Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

[법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 67 Publicité

[법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스

Télécharger pour lire hors ligne

*2016. 3. 25. 제1회 신기술 경영과 법 컨퍼런스
*빅데이터의 법적 규제와 실현방안_최민정 변호사, 이혜윤 변호사
*최근 산업계 전반에서 신사업모델 구축을 위해 고려해야 할 사안으로 떠오른 빅데이터. 이러한 빅데이터의 활용을 위해 알아야할 법적 규제와 빅데이터에 포함된 개인정보 관련 이슈에 대해 알아본다.

*2016. 3. 25. 제1회 신기술 경영과 법 컨퍼런스
*빅데이터의 법적 규제와 실현방안_최민정 변호사, 이혜윤 변호사
*최근 산업계 전반에서 신사업모델 구축을 위해 고려해야 할 사안으로 떠오른 빅데이터. 이러한 빅데이터의 활용을 위해 알아야할 법적 규제와 빅데이터에 포함된 개인정보 관련 이슈에 대해 알아본다.

Publicité
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

Les utilisateurs ont également aimé (20)

Publicité

Similaire à [법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스 (19)

Plus par MINWHO Law Group (20)

Publicité

Plus récents (20)

[법무법인 민후] 빅데이터의 법적 규제와 실현방안_신기술 경영과 법 컨퍼런스

  1. 1. 기업의 신성장동력, 법으로 충전하다 빅데이터의 법적규제와 실현방안 최민정 변호사 이혜윤 변호사
  2. 2. 1. 빅데이터의 의미 및 활용 현황 2. 빅데이터와 개인정보 이슈 3-1. 개인정보의 정의 및 보호범위 3-2. 비식별화정보의 법적 취급 3-3. 동의의 법적 지위 3-4. 사용 목적의 확장 4. 결론 기업의 신성장동력, 법으로 충전하다 INDEX 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 2
  3. 3. 3 1. 빅데이터의 의미 및 활용 현황
  4. 4. 빅데이터(Big Data)란? 기존의 정보처리방식으로 저장, 관리, 분석을 하기 어려운 새로운 형태의 데이터 빅데이터(Big Data)의 3V? 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 1. 빅데이터의 의미 및 활용 현황 빅데이터의 개념 4 Volume 대용량성 Velocity 빠른 속도 Variety 다양성
  5. 5. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 빅데이터의 성장 원인 5 소셜미디어 데이터 공공데이터 개방 검색엔진 OPEN API 데이터 컴퓨팅 기술의 발전으로 데이터 처리 능력 및 분석 기술의 발전 빅데이터의 원천인 각종 데이터들의 생성 1. 빅데이터의 의미 및 활용 현황
  6. 6. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 빅데이터 시장 성장 규모 예측 – 약 98조 원에 달하는 거대 시장으로 발전! 6 빅데이터 시장 예측, 출처: Wikibon 2015 1. 빅데이터의 의미 및 활용 현황
  7. 7. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 7 빅데이터 다양한 활용 사례 (해외) 1. 빅데이터의 의미 및 활용 현황
  8. 8. 이미지 Google 독감트렌드 이미지 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 빅데이터 다양한 활용 사례 (해외) 8 검색 빈도, 검색 위치 등을 분석, 미국질병통계예방센터(CDC)보다 2주 먼저 독감확산 예측! 1. 빅데이터의 의미 및 활용 현황
  9. 9. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 9 인공지능 바둑기사, AlphaGo 빅데이터 다양한 활용 사례 (해외) 프로바둑 기사들의 대국 기보 약 3,000만 건을 입력한 뒤, 가장 확률 이 높은 수를 선택하는 방식의 딥러 닝 인공지능! 1. 빅데이터의 의미 및 활용 현황
  10. 10. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 빅데이터 다양한 활용 사례 (국내) 10 서울시 심야버스 노선 서울시가 국내 통신사와 업무협약을 체결하고 1개월 분 통화데이터인 30 억 건의 빅데이터를 제공받아, 심야 교통수요가 어디 있는지를 분석하여 심야버스 노선을 성공적으로 수립! 1. 빅데이터의 의미 및 활용 현황
  11. 11. 11 2. 빅데이터와 개인정보 이슈
  12. 12. 개인정보의 정의 및 보호범위 비식별화정보의 법적 취급 동의의 법적 지위 사용 목적의 확장 1 2 3 2. 빅데이터와 개인정보 이슈 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 빅데이터와 개인정보 이슈 12 4
  13. 13. 13 3-1. 개인정보의 정의 및 보호범위
  14. 14. 3-1. 개인정보의 정의 및 보호범위 (국내) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 개인정보의 정의(국내) 14 개인정보 살아있는 개인 특정 개인 관련성 정보의 임의성 식별 가능성 「개인정보 보호법」 제2조 제1호 "개인정보"란 살아 있는 개인에 관한 정 보로서 성명, 주민등록번호 및 영상 등 을 통하여 개인을 알아볼 수 있는 정보 (해당 정보만으로는 특정 개인을 알아 볼 수 없더라도 다른 정보와 쉽게 결합 하여 알아볼 수 있는 것을 포함한다)를 말한다.
  15. 15. 3-1. 개인정보의 정의 및 보호범위 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 15 Article 4. (1) 'personal data' means any information relating to an identified or identifiable natural person 'data subject'; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person. 개인정보는 식별된 또는 식별할 수 있는 개인(정보주체)에 관한 모든 정보를 의미한다. 식별할 수 있 는 개인이란 특히 이름, 식별번호, 위치정보, 온라인식별자와 같은 식별자(identifier) 또는 그 사람의 물리적ㆍ심리적ㆍ유전적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적인 정체성(identity)에 특정된 하나 이상 의 요소를 참조하여 직접 또는 간접으로(directly or indirectly) 식별될 수 있는 자를 의미한다. 「General Data Protection Regulation, 2016(최종안)」 개인정보의 정의
  16. 16. 3-1. 개인정보의 정의 및 보호범위 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 16 개인정보(Personal data) ? - 식별된(identified) 또는 식별할 수 있는(identifiable) 개인(정보주체)에 관한 모든 정보 식별할 수 있는(Identifiable) ? - 식별자(identifier) 또는 정체성(identity)에 관한 하나 이상의 요소 참조 - 직접적으로(directly) 개인을 식별할 수 있는 정보와 간접적으로(indirectly) 개인을 식별할 수 있는 정보 「General Data Protection Regulation, 2016(최종안)」 개인정보의 정의
  17. 17. 3-1. 개인정보의 정의 및 보호범위 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「EU 제29조 작업반 해설서」 에 따른 개인정보의 보호범위(판단기준) 17 III. ANALYSIS OF THE DEFINITION OF “PERSONAL DATA” ACCORDING TO THE DATA PROTE CTION DIRECTIVE 3. THIRD ELEMENT: “IDENTIFIED OR IDENTIFIABLE”[NATURAL PERSON] Means to identify – “ to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person” “개인이 식별가능한지 여부를 결정하기 위해서는, 개인을 식별하기 위해 개인정보처리자 또는 제3자 에 의해 사용되는 합리적으로 가능하다고 생각되는 모든 수단을 고려하여야 한다.”
  18. 18. 3-1. 개인정보의 정의 및 보호범위 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「EU 제29조 작업반 해설서」 에 따른 개인정보의 보호범위(판단기준) 18 합리적으로 식별할 수 있는? - 개인정보처리자 또는 정보주체 외 사람 중 하나가 - 합리적으로 가능한 모든 수단을 이용하여 - 정보주체를 구별할 구체적인 가능성을 취득하는 경우 구체적ㆍ현실적 식별가능성이 존재해야만 보호받는 개인정보!
  19. 19. 3-1. 개인정보의 정의 및 보호범위 (일본) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「일본 개인정보의 보호에 관한 법률」 개인정보의 정의 19 제2조 제1항 생존하는 개인에 관한 정보로서, 당해 정보에 포함되어 있는 성명, 생년월일 그 밖의 기술(記述) 등에 의하여 특정의 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합[照合][서로 맞추어 봄]할 수 있고, 그로써 특정의 개인을 식별할 수 있게 되는 것을 포함한다) 그 정보 자체로 식별되는 경우(식별성) 다른 정보와 용이하게 照合하여 식별이 가능한 경우(용이조합성)
  20. 20. 3-1. 개인정보의 정의 및 보호범위 (미국) 「Consumer Privacy Bill of Rights Act of 2015」 개인정보의 정의 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 20 SEC. 4. Definitions. (a) “Personal data” (1) In General. — “Personal data” means any data that are under the control of a covered ent ity, not otherwise generally available to the public through lawful means, and are linked, or as a practical matter linkable by the covered entity, to a specific individual, or linked to a devi ce that is associated with or routinely used by an individual, including but not limited to — (A) - (G) (H) any data that are collected, created, processed, used, disclosed, stored, or otherwise mai ntained and linked, or as a practical matter linkable by the covered entity, to any of the foreg oing
  21. 21. 3-1. 개인정보의 정의 및 보호범위 (미국) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 21 기존의 「공공부문의 개인정보를 위한 프라이버시법(The Privacy Act)」 은 고유식별자를 통해 개인식별이 되는 정보만 보호대상으로 하며, 식별된 (identified) 개인정보만을 개인 정보로 인정하였음(5 U.S.C. §552a(a)(4)) 「소비자 프라이버시 권리장전법안」 은 특정 개인과의 연결가능성을 통하여 식별 가능한 경 우까지 포함하여, 식별가능성이 있는 정보까지 개인정보의 범위를 확대함 「Consumer Privacy Bill of Rights Act of 2015」 개인정보의 정의
  22. 22. 개인이 식별되는(identified) 또는 3-1. 개인정보의 정의 및 보호범위 (소결) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 보호대상이 되는 개인정보의 필수적 개념요소 22 개인식별성 있는 정보를 빅데이터 산업에서 활용 가능? 식별가능성이 있는(identifiable) 개인을 식별할 수 있는 정보란?
  23. 23. 23 3-2. 비식별화정보의 법적 취급
  24. 24. 개인정보와 비개인정보의 중간 지점에 있는 정보 - 빅데이터 활용에 큰 원천이 되는 정보 - 개인정보로 취급해야 하는지 여부 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 24 개인정보
  25. 25. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 식별가능한(Identifiable)의 의미 25 ‘식별가능한’ 의 개념 요소 구별성 (Distinguishment) 추론성 (Inference) 연결성 (Linkability) 단일성 (Single-out)
  26. 26. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 26 Personal data Pseudonymous Data Anonymous data De-identification
  27. 27. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 27 Personal Data 단일성, 연결성, 추론성, 구별성: O Pseudonymous Data Anonymous data De-identification
  28. 28. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 28 Personal Data 단일성, 연결성, 추론성, 구별성: O Pseudonymous Data Anonymous Data 단일성, 연결성, 추론성, 구별성: X De-identification
  29. 29. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 29 Personal Data 단일성, 연결성, 추론성, 구별성: O Pseudonymous Data 단일성: O 연결성, 추론성, 구별성: X Anonymous Data 단일성, 연결성, 추론성, 구별성: X De-identification
  30. 30. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 30 Pseudonymous Data Single-out, Not linkable reversible Anonymous Data De-Indentifiable, Irreversible
  31. 31. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 31 영희 혜윤철수 9시 출근 10시 출근 11시 출근
  32. 32. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 32 A CB 9시 출근 10시 출근 11시 출근
  33. 33. 3-2. 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 법적 취급의 문제 33 핵심은 Pseudonymous data의 활용! (출처) https://peepbeep.wordpress.com/2015/03/14/the-council-of-the-eu-and-the- proposed-genaral-data-protection-regulation-and-what-about-pseudonymous-data/
  34. 34. 「개인정보보호법 제18조 제2항 제4호」 가 근거 규정? “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” - 견해1 : 제18조 제2항 제4호를 영리목적으로도 사용 가능하다고 확대 해석 (금융위원회 가이드라인) - 견해2 : 제18조 제2항 제4호는 비영리적으로 사용되는 경우에 한하여 제한 해석(多數) 현 제도 하에서는 빅데이터에 개인을 식별할 수 있는 정보가 포함되어 있는 경우, 정보주체에 대한 사전 고지와 동의 없이는 활용 불가! 3-2. 비식별화정보의 법적 취급 (국내) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 비식별화정보의 취급에 관한 국내 법령 부존재 34
  35. 35. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-2. 비식별화정보의 법적 취급 (국내) 35 「빅데이터 개인정보보호 가이드라인」, 방송통신위원회(2014. 12.) 비식별화 조치 기술적 관리적 보호조치 빅데이터에 개인정보 포함된 경우, 다른 정보로 대체 또는 다 른 정보와 결합해도 특정 개인을 식별하 기 어렵도록 ‘비식별 화조치’를 거치면 수 집·활용 가능 빅데이터 처리 사실 및 목적 등을 공개함 으로써 투명성 확보 조합·분석 단계에서 다 른 정보와 결합하여 재 식별화 될 수 있는 가 능성이 있는 경우 반드 시 이를 즉시 파기하거 나 추가적인 비식별화 조치를 취하도록 명시. 수집된 정보의 저장· 관리 시 ‘기술적·관리 적 보호조치’ 시행 재식별 금지처리 사실 공개
  36. 36. 3-2. 비식별화정보의 법적 취급 (국내) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「개인정보 비식별화 기술활용 안내서」 미래창조과학부, 한국정보화진흥원(2015) 36
  37. 37. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-2. 비식별화정보의 법적 취급 (국내) 37 발의일 : 2015. 9. 14. (미래창조과학부, 배덕광 의원 등 10인) 주요내용 : - 공개정보 및 이용내역정보의 수집,이용(안 제9조 및 제10조) - 새로운 정보의 생성(안 제11조) - 비식별화된 정보의 제3자 제공(안 제12조) - 생성된 개인정보의 파기 및 비식별화(안 제13조) 한계 : - 핵심은 「보유하고 있는 정보의 비식별화를 통한 활용」 임에도 이 부분에 관하여 침묵 - 비식별화 기준의 부존재 「빅데이터의 이용 및 산업진흥 등에 관한 법률(안)」
  38. 38. Article 4 (3b) 'pseudonymisation' means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non- attribution to an identified or identifiable person; ‘pseudonymisation’은 추가정보의 이용 없이는 정보가 특정 개인에게 더 이상 귀속될 수 없 는 방식으로 개인정보를 처리하는 것을 의미한다. 해당 추가정보를 식별된 또는 식별 가능한 사람에 연결되지 않는 것을 보장하기 위하여, 해당 추가정보는 분리되어야 하고 기술적ㆍ관 리적 조치가 취해져야 한다..) 3-2. 비식별화정보의 법적 취급 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「General Data Protection Regulation, 2016」의 Pseudonymisation의 정의 38
  39. 39. (23) The principles of data protection should apply to any information concerning an identified or identifiable natural person. Data which has undergone pseudonymisation, which could be attributed to a natural person by the use of additional information, should be considered as information on an identifiable natural person. (…) The principles of data protection should therefore not apply to anonymous information, that is information which does not relate to an identified or identifiable natural person or to data rendered anonymous in such a way that the data subject is not or no longer identifiable. 3-2. 비식별화정보의 법적 취급 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 39 「General Data Protection Regulation, 2016」의 Pseudonymous data, Anony mous data의 법적 취급
  40. 40. 3-2. 비식별화정보의 법적 취급 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 40 「General Data Protection Regulation, 2016」의 Pseudonymous data, Anony mous data의 법적 취급 Pseudonymous data의 개념 정의를 신설. 수년간 논의된 Pseudonymous data가 개인정보의 유형에 해당함을 명확히 함. 다만, Pseudonymous data의 개인정보성이 인정되더라도, 기술적ㆍ관리적 조치 하 에 활용 가능(후술하는 3-4.와 연결)
  41. 41. Pseudonymisation is not a method of anonymisation. It merely reduces the linkability of a dataset with the original identity of a data subject, and is accordingly a useful security measure. Anonymisation can be a result of processing personal data with the aim of irreversibly preventing identification of the data Pseudonymisation : Single out, NOT linkable Anonymisation : Irreversible 3-2. 비식별화정보의 법적 취급 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「EU 제29조 작업반 의견서」의 Pseudonymous data, Anonymous data의 정의 41
  42. 42. 3-2. 비식별화정보의 법적 취급 (EU) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 42 「General Data Protection Regulation, 2016」의 Pseudonymous data, Anony mous data의 법적 취급 Pseudonymous data 개인정보성 인정 Anonymous data 개인정보성 불인정
  43. 43. 「일본 개인정보의 보호에 관한 법률」 의 개정 2015년 9월 개정된 개인정보의 보호에 관한 법률의 주요 내용 : - 익명가공정보(匿名加工情報) 개념의 신설 - 개인정보 보호를 위한 제3자 기관의 설치 - 필요배려개인정보(민감정보) 도입 빅데이터 활용 방안을 촉진시키기 위한 ‘익명가공정보’ 개념 신설 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-2. 비식별화정보의 법적 취급 (일본) 43
  44. 44. 3-2. 비식별화정보의 법적 취급 (일본) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「일본 개인정보의 보호에 관한 법률」 의 익명가공정보 44 제2조 제9항 이 법률에서 "익명 가공 정보"란 다음의 각호에 해당하는 개인정보 구분에 대응하고 해당 각호 에 정하는 조치를 취하여 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻는 개인에 관 한 정보로서, 해당 개인정보를 복원할 수 없도록 한 것을 말한다. 1. 제1항 제1호에 해당하는 개인정보 : 해당 개인정보에 포함된 기술(記述) 등의 일부를 삭제 하는 것(해당 일부 기술 등을 복원할 수 있는 규칙성을 가지지 않은 방법으로 다른 기술 등 으로 대체하는 것을 포함) 2. 제1항 제2호에 해당하는 개인정보 : 해당 개인정보에 포함되는 개인 식별 부호의 전부를 삭제하는 것(해당 개인 식별 부호를 복원할 수 있는 규칙성을 가지지 않은 방법으로 다른 기술(記述) 등으로 대체하는 것을 포함)
  45. 45. 법적 취급 개념 기술적 조치와 관리적 조치를 거쳐 개인을 식별할 수 없도록 가 공된 정보. 따라서 개념적으로는 EU GDPR의 Pseudonymous data에 해당. EU GDPR이 Pseudonymous data를 개인정보로 보는 것과 달리, 일본의 익명가공정보는 개인정보에 해당하지 않음. 3-2. 비식별화정보의 법적 취급 (일본) 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 「일본 개인정보의 보호에 관한 법률」 익명가공정보의 개념 및 법적 취급 45
  46. 46. The HIPAA Privacy Rule provides mechanisms for using and disclosing health data responsibly without the need for patient consent. These mechanisms center on two HIPAA de-identification standards – Safe Harbor and the Expert Determination Method. [참고] 보호를 받는 의료정보(PHI)는 ‘개인을 식별할 수 있는 (individually identifiable) 정보’ 혹은 ‘개인을 식별할 수 있는 합리적인 근거가 있는(reasonable basis) 정보’ 3-2. 비식별화정보의 법적 취급 (미국) 「HIPAA, HIPAA Privacy Rule」 비식별화 의료정보(De-identified data)의 개념 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 46
  47. 47. 3-2. 비식별화정보의 법적 취급 (미국) 「HIPAA, HIPAA Privacy Rule」 : 비식별화 의료정보(De-identified data)의 개념 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 47 비식별화된 의료정보 = 전면 규율면제 전문가 결정 방식 : 과학적 원칙 등을 적용해 본 결과, 전문가가 ‘정보수령 자가 개인을 알아 볼 수 없다’고 판단 한 경우 피난처 방식 : 규칙에서 명시한 18가 지의 식별자를 제거한 경우
  48. 48. 3-2. 비식별화정보의 법적 취급 (미국) 「Consumer Privacy Bill of Rights Act of 2015」의 De-identified data의 정의 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 48 SEC. 4. Definitions. (a) “Personal data” (2) Exceptions. (A) De-identified data. — The term “personal data” shall not include data otherwise described by paragraph (1) that a covered entity (either directly or through an agent) — (i) alters such that there is a reasonable basis for expecting that the data could not be linked as a practical matter to a specific individual or device; 대상자가(직접적으로 또는 수탁을 통하여) 아래의 모든 조치를 실시할 경우 "개인정보"는 해당 정보를 포함하지 않는다. (i) 특정 개인이나 기기에 실제로 연결될 수 없는 것을 기대할만한 합 리적인 기초가 있도록 정보를 가공한다.
  49. 49. 3-2. 비식별화정보의 법적 취급 (소결) 비식별화정보의 법적 취급 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 49 국내 : 개인을 식별할 수 있는 정보가 포함되어 있는 경우, 개인정보 EU : Pseudonymous data(단일성 존재, 연결성 감소) => 개인정보성 인정 Anonymous data(단일성, 연결성 부존재) => 개인정보성 불인정 일본 : 익명가공정보의 개인정보성 불인정 미국 : 개별법 체계, EU보다 개인정보를 좁게 해석하여 기업 자율성 강조 Pseudonymous data의 명확한 정의 하에, 후술하는 동의 요건의 완화 및 목적의 확대로서 빅데이터 산업에 활용하는 방안!
  50. 50. 50 3-3. 동의의 법적 지위
  51. 51. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (국내) 51 정보주체의 동의의 원칙 (국내) 「개인정보보호법」상 동의의 원칙 - 개인정보를 수집 및 이용, 제3자에게 제공, 국외 이전하는 경우 등에 대하여 구분하여 동의를 받도록 규정. 목적 외의 용도로 이용하는 경우, 민감정보와 고유식별정보의 처리 에 대해서는 별도의 동의를 받도록 규정. 「개인정보보호법 제22조」 동의를 받는 방법 - 동의 사항을 정보주체가 명확하게 인지할 수 있도록 동의 받아야 함(1항) - 정보주체의 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하여 야 함(2항)
  52. 52. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (국내) 52 정보주체의 동의의 원칙 (국내) 동의의 정의 규정은 부존재 명시적 사전 동의로 해석 빅데이터 활용을 위한 정보가 개인정보에 해당한다면, 개인정보보호법상 원칙적으로 정보주체의 동의를 얻어야 함! 개인의 동의를 ‘명시적 동의’로 해석하는 현행 제도 하에서는 빅데이터의 활용이 전면적 으로 차단될 수 있는 문제점
  53. 53. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (EU) 53 「EU 개인정보보호지침(EU Directive 95/46/EC, Data Protection)」 동의의 개념 Article 2(h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed. “정보주체가 그와 관련한 개인정보가 처리되는 것에 합의함을 의미하는 자유로운 상태에서 구체적이고 충분한 이해 하에 주어진 희망의 여하한 표시” 동의는 충분한 이해 하에 주어진 것(informed consent)이어야 유효한 효력이 있다고 규정
  54. 54. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (EU) 54 「EU 개인정보보호일반법(GDPR, 2016)」 동의의 개념 2012년 GDPR 초안 Article 4 (8) 'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or bya clear affirmative action, signifies agreement to personal data relating to them being processed 2016년 GDPR 최종안 Article 4 (8) 'the data subject's consent' means any freely given specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or bya clear affirmative action, signifies agreement to personal data relating to them being processed
  55. 55. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (EU) 55 「EU 개인정보보호일반법(GDPR, 2016)」 동의의 개념 2012년 집행위원회 발표 GDPR 규정안 In the definition of consent, the criterion 'explicit' is added to avoid confusing parall elism with 'unambiguous' consent and in order to have one single and consistent d efinition of consent, ensuring the awareness of the data subject that, and to what, he or she gives consent. GDPR 개정 과정에서 ‘동의’를 진술이나 분명한 적극적 행위로 구성된 명시적 (explicit) 표시이어야 함을 정의 규정에 포함시켜 종전 EU 개인정보보호지침(EU Direc tive 95/46/EC, Data Protection) 보다 강화시키고자 하였으나, GDPR 최종안에서는 명백한 동의(unambiguous)로 확정됨
  56. 56. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-3. 동의의 법적 지위 (EU) 56 「EU 개인정보보호일반법(GDPR, 2016)」 동의의 개념 Explicit consent 명시적 동의 Unambiguous consent 명백한 동의 Unambiguous consent(명백한 동의)로 규정되면서, 명시적 동의 뿐만 아니라 묵시적 동의까지 포섭 가능!
  57. 57. 57 3-4. 사용 목적의 확장
  58. 58. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (국내) 58 개인정보 사용 목적에 대한 규정 (국내) 개인정보의 목적외 이용․제공 금지(개인정보보호법 제18조 제1항) 목적외 이용․제공 금지 예외 사유(개인정보보호법 제18조 제2항) 개인정보보호법 제18조 ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하 는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보 를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우 는 공공기관의 경우로 한정한다. 1. 정보주체로부터 별도의 동의를 받은 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개 인정보를 제공하는 경우
  59. 59. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 59 「EU 개인정보보호일반법(GDPR, 2016)」 Article 5 1. (b) 관련 2012년 GDPR 초안 Article 5 1. Personal data must be: (b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes; 2016년 GDPR 최종안 Article 5 1. Personal data must be: (b) collected for specified, explicit and legitimate purposes and not further processed in away incompatible with those purposes; further processing of personal data for archiving purposes in the public interest, or scientific and historical research purposes or statistical purposes shall, in accordance with Article 83(1), not be considered incompatible with the initial purposes;
  60. 60. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 60 「EU 개인정보보호일반법(GDPR, 2016)」 Article 5 1. (b) 관련 2016년 GDPR 최종안 Article 5 1. (b) further processing of personal data for archiving purposes in the public interest, or scientific and historical research purposes or statistical purposes shall, in accordance with Article 83(1), not be considered incompatible with the initial purposes; (“purpose limitation”); GDPR 최종안에서는 공익, 과학, 역사 연구, 통계 목적을 위해 보관되는 개인정보의 추가 처리는 Article83(1)의 준수 하에 최초 목적에 저촉되지 않음 (목적제한에 대하여 규정) 최초 수집목적의 확장 가능성? ‘통계 목적을 위해 보관되는 개인정보의 추가처리’ 부분의 확대 해석 가능?
  61. 61. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 61 「EU 개인정보보호일반법(GDPR, 2016)」 Article 6 3a. 관련 2016년 GDPR 최종안 Article 6 3a. Where the processing for another purpose than the one for which the data have been collected is not based on the data subject’s consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in points (aa) to (g) of Article 21(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the data are initially collected, take into account, inter alia:
  62. 62. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 62 「EU 개인정보보호일반법(GDPR, 2016)」 Article 6 3a. 관련 2016년 GDPR 최종안 Article 6 3a.(계속) (a) any link between the purposes for which the data have been collected and the purposes of the intended further processing; (b) the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; (c) the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9 or whether data related to criminal convictions and offences are processed, pursuant to Article 9a; (d) the possible consequences of the intended further processing for data subjects; (e) the existence of appropriate safeguards, which may include encryption or pseudonymisation
  63. 63. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 63 「EU 개인정보보호일반법(GDPR, 2016)」 Article 6 3a. 관련 GDPR 최종안 제6조(처리의 적법성)에서는 추가처리의 목적이 정보가 최초로 수집되는 목적에 부합하는지 확인하기 위해 각 호 사항을 고려해야 한다는 내용의 규정을 신설 (a) 정보가 수집된 목적과 예정된 추가처리 목적의 연관성. (b) 정보가 수집된 상황. (c) 개인정보의 성격. 특히 9조에 따라 특수범주에 속하는 개인정보의 처리 여부. (d) 예정된 추가처리가 정보주체에 초래할 수 있는 결과. (e) 적절한 보호수단의 존재. 사용 목적의 확장 수단으로 해석 가능!
  64. 64. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 3-4. 사용 목적의 확장 (EU) 64 「EU 개인정보보호일반법(GDPR, 2016)」 Article 6 3a. 관련 2012년 GDPR 초안에는 Article 6 3a.의 내용 부존재 (참조) 초안 Article 6 2. Processing of personal data which is necessary for the purposes of historical, statistical or scientific research shall be lawful subject to the conditions and safeguards referred to in Article 83. 4. Where the purpose of further processing is not compatible with the one for which the personal data have been collected, the processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. This shall in particular apply to any change of terms and general conditions of a contract.
  65. 65. 65 4. 결론
  66. 66. 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 4. 결론 66 개인정보보호법 적용의 유연성과 대응방안 연구 필요 - 개인정보 개념의 명확화 필요 - Pseudonymous data의 법적 도입 및 활용에 대한 논의 필요 - 명백한 동의로의 해석 필요 - 수집 목적의 확대 가능성 제시, 빅데이터 활용이 가능하도록 할 필요 데이터의 유형이나 민감도를 고려한 명확한 사용 가이드라인을 제시
  67. 67. 빅데이터가 변화시킬 미래, 빅데이터를 통해 지혜를 찾는 시대! 미래가 선택한 로펌 | 법무법인 민후www.minwho.kr 4. 결론 67

×