전문가 결정 방식은 데이터 비식별처리의 내용이나 방식을 제한하지 아니하고 절차에 대해 규율한다. 이 방식은 데이터의 활용 목적과 범위는 무엇인지, 데이터 자체가 어떤 특징을 가지는지, 어떤 환경에서 활용되거 나 공유되는지에 따라 적용해야 할 위험성 관리 방식을 바꿀 수 있다는 장점이 있다.
그러나 전문가 결정 방식은 개별 사안별로 전문가를 선임해서 판단을 해야 하기 하기 때문에 상당한 시간과 비용이 든다. 행정기관에 의한 사 후적인 감독이 가능하지만 전문가가 수범기관에 유리하게 판단하려는 왜 곡된 동기가 생길 우려도 있다는 단점이 있다.37)
3. 미국 캘리포니아 주 ‘소비자 프라이버시법’
적으로 금지하고 비식별된 정보의 부주의한 공개를 방지하기 위한 업무 프로세스를 이행하며, 정보의 재식별 시도를 하지 않아야 한다.[1798.140.(h )]39) 비식별정보에 대해서는 사업자에게 법률상 의무 적용이 면제된다.[1798.145 (a)(5)]40)
‘가명처리’는 추가적인 정보를 사용하지 않고서는 개인정보가 특정 소 비자를 식별하지 않도록 개인정보를 처리하는 것이다. 이러한 추가적인 정보는 해당 개인정보가 식별된 또는 식별 가능한 소비자의 것으로 여겨 지지 않도록 별도로 보관되고, 기술적, 관리적 조치를 취하여야 한다.[1798.
140.(r)]41)
가명처리정보에 대해 법률상 의무조항이 적용되는지에 대해 명확하게 규정하고 있지 아니하다.42)
(3) 공익적 연구 목적 데이터 활용
CCPA에서는 공익적 연구 목적으로 데이터를 활용하는 것은 원래 수집 목적과 양립되므로 허용된다고 한다. 다만 가명처리, 비식별처리 등 기술 적 안전조치를 취하여야 한다.
‘연구(research)’란 공익을 위한 기본 연구 또는 응용 연구를 포함한 과 학적, 체계적인 연구 및 관찰을 의미하며, 공중보건 분야에서 공익을 위 해 수행하는데 적용될 수 있는 윤리, 개인정보보호법 또는 연구를 준수하 여야 한다.[1798.140.(s)]
소비자가 다른 목적으로 사업자의 서비스나 장치(device)와 상호작용 (interaction)하는 과정에서 수집될 수 있는 소비자의 개인정보를 이용한 연구는 개인정보가 수집된 사업 목적과 양립가능한 것으로 간주된다.
개인 정보가 수집된 맥락(context)과 양립가능한 연구목적으로만 사용되어
39) 한국인터넷진흥원 개인정보보호본부 개인정보기획팀, 해외 개인정보보호 동향 보고서 “미국 캘 리포니아주 소비자프라이버시법 주요내용 분석” (2018. 6.), 법 원문은 "AB-375, Chau.
Privacy: personal information: businesses" 참조
40) DataGuidance, “Comparing privacy laws: GDPR v. CCPA”, 11쪽 41) 한국인터넷진흥원, 앞의 동향보고서, 4~5쪽
42) DataGuidance, “Comparing privacy laws: GDPR v. CCPA”, 16쪽
야 하고, 상업적 목적(commercial purpose)으로 사용되어서는 아니된 다.[1798.140.(s)]
최초 다른 목적으로 수집된 소비자의 개인정보를 이용한 연구에 대해 서는 다음과 같은 안전장치가 필요하다. 특정 소비자를 합리적으로 확인 할 수 없거나 이를 관련시키거나 설명하거나 직접 또는 간접적으로 연관 되거나 연결될 수 없도록, 가명처리 및 비식별처리 되어야 한다. 소비자 의 재식별을 금지하는 기술적 안전조치를 취해야 한다. 개인정보의 재식 별 부주의에 의한 유출을 방지하는 비즈니스 프로세스가 적용되어야 하 고, 재식별 시도로부터 보호되어야 한다. 또한 연구를 진행하는 사업자는 연구 목적을 수행하는 데 필요한 사업자 내 종사자에게만 연구 데이터에 대한 접근을 제한하는 추가적인 보안 통제를 해야 한다.[1798.140.(s)]
제4절 일본 1. 개요
일본은 2015. 9. 개인정보를 보호하면서도 신산업 발전을 도모하는 것
을 목적으로 개인정보보호법을 개정하여 2017. 5. 30.부터 전면 시행하였 다.43)
일본 개인정보보법에 의하면, 개인정보취급사업자는 정보주체의 동의 가 있는 경우, 법령에 근거한 경우 등이 아니면 특정된 이용 목적의 달성 에 필요한 범위를 넘어서 개인정보를 취급하여서는 아니되고, 개인정보를 제3자에 제공하여서는 아니된다.(법 제16조 제1항, 제23조 제1항)
익명가공정보에 대해서는 정보주체의 동의 없이도 익명가공처리를 하 고 제3자에게 제공하는 것을 허용하되, 익명가공정보에 포함되는 개인에 관한 정보의 항목을 공표, 재식별금지, 안전조치 등을 따라야 한다. 익명 가공정보 작성의 방법, 안전 관리조치의 기준 등 세부기준은 개인정보보 호법 시행규칙, 가이드라인에서 정하고 있다.
43) 이준복, “GDPR시대에서 일본 개인정보보호 법제의 시사점과 한국 법제의 개선방안에 관한 연 구”, 강원법학 제55권 (2018. 10), 109쪽~110쪽