한국인터넷진흥원

요약

1. 제목
  정보주체 개인정보 통제권한 행사 활성화 방안 연구 

 

2. 연구개발의 목적 및 중요성
4차 산업혁명시대 개인정보의 가치가 증대됨에 따라 개인정보의 수집범위가 확대되고 있고, 개인정보의 제3국 이전 등에 따라 정보주체가 개인정보의 활용에 따른 영향을 명확히 이해하는 것은 어려운 상황에 놓여졌다. 또한 정보주체가 이용하고자 하는 서비스가 금융, 통신 등의 보편적 서비스이거나 관련 시장에서 독점적 지위를 갖는 경우 정보주체의 사전동의와 정보통제권은 점차 형식적 절차에 그칠 수밖에 없다.
이처럼 헌법이 승인한 새로운 독자적 기본권인 개인정보자기결정권이 여러 가지 현실적 한계에 봉착한 상황에서, 정보주체에게 본인의 개인정보에 대해서는 개인정보처리자와 대등한 접근권을 허용하여 실질적인 정보통제권을 보장해줄 필요가 있다. 그러나 정보주체의 개인정보 통제권한 행사에 대한 기존의 연구는 권리의 정의, 헌법적 근거, 향후 입법 방향 등에 초점이 맞춰졌으며, 실제 개인정보 통제권한에 대한 권리 보장 현황을 살펴보고 구체적인 권리의 행사 활성화 방안과 실질적인 보장방안을 탐색하기 위한 연구는 부족한 상황이다. 

3. 연구개발의 내용 및 범위
본 연구는 정보주체의 개인정보에 대한 통제권한의 실질적 실현에 대한 제도적·환경적 기반요소를 제안하는 것을 연구목표로 하여 다음과 같은 내용을 범위로 하여 연구를 실시하도록 한다.
첫째, 공공 및 민간의 정보주체의 개인정보 통제권한 행사의 현황을 조사·분석한다. 공공의 개인정보처리자를 대상으로 정보주체가 통제권한을 행사하는 방법(정정, 열람, 삭제 등)에 따라 처리에 소요되는 기간과 비용, 처리에 있어 장애요소와 애로사항, 정보주체의 만족도 등을 조사한다. 민간의 경우 대량의 개인정보를 처리하는 사업자의 개인정보 통제권한 행사를 위한 플랫폼을 별도로 제공하고 있는지 확인하고 이용률, 제공비용, 정보주체의 만족도 등을 확인하는 작업을 병행한다.
둘째, 해외 주요국과 기업 등을 조사하여 개인정보 통제권한 행사 우수사례를 발굴한다. 해외 주요국의 개인정보 통제권한 관련 법제도 및 정책 현황 등을 조사하여 국내 제도에 도입 가능 여부를 검토하여 국외 기업의 개인정보 통제권한 행사 플랫폼 제공 현황 조사를 통해 시사점 도출하도록 한다.
셋째, 개인정보 통제권한 행사 현황을 조사한다. 주요국가의 법제 및 해외기업의 우수사례 조사·분석을 통한 개인정보 통제권한 행사의 효율화 방안을 마련하고 통제권한 행사 방법 및 절차 개선방안을 포함한 개인정보처리자 대상 가이드라인을 제안한다. 나아가 온라인 통제 플랫폼 상시 제공의 의무화에 대한 검토와 개선방안 제시하도록 한다.

4. 연구결과
본 연구에서는 공공 및 민간의 개인정보 통제권 보장 현황을 조사·분석하고 해외 주요국과 주요 기업들을 조사하여 개인정보 통제권한 보장 우수사례를 발굴하였으며, 이를 기반으로 개인정보 통제권 가이드라인(안)을 제시하고 개인정보 통제 플랫폼 구축 의무화 방안을 검토하였다.
개인정보 통제권 행사 우수사례 및 지침, 주요 개인정보 통제 서비스에 대한 현황 조사와 분석을 기반으로 제안한 개인정보 통제권 행사 가이드라인(안)은 정보주체에게는 개인정보 통제권을 행사하는 구체적 방법을, 개인정보처리자에게는 정보주체에게 개인정보 통제권을 보장하기 위한 방법을 제시함으로써 실무 적용상의 혼란을 방지하고 관련 법률을 이해하도록 구성하였다. 특히 가이드라인 내 개인정보처리자를 위한 ‘개인정보 통제권 보장 방안’ 파트에서는 법률에서 정하고 있는 사항 이외에도 개인정보처리자가 정보주체의 개인정보 통제권을 더욱 원활하게 행사할 수 있도록 돕기 위해 권장되는 권고사항을 제시하고, 해당 권고사항과 관련하여 가장 모범적인 서비스를 제공하고 있는 기업과 관련 기능을 우수사례로 제공함으로써 정부의 규제적 효과보다는 민간의 자율규제로 인한 효과를 기대할 수 있도록 하였다. 

5. 활용에 대한 건의 
본 연구에서 검토한 다수의 우수 개인정보 통제 서비스처럼 바람직한 형태의 서비스를 기술적으로 구현하여 경험을 통한 제도화를 추진하는 것이 더욱 빠르고 정책오류를 최소화할 수 있는 전략이 될 수 있다. 또한 개인정보 통제권의 서비스 및 기술적 구현은 매우 현실적인 문제이므로 통제권의 개별 권리마다 적합한 보장 수준과 기술적 구현의 형태를 포괄적·선제적으로 제시하고 강제하는 데는 한계가 존재한다. 이러한 상황을 고려하여 중·장기적으로 금융, 행정, 의료, 교육, 정보통신 등 개별 산업별 특별법 체계를 통해 개인정보 통제권을 구현해 나가도록 지원하는 방향이 바람직하다고 생각되며, 권리의 기본적 인정은 개인정보보호법에서 하더라도 개별적 규정이나 기준을 설정하는 행위는 유연하게 대처할 수 있도록 분야별 상황에 맞는 정책의 유연성을 확보하여야 한다. 특히 행정안전부에서는 행정 및 공공 분야를 어떻게 규율할 것인지를 우선 검토해야 할 것이다.
 
6. 기대효과
개인정보 통제권의 보장은 데이터의 주인인 정보주체가 데이터 경제의 당당한 일원으로 설 수 있도록 해주는 중요한 수단이며, 데이터의 적극적인 활용과 보호를 통해 데이터 경제 시대를 선도할 수 있도록 해주는 핵심 동력이기도 하다. 본 연구에서 제안하는 개인정보 통제권 가이드라인은 개인정보처리자가 정보주체에 실질적인 통제권한을 부여함에 있어 실무 적용상 혼란을 방지하고 관련 법률을 올바르게 이해하도록 하여 개인정보처리자의 개인정보 통제권 관련 법적 의무 이행을 지원하며, 개인정보 통제권과 관련한 법률상 의무와 이행 방법에 대해 언제든지 쉽게 참고할 수 있는 참조기준을 제공하는 데 의의가 있다. 또한 개인정보 통제 플랫폼 의무화 방안을 검토하여 정보주체의 개인정보 통제권을 보다 적극적으로 보장하고 단기적인 효과를 낼 수 있는 방안을 검토함으로써 정책 결정의 다양한 대안을 제공한다.

목차

제 1 장  서   론 1
제 1 절  연구의 필요성과 목표 1
제 2 절  연구의 내용과 범위 3

제 2 장  개인정보 통제권의 주요 내용과 국내외 정책동향 5
제 1 절  데이터 경제시대의 도래와 개인정보 통제권의 요청  5
제 2 절  개인정보 통제권의 주요 내용 7
1. 수집에 대한 통제 7
2. 저장·관리에 대한 통제 8
3. 이용·제공에 대한 통제 9
4. 삭제에 대한 통제 10
제 3 절  현행법상 개인정보에 대한 권리  13
1. 수집·이용·제공에 대한 동의권 13
2. 정보를 제공받을 권리 13
3. 정보처리 확인 및 열람권 14
4. 처리정지 및 정정·삭제권 15
제 4 절  해외 주요국의 개인정보 통제권 관련 법제도 현황 16
1. 유럽연합 16
2. 미국 19
3. 일본 21
4. 영국 23
5. 독일 25

제 3 장  개인정보 통제권 보장현황 조사·분석 28
제 1 절  조사대상 선정 및 조사방법 28
1. 조사대상 선정 28
2. 조사항목 구성 29
3. 조사방법 38
제 2 절  국민생활 밀접 공공분야 대상 조사 결과 40
1. 개인정보 통제권 행사 기반 환경 구축 40
2. 개인정보 열람 42
3. 개인정보 처리정지 46
4. 개인정보 정정·삭제 48
제 3 절  대량의 개인정보를 처리하는 민간사업자 대상 조사 결과 49
1. 개인정보 통제권 행사 기반 환경 구축 49
2. 개인정보 열람 51
3. 개인정보 처리정지 54
4. 개인정보 정정·삭제 55
제 4 절  개인정보 통제권 행사현황 분석에 따른 시사점 57
1. 개인화 조치된 개인정보 열람의 어려움 57
2. 개인정보 통제권 보장 담당자 지정 및 인식제고 필요성 58
3. 본인확인 없는 개인정보 열람으로 인한 보안 공백 발생 59
4. 중앙집중화된 개인정보 통제 플랫폼 구축·운영의 필요성 60
5. 민간 주도의 개인정보 통제 시스템 구축 권고 61

제 4 장  개인정보 통제권 행사 우수사례 및 지침 분석 62
제 1 절  개인정보 통제권 보장 우수 플랫폼 분석 62
1. Facebook  62
2. Google 72
3. Microsoft 83
4. Twitter 91
5. Apple 96
6. Yahoo Japan  102
7. 白度(Baidu) 106
8. Netflix 111
9. Riotgames 115
10. Blizzard 120
제 2 절  개인정보 통제권 보장 관련 지침 분석 123
1. 영국 ICO Guide to the GDPR 123
2. 프랑스 CNIL GDPR developer’s Guide 129
3. 방통위·한국인터넷진흥원 「EU 일반개인정보보호법 가이드북」 131
제 3 절  주요 개인정보 통제 서비스 분석  135
1. 본인정보 통합조회를 위한 서비스 135
2. 프라이버시 정보 제공을 위한 서비스 139
3. 정보주체 동의 관리 서비스 141
4. 자기주권 신원정보 관리 서비스 144
5. 정보제공 선택권 보장 서비스 145
6. 개인정보 삭제 서비스 147

제 5 장  개인정보 통제권 가이드라인(안) 제안 151
제 1 절  가이드라인 개요 151
1. 가이드라인의 배경 및 목적 151
2. 용어 정의 152
3. 가이드라인 구성 154
제 2 절  개인정보 통제권 행사 방안(정보주체) 155
1. 개인정보 동의 철회권 행사 155
2. 개인정보 열람 청구권 행사 158
3. 개인정보 처리정지 청구권 행사 159
4. 개인정보 정정·삭제권 행사 161
제 3 절  개인정보 통제권 보장 방안(개인정보처리자) 164
1. 개인정보 동의 철회권 보장 164
2. 개인정보 열람 청구권 보장 169
3. 개인정보 처리정지 청구권 보장 175
4. 개인정보 정정·삭제 청구권 보장 179

제 6 장  정보주체의 개인정보 통제권한 행사 효율화를  위한 법·제도적 개선방안 183
제 1 절  온라인 통제 플랫폼 상시 구축 의무화 183
1. 필요성 및 효과 183
2. 적용 대상 검토 184
3. 권장 가능한 온라인 통제 플랫폼(안) 188
제 2 절  개인정보 통제 플랫폼 구축 의무화에 필요한 법률(안) 192

제 7 장  결론 및 제언 195

참고문헌 198