교보문고

학술논문

동의 없이 가명화한 개인정보의 사용은 정당한가?

이용수 116

영문명: Is the Use of Pseudonymized Personal Information without Consent Justified?: The issue of the secondary research use of personal information without consent or the permission of IRB
발행기관: 이화여자대학교 생명의료법연구소
저자명: 최경석
간행물 정보: 『생명윤리정책연구(Asia Pacific Journal of Health Law & Ethics)』Vol.16 No.1, 21~52쪽, 전체 32쪽
주제분류: 법학 > 민법
파일형태: PDF
발행일자: 2022.11.30

6,640원

구매일시로부터 72시간 이내에 다운로드 가능합니다.
이 학술논문 정보는 (주)교보문고와 각 발행기관 사이에 저작물 이용 계약이 체결된 것으로, 교보문고를 통해 제공되고 있습니다.

1:1 문의

국문 초록

최근 빅데이터 기술의 발달로 보건의료 데이터 활용의 영역에서는 유전정보, 건강정보와 같은 개인정보의 수집과 축적 및 이용에 대한 관심이 더욱 증대되고 있다. 인간대상연구와 관련하여 생명윤리의 영역에서는 연구대상자로부터의 동의 획득이란 윤리 원칙을 존중해 왔으며, 동의 획득이 곤란한 경우에는 예외적으로 IRB의 심의를 거쳐 동의 획득을 면제하였다. 유럽의 GDPR 은 동의 획득이나 통보라는 원칙을 존중하고는 있지만, 공익적 기록이나 과학적 연구나 역사적 연구, 또는 통계 목적 등과 같은 목적에는 동의나 통보 없이도, 수집된 정보를 2차적으로 사용할 수 있도록 허용하고 있다. 우리나라의 개인정보보호법은 상기한 목적의 경우 가명처리를 필수요 건으로 정보 주체의 동의 없는 2차적 사용을 허용하고 있다. 하지만 이러한 정보 이용에는 다음과 같은 문제점이 있다. 첫째, GDPR은 정보 주체의 통보라는 원칙의 예외 조건을 두고 있지만 그것이 생명윤리 분야에서 축적된 원칙인 IRB의 동의 획득 면제 승인에 따르는 것이라고 보기 어렵다. 둘째, 우리나라의 개인정보보호법은 GDPR과는 달리 통보의 예외 조건과 같은 통보 없이, 수집된 정보를 2차적으로 사용하는 기준에 대한 규정이 없다. 셋째, 우리나라의 개인정보보호법은 정보 주체의 동의 없는 가명처리의 권한을 개인정보처리자에게 부여하는 명문의 규정이 존재하지 않는다. 넷째, GDPR은 정보 주체에게 동의 없는 가명처리의 권한을 개인정보처리자에게 부여하는 조항은 있지만, 이 조항을 정당화하는 이론적 근거가 빈약하다. 공익이 하나의 근거가 될 수 있지만, 공익 개념의 모호성으로 인해 충분한 근거가 되기 어렵다. 공익을 명분으로 정보 주체 의 자기결정권을 제한하는 것은 정보 이용의 활성화를 위해 필수적인 신뢰 구축을 저해할 수 있다. 따라서 열거한 문제점을 극복하기 위해서는 미국의 45 CFR 46의 개정에서 확인할 수 있듯이, 2차적 사용에 대해 포괄 동의를 획득하는 방안을 좀 더 구체적으로 생명윤리법에 도입할 필요가 있다.

영문 초록

The recent development of big data technology has increased our interest in collecting, storing, and using personal information like genetic or health information in the use of health and medical data. The ethical principle to obtaining informed consent has been observed in bioethics for human subject research with the exceptional allowance to waive informed consent through the review of IRB. However, Europe’s GDPR allows to use personal information pseudonymized without informed consent from or notification to data subject for the the secondary use like public record, scientific or historic research, or statistics although respecting the ethical principle to obtain informed consent. Similarly, Personal Information Protection Act in Korea allows to use the personal information with the pseudonymisation for the secondary use without consent. However, these have the following problems. First, GDPR’s requirement for the exempt from notification to data subject cannot be considered to be close to the criteria for waiving an informed consent, which have been adopted in bioethics. Second, unlike GDPR, there is no regulation in Personal Information Protection Act to indicate the criteria for the secondary use of the collected personal information without the notification to data subject. Third, there is no clear regulation to give a controller, who determines the purposes and means of the processing of personal data, the authority to pseudonymize the already-collected personal information without informed consent. Fourth, GDPR has the regulation to give a controller the authority to pseudonymize personal information without consent. However, its theoretical ground is too weak. Public good may be a reason to support such a secondary use. This reason cannot be a sufficient one because the concept of public good is vague. Restriction on right to self-determination of date subject for public good may distrupt trust building necessary to the improvement in using data. In order to overcome the problems mentioned earlier, I argue that the introduction of blanket consent for secondary use into Bioethics and Safety Act in Korea is needed as observed in the revision of 45 CFR 46 in U.S.A.

키워드

GDPR 개인정보보호법 가명처리 가명정보 2차적 사용 공익 정보 주체의 자기결정권 GDPR Personal Information Protection Act pseudonymisation pseudonymized information secondary use public good self-determination of data subject

국문 초록

영문 초록

목차

키워드

해당간행물 수록 논문

참고문헌

관련논문

법학 > 민법분야 BEST

법학 > 민법분야 NEW

최근 이용한 논문

APA

MLA