오늘날 4차 산업혁명으로 인하여 정보통신기술의 고도화와 함께 인공지능 등 최첨단 기술을 융합한 지능정보기술을 기반으로 지능정보화가 급속히 진전되면서 기존의 경제시스템과 사회구조가 근본적으로 바뀌는 지능정보사회로의 패러다임 전환이 본격화되고 있다. 지능정보사회에서는 개인정보보호 문제가 핵심적 과제가 될 것이다. 지능정보기술을 이용하여 개인정보의 수집·활용이 비약적으로 증가하고, 프로파일링에 의한 개인정보 처리가 압도적인 비중을 차지하게 된다. 또 알고리즘에 기반한 자동화된 의사결정이 확대되면서 개인정보 침해의 위험성은 우리가 상상할 수 없을 정도로 커지게 된다. 그러므로 지능정보사회에서는 개인정보의 보호에 관한 새로운 규범체계의 정립이 요구된다. 말하자면 지능정보기술의 발전에 따른 개인정보의 침해를 최대한 방지함으로써 궁극적으로는 개인의 자율성을 보호하고 더 나아가 자유민주 체제의 근간이 총체적으로 훼손될 가능성을 차단할 수 있는 제도적 장치가 필요하다. 헌법상 모든 국민은 인간으로서의 존엄과 가치를 가지며, 사생활의 비밀과 자유를 침해받지 아니할 권리를 가지고 있다. 정보주체인 개인은 자신이 비밀로 하고자 하는 사항이 일반에 공개되지 않고 자신의 인격적 징표가 타인에 의하여 일방적으로 이용당하지 아니할 권리뿐만 아니라 자신에 대한 정보를 스스로 통제할 수 있는 권리도 가지는데, 정보주체의 권리보호 문제는 헌법상 개인정보자기결정권을 어떻게 구현할 것인가의 문제로 귀결된다고 할 수 있다.
이러한 관점에서 국제사회는 지능정보사회에 대응하는 새로운 개인정보 보호 국제규범을 마련하고, 주요 국가들도 이와 같은 시대적 특성을 반영하여 개인정보보호 법제를 정비해 나가고 있다. 대표적인 사례로 2016년 5월 EU의 '일반개인정보보호규정(GDPR)' 제정과 그에 따른 2017년 5월 독일의 '연방정보보호법(BDSG)' 개정, 그리고 2015년 및 2020년 일본의 '개인정보보호에 관한 법률' 개정 등을 들 수 있다. 그리고 미국에서도 2018년 6월 '캘리포니아 소비자 프라이버시법(CCPA)'제정을 시작으로, 버지니아주와 콜로라도주에서도 주법으로 개인정보보호법이 제정되어 2023년부터 시행될 예정이며, 미연방차원의 입법도 연방의회에서 논의되고 있다. 우리나라에서도 지능정보사회로의 변화에 부응하기 위하여 2020년 1월 '개인정보 보호법', '정보통신망 이용촉진 및 정보보호 등에 관한 법률', '신용정보의 이용 및 보호에 관한 법률' 등 이른바 '데이터 3법'을 개정였다. 그러나 데이터 3법의 개정은 지능정보사회에서 새로운 개인정보 침해 위협에 대응한 정보주체의 권리 보장에 충실하지 못하다는 한계를 보이고 있다.
본 연구는 지능정보사회에서 정보주체의 권리보호에 초점을 두고, EU의 GDPR을 비롯하여 독일, 프랑스, 영국 등의 법제, 미국의 CCPA 등 최근에 제정된 주법과 미연방 개인정보보호법안, 그리고 일본과 중국의 개인정보보호법 등 각국의 법제를 비교법적으로 검토하고 이를 바탕으로 우리 현행법상 정보주체의 권리보호를 위한 법제 개선방안을 제시하고 있다.
지능정보사회는 기존과는 전혀 새로운 차원의 개인정보 침해 이슈를 제기하고 있기 때문에 이에 대응하여 개인정보보호를 강화하는 방향으로 법제가 정비되어야 한다. 지능정보사회에서는 개인정보의 처리가 대량화·자동화되기 때문에 정보주체가 개인정보 침해 사실을 입증하는 것이 어렵고, 침해로 인한 파급력이 광범위 하며 피해의 규모도 크다. 따라서 사후적 구제수단만으로는 실질적 구제에 한계가 있고, 침해가 발생하기 전에 이를 사전적으로 예방할 수 있는 장치를 마련하는 것이 중요하다. 이러한 관점에서 개인정보보호의 원칙으로서 투명성의 원칙을 명시하고, '프라이버시 바이 디자인' 원칙을 도입해야 할 필요가 있다. 또한, 현행법에 이미 규정되어 있는 정보주체 권리를 보다 강화하기 위하여 열람권, 정정청구권, 삭제청구권, 동의권, 손해배상청구권 등의 개선방안에 대하여 검토하여야 한다.
그리고 지능정보사회에 있어 새로운 권리보호 체계를 구축을 위한 법제 개선방안으로서 우선, 개인정보 이동권을 도입하여야 한다. 정보주체의 개인정보자기결정권을 보다 강화하기 위하여 정보주체가 자신에 관한 정보를 자유롭게 이전하고 재사용할 수 있게 해야 한다. 둘째로, 프로파일링 반대권을 도입해야 한다. 프로파일링은 정보주체가 인식하지 못하는 개인의 행태나 습관까지 파악해낼 수 있기 때문에 개인정보의 침해 우려가 크고, 지능정보사회에서 프로파일링이 개인정보 처리에서 차지하는 비중을 고려할 때 개인정보 보호법 제37조 제1항의 '개인정보의 처리'에 '프로파일링'을 포함하는 것으로 명시해야 할 것이다. 셋째로, 프로파일링을 포함한 자동화된 의사결정의 대상이 되지 않을 권리를 도입해야 한다. 자동화된 의사결정의 기반이 되는 인공지능 알고리즘은 오류와 편향 가능성이 존재하고, 인간의 개입이 배제된 채 자동화된 의사결정으로만 개인에게 중요한 법적 효과를 발생시킨다면 정보주체의 통제권이 크게 훼손될 수 있기 때문이다. 넷째, 보존청구권이 도입되어야 한다. 개인정보 보존기간은 개인정보처리자의 자율에 맡겨져 있고, 보존기간이 지나 정보가 파기된다면 정보주체 입장에서는 자신의 개인정보를 활용할 기회를 상실하게 된다. 또한 열람권과 개인정보 이동권의 실질적 보장을 위해서도 정보주체가 개인정보처리자에게 자신에 관한 정보 보존을 청구할 권리를 인정해야 한다.
한편, 정보주체의 신속하고 효율적인 권리보호를 위하여 개인정보 분쟁조정제도를 활성화해야 한다. 지능정보사회에서는 새로운 유형의 개인정보 침해가 나타나고, 개인정보 침해가 다수인에게 대량적으로 발생하고 있으며, 2차, 3차 피해로 이어질 가능성이 농후하다. 이에 전통적인 분쟁해결절차만으로는 그 피해구제에 한계가 있고, 개인정보 분쟁을 신속하고 효율적으로 해결하기 위하여 개인정보 분쟁조정제도를 활성화할 필요가 있다. 이를 위하여 피신청인의 참여 의무화, 피신청인의 동의없는 조정절차 개시, 분쟁조정위원회에 조사권 부여, 조정신청의 소멸시효 중단효력 부여, 조정절차가 진행 중인 사건에 대한 소송절차 중지 등이 규정되어야 한다.