보기
힘들며 심의기관으로서의 성격을 지니고 있다 현재 대한민국 개인정보보회위원회의 위원장
1인 상임위원 1인 총 15명 이내의 인원 구성에 대해서는 위원수가 많다는 비평이 있다
다만 일본의 개인정보보호법 전문가들은 개인정보보호법에 대한 전문가의 다수가 위원으로
참여해야 한다는 의견이며 따라서 총 위원수를 줄이는 것은 타당하나 다수의 상임위원으로
대체하는 방향은 타당하지 않는 것으로 본다 비상임이라도 개인정보보호법에 대한 전문가가
지속해서 사회적인 변화에 맞추어 역할을 해야 한다는 것이다 따라서 일본의 전문위원과
같은 전문직 연구위원(혹은 연구관) 제도도 필요하다
55) 개정법의 전면시행 ldquo관민 데이터 활용 추진 기본계획(2017년 5월 30일 각의 결정)및 미래 투자 전략 2017rdquo(2017년 6월
9일 각의 결정)을 바탕으로 개인정보 및 익명가공 정보의 구체적인 취급 사례에 대한 사업자로부터의 상담을 접수 상담 다
이얼을 2017년 5월 30일에 개설했다
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
34
구분 한국 개인정보 보호위원회 일본 개인정보보호위원회
소속 대통령 내각총리대신
위원위원장 1인
상임위원 1인 총 15명 이내 위원
위원장 1인
위원 8인(비상근 4인) 총 9명
위원
임명권자 대통령 내각총리대신
위원 구성 국회 선출 5명 대법원장 지명 5명 양 의원의 동의 연합조직이 추천하는 자 포함
임기 3년 1차에 한하여 연임 가능 5년 재임 가능 신분보장 규정
기능 8조 1항 사항 심의 의결 61조 소관 사무 사항 관장
권한
bull심의 의결 사항에 대해 관계 기관에 권고
및 이행 여부 점검
bull자료 제출 요구
(시정조치 고발권한은 행정안전부장관이 보유)
bull법령실시를 위한 규칙제정권 보유
bull법령집행권 포함
lt표 3gt 한국과 일본의 개인정보보호위원회
한국의 개인정보보호위원회도 앞으로 개인정보의 보호와 효율적인 활용을 위해서는
개인정보보호위원회가 독립적인 모습을 갖추어야 한다 개인정보보호위원회가 집행기관이 되기
위한 정부의 행정조직 변화와 함께 개인정보보호위원회를 통한 법적인 해석의 통일과 위상
강화가 필요하다 즉 개인정보보호법의 정비는 물론 심의기관인 개인정보위원회를 집행기관으로
재정립하여야 한다 이것은 국내에서 개인정보의 보호를 위할 뿐만 아니라 EU의 개인정보
보호의 적정성 기준에 맞추기 위한 것이기도 하다 이를 위하여 2019년 12월 행정안전위원회에서
이채익 법안소위원장은 20대 국회 개인정보보호법 개정안에서 ldquo정보통신망법 제4장의 개인정보
보호규정을 이 법으로 이관하고 개인정보보호원회를 국무총리 소속의 중앙행정기관으로
격상하여 현재 행안부 방통위 보호위원회에 분산되어 있는 개인정보보호업무를 일원화한다rdquo고
했다
일본의 개인정보보호위원회와 비교하여 우리 개정법안의 개인정보위원회에서의 부족한
점은 국무총리 소속의 중앙행정기관이라고 하지만 개인정보보호업무를 위하여 어느 정도
독립성과 집행력을 갖출 수 있는 기관이 될 수 있느냐라는 관점에서 일본의 개인정보보호위원회의
위상에는 미치지 못하는 것으로 보인다 그리고 소위 데이터 3법 중에 개인정보보호법과
정보통신망법의 개인정보 보호 규정이 통합하는 것이 진행되었으나 신용정보법은 여전히
금융위위원회의 소관사항으로 되어 있어 관할 통합이라는 면에서 미흡하다 일본에는 신용정보법이
없고 모두 개인정보보호법과 개인정보보호위원회의 관할이 된다 따라서 한국은 향후 EU의 적정성
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
35
평가에서 개인정보보호기구가 일원적이고 독립적인가라는 관점이 요구될 때 한국의 현재의
개인정보보호위원회는 물론 개정법안에 의해 정보통신망법상의 인터넷상의 개인정보 보호권한을
통합한 개인정보보호위원회도 신용정보에 관한 관할권이 없어 EU에서는 일원적이고 통일적으로
개인정보에 관한 업무를 하고 있지 못하다고 평가할 우려가 있다
7 개인정보의 국외 이전
가 규정의 개정
일본의 구법에서는 개인데이터의 국외 이전에 관한 특별 규정은 존재하지 않았다 그러나
구글 등의 다국적 기업이 방대한 개인데이터를 국경을 넘어 이용하거나 해외 서버에
개인데이터를 보존하여 관리하는 클라우드 서비스가 급속하게 발전하여 일본 국내에 거주하는
자가 국내의 사업자에 제공한 개인데이터가 본인이 모른 채로 국외로 이전하는 경우가
증대하고 있다 국외 이전 업체에서 개인정보보호 조치가 충분히 강구되어 있다면
문제없지만 그것이 불충분하다면 일본에 거주하는 자의 권리 이익이 침해될 우려가 있다
일본인들 사이에서도 개인데이터 특히 민감한 개인데이터의 국외 이전에의 불안이 큰
것은 2013년 파나소닉헬스케어 주식회사가 미국의 KKR과의 주식양도계약의 체결 및
공동지주주식회사 설립을 공표한 때에 의료정보의 국외 이전에 근심의 목소리가 적잖게
있었다56) 또한 해외로부터 일본에 이전된 개인데이터가 제3국에 재이전된 경우 당해
제3국에서의 개인정보보호가 불충분하다면 일본에 이전된 개인데이터 본인의 권리이익을
해할 우려가 있다 이른바 데이터 쇼핑의 문제가 되어 일본이 개인정보보호가 불충분한
국가에 개인데이터 이전의 부정한 수단으로 이용될 우려가 있다면 일본에의 개인데이터의
이전을 제한할 필요가 있다
물론 이러한 개정법의 고려는 EU의 GDPR에서 역내 거주민의 개인정보를 EU 역외
제3국으로 이전시키기 위해 제3국의 개인정보보호 수준이 GDPR에서 요구하는 수준에
부합하는지를 평가하는 절차인 EU의 적정성 평가를 인정받기 위한 노력의 일환이다 이에
일본은 개정법 제24조(외국에 있는 제3자에의 제공의 제한)를 신설했다 제24조에서
56) 의료정보의 해외 이전에 관계되는 문제에 대하여 鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法
改正の論点」 ジュリスト1464号(2014年) 60면 참조
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
36
ldquo개인정보취급사업자는 외국(일본의 역외에 있는 국가 또는 지역을 말한다 이하 같다)에
있는 제3자에게 개인데이터를 제공하는 경우에는 전조 제1항 각 호에 열거된 경우를
제외하고 미리 외국에 있는 제3자에의 제공을 인정하는 취지의 본인의 동의를 얻어야만
한다rdquo고 규정하였다
그러면서도 같은 조문 괄호에서 ldquo개인의 권리이익을 보호하는 가운데 우리나라와 동등한 수준에
있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회
규칙으로 정하는 외국을 제외한다rdquo고 규정하고 다른 괄호에서 ldquo개인데이터의 취급에 대하여 이
절의 규정에 의해 개인정보취급사업자가 취하여야 할 조치에 상당하는 조치를 계속적으로 취하기
위하여 필요한 것으로서 개인정보보호위원회규칙으로 정하는 기준에 적합한 체제를 정비하고
있는 자를 제외한다rdquo고 규정하여 이른바 개인정보 보호의 동일수준을 충분히 인정하는 국가와
제3자에게 동의 없이 개인정보 제공을 인정하고 있다
lt표 4gt EU 개인정보보호 적정성 평가의 기준 57)
평가기준 내용
기본
원칙
목적 제한의 원칙데이터는 특정한 목적에 따라 처리되고 목적 범위 내에서 이용 middot
제공되어야 함
정보의 질 확보 및
비례성 원칙
데이터는 정확해야 하고 필요한 경우 최신으로 업데이트되어야 함 또한
데이터는 이전 또는 처리되는 목적에 적합하고 관련성이 있어야 하며
목적에 비해 과도해서는 안 됨
투명성 원칙개인은 처리목적 처리자 등 공정성을 위해 필요한 정보들을 투명하게
제공받아야 함
안정성 원칙 개인정보처리자는 적정한 기술적 middot 관리적 보안조치를 해야 함
열람 middot 정정 및
반대할 권리
정보주체는 처리 중인 자신에 관한 데이터의 사본을 받아볼 수 있고
부정확한 정보를 수정할 수 있으며 자신에 관한 정보 처리를 반대할
권리를 가져야 함
개인정보의 재이전
제한
일차적으로 개인정보를 제공받은 자가 다시 개인정보를 재이전하는 것은
재이전 받는 자가 적정한 보호수준을 보장하는 규칙의 적용을 받는
경우에만 허용됨
57) KISA 작성 httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
37
평가기준 내용
추가
원칙
민감정보 처리 제한민감한 정보로 분류되는 데이터는 정보 처리에 대한 정보주체의 명백한
동의 등 추가적인 안전조치를 확보해야 함
다이렉트 마케팅 제한데이터가 다이렉트 마케팅 목적으로 이전되는 경우 정보주체는 opt-out
을 할 수 있어야 함
개인에 대한 자동화
된 결정 제한
자동 처리되는 개인정보 이전의 경우 정보주체에게는 그러한 의사결정에
사용되는 로직을 알 권리가 있으며 합법적인 이익을 보호하기 위한 추가
적인 조치가 취해져야 함
절 차
적
기준
보호원칙이 잘 준수
되는 체계의 확보
개인정보처리자가 자신들의 의무를 뚜렷이 인식하고 정보주체가 자신들
의 권리 및 행사방법을 잘 알 수 있는 보호체계를 만들고 효과적이고 억
제력이 강한 제재수단을 통해 보호원칙을 확보
정보주체의 권리행사
를 지원하고 도와주는
보호체계
개인이 신속하고 효과적으로 과도한 비용 부담 없이 자신들의 권리를 행
사할 수 있어야 함 이를 위해 민원 middot 고충에 대한 독립적 조사가 보장되
는 제도적 매커니즘
보호원칙 미준수로 피
해를 입은 자에 대한
적정한 구제조치 필요
손해배상이나 적정한 제재조치가 가능한 독립적 조정 또는 중재 시스템
나 EU 적정성 평가의 인정
실제 유럽 위원회 사법총국 제29조 작업부회(작업반)가 작성한 EU의 GDPR 제25조의
규정에 근거하여 데이터이전을 위한 적정성 인정의 심사기준의 하나로서 역외이전 제한
규정의 존재가 있다 오스트레일리아의 프라이버시법에서 역외 적용에 관한 규정이 없었기
때문에 EU 시민의 개인데이터를 수입한 오스트레일리아의 회사가 당해 데이터를 개인정보보호가
불충분한 국가에 수출한 경우 EU 시민의 권리이익이 해해질 우려가 있다는 문제가 되었다
이로 인해 오스트레일리아는 EU의 적정성 인정을 얻지 못한 바 있다58) 일본도 EU의 GDPR
제25조의 규정에 근거한 적정성 인정을 얻지 못함으로써 일본 기업이 EU 가맹 국내에
설립한 지점 또는 영업소의 종업자 및 고객의 개인데이터를 일본 국내의 본사에 이전하는
데도 절차적 비용이 크게 들고 글로벌한 경제 활동에 지장을 주었다 또한 일본에 이전된
개인데이터의 제3국에의 재이전(Onward Transfer)에 대하여도 제한할 필요가 있었다
58) Opinion 32001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000
(Adopted by the Data Protection Working Party on 26 January 2001) at 4-6
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
38
그리하여 일본 개정법 제24조(외국에 있는 제3자에의 제공의 제한)의 국외 이전 제한 규정이
신설되었다59)
lt표 5gt EU의 GDPR에서 개인데이터 국외 이전을 위한 규칙 60)
구분 내용
① 충분한 보호조치를 강구하고 있는 국가로서 인정을 받음(이른바 ldquo적정성 인정rdquo)
②다국적 기업 내에서 데이터 유통을 인정한 구속적 기업 준칙(BCRs)을 신청하여 감독기관의
허가를 얻음
③ 표준계약조항(SCC)을 체결함
④ 본인의 동의를 얻음
이러한 제약 규정은 일본이 독자적으로 도입한 것이 아니라 몇몇 국가와 지역에서 선행한
사례가 있고 그 중에서도 EU의 데이터보호지침 및 2018년부터 시행된 lsquo일반 데이터 보호
규칙의 규정rsquo(GDPR)이 대표적이다61) EU의 lsquo일반 데이터 보호 규칙rsquo(GDPR)에서는
개인데이터의 국외 이전을 위 표와 같이 인정하고 있다
GDPR에서는 그 밖에 구속력 있고 실행 가능한 합의 감독기구에 의해 승인된 행동강령이
있는 경우에도 국외 이전이 허용될 수 있다고 규정한다(동 규직 제40조) 2017년 1월
시점에서 EU에서 적정성 인정을 받고 있는 것은 스위스 캐나다(민간 부문만) 아르헨티나
건지섬(Bailiwick of Guernsey) 맨섬(Isle of Man) 저지섬(Bailiwick of Jersey) 페로
제도(Faroe Islands) 안도라(Andorra) 이스라엘 우루과이 뉴질랜드 등이 있다
2017년 7월 6일에 일본과 EU가 경제연대협정(EPA) 및 전략적 파트너십협정(SPA)에
대하여 합의하여 ldquo개인데이터의 국경 이전에 관한 정치선언rdquo이 발표되었다 이 정치선언에서
일본의 개인정보보호법과 EU의 GDPR에 대하여 쌍방으로 충분한 수준의 보호를 도출하는
것에 의해 데이터의 교환을 촉진하기 위한 새로운 구조를 2018년 초기에 작성하는 것으로
일본과 EU에서 확인했다 Jean-Claude Juncker EU 위원장과 일본 아베 총리의 2017 7
26일 공동성명62)에서는 ldquo정보의 자유로운 유통은 글로벌 경제 및 발전을 촉진하기 위하여
기본적인 원칙이고 데이터 경제에 관한 모든 주체에 의해 사이버 공간에의 공정하고 평등한
59) 宇賀克也 前掲書 173~174頁
60) 大角良太 amp 高橋克巳 前掲書 141頁
61) 大角良太 amp 高橋克巳 前掲書 140頁
62) Jean-Claude Juncker EU 위원장과 일본 아베총리의 2017 7 26 공동성명
httpwwwmofagojpmofajfiles000270697pdf
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
39
액세스를 보장하는 것rdquo을 재확인했다63) 결국 2018년 9월 5일 EU는 일본에 대해 적정성
평가를 인정하면서도 추가 의견에서 단일 개인정보보호 기관이 개인정보보호 문제를 적정하게
취급하여 EU 시민이 문제를 제기해도 답변할 수 있는 일관된 창구를 준수하도록 요구하였다64)
lt그림 6gt EU 적정성 평가의 의미 65)
lt표 6gt EU GDPR에 대한 지침에 따른 일본 정부의 추가 조치 66)
항목 해당법령 수정 내용
필요배려
개인정보2조 3항
필요배려 개인정보(민감정보)의 범위 확대
GDPR에서 특별한 유형의 개인정보(Special Categories of Personal Data)
로 정의되는 성적 취향 노동조합 등에 대한 정보 도 필요배려 개인정보와
마찬가지로 취급
보유
개인데이터2조 7항
보유 개인데이터 범위 확대(기간한정 예외조항 삭제)
EU에서 이전된 개인데이터에 대해서는 각주의 ①의 경우에 해당하지 않는
한 기간에 관계없이 보유 개인데이터로 취급
이용목적
특정
15조 1항
16조 1항
26조 1항 middot
3항
데이터 취득 시 이용목적을 확인 middot 기록하여 그 범위 내에서 이용하도록 조치
EU에서 이전된 개인데이터에 대해서는 취득 시 확인한 이용목적의 범위 내
로 그 목적을 제한하여 그 범위 내에서 해당 개인데이터를 이용하도록 함
63) httpwwwsjnk-rmcojppublicationspdfr164pdf
64) 손형섭 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019) 98면
65) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
66) KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지침에 따른 일본 정부의 추가 조치
20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222 확인)
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
40
항목 해당법령 수정 내용
역외
제3자에게
정보제공
제한
24조 middot
규칙
11조의2
일본에서 EU 외 제3국으로 개인데이터가 재이전하는 경우의 보호수준 강화
EU에서 이전된 개인데이터에 대해 본인 동의에 따라 재이전하는 경우 본인
이 동의하는데 필요한 (데이터의) 목적지 상황에 대한 정보를 제공하고 개
인정보보호법과 동일한 수준의 보호조치를 시행하도록 함
익명가공
정보
2조 9항 middot
36조 1 middot
2항
개인데이터의 익명가공처리방식에 대한 정보 제거
bullEU에서 이전된 개인데이터를 개인정보보호법상의 익명가공처리하는 경우
가공방법에 대한 정보를 삭제하고 재확인이 불가능하도록 조치
bullEU에서는 가공방법에 대한 정보가 남아 있을 경우 안전하게 분리하여 보
관할 경우에도 재식별의 가능성이 있다고 판단 익명화되었다고 간주하지
않음
결국 2019년 1월 EU의 적정성 평가를 통과한 일본은 캐나다 등의 국가와 함께 EU와
데이터의 규정 내의 이전이 가능하게 되었다 이로서 일본의 기업은 표준계약조항(SCC)을
직접 체결 middot 준수해야만 하는 불편 비용이 경감되고 자국의 개인정보보호법만을 준수하면
EU에 있는 자회사와의 정보 유통도 자유롭게 되었다
lt그림 7gt EU 적정성 평가 인정국가 67)
67) 이정은(연구원) 정은숙(작가) 앞의 자료
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppageIndex=1(20191221확인)
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
41
반면 대한민국은 2018년 11월 EU로부터 이를 불인정하는 결정을 받았다 우리나라는
방송통신위원회와 개인정보보호위원회가 각기 정보통신망법과 개인정보보호법으로 개인정보보호에
대한 권한을 나누어 갖고 있고 이러한 업무 분할 갈등으로 방송통신위원회가 자신의 담당
분야인 온라인 분야에 대한 lsquo부분 적정성 평가rsquo를 우선 받겠다는 전략으로 EU와 협상을
했었기 때문이다68) 그동안 대한민국에서는 일부 전문가들이 우리 개인정보보호법이 많은
형사처벌 규정과 과태료 규정을 가지고 있어 강한 개인정보보호법제를 가지고 있다고
하였지만 아직 체계적으로 단일하거나 집행에서도 확실성을 보여주지 못하고 있는 것으로
보인다 따라서 앞으로 대한민국은 개인정보보호위원회를 중심으로 독립되고 단일한 권한
조정을 확립해야 할 상황이다 2019년 12월 조엘 이보내 EU 부대사도 2020년 한국과
EU와의 정상회담 이전에 한국의 개인정보보호법 개정안의 처리를 촉구하고 있다69)
8 ICT산업 생태계에 미치는 영향과 법의 방향
가 국제 ICT산업에 대한 고려
국내에서 향후 개인정보보호법 제도에 대하여 EU의 GDPR을 따라야 하는가 미국의
프라이버시법제를 따라야 하는가의 문제에 대하여 논의가 많다
일본 정보법연구소 소장 鈴木 正朝(스즈키 마사토모) 교수는 이에 대하여 다음과 같이
말한다70) 우선 일본의 경우 EU의 권리본위형 개인정보보호법 제도나 미국의 시큐리티 중심
민간 자율형 프라이버시법제의 어느 쪽으로도 따를 수 없다고 한다 미국은 구글 애플과
같은 글로벌 IT기업인 플레이어(player)가 있고 반면 EU는 IBM 시대부터 미국에 관련
산업이 뒤처져서 많은 영향을 받아 왔다 유럽은 전역에서 IBM을 사용하였고 자국의 컴퓨터
회사가 발전하지 못했기에 당연히 보호주의를 취할 수밖에 없었다 한편 EU와 다른 일본은
개인정보보호법의 개정에서 EU와 미국의 변화를 검토하며 자신들의 독자적인 길을 모색해
왔다는 것이 스즈키 교수의 의견이다71)
68) 손형섭 앞의 책 98면 이하
69) 뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
70) 鈴木正朝(스즈키 마사토모) 교수는 新潟大学教授 大学院現代社会文化研究科와 法学部의 情報法 교수이자 一般財団法人 情報
法制研究所의 이사장
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
42
결국 EU와 미국은 IT 시장의 상황이 다르며 나아가 일본도 그들과는 처한 상황이 다르다
또한 한국도 EU처럼 단일된 규범을 지시할 수 있는 EU집행위원회가 없으며 구글 애플 등의
IT 기업이 세계시장의 플레이어로 활동하고 있으며 이에 따라 국가 시큐리티와 정부로부터
프라이버시의 자유를 중심으로 구성된 프라이버시 제도를 갖는 미국과 같은 제도를 취할
수는 없다
우리도 양자의 규범 변화를 충분히 참고하면서 우리 한국의 헌법과 시장상황에 맞는
입법적인 대책을 강구해야 할 것이다 예를 들어 우리는 그들에 비하여 매우 작은 국내
시장을 보유하고 있다 그런데 이 시장에는 NAVER DAUM과 같이 국내시장에서 우월적인
서비스 제공자들이 활동하며 구글 등의 미국 기업에 비하여 높은 시장지배력과 유저를
확보하고 있다 한편 한국은 일본과도 달라서 일본은 내수 시장이 GDP의 80에 육박하고
수출이 20를 넘기고 있음에 비하여 한국은 내수 시장이 GDP의 30에 해당하고 수출이
70 이상을 점하고 있다 즉 한국의 기업들은 EU와 미국 그리고 다른 나라와의 꾸준한
무역을 통한 경제구조를 가지고 있기 때문에 EU와 미국 등의 외국 법제와 우리 법제와의
독자성은 물론 상호적용 가능성의 검토도 매우 중요하다
결국 한국은 EU와 미국과 IT 시장의 상황이 다르며 나아가 내수 시장이 GDP의 80에
달하여 독자적인 규범 모델을 시도하는 일본과도 다르다 따라서 우리는 일부 EU의
권리본위의 GDPR의 내용을 참조하여 국민의 개인정보 보호에 관한 권리를 지키고
대외적으로 무역과 국내 IT 기업의 발전과 국외 진출이 용이하도록 하기 위한 제도 방향을
꾸준히 case by case로 검토해야 할 것이다 이때에 일본에서 EU로부터 국외 이전에 대한 적정성을
인정받은 과정과 이후의 변화를 주시할 필요가 있다 한국은 헌법 제10조 혹은 제17조로부터
도출된 자기정보통제권(개인정보자기결정권)을 인정한다72) 이에 따라 개인정보보호법에 의해
국민의 개인정보와 이를 통해 보장되는 인격권과 재산권 등을 보호하고 국내 기업들이 EU와
미국 그리고 다른 나라와의 꾸준한 무역과 기술경쟁을 할 수 있도록 하는 큰 시야로 개인정보보호법
법제의 변화를 수시로 도모해야 할 것이다 EU형의 권리본위형 개인정보보호법제도나 미국형의
시큐리티 중심의 민간자율 프라이버시법제 사이에서 우리 개인정보보호법은 우리에게 합리적으로
적합한 법과 제도 모델로 만들어야 할 것이다
71) 鈴木正朝 교수와의 一般財団法人 情報法制研究所에서의 회의 2017 9 13
72) 이에 대한 학설은 성낙인 헌법학 법문사(2016) 1243면 정하중 행정법개론 법문사(2015) 405면 참조
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
43
21세기 제4차 산업혁명을 맞이하여 우리는 급변하는 과학기술의 변화를 체감하고 있다
인공지능 증강현실 가상현실 사물인터넷 빅데이터 등 다양한 인터넷과 기술의 혁신이
초연결사회에서 정보의 네트워크와 집약 및 분석 그리고 딥러닝을 통한 인공지능 기술의
발전을 모색하고 있다 그러나 어떤 이는 이러한 기술발전에 따라 노동시장이 줄어들고
기계에 의해 인간이 지배되는 시대가 오지 않을까 하는 걱정을 하기도 한다 필자는
오래전부터 이러한 문제와 우려를 막는 것이 바로 법의 역할이라고 생각해 왔다 그중에서
개인정보보호법은 빅데이터에 의한 개인의 인권 침해 여지를 막는 역할을 할 수 있는 법이다
빅데이터는 기존에는 저장하기 어려웠던 대용량의 정형ㆍ비정형 데이터의 집합으로 정의할 수
있다73) 이러한 빅데이터를 활용하려는 사람들은 빅데이터 기술의 발전을 개인정보보호법이
가로막고 있다고 주장한다74) 그러나 개인정보보호법 등 법제 규제가 없다고 IT 기술의
발전과 구현이 그렇게 한순간에 성취되는 것은 아니다 특히 개인정보보호는 헌법상의 개인정보
자기통제권의 실현이기에 개인정보보호법이 없어도 헌법에 의해 그 보호는 무시될 수 없다
나 한국의 법 정비 방향
1) 정비 방향
EU에서도 개인정보의 리스크를 중심에 두어 실질적인 보호를 하고 있다 앞으로 EU는
market power를 전제로 GDPR을 통해 글로벌 리더십을 갖출 것으로 보여 우리
개인정보보호법에서 빅데이터를 고려한 개선방향에서도 EU의 GDPR의 내용은 반드시
고려하여 검토해야 할 대상이다 우리도 EU의 개인정보보호법과 정책의 동향 미국의
프라이버시법과 정책 그리고 시큐리티 정책을 고려하여 우리의 헌법에 따라 우리에게 적합한
개인정보보호법과 정책을 정하여 개인정보의 보호와 개인정보의 합리적인 활용이 가능하도록
해야 할 것이다 좋은 취지의 법도 헌법의 정신과 헌법 제37조 제2항의 제한 원리에 적합해야
헌법적 정당성이 인정된다75) 한국에서 개인정보보호법이 일반법으로 그 역할이 기대되었으나
이법 제6조에서 다른 법의 특별법 우선을 규정하였다 따라서 정보통신망법 lsquo위치정보의 보호
및 이용 등에 관한 법률rsquo 외 다수의 법률이 개인정보보호법에 우선하여 적용되고 있는
73) James Manyika amp Michael Chui Big data The next frontier for innovation competition and productivity
Mckinesy Global Institute(Mckinesy amp Company 2011)
74) 중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자 httpnewsjoinscomarticle21637468
75) 김승대 헌법학강론 법문사(제4판 2017) 231면
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
44
실정이다 EU의 GDPR 규정이 lsquo전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에
관한 2002년 7월 12일 유럽의회 및 이사회 지침rsquo76)의 특별법적 지위 조항을 삭제하여
개인정보 보호에 관한 EU 역내의 명실상부한 일반법의 지위를 부여한 것77)을 볼 때 우리
법에서도 체계 재정립이 필요한 것이 현실이다
lt그림 8gt 데이터 3법의 개정안 78)
일부 진전이 있는 개인정보보호법과 함께 데이터 3법으로 불리는 신용정보법 정보통신망
법은 서로 긴밀하게 연관되어 있어 업계가 빅데이터를 활용하려면 동시에 통과되어야 한다는
것이 업계와 학계의 공통된 의견이다 개인정보보호법 개정안은 현행법상 명시하고 있지 않은
lsquo가명정보rsquo 개념을 도입해 데이터 활용의 기반을 만드는 법이다 이를 금융 분야와 통계 작성
연구 등을 목적으로 정보 주체의 동의 없이 사용할 수 있도록 하는 것이 신용정보법 개정안이
다 정보통신망법 개정안은 개인정보 관련 내용을 모두 개인정보보호법으로 이관하는 것이 핵심
이다 핀테크 기업인 핀크 관계자는 ldquo금융 혁신이나 빅데이터 산업을 위해 신용정보법은 반드시
필요한 법안이라 업계가 애달픈 마음으로 기다리고 있다rdquo며 한숨을 내쉬었다 하나의 앱에서 여
러 은행 계좌 잔액을 조회하고 송금할 수 있게 한 lsquo오픈뱅킹rsquo도 이 법이 통과돼야 활성화된다는
것이다79)
76) Drective 200258EC
77) 함인선 앞의 논문 168면 참조
78) 동아일보 20191128 httpsnewsvdaumnetv20191128030230402(20191222 확인)
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
45
이런 의견에 찬성하면서도 이를 위한 우리법을 일본 개정법에 비추어보면 많은 세부적인
개정이 함께 수반되어야 한다는 생각이다
2) 세부 개정 방향
우선 개인정보의 보호와 활용 사이의 접점을 찾아 구체화해야 된다 여기에는 빅데이터의
활용과 인공지능의 활용을 위한 규정과 이에 대한 안전장치가 함께 갖추어져야 한다
① 개인정보의 개념 정비
개인정보의 개념에서는 바이오 생체정보에 대한 개인정보보호법적인 대응책이 필요하다
규정의 정비를 통하여 관련 자료의 활용과 보호의 양면의 균현을 명확히 설정해야 한다 이미
일본법의 개인정보의 개념에 수용된 생체정보에 관한 규정의 수용이 필요하다
② 익명정보와 가명정보의 도입 및 개념 정비
익명정보와 가명정보의 도입 및 구체적인 개념 정비가 필요하다 일본에서 익명가공정보가
나오게 된 원인은 일본의 개인정보 개념 제2조 제1항 제1호에서 개인정보의 요건으로 ldquo다른
정보와 용이하게 조합(照合)할 수 있고 그에 의해 특정의 개인을 식별할 수 있도록 되어
있는 것을 포함한다rdquo고 한 바 구법에서도 요구되던 이 용이조합성 때문에 익명화된 정보도
정보제공자 입장에서는 쉽게 재식별될 수 있기에 비개인정보로 단정하기 어려운 점에 그
원인이 있었다 한국도 일본의 개인정보 개념과 같이 ldquo쉽게 결합하여 알아볼 수 있는 것을rdquo
개인정보로 하고 있기 때문에 익명정보의 입법시에 일본이 복원불가능성을 규정한 것을 잘
검토해보아야 할 것이다
최근 입법안에서는 가명정보를 규정하는 방향으로 논의되고 있어 일본보다는 EU의 규정에
따르는 것으로 보인다 그런데 가명정보를 활용하기 위해서는 익명정보와 구별되는 세부적인
규정과 가이드라인이 제정되어야 한다 일본에서도 익명가공정보의 규정 개정 후 관련 정관과
가이드라인의 구체화가 진행된 점을 명심해야 한다
그리고 이렇게 익명정보와 가명정보를 신설하는 입법 개선 이후에는 의료정보에 관한
법률의 검토가 진행되어야 한다 제20대 국회에서는 개정 개인정보보호법이 시행되면 관련
가명정보 규정이 의료정보에 관해서도 신법으로 우선적용이 되는 것이 아닌가 하는 질문이
79) 동아일보 위의 기사
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
46
있었다80) 일본은 개인정보보호법의 개정 이후 바로 후속 법령 개정작업에 착수하여 lsquo의료분야 연구개발에
이바지하기 위한 익명가공의료정보에 관한 법률rsquo 즉 이른바 ldquo차세대 의료 기반법rdquo을 2017년 5월
12일 법률28호로 제정하고 2018년 5월 10일 시행하였는데 여기에는 익명가공의료정보를
규정하고 있어 의료분야에서도 데이터 활용이 가능하게 되었다는 것을 명심할 필요가 있다
③ EU 적정성 평가 대비
EU의 적정성 평가를 위한 제도적 변화가 필요하다 이를 위하여 개인정보보호위원회는
독립된 집행기구의 모습을 갖추어야 한다 GDPR의 2016년 규칙은 1995년 지침보다 각
회원국 국내에서의 개인정보감독기관에 대한 규정을 대폭 강화하고 있다 각국에서
개인정보보호기구를 평가하는 기준은 ldquo보호기구의 독립성rdquo과 ldquo충분한 법적 권한의 보장rdquo이다81)
우리나라 개인정보보호위원회보다 뒤늦게 출범한 일본의 개인정보호위원회가 개인정보 및
마이넘버에 관한 일반적 집행기관으로 역할을 시작한 것을 볼 때 심의기관에 머무르고 있는 우리
위원회 조직의 변화가 필요하다 특히 EU와 개인정보의 유통을 위한 충분한 보호수준을 인정받기
위한 전제로 개인정보보호위원회의 독립적 집행기구화가 필요한 시점에 왔다
lt그림 9gt EU 적정성 평가를 고려한 법 개정 방향 82)
EU에 대한 적정성 평가를 위해서도 개인정보보호위원회는 독립적이고 집행력을 갖춘
Privacy Commissioner로서의 위상 정립이 필요하다 이를 위하여 개인정보보호에 대한
80) 국회회의록 제20대 371회 11차 행정안전위원회 16면
81) 조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구(2017) 6면
82) 이정은(연구원) 정은숙(작가) 앞의 자료
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
47
행정안전부의 권한 방송통신위원회의 권한 그리고 국가인권위원회의 권한 그리고 지방자치단체에
위임된 권한을 개인정보보호위원회에서 통일적으로 수용하고 합리적으로 위임할 수 있는 모델에
대한 입법적인 검토가 시급하다
④ 권리규정의 정비
EU의 GDPR에서 데이터주체의 삭제권ㆍ잊혀질 권리(제17조) 데이터 포터빌리티권(데이터이전권
제20조) 프로파일링 등의 자동화된 판단에 따르지 않을 권리(제22조) 개인데이터의 침해에 대한
통지를 받을 권리(제34조)가 명확히 명문화83)된 것 같이 데이터 주체의 권리성을 보장하기
위한 노력도 필요한 시기이다 인공지능의 활용을 위해서도 이를 대비한 권리규정의 도입이
필요한데 이점은 EU의 입법과 향후 진행방향을 검토할 필요가 있다
⑤ 기타
정보화시대에 우리 헌법에 따라 개인정보를 보호하고 소중한 공공재가 될 수 있는
익명가공정보 및 공공데이터의 효과적인 활용을 통해 국민의 생활과 환경 안전 등에 보장성과
편리성이 도모될 수 있도록 하는 다양한 노력이 앞으로도 필요할 것이다
일단 최근 데이터 3법에 대한 개혁안이 계속 입법진행 중이고 이에 대하여 ldquo인공지능(AI)
경쟁력의 핵심을 양질의 빅데이터 확보로 보고 있다 AI 플랫폼이 고도화되려면 양질의
빅데이터를 기반으로 학습을 해야 하기 때문이다 그간 ICT 기업들은 AI 플랫폼을 고도화하고
개인 맞춤형 서비스를 선보이기 위해 비식별 정보의 산업적 활용이 필요하다고 입을 모았다
하지만 개인정보보호법으로 인해 비식별 정보는 활용할 수 없었다rdquo는 입장에서 정보통신기술(ICT)
업계는 환영의 입장을 보이고 있다84)
일본의 개정법과 비교하면 아직 우리 데이터 3법의 개정안은 개인정보보호법 20으로의
새로운 방향으로 가는 길을 가고 있기보다는 15의 선에 멈추어 있는 것으로 보인다
데이터의 활용과 이에 대한 안전판을 만드는 데이터 3법의 정비는 앞으로 중요한 큰 걸음을
걷기 위한 중요한 과정에 있다
앞으로 신용정보법을 포함한 데이터 3법의 통합이 점진적으로 추진되어야 할 것이다
그리고 개인정보보호를 위한 규정에 처벌규정 중심인 우리나라의 규정을 비범죄화하는 검토도
83) 加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標準」EU一般データ保護規則 施行への対
応) ビジネス法務 17(8)(20178) 27면
84) httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
48
필요하다 이런 점에서 일본 개인정보보호법은 EU의 적정성 평가를 인정받았으면서도 과도한
형사처벌규정을 갖지 아니하고 관련 규정을 정비하여 개혁을 추진하고 있는 일본 개인정보보호법의
검토가 계속되어야 한다
국내법의 개정의견이 국회에서 논의되고 시민단체의 반대의견 등이 언론에 제기되고 있다
지금 대한민국에서 관련 입법의 정비는 일본이 관련 전문가들의 심의와 축조 작업을 통해
법령 개정이 진행된 것과 비교하면 매우 정치적인 논쟁 속에 있으며 이론적이고 체계적인
검토가 진행되고 있지 않다
일본에서는 관련 법 전문가들이 입법에 참여하여 외국의 다양한 법제과 ICT 기술연구를
반영하여 입법안이 만들어지고 이러한 입법안이 정부와 국회를 통과하고 관련 전문가들은
바로 관련 법인 차세대 의료기반법의 개정작업을 진행한 바 있다 앞으로 국내 개인정보보호법의
개정에도 관련 전문가 특히 일본 개인정보보호법의 전문가가 참여하여 구체적인 제도 개선에
참여해야 한다 그래야 EU와 미국의 개인정보보호법제 사이에 충분한 이론적인 검토를 한 후
상충하는 이해관계를 합리적으로 조정할 체계적인 안이 정비될 수 있을 것이라 생각한다
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
49
1 국내문헌
경성대학교 산학협력단 『일본의 개인정보보호 법제 middot 정책 분석에 관한 연구』 개인정보
보호위원회(201712)
국회회의록 제20대 371회 11차 행정안전위원회
김은수 정종구 ldquo2015년 일본개인정보보호법의 개정-개정된 중요 내용과 시사점-rdquo 연
세 글로벌 비즈니스 법학연구(2016)
김이식 ldquo신서비스의 출현과 개인정보보호법제의 긴장rdquo 한국정보법학회 2015년 가을정
기세미나(20151017)
김승대 헌법학강론 법문사(제4판 2017)
성낙인 헌법학 법문사(2016)
손형섭 ldquo개인정보보호법의 특징과 앞으로의 방향― 업계의 반응에 대한 몇 가지 대안
을 중심으로 ―rdquo 언론과 법(2012)
--- ldquo일본 개정 개인정보보호법과 우리법의 나아갈 방향rdquo 공법연구 vol46
no2(2017)
--- 『4차 산업혁명기의 IT middot 미디어법』 박영사(2019)
임규철 개인정보보호법제 푸른세상(2004)
조명근 이환수 ldquo메타분석을 통한 개인정보보호법의 개선과제rdquo 디지털융복합연구
(2017)
정하중 행정법개론 법문사(2015)
한은영 ldquo일본 개인정보보호법 개정의 배경 및 개정안의 주요 내용rdquo 정보통신정책 제
26권 13호 통권 581호(2014)
행정자치부 『개인정보보호 법령 및 지침 middot 고시 해설』 201612
참고문헌
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
50
김경환 [ICT법 바로알기 73] 일본 개인정보보호법과 빅데이터 목적의 익명가공정보(1)
httpwwwddailycokrnewsarticlehtmlno=140860
KISA 작성 httpswwwsprikrpostsview22538code=industry_trend
(20191222 확인)
KIEP EU일반개인정보보호법(GDPR)에 대한 일본 정부의 대응 및 평가(2018 09)지
침에 따른 일본 정부의 추가 조치 20191226
httpswwwsprikrpostsview22538code=industry_trend(20191222
확인)
뉴스1 2019125 ldquo주한 EU대사 개인정보보호법 개정안 조속히 처리해야rdquo
httpnews1krarticles3786332(20191222 확인)
동아일보 20191128
httpsnewsvdaumnetv20191128030230402(20191222 확인)
이정은(연구원) 정은숙(작가) ldquoEU 일반개인정보보호법에 대한 일본정부의 대응 및 평
가rdquo 대외경제정책연구원(2018111)
httpwwwkiepgokrsubviewdobbsId=ecoCartoonampnttId=202041amppa
geIndex=1(20191221확인)
조은진 ldquo빅데이터 시대의 일본 확대되는 정보 보안 시장 - 정보 middot 금융 전쟁 보려는
자 숨기려는 자 (3)rdquo 20141105
httpstermsnavercomentrynhndocId=3579270ampcid=58784ampcategory
Id=58787(20191222확인)
중앙일보 2017 6 5 빅데이터 산업 발전 막는 개인정보보호법 완화하자
httpnewsjoinscomarticle21637468
채은정 한국과 유럽의 개인정보보호법 비교
httpsblognavercomhappykdic221570446667(20191221 확인)
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
51
2 외국문헌
宇賀克也 個人情報保護法の逐条解説[第5版] 有斐閣(2017)
加藤隆之 情報流通時代の個人データに関する「新たな権利」(特集 個人情報保護の「世界標
準」EU一般データ保護規則 施行への対応) ビジネス法務 17(8)(20178)
個人情報保護基本法制研究会 QampA 個人情報保護法 有悲閣(2003)
宍戸常寿 「個人情報保護法制ー保護と利活用のバランス」 ジュリスト 13号(20162)
大角良太amp高橋克巳 QampAで理解する パーソナルデータの匿名加工と利活用 清文社
(2017)
鈴木正朝 「他国への個人データ越境移轉制限条項の検討 - 個人情報保護法改正の論点」
ジュリスト1464号(2014年)
日本経済新聞 2014 6 30
개인정보보호위원회사무국 리포트 ldquo익명가공정보 퍼스널 데이터의 이활용 추진과 소비
자의 신뢰성 확보의 양립을 위하여rdquo(2017년2월)
httpswwwppcgojpfilespdfreport_officepdf
일본 개인정보보호위원회 사무국 리포트 익명가공정보 ldquo퍼스널 데이터의 이활용 추진과
소비자의 신뢰성 확보의 양립을 향하여rdquo(2017년 2월)
일본 The Digital Advertising Consortium Inc(DAC)
httpswwwdaccojpcompanypresident
Jean-Claude Juncker EU위원장과 일본 아베총리의 2017 7 26일 공동성명
httpwwwmofagojpmofajfiles000270697pdf
httpwwwnewstomatocomReadNewsaspxno=933476(20191222)
httpwwwsjnk-rmcojppublicationspdfr164pdf
LSweeney ldquok-Anonymity A Model For Protecting Privacyrdquo International
Journal of Uncertainty Fuzziness and Knowledge-Based Systems
10(5) pp 557-570(2002)
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
52
Opinion 32001 on the level of protection of the Australian Privacy
Amendment (Private Sector) Act 2000 (Adopted by the Data
Protection Working Party on 26 January 2001)
James Manyika amp Michael Chui Big data The next frontier for innovation
competition and productivity Mckinesy Global Institute(Mckinesy amp
Company 2011)
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
손형섭
경성대학교 법정대학 교수
중앙대학교 법학과 학사 동대학원 석사
관정장학재단 국회장학생 2기 도쿄대학 법학정치학연구과 박사
서울대학교 법과대학 연구원 헌법재판소 헌법연구원
UC Berkeley 로스쿨 방문교수(Senior visiting scholar)
현재 한국헌법학회 한국공법학회 한국비교공법학회
한국언론법학회 이사
전문분야
(한미일)비교헌법 개인정보보호법 정보법 언론법
4차산업혁명기의 IT middot 미디어법 AI와 인권에 대한 법과 정책 연구
세계헌법학회(IACL) 2회 연속 발표 일본전국헌법학회 등 초청 발표
저자소개
![코카포커스 16-02호 가상현실(VR) 게임 개발 활성화 전략tradenavi.or.kr/CmsWeb/resource/attach/report/[7][KOCCA_포커스 16-02.pdf · 가상현실(vr) 게임 개발](https://img.pdfslide.tips/doc/110x75/5e2709c81512c819ef246ec8/-16-02-efvr-eoe-eoeeoe-oe-e-7kocca.jpg)
![[명우니닷컴] 인터넷과 딥웹 (Internet and DeepWeb](https://img.pdfslide.tips/doc/110x75/5882754d1a28ab470c8b7917/-internet-and-deepweb.jpg)
![학습목표€¦ · 잘나가는 1%의 문제해결기법. 스마트하게 일하라! [ 5 ] 학습목표 1. 기업혁신이 필요한 이유, 혁신이 필요한 기업의 상황을](https://img.pdfslide.tips/doc/110x75/6065ea20fd36d863f2487a60/eoe-eee-1-eoeeee-eeoe-e-.jpg)
