맨위로가기

개인정보

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

개인정보는 개인을 식별할 수 있는 정보를 의미하며, 국제기구 및 각 국가별 법률에 따라 정의가 조금씩 다르다. OECD는 개인정보를 '식별된 또는 식별될 수 있는 개인에 관한 모든 정보'로 정의하고 있으며, EU는 '신체적, 정신적, 심리적, 경제적, 문화적, 사회적 특성의 요소에 의해서 직, 간접적으로 식별되는 자연인에 관한 정보'로 정의한다. 대한민국은 '생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상 및 생체특성 등에 관한 정보'를 개인정보로 정의한다. 개인정보는 프라이버시 침해의 위험을 안고 있으며, 각국은 개인정보 보호를 위해 법률 및 가이드라인을 제정하고 있다. 또한 개인정보는 가명 가공 정보, 익명 가공 정보, 개인 관련 정보 등으로 분류되며, 개인정보의 거래는 디지털 혁명으로 인해 새로운 경제적 가치를 창출하고 있다.

더 읽어볼만한 페이지

  • 법률 - 전과
    전과는 대한민국을 포함한 여러 국가에서 법적, 제도적으로 관리되는 개인의 범죄 관련 기록을 의미하며, 형이 실효된 전과에 의한 차별은 금지되지만, 성범죄 전과자의 경우 취업이 제한될 수 있다.
  • 법률 - 율령격식
    율령격식은 동아시아에서 율령을 보충하고 개정하기 위해 만들어진 격과 식을 통칭하는 용어로, 당나라의 율령을 바탕으로 현실과의 괴리를 해결하고자 제정되었으며 주변 국가의 법제 발전에 영향을 주었다.
개인정보

2. 국제기구가 채택한 정의

OECD 이사회가 1980년에 채택한 「프라이버시 보호 및 개인정보의 국가간 유통에 관한 가이드라인에 관한 이사회 권고」와 EU의 1995년 「개인정보처리에 있어서 개인정보의 보호 및 정보의 자유로운 이동에 관한 유럽의회 및 이사회의 지침」에서는 개인정보를 "식별된 또는 식별될 수 있는 개인에 관한 모든 정보"라고 정의하고 있다.[80]

EU 일반 데이터 보호 규칙에서는 데이터 주체가 기타 속성(준 식별자 또는 유사 식별자)의 추가 처리를 통해 잠재적으로 식별될 수 있다는 보다 구체적인 개념을 제시하고 있다.

일본의 개인정보 보호법은 개인정보를 다음과 같이 정의하고 있다.

어떤 정의에서든, '''단독으로 개인을 식별할 수 없더라도 다른 정보와 조합하면 개인 식별이 가능한 기술을 포함하는 것도 개인정보'''이다.

3. 각국별 개인정보

각국은 자국의 법률에 따라 개인정보를 정의하고 보호한다.


:* 2007년 미국 정부는 "개인 식별 정보" (PII) 라는 용어를 사용했으며,[12] 이는 NIST의 가이드라인 등 미국 표준에 나타나 있다.[38]

:* 1974년 개인정보 보호법은 연방 기관의 개인 식별 정보 수집, 유지, 사용 및 배포를 규제한다.[30]

:* 건강 보험 이동성 및 책임에 관한 법(HIPAA)는 환자의 보호된 건강 정보(PHI)를 보호한다.

:* 사회 보장 번호신원 도용에 사용될 수 있어 특별히 주의한다.

:* 주별 법률

::* 캘리포니아

:::* 캘리포니아 주 헌법 제1조 1항은 사생활을 양도할 수 없는 권리로 선언한다.

:::* 온라인 개인 정보 보호법(OPPA, 2003)

:::* SB 1386

:::* 2011년 캘리포니아 주 대법원은 개인의 우편번호가 PII라고 판결했다.

::* 네바다

:::* 네바다 수정 법률 603A – 개인 정보 보안

::* 매사추세츠

:::* 201 CMR 17.00: 매사추세츠 연방 거주자의 개인 정보 보호 기준

:::* 2013년, 매사추세츠 대법원은 우편번호가 PII라고 판결했다.

:* EU-미국 데이터 프라이버시 프레임워크(EU–US Data Privacy Framework)는 2023년 7월 10일에 채택된 EU 조화 규정이다.[37]

::* 2020년 유럽 사법 재판소에 의해 무효로 판결된 EU-미국 프라이버시 실드(EU–US Privacy Shield)를 대체한다.
:* 유럽 인권 협약 제8조

:* 개인 데이터의 자동 처리에 관한 개인 보호 협약

:* 일반 개인정보 보호법(GDPR) (2016년 채택, 2018년 5월 25일 발효)

::* 데이터 보호 지침 95/46/EC 대체

:* 개인 정보 보호 및 전자 통신 지침, 2002/58/EC (E-프라이버시 지침)

:* 데이터 보존 지침, 2006/24/EC, 제5조

  • 오스트레일리아

:* 1988년 개인정보 보호법(Privacy Act 1988)은 OECD 개인정보 보호 원칙을 사용하여 개인 정보 보호 문제를 다룬다.[22]

::* '개인 정보'의 정의가 개인이 간접적으로 식별될 수 있는 경우에도 적용된다.

::* 미국의 일부 법률보다 더 광범위한 범주의 데이터 및 정보를 포괄할 수 있다.
:* 개인정보 보호법은 연방 정부 기관을 규제한다.

:* 온타리오 정보 공개 및 개인 정보 보호법 및 이와 유사한 주 법률은 주 정부 기관을 규제한다.

:* 개인 정보 보호 및 전자 문서 법은 동등한 주 법률이 없는 한 사기업을 규제한다.

:* 온타리오 개인 건강 정보 보호법 및 기타 유사한 주 법률은 건강 정보를 규제한다.

  • 영국

:* 데이터 보호법 2018[25], GDPR을 부분적으로 구현함

::* 데이터 보호법 1998을 대체함

:* 영국 GDPR, 유지된 EU 법률, 브렉시트로 인해 필요한 수정 사항을 제외하고는 EU GDPR과 실질적으로 동일함

:* 유럽 인권 협약 제8조

:* 조사 권한 규제법 2000

:* 고용주의 데이터 보호 실천 강령

:* 데이터 수출을 위한 표준 계약

:* 사생활 및 전자 통신 (EC 지침) 규정 2003

:* 통신 (합법적인 업무 관행) (통신 감청) 규정 2000[26]

:* 반테러, 범죄 및 안보법 2001
:* 1993년 프라이버시 법의 12가지 정보 프라이버시 원칙이 적용된다.

:* 2020년에 프라이버시 법을 제정했다.[27]
:* 1992년 6월 19일자 개인정보 보호 연방법 (1993년 발효)은 정보 주체의 명시적인 승인 없이는 개인 정보 처리를 사실상 금지했다.[28]

:* 연방 데이터 보호 및 정보 위원의 권한을 받는다.[28]

:* 모든 사람은 회사에 서면으로 개인 데이터의 수정 또는 삭제를 요청할 수 있다.[29] 회사는 30일 이내에 응답해야 한다.[29]

  • 홍콩

:* 2023년 6월 1일, 홍콩 개인정보보호청은 데이터 유출에 대한 조사 보고서를 발표했다. 신용 데이터가 "민감한" 개인 데이터의 한 형태임을 명확히 했다.[24]

3. 1. 대한민국

대한민국에서는 여러 법률에서 개인정보를 정의하고 있으며, 법률에 따라 그 정의가 약간씩 다르다.

  • '''개인정보'''란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.[84]
  • '''개인정보'''라 함은 생존하고 있는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향·영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. (전자서명법 제2조 제13호)


「개인정보 보호법」은 공공 부문과 민간 부문 모두에 적용되는 일반법이므로, 기존에 공공 분야에서 개인정보 보호 일반법으로 역할을 해온 「공공기관의 개인정보보호에 관한 법률」은 폐지되었다.[84]

3. 1. 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)상 '''개인정보'''는 생존하는 개인에 관한 정보로서, 성명, 주민등록번호 등에 의해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말한다.[81] 여기에는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보도 포함된다.[81] 예를 들어, 이메일 주소는 그 자체만으로는 특정 개인을 식별할 수 없을지라도, 다른 정보와 결합하면 개인을 알아볼 수 있으므로 정통망법 제2조 제1항 제6호에서 정한 '개인정보'에 해당한다.[82] 취미나 출신 학교 등의 정보도 그 자체만으로는 개인 식별이 불가능하지만, 성명과 결합하면 개인정보가 될 수 있다.[83]

3. 1. 2. 개인정보 보호법

'''개인정보'''란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.[84] 「개인정보 보호법」은 공공 부문과 민간 부문 모두에 적용되는 일반법이므로, 기존에 공공 분야에서 개인정보 보호 일반법으로 역할을 해온 「공공기관의 개인정보보호에 관한 법률」은 폐지되었다.

3. 1. 3. 전자서명법

경제산업성의 『개인정보의 보호에 관한 법률에 대한 경제산업 분야를 대상으로 하는 가이드라인』에서는 個人情報保護法일본어에서 말하는 "개인에 관한 정보"를 다음과 같이 설명하고 있다.[1]

: 개인정보는, 우선 임의의 한 명의 개인에 관한 1단위의 정보 전체인 것이 필요조건이다. 그 위에, 그 정보에 포함된 기술 등에 의해 특정의 개인이 식별된다면, 그 "개인에 관한 정보" 전체는 개인정보에 해당한다.[1]

3. 2. 일본

일본의 「개인정보의 보호에 관한 법률」 제2조 제1항에서는 개인정보를 '생존하는 개인에 관한 정보로서, 해당 정보에 포함된 성명, 생년월일 기타 기술 등에 의하여 특정 개인을 식별할 수 있는 것(다른 정보와 용이하게 조합하여 특정 개인을 식별할 수 있게 되는 것을 포함)'이라고 정의하고 있다.[60]

일본의 개인정보 보호법은 개인정보를 다음과 같이 정의한다.

> 이 법률에서 "개인정보"는 생존하는 개인에 관한 정보로서, 다음 각 호의 어느 하나에 해당하는 것을 말한다.

> 1. 해당 정보에 포함된 성명, 생년월일 기타 기술 등(문서, 도화 또는 전자기록(전자기적 방식(전자기적 방식, 자기적 방식 그 외 사람의 지각으로는 인식할 수 없는 방식을 말한다. 다음 항 제2호에서 같다.)으로 만들어진 기록을 말한다. 이하 같다.)에 기재되거나 기록되거나, 또는 음성, 동작 기타의 방법을 사용하여 표시된 일체의 사항(개인 식별 부호를 제외한다.)을 말한다. 이하 같다.)에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 용이하게 대조할 수 있으며, 이에 의해 특정 개인을 식별할 수 있게 되는 것을 포함한다.)

> 2. 개인 식별 부호가 포함된 것[60]

이름(성명), 생년월일, 나이, 성별, 주소, 전화번호, 이메일 주소, SNS 상의 연결, 학교, 은행 계좌, 신용카드 번호 등은 "누구"인지 특정될 가능성이 있는 정보이며, 이러한 정보를 포함하는 정보 전체가 개인정보이다.

일본 산업 규격의 개인정보 보호 매니지먼트 시스템인 JIS Q 15001에서는 2006년 판에서 생존하는 개인에 관한 제한이 없어 사망자의 데이터도 포함된다고 했지만[61], 현행 2017년 판에서는 개인정보 보호법과 동일한 정의를 사용하고 있다.[62]

어떤 정의에서든, '''단독으로 개인을 식별할 수 없더라도 다른 정보와 조합하면 개인 식별이 가능한 기술을 포함하는 것도 개인정보'''이다.

2015년 개인정보 보호법 개정 시 개인 식별 부호가 조문에 추가되었지만, 게이단렌은 "휴대폰 번호는, 이용자가 요구하면 즉시 변경할 수 있고, 다른 이용자가 재사용할 수 있다. 개인을 특정할 수 있다고 할 수 없다"[63]라고 하였다. 또한 신경련은 "애초에, 문자나 숫자만으로는 개인을 특정할 수 없다. 개정법이 (2)에서 제시한 부호의 정의는, 사실상 공집합(=어떤 부호도 포함되지 않음)이 아닌가"[63]라고 하며, 양 단체는 휴대 전화 번호는 개인 정보에 포함되지 않는다고 주장했다. 양 단체를 시작으로 한 경제계의 법 개정에 대한 반발은, 최종적으로 "특정의"(법 2조 2항 1호) "특정 이용자 또는 구매자 또는 발행을 받는 자를 식별할 수 있는 것"(법 2조 2항 2호)과 같은 문구를 개인 식별 부호의 정의에 삽입하는 것으로 결착되었다.[64] 그러나 개인 식별 부호라는 용어는 2015년 개정 시 도입되었지만, 쇼와 63년의 행정기관이 보유하는 전자 계산기 처리에 관한 개인정보 보호에 관한 법률 제정 시에는 "개인별로 부여된 번호, 기호 그 외의 부호"가 개인 정보의 정의에 포함되어 있었다.[64] 양 단체가 단독으로는 개인정보에 해당하지 않는다고 주장한 휴대전화 번호는, 개인에 관한 정보 안에 포함되어 있다면, 비록 그것 자체가 개인 식별 부호가 아니더라도 단독으로 개인정보로 해석할 수 있다.[65]

3. 3. 프랑스

프랑스의 정보처리, 축적 및 자유에 관한 법률 제2조에서는 개인정보를 "직접 또는 간접적으로 식별 확인 번호나 그를 확인하게 해주는 하나 이상의 요소를 참고함으로써 식별되거나 식별 가능한 개인에 관한 정보"로 정의한다. 개인 식별 가능성 여부를 결정하기 위해서는 정보 처리 책임자가 접근 가능하거나 다른 사람이 소유할 수 있는 모든 수단을 고려해야 한다.[60]

3. 4. 독일

독일 연방 개인정보보호법 제3조 제1항에 따르면, 개인정보는 "신원이 확인되었거나 확인 가능한 자연인(정보주체)의 인적, 물적 환경에 관한 일체의 정보"이다.[60]

3. 5. 영국

영국의 개인정보보호법 제1조제1항에 따르면, 개인정보는 (a)와 (b)로부터 식별할 수 있는 생존하는 개인에 관한 데이터를 의미한다.[60]

(a) 해당 정보

(b) 정보관리자가 보유하고 있거나 앞으로 보유할 가능성이 많은 기타 데이터나 정보 또는 해당 개인에 대한 의견의 표현이나 해당 개인에 대한 다른 사람들 또는 정보관리자의 의도를 드러내는 모든 표시

3. 6. 미국

미국 연방법에서는 개인정보의 정의가 법률 제정 목적에 따라 다르게 규정되어 있다. 1998년 제정된 「아동 온라인 프라이버시 보호법(Children’s Online Privacy Protection Act)」에서는 개인정보를 ‘개별적으로 식별 가능한 개인에 관한 정보’로 정의하면서, 성명, 주소, 이메일 주소, 전화번호, 사회보장번호 등을 포함한다고 규정하고 있다.[85]

캘리포니아 주법에서는 개인정보를 '개인의 이름, 주민등록번호, 신체 외형 기록, 주소, 전화번호, 교육 정도, 의료 기록 및 고용 기록 등을 포함하나 이에 한정되지 아니하며 개인을 식별하거나 묘사하는 것으로서 기관에 의해 보관되는 정보'로 정의한다.

2007년 미국 정부는 대통령실, 행정관리예산처(OMB)의 각서에서 "개인 식별 정보"라는 용어를 사용했으며,[12] 이 용어는 현재 NIST의 ''개인 식별 정보 기밀 보호 가이드''(SP 800-122)와 같은 미국 표준에 나타나 있다.[38]

1974년 개인정보 보호법(Pub.L. 93–579, 88 Stat. 1896, 1974년 12월 31일 제정)는 미국 연방법으로, 연방 기관이 기록 시스템에 보관하는 개인에 대한 개인 식별 정보의 수집, 유지, 사용 및 배포를 규제하는 공정 정보 관행 강령을 제정한다.[30]

건강 보험 이동성 및 책임에 관한 법(HIPAA)의 주요 초점 중 하나는 PII와 유사한 환자의 보호된 건강 정보(PHI)를 보호하는 것이다.

미국 국회의원들은 사회 보장 번호신원 도용에 쉽게 사용될 수 있기 때문에 특별한 주의를 기울였다.

  • 캘리포니아
  • * 캘리포니아 주 헌법 제1조 1항은 사생활을 양도할 수 없는 권리로 선언한다.
  • * 온라인 개인 정보 보호법(OPPA, 2003)
  • * SB 1386은 무단 접근자가 PII(하나 이상의 특정 데이터 요소와 결합된)를 획득했거나 획득한 것으로 알려진 경우 조직이 개인에게 이를 통지하도록 요구한다.
  • * 2011년, 캘리포니아 주 대법원은 개인의 우편번호가 PII라고 판결했다.
  • 네바다
  • * 네바다 수정 법률 603A – 개인 정보 보안
  • 매사추세츠
  • * 201 CMR 17.00: 매사추세츠 연방 거주자의 개인 정보 보호 기준
  • * 2013년, 매사추세츠 대법원은 우편번호가 PII라고 판결했다.
  • 1974년 프라이버시법(Privacy Act of 1974)은 에 법제화되어 있다.
  • EU-미국 데이터 프라이버시 프레임워크(EU–US Data Privacy Framework)는 2023년 7월 10일에 채택된 EU 조화 규정으로,[37]
  • * 2020년 유럽 사법 재판소에 의해 무효로 판결된 EU-미국 프라이버시 실드(EU–US Privacy Shield)를 대체한다.

3. 7. 오스트레일리아

오스트레일리아의 1988년 개인정보 보호법(Privacy Act 1988)은 개인정보를 '신원이 명백하거나 합리적으로 판명될 수 있는 개인에 관한 정보 또는 의견'으로 정의한다.[22] 이 정의는 개인이 간접적으로 식별될 수 있는 경우에도 적용된다.

이는 미국의 일부 법률보다 더 광범위한 범주의 데이터 및 정보를 포괄할 수 있다. 미국의 온라인 행동 광고 사업체가 쿠키, 웹 버그 등을 통해 수집하는 정보도 오스트레일리아 개인 정보 보호법에 따라 개인 정보로 간주될 수 있다. 오스트레일리아 개인 정보 보호법에서는 "PII"라는 용어는 사용되지 않는다.

4. 개인정보의 침해

개인정보는 정보주체의 프라이버시 보호 요구와 사업자의 활용 사이에 갈등이 존재하며, 이로 인해 침해 위험성이 증가하고 있다. 특히 대량의 개인정보가 중앙집중 방식으로 수집, 관리될 경우 침해 위험성은 더욱 커진다. 이러한 상황에서 개인정보 침해는 '정보주체의 동의 없이 개인정보가 수집, 이용, 제3자에게 제공되는 일체의 피해'를 포괄하는 것으로 해석할 수 있다.[83]

5. 구별되는 개념


  • 통신비밀보호법 제2조 제11호에 따른 가입자의 전기통신일시나 인터넷 로그기록자료 등 통신사실확인자료[43]
  • 개인신용정보

6. 개인정보와 프라이버시의 보호

개인정보 보호는 프라이버시 보호와 밀접하게 관련되어 있다. 1980년 OECD 이사회에서 발표된 개인 정보 보호 및 개인 데이터 국제 유통에 관한 가이드라인(OECD 프라이버시 가이드라인)은 많은 국가의 개인정보 보호 법제화에 영향을 미쳤다.[66][76] OECD 프라이버시 가이드라인은 수집 제한, 데이터 내용, 목적 명확화, 이용 제한, 안전 보호, 공개, 개인 참여, 책임의 8가지 원칙을 제시하고 있으며, 이는 여러 국가의 법률에 반영되었다.[76]

6. 1. 프라이버시

프라이버시의 의미로 가장 널리 알려진 이론 중 하나는 1967년 앨런 웨스틴(Alan Westin)이 저서 《프라이버시와 자유》에서 언급한 "자신에 관한 정보에 대한 통제 권리"이다.[1] 일본 헌법학에서도 이 생각을 바탕으로 한 '''자기 정보 통제권'''이 프라이버시 권리의 가장 유력한 해석이 되고 있다.[2]

7. 개인정보의 분류

일본의 개인정보 보호법은 개인정보를 다음과 같이 정의한다.[64]


  • 해당 정보에 포함된 성명, 생년월일 기타 기술 등(문서, 도화 또는 전자기록 등에 기재되거나 기록되거나, 또는 음성, 동작 기타의 방법을 사용하여 표시된 일체의 사항)에 의해 특정 개인을 식별할 수 있는 것 (다른 정보와 용이하게 대조할 수 있으며, 이에 의해 특정 개인을 식별할 수 있게 되는 것을 포함)
  • 개인 식별 부호가 포함된 것


일본 산업 규격의 개인정보 보호 매니지먼트 시스템인 JIS Q 15001에서는 2006년 판에는 사망자의 데이터도 포함되었지만,[61] 2017년 판에서는 개인정보 보호법과 동일한 정의를 사용한다.[62]

2015년 개인정보 보호법 개정 당시, 게이단렌 등은 휴대 전화 번호가 개인 정보에 포함되지 않는다고 주장했다.[63] 그러나 개인 식별 부호라는 용어는 2015년 개정 시 도입되었지만, 1988년 행정기관이 보유하는 전자 계산기 처리에 관한 개인정보 보호에 관한 법률 제정 시에도 개인 정보의 정의에 포함되어 있었다.[64]

7. 1. 일본의 개인정보 분류

일본의 개인정보 보호법은 개인정보를 다음과 같이 정의한다.[64]

  • 해당 정보에 포함된 성명, 생년월일 기타 기술 등(문서, 도화 또는 전자기록 등에 기재되거나 기록되거나, 또는 음성, 동작 기타의 방법을 사용하여 표시된 일체의 사항)에 의해 특정 개인을 식별할 수 있는 것 (다른 정보와 용이하게 대조할 수 있으며, 이에 의해 특정 개인을 식별할 수 있게 되는 것을 포함)
  • 개인 식별 부호가 포함된 것


일본 산업 규격의 개인정보 보호 매니지먼트 시스템인 JIS Q 15001에서는 2006년 판에는 사망자의 데이터도 포함되었지만,[61] 2017년 판에서는 개인정보 보호법과 동일한 정의를 사용한다.[62]

2015년 개인정보 보호법 개정 당시, 게이단렌 등은 휴대 전화 번호가 개인 정보에 포함되지 않는다고 주장했다.[63] 그러나 개인 식별 부호라는 용어는 2015년 개정 시 도입되었지만, 1988년 행정기관이 보유하는 전자 계산기 처리에 관한 개인정보 보호에 관한 법률 제정 시에도 개인 정보의 정의에 포함되어 있었다.[64]

사람을 대상으로 하는 생명 과학·의학 연구에 관한 윤리 지침(2022년 3월 10일 일부 개정)에 따른 개인 정보 등의 분류는 다음과 같다.[74][75]

  • 개인 정보: 특정 개인을 식별할 수 있는 정보 (예: 성명, 진료 정보, 얼굴 이미지, 게놈 데이터, 국민 건강 보험 피보험자증의 보험자 번호 및 피보험자 기호·번호)
  • 가명 가공 정보: 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 개인 정보를 가공한 정보. 단, 쉽게 대조하여 특정 개인을 식별할 수 있다면 개인 정보에 해당한다.
  • 익명 가공 정보: 특정 개인을 식별할 수 없도록 개인 정보를 가공하여 복원할 수 없도록 한 정보
  • 개인 관련 정보: 개인 정보, 가명 가공 정보, 익명 가공 정보에 모두 해당하지 않는 정보 (예: 웹 사이트 열람 이력, 쿠키 등의 단말 식별자, 개인 식별 부호에 해당하지 않는 게놈 데이터)

8. 개인정보의 거래

20세기 후반, 디지털 혁명은 "개인정보 경제학", 즉 개인 데이터 거래를 도입했다. 데이터의 가치는 시간과 다양한 맥락에 따라 변할 수 있다. 데이터를 공개하면 정보 비대칭성이 해소될 수 있지만, 그렇게 하는 데 드는 비용은 불분명할 수 있다.[50]

2015년 알레산드로 아쿠이스티, 커티스 테일러, 리아드 와그만은 개인 데이터 거래에서 세 가지 "파동"을 식별했다.


  • 1970년대 시카고 보이즈 학파는 개인 정보 보호가 부정확하고 최적화되지 않은 결정을 초래하여 시장에 부정적인 영향을 미칠 수 있다고 주장했다.
  • 1990년대 중반, 바리안은 시카고 보이즈의 접근 방식을 되찾아 새로운 외부성을 추가했으며, 소비자는 자신의 데이터가 어떻게 사용될지에 대한 완벽한 정보를 항상 가지고 있지 않을 것이라고 말했다.
  • 2000년대에는 연구자들이 가격 차별, 양면 시장 및 마케팅 전략 등에 대해 연구했다.


이러한 연구들을 통해 개인 정보 보호가 경제에 미치는 영향은 맥락에 따라 크게 달라진다는 것이 밝혀졌다.

8. 1. 데이터 브로커

데이터 브로커는 개인정보를 수집, 분석, 판매하는 기업 또는 개인을 의미한다. 20세기 후반, 디지털 혁명은 개인 데이터 거래를 하는 "개인정보 경제학"을 도입하였다. 기업과 관련하여 소비자는 종종 "데이터가 언제, 어떤 목적으로, 어떤 결과로 수집되는지에 대한 불완전한 정보"를 갖게 된다.[50]

2015년에 알레산드로 아쿠이스티(Alessandro Acquisti), 커티스 테일러(Curtis Taylor), 리아드 와그만(Liad Wagman)은 개인 데이터 거래에서 세 가지 "파동"을 식별했다.

1. 1970년대에 시카고 보이즈 학파는 개인 정보 보호가 부정확하고 최적화되지 않은 결정을 초래하여 시장에 부정적인 영향을 미칠 수 있다고 주장했다. 앤드루 F. 도거티(Andrew F. Daughety)와 제니퍼 F. 레이건엄(Jennifer F. Reinganum)과 같은 다른 연구자들은 그 반대가 사실이며, 개인 정보 보호가 없는 것 또한 이러한 결과를 초래할 것이라고 제안했다.[51]

2. 1990년대 중반, 바리안(Varian)은 시카고 보이즈의 접근 방식을 되찾아 새로운 외부성을 추가했으며, 소비자는 자신의 데이터가 어떻게 사용될지에 대한 완벽한 정보를 항상 가지고 있지 않을 것이라고 말했다.[52] 케네스 C. 로던(Kenneth C. Laudon)은 개인이 자신의 데이터를 소유하고 이를 상품으로 판매할 수 있는 모델을 개발했다. 그는 자유 시장을 만들기 위해 이러한 시스템을 규제해서는 안 된다고 믿었다.[53]

3. 2000년대에는 연구자들이 가격 차별 (테일러, 2004[54]), 양면 시장 (코니에르, 2011[55]) 및 마케팅 전략 (앤더슨과 드 팔마, 2012[56])에 대해 연구했다.

참조

[1] 웹사이트 Management of Data Breaches Involving Sensitive Personal Information (SPI) https://www.va.gov/v[...] Department of Veterans Affairs 2012-01-06
[2] 웹사이트 Data Security Breach Notification Laws https://www.fas.org/[...] 2012-04-10
[3] 서적 Security Program and Policies: Principles and Practices https://books.google[...] Pearson IT Certification
[4] 서적 The impact of the GDPR on the online advertising market https://www.worldcat[...]
[5] 논문 Reconciling Personal Information in the United States and European Union 2014
[6] 웹사이트 NIST Special Publication 800-122 http://nvlpubs.nist.[...]
[7] 문서 Section 3.3.3 "Identifiability"
[8] 웹사이트 Personal Data https://gdpr-info.eu[...] 2020-10-23
[9] 뉴스 European Court of Justice rules IP addresses are personal data https://www.irishtim[...] 2016-10-19
[10] 논문 A study of web privacy policies across industries. 2017
[11] 웹사이트 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) https://data.consili[...] 2015-06-11
[12] Webarchive M-07-16 SUBJECT:Safeguarding Against and Responding to the Breach of Personally Identifiable Information https://www.whitehou[...] 2007-05-22
[13] 웹사이트 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data https://eur-lex.euro[...] Eur-lex.europa.eu
[14] 웹사이트 What is personal data? https://www.truevaul[...]
[15] 웹사이트 Text of California Senate Bill SB 1386 ref paragraph SEC. 2 1798.29.(e) http://www.leginfo.c[...] California
[16] 간행물 Data storage, sharing and security Information Commissioner's Office 2013-08-30
[17] 웹사이트 Comments of Latanya Sweeney, PhD on 'Standards of Privacy of Individually Identifiable Health Information' http://privacy.cs.cm[...] Carnegie Mellon University
[18] 웹사이트 The FBI's warning about doxing was too little too late http://www.thetechhe[...] 2011-12-19
[19] 웹사이트 Anonymous's Operation Hiroshima: Inside the Doxing Coup the Media Ignored (VIDEO) http://www.ibtimes.c[...] 2012-01-04
[20] 웹사이트 Did LulzSec Trick Police into Arresting the Wrong Guy? http://www.theatlant[...] 2011-07-28
[21] 웹사이트 Doxed: how Sabu was outed by former Anons long before his arrest https://arstechnica.[...] 2012-03-07
[22] 웹사이트 Privacy Act 1988 https://www.austlii.[...]
[23] 웹사이트 Data protection https://ec.europa.eu[...] European Commission 2017-04-11
[24] 웹사이트 Less Is (Not) More: The Need for Adequate Data Protection Practices When Monetizing Personal Information https://www.mayerbro[...] Mayer Brown 2023-09-28
[25] legislation
[26] legislation
[27] 웹사이트 New Zealand - Data Protection Overview https://www.dataguid[...] 2023-12-05
[28] 문서 Federal Act on Data Protection of 19 June 1992 (status as of 1 January 2014) https://www.admin.ch[...] Federal Chancellery of Switzerland
[29] 문서 Droit suisse Éditions Loisirs et pédagogie
[30] 웹사이트 Privacy Act of 1974 https://www.justice.[...] 2014-06-16
[31] 서적 2018 International Carnahan Conference on Security Technology (ICCST) 2018-10
[32] 웹사이트 HIGH-RISK SERIES Urgent Actions Are Needed to Address Cybersecurity Challenges Facing the Nation https://www.GAO.gov/[...] 2018-09
[33] 웹사이트 California Supreme Court Holds that Zip Code is Personal Identification Information http://www.lexisnexi[...] LexisNexis
[34] 웹사이트 NRS: CHAPTER 603A - SECURITY AND PRIVACY OF PERSONAL INFORMATION https://www.leg.stat[...]
[35] 웹사이트 201 CMR 17.00: Standards for The Protection of Personal Information of Residents of the Commonwealth http://www.mass.gov/[...] Commonwealth of Massachusetts
[36] 문서 Tyler v. Michaels Stores, Inc. 2013
[37] 웹사이트 EU-US data transfers https://commission.e[...] European Commission 2023-07-10
[38] 웹사이트 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) https://nvlpubs.nist[...] NIST
[39] 웹사이트 Anonymity and PII https://web.archive.[...] 2015-05-06
[40] 뉴스 Police use glove prints to catch criminals https://www.telegrap[...] 2008-12-13
[41] 문서 Criminal Law and Procedure for the paralegal: a systems approach
[42] 논문 Disguised Handwriting 1952-1953
[43] 웹사이트 EE failures show how data breaches damages lives https://web.archive.[...] 2019-02-08
[44] 서적 Is It Safe? Protecting Your Computer, Your Business, and Yourself Online https://books.google[...] Que
[45] 웹사이트 Card data of 20,000 Pakistani bank users sold on dark web: report https://www.databrea[...] Dunya News 2018-11-06
[46] 서적 Is It Safe? Protecting Your Computer, Your Business, and Yourself Online https://books.google[...] Que
[47] 논문 Fake Identities in Social Media: A Case Study on the Sustainability of the Facebook Business Model 2012-07-26
[48] 웹사이트 Memorandum for DoD FOIA Offices https://web.archive.[...] United States Department of Defense 2019-04-01
[49] 웹사이트 Protection of victims of sexual violence: Lessons learned https://www.ohchr.or[...] Office of the United Nations High Commissioner for Human Rights 2019
[50] 서적 The Economics of Privacy https://www.law.berk[...]
[51] 논문 Public goods, social pressure, and the choice between privacy and publicity
[52] 서적 Privacy and Self-regulation in the Information Age
[53] 서적 Extensions to the theory of markets and privacy: Mechanics of pricing information http://archive.nyu.e[...]
[54] 논문 Consumer privacy and the market for customer information
[55] 논문 Search advertising https://www.aeaweb.o[...]
[56] 논문 Competition for attention in the information (overload) age
[57] 웹사이트 Management of Data Breaches Involving Sensitive Personal Information (SPI) https://web.archive.[...] Department OF Veterans Affairs 2012-01-06
[58] 웹사이트 Data Security Breach Notification Laws https://www.fas.org/[...] 2012-04-10
[59] 서적 Security Program and Policies: Principles and Practices https://books.google[...] Pearson IT Certification 2015-05-25
[60] 웹사이트 NIST SP800シリーズ https://web.archive.[...] NRIセキュア 2016-09-01
[61] 웹사이트 JIS Q 15001:2006 個人情報保護マネジメントシステム―要求事項 https://www.meti.go.[...] 2020-12-22
[62] 서적 JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項 一般財団法人日本規格協会(JSA)
[63] 웹사이트 「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた https://xtech.nikkei[...] 2015-04-07
[64] 논문 個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2) https://www.jstage.j[...] 2017
[65] 웹사이트 匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて https://www.ppc.go.j[...] 個人情報保護委員会 2018-04-09
[66] 서적 プライバシーマーク取得がよ~くわかる本
[67] 웹사이트 2013年情報セキュリティインシデントに関する調査報告〜個人情報漏えい編〜 https://www.jnsa.org[...] JNSA 2018-08-24
[68] 뉴스 2019-02-21
[69] 뉴스 2016-03-22
[70] 웹사이트 TwitterやInstagramにアップされた写真から撮影場所を特定する方法 https://gigazine.net[...] 2014-07-27
[71] 서적 プライバシーマーク取得がよ~くわかる本 第4版
[72] 웹사이트 個人情報の保護に関する法律 https://laws.e-gov.g[...] デジタル庁 2022-01-15
[73] 서적 個人情報保護法相談標準ハンドブック https://www.worldcat[...] 株式会社日本法令 2017
[74] 웹사이트 人を対象とする生命科学・医学系研究に関する 倫理指針 https://www.mhlw.go.[...] 文部科学省・厚生労働省・経済産業省 2022-03-10
[75] 웹사이트 人を対象とする生命科学・医学系研究に関する倫理指針 ガイダンス https://www.mhlw.go.[...] 厚生労働省 2022-06-06
[76] 웹사이트 諸外国における現状 https://www.soumu.go[...] 総務省 2012-02-08
[77] 논문 개인정보보호법제의 개선방안에 관한 연구 http://www.riss.kr/l[...] 2009-08
[78] 연구 개인정보피해구제 및 배상기준에 관한 연구 http://privacy.kisa.[...] 개인정보분쟁조정위원회 2004
[79] 연구 개인정보피해구제 및 배상기준에 관한 연구 http://privacy.kisa.[...] 개인정보분쟁조정위원회 2004
[80] 문서
[81] 법률 정보통신망 이용촉진 및 정보보호 등에 관한 법률제2조 제6호
[82] 판결문 서울중앙지방법원 2007.02.08. 선고 2006가합33062 판결 2007-02-08
[83] 간행물 2007년 개인정보분쟁조정사례집 한국정보보호진흥원, 개인정보분쟁조정위원회
[84] 법률 대한민국 개인정보 보호법 제2조(정의) 1항
[85] 논문 개인정보보호법제의 개선방안에 관한 연구 http://www.riss.kr/l[...] 2009-08


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com