목차
I. 빅데이터, 사물인터넷, 개인정보보호법제 6
가. 인공지능, 빅데이터, 로보틱스, 사물인터넷 6
나. 빅데이터, 인공지능, 로보틱스, 사물인터넷과 개인정보의 활용과 보호 6
다. 유럽연합 EDPS(European Data Protection Supervisor)의 빅데이터에 대한 의견(2016. 9. 23.) 6
라. 우리나라의 4차 산업혁명, 지능정보사회 대책 9
II. 그 동안의 우리나라의 개인정보의 보호 또는 활용에 대한 논의의 흐름 10
1. 우리나라의 4차 산업혁명과 개인정보보호 10
가. 일자리 창출 10
나. 빅데이터 산업 육성과 첨단 산업 육성과 개인정보의 활용 10
다. 균형 잡힌 시각이 필요함 10
2. 규제완화론의 흐름 11
가. '프라이버시 정책연구 포럼' (2013) 11
나. 빅데이터 가이드라인과 비식별조치 가이드라인 : 개인정보가 아닌 것으로 추정하는 '비식별화' 11
다. 규제프리존법과 규제완화론 11
3. 보호강화론의 흐름 12
가. 시민사회단체의 활동 12
나. 국회의 대응 12
4. 최근 개인정보보호법 개정에 대한 의견 12
가. 다수의 의견 제시 12
나. 개인정보보호법제의 개선이 필요함 12
III. 개인정보 관련 20대 국회 제출안 및 최근 개정 논의 평가 13
1. 개인정보와 관련된 주요 법률안의 검토 13
2. 개인정보보호법 개정안의 검토 13
가. '비식별조치 개인정보', '비식별개인정보' 등의 내용을 포함한 법률안 13
나. 개인정보 이용제한, 개인정보 동의 명확화, 기타 14
다. 피해배상 강화, 개인정보 감독기구 권한 강화 등 15
3. 개인정보와 관련된 정보통신망법 개정안 16
가. 비식별정보 16
나. 이용자 권리 보장 등 16
다. 피해배상 강화 등 17
4. 신용정보의 이용 및 보호에 관한 법률 개정안 18
5. 빅데이터 이용진흥법, 지능정보사회기본 등 개별법률을 통한 법령 제정과 개정시도 18
6. 최근의 학회, 시민단체 등의 법률 개정에 대한 의견 19
가. 개인정보보호위원회의 연구 용역 결과 19
나. 방송통신위원회의 연구 용역 결과 22
7. 방송통신위원회의 대응 입법 26
8. 전체적인 평가 28
IV. 우리나라의 개인정보보호법제의 문제점과 전면적 개선 방안 29
1. 우리나라 개인정보보호법제의 문제점 29
가. 개인정보보호원칙이 실종되고 형해화된 규정만 남음 29
나. 개인정보처리자에게 치우친 감독기관 및 집행체계의 문제 29
다. 위험 기반 접근(risk-based approach) - 비례적인 법률상 의무(scalable legal obligation), 책임성 원칙의 격상 29
라. 전면적 법률 개정 필요 - 종합적 접근이 필요함 34
마. 경직된 형식적인 법률 규정의 완화 34
2. 개인정보 보호원칙을 보완, 구체화하고, 실질적인 규범력을 갖도록 35
가. 개인정보 보호원칙은 매우 중요한 역할 35
나. 개인정보 보호원칙을 구체화하고, 실질적 규범으로 개정해야 함 35
다. 투명성의 원칙 37
라. 법률 개정의 방안 38
3. 개인정보 주체의 동의와 관련하여 38
가. 홈플러스 경품응모권 1mm 고지 사건 38
나. 형해화된 동의의 폐해에 대한 두 가지 접근 39
다. GDPR은 동의 요건을 강화함 39
라. 현재의 개인정보보호법령의 동의에 대한 규정 40
V. 개인정보의 비식별처리, 익명처리 42
1. 배경 42
2. 익명화와 비식별화 개념의 구별 43
3. 국내에서 비식별화 개념의 혼란 45
가. 요약 45
나. 공공정보 개방ㆍ공유에 따른 개인정보 보호 지침(2013. 9.) 45
다. 개인정보 비식별화에 대한 적정성 자율평가 안내서(2014. 12.) 46
라. 빅데이터 개인정보보호 가이드라인(2014. 12.) : 비식별화를 익명화로 바꿔치기 47
마. 빅데이터 활용을 위한 개인정보 비식별화 기술활용 안내서(2015. 6.) 48
바. 개인정보_비식별_조치_가이드라인 49
사. 비식별화, 비식별 정보를 포함하고 있는 법률안들 50
4. 현행 법령의 규정 50
5. 비식별 처리와 재식별 가능성 52
가. 비식별 처리와 재식별 가능성 52
나. 소셜미디어 정보의 경우 54
다. 위치정보의 재식별 위험성 55
라. 카드 구매내역 정보의 재식별 위험성 57
마. 전화 통화기록의 재식별위험성 58
VI. 프로파일링과 자동화된 결정에 대한 규정 61
1. 배경 61
2. 내용 65
가. 프로파일링의 정의 65
나. 자동화된 의사결정에 대한 특별한 규율 67
다. 프로파일링 및 자동화된 의사결정에 대한 일반 규정 75
라. 아동과 프로파일링 84
마. 개인정보보호 영향평가 85
3. 도입론 85
VII. 개인정보처리자의 처리활동 기록 의무 87
1. 배경 87
2. 규정 87
3. 우리나라 개인정보취급방침과의 차이점 88
4. 우리나라 법률에 도입 필요성 88
VIII. 정보이동권 89
1. 배경 89
가. 경과 89
나. 의미 90
2/3. 내용 91
가. GDPR 규정 91
나. GDPR 규정의 해석 91
3/4. 도입론 102
IX. 개인정보 보호 중심 디자인과 초기 설정 104
1. 배경 - 오랫동안 논의되어 오던 개인정보 보호 중심 디자인 104
가. Privacy by Design(PbD)의 연혁 104
나. 입법화의 노력 105
다. 논란 105
라. 의의 106
2. GDPR의 개인정보보호 중심 디자인 규정의 신설 106
가. GDPR의 규정 106
나. 구체적인 내용 106
다. 구체적인 이행의 모습 108
3. GDPR의 개인정보보호 초기 설정 108
가. GDPR의 규정 108
나. 구체적인 내용 109
다. 소셜미디어에 관한 조항 109
라. 의미 110
마. 제도 도입의 영향 110
4. 우리나라의 관련 규정 110
가. 권고적 효력의 정보보호 사전점검(정보통신망법 제45조의 2) 110
나. 개인정보보호 안전조치의무 112
5. 도입론 122
가. 개인정보보호 중심 디자인 122
나. 도입 필요성 122
다. 입법안 123
X. 개인정보 영향평가 124
1. 개인정보영향평가에 대한 규정의 실효화 124
2. GDPR의 개인정보보호 영향 평가 규정 125
가. GDPR의 규정 125
나. 대상 : 개인정보 영향평가의 대상 : 개인의 권리와 자유에 고위험을 초래할 수 있는 경우 127
다. 개인정보 영향평가의 수행 130
3. 현재의 개인정보보호법 132
가. 개인정보영향평가제도(개인정보보호법 제33조) 132
나. 현행법의 문제점 133
다. 우리나라 개인정보보호법의 개정 방향 134
XI. 개인정보 보호 담당관 136
1. 유럽연합 GDPR의 규정 136
가. 배경 136
나. 규정 136
다. DPO의 특징 137
라. 개인정보보호 담당관의 업무 139
마. DPO의 선임 141
2. 우리나라의 현행 규정 143
가. 개인정보보호책임자 143
나. 업무와 권한 144
3. 개인정보보호 담당관 제도의 도입 145
가. 도입의 필요성 145
나. 도입시의 규정 145
XII. 개인정보 감독기구 148
1. 배경 148
2. 국제 기준 150
가. UN의 기준 150
나. Convention 108의 추가의정서 150
다. 유럽연합의 지침(Directive)과 규정(Regulation) 151
라. 유엔 총회 결의 152
마. 유엔인권이사회 152
바. ICDPPC 152
3. 국내 현황 및 문제점 153
가. 국내 개인정보 감독체제 현황 153
나. 국내 개인정보 감독체제의 문제점 154
4. 개인정보 감독체제 개편방향 160
가. 통합형 - 개인정보보호위원회로의 통합 160
나. 개인정보 감독기구의 독립성 161
다. 개인정보 감독기구의 기능 162
5. 입법론 163
XIII. 결론 166
참고문헌 167
〈표 1〉 프로파일링의 혜택과 위험 64
〈표 2〉 개인정보 영향평가 시행여부 판단 기준 예시 129