<312E20B0B3C0CEC1A4BAB8BAB8C8A3C0CCBDB4C0C720C1F6C7FCBAAFC8ADBFCD20B1B9C1A6B1D4B9FCC0C7C7FCBCBABFACB1B82DC3D6C1BE2E687770>

Transcription

1 방통융합정책연구 KCC 개인정보보호 이슈의 지형변화와 국제규범의 형성 연구 A study on the changing landscape of personal data protection issues and the establishment of international norms 연구기관 : 정보통신정책연구원

2 방통융합정책연구 KCC 개인정보보호이슈의지형변화와국제규범의형성연구 A study on the changing landscape of personal data protection issues and the establishment of international norms 이원태 / 이시직 / 심우민 / 강일신 연구기관 : 정보통신정책연구원

3 이보고서는 2015년도방송통신위원회방송통신발전기금방송통신융합정책연구사업의연구결과로서보고서내용은연구자의견해이며, 방송통신위원회의공식입장과다를수있습니다.

4 제출문 방송통신위원회위원장귀하 본보고서를 개인정보보호이슈의지형변화와국제규범의 형성연구 의연구결과보고서로제출합니다 년 11 월 연구기관 : 정보통신정책연구원 총괄책임자 : 이원태 연구위원 ( 정보통신정책연구원 ) 참여연구원 : 이시직 연구원 ( 정보통신정책연구원 ) 심우민 입법조사관 ( 국회입법조사처 ) 강일신박사 ( 연세대학교 법학연구원 )

5

6 목차 요약문 ⅶ 제 1 장서론 1 제 1 절연구의배경및목적 1 제 2 절연구의주요내용 5 1. 개인정보보호패러다임의변화상에대한역사적 이론적고찰 5 2. 개인정보국외이전관련국내 외규범적차원의대응현황분석 6 3. 개인정보자기결정권을둘러싼국제규범현황분석 6 4. 개인정보관련국제규범의전략적모색 7 제 3 절연구의추진체계및기대효과 9 제 2 장개인정보보호패러다임의변화 11 제 1 절개인정보보호규범 근대사회의형성과개인정보 프라이버시권 개인정보자기결정권 개인정보보호규범모델과동향 25 제 2 절개인정보보호환경의변화 네트워크및정보통신기술의규범적특성 데이터활용의급증 개인최적화서비스로의지향성 국경간개인정보유통증대 41 제 3 절개인정보보호규범의변화요청 개인식별가능성 동의권프레임 정보주권 50 - i -

7 제 4 절개인정보보호패러다임전환 51 제 3 장국내 외개인정보국외이전관련규범적대응 54 제 1 절논의의배경 54 제 2 절개인정보국외이전관련국내법 제도현황 개인정보보호법 정보통신망이용촉진및정보보호등에관한법률 신용정보의이용및보호에관한법률 한미 FTA 한 EU FTA 59 제 3 절개인정보국외이전관련해외법 제도현황 OECD EU APEC 미국 일본 74 제 4 절유럽사법재판소의 EU- 미국간세이프하버 (Safe Harbor) 협정무효판결의의미와시사점 개요 사건의경과및관련조문 판결의요지 시사점 84 제 4 장개인정보자기결정권관련국내외규범의현황과특성 86 제 1 절논의의배경 86 제 2 절이른바 잊혀질권리 관련국내외규범동향 논의의촉발점 : 유럽사법재판소의판결 잊혀질권리관련해외규범동향 잊혀질권리관련국내규범동향 93 - ii -

8 4. 시사점 96 제 3 절사망한사람의온라인디지털정보처리관련국내외규범동향 사망한사람의온라인디지털정보관련법적쟁점 사망한사람의온라인디지털정보처리를둘러싼분쟁사례 국내외기업들의디지털유산, 사자의프라이버시관련정책 사망한사람의디지틸유산관련해외규범동향 사망한사람의디지틸유산관련국내규범동향 시사점 116 제 4 절정책적시사점 개인정보자기결정권의본질재고 정책방향성 119 제 5 장개인정보국제규범형성전략 121 제 1 절논의의배경 121 제 2 절개인정보에관한국제적규범형성필요성 개인정보국제규범미비의문제점 개인정보국제규범정립의필요성 123 제 3 절개인정보관련국제규범정립을위한기준 규범정립의원칙적방향 세부쟁점별대응방향 129 제 4 절우리나라의역할과과제 기본방향 국내적차원 : 개인정보보호법제정비 ( 위험기반접근 ) 국제적차원 : 전략적국제규범형성관여 ( 규범적상호운용성확보 ) 141 제 6 장결론및전망 147 제 1 절요약및결론 147 제 2 절개인정보보호국제규범의미래전망 149 참고문헌 iii -

9 표목차 < 표 2-1> 소관부처별개인정보보호법률및규율내용 32 < 표 2-2> 년세계인터넷트래픽전망 ( 유형별 ) 38 < 표 2-3> 년세계인터넷트래픽전망 ( 영역별 ) 39 < 표 2-4> 각국의개인정보개념정의규정 45 < 표 2-5> 개인정보보호패러다임전환 53 < 표 3-1> 개인정보보호법 상개인정보국외이전에관한규정 56 < 표 3-2> 정보통신망법 상개인정보국외이전에관한규정 57 < 표 3-3> 신용정보법 상개인정보국외이전에관한규정 58 < 표 3-4> OECD 프라이버시가이드라인 8원칙 60 < 표 3-5> 적절성 의실체적판단기준 63 < 표 3-6> 적절성 의절차적판단기준 64 < 표 3-7> GDPR의주요내용 66 < 표 3-8> CBPRs Program Requirements 71 < 표 3-9> 사건의경과정리 81 < 표 5-1> OECD 개인정보보호 8원칙 126 < 표 5-2> 국제적법규범적상호운용규제모델 iv -

10 그림목차 [ 그림 1-1] 개인정보보호국제규범형성의주요단계별정책과제 ( 안 ) 8 [ 그림 1-2] 연구의추진체계 9 [ 그림 2-1] 네트워크의매개 35 [ 그림 2-2] 클라우드컴퓨팅서비스의구조 42 [ 그림 3-1] CBPRs의개념도 70 [ 그림 3-2] 일본의개인정보보호에관한법체계 74 [ 그림 3-3] 유럽사법재판소판결문 77 [ 그림 3-4] 원고가아일랜드개인정보보호청에제출한청원서 78 [ 그림 3-5] 아일랜드개인정보보호감독청의기각통지문 79 [ 그림 3-6] 아일랜드고등법원의중간판결 (interlocutory judgment) 80 [ 그림 3-7] 미국상무성의성명서 82 [ 그림 5-1] 상호운용성의다차원적층위 v -

11

12 요약문 클라우드컴퓨팅 (Cloud Computing), 빅데이터 (Big Data), 사물인터넷 (Internet of Things), 스마트기기의보급에따른스마트서비스발달로비즈니스효율성과정보의활용성이커짐에따라공간과국경의제한을뛰어넘는개인정보의이전이불가피한현실이되고있다. 더욱이구글, 페이스북, 트위터등글로벌 ICT기업들에의한개인정보유통의폭발적증가로인하여개인정보보호를둘러싼갈등과경쟁은더욱첨예한국제적이슈로부각되고있는가운데, 국내 외및국제사회에서의규범제정및국제협력을통한대응을모색하고있다. 문제는새로운 ICT기반의방송통신서비스및산업이개인들에게많은편리성을제공해주고있지만, 국내의집행력이미치지않는국가로자국민의개인정보가이전되면서국민의정보주권이제한되거나, 특정국가로국민의개인정보가집중되어남용될위험성을점차높아지고있다는점이다. 몇해전미국국가안보국 (NSA) 소속으로일하던에드워드스노든이미국정부의대량감시 (mass surveillance) 활동을폭로하였고, 그동안미국 ICT기업들은 EU와의 세이프하버 (Safe Harbor) 협정을근거로유럽이용자들의개인정보를손쉽게수집및전송하여미국내서버에저장해왔지만, 최근유럽사법재판소가내린 EU- 미국간의 세이프하버 (Safe Harbor) 무효결정등각국에서개인정보국외이전에따른개인정보보호논의가뜨거워지고있다. 이처럼개인정보의국외이전이새로운개인정보보호이슈로대두하면서고도화된 ICT 환경에적합한개인정보규범즉, 보호 와 활용 의가치를조화한국제규범형성의필요성이대두되었다. 본연구에서는정보통신기술의발달과국경을초월한데이터활용이급증함에따라개인정보보호규범의변화를요청하고있고, 이러한규범적한계를극복하기위한새로운프라이버시개념 ( 제3세대 ) 을도출하였다. 또한개인정보국외이전과관련한 EU, 미국, OECD, APEC 등각국의규범동향, EU- 미국 세이프하버 (Safe Harbor) 협정무효에따른시사점그리고개인정보국외이전관련한법적 규범적이슈를검토하였다. 더나아가최근새롭게대두되고있는개인정보보호이슈, 즉잊혀질권리, 디지털유산등과같이개인 - vii -

13 정보자기결정권을둘러싼이슈에관한각국의입법동향및법적이슈들에대해서도검토하였다. 마지막으로본연구의핵심내용이라고할수있는개인정보관련국제규범형성전략방향을제시하였다. 여기서는개인정보보호에관한국제규범정립의필요성뿐만아니라국제규범의원칙과기준그리고국내 외차원에서수행해야할우리나라의역할과과제들을제안하였다. - viii -

14 S U MMA RY The advancement of smart services triggered by the wide use of cloud computing, big data, Internet of Things and other smart devices has led to more efficiency in business and increased information use, resulting in transborder flows of personal data. Furthermore, an explosive increase in the distribution of personal information by global ICT firms such as Google, Facebook and Twitter has accelerated conflict and competition over personal data protection, while countries around the world and the international community have been seeking to address this challenge through the establishment of international norms and cooperation among countries. The biggest concern is that, despite the convenience ICT-based services and industries offer to individuals, information sovereignty might be violated with the transfer of the personal data of the citizens of a country to other countries where the country s laws do not apply and there is also a growing threat of information abuse with personal data being transferred to a particular country. As in the cases of the former NSA (National Security Agency) contractor Edward Snowden s revelations about the U.S. government s mass surveillance in the past and the recent ruling of the European Court of Justice, which invalidated the Safe Harbour agreement that allowed the transfer and storage of European citizens data to the U.S., debates over the issue of personal data protection are becoming heated in many countries. With the transborder flows of personal data being at the center of the data protection issue, a need for the development of international norms for personal data protection, which strikes a balance between the values of protection and use. In this context, this study seeks a shift in personal data protection norms considering the advancement of ICTs and transborder data flows and comes up with a new definition of privacy (the 3rd generation). It also reviews the existing norms in the EU, - ix -

15 U.S. OECD and APEC concerning transborder data flows, the implications of the invalidation of the Safe Harbour agreement, and other legal issues following the transfer of personal data to other countries. In addition, this study examines the legislative trends and other legal issues regarding the right to informational self-determination including the right to be forgotten and digital assets. Lastly, this study presents a strategic direction for international norms on personal data protection, which include the necessity and criteria for international norms on personal data protection and the roles and responsibilities of Korea at home and abroad in establishing the norms. - x -

16 제 1 장서론 제 1 절연구의배경및목적 21세기들어정치, 경제, 사회, 문화등각부문에서글로벌화가가속화되고국제경쟁력과함께국제협력도더욱강화되고있다. 특히세계경제가급속도로글로벌화되고국가간 FTA 체결등으로국제거래가급증하면서국가간재화, 서비스, 인력, 기술뿐만아니라가치와문화등이국경을초월하여자유롭게넘나들게되었다. 그런데문제는세계각국들이국제규범의유리한해석을통해지나친자국의이익을고려한나머지각국그리고글로벌기업간의분쟁이수반되고있다는점이다. 이는개인정보의국외유출또는국가간이전을둘러싼갈등에서도여실히드러나고있는바, 이에개인정보보호를둘러싼이슈지형의변화를정확히파악하고개인정보보호를위한국가간협력이니셔티브를주도하기위한규범경쟁력을어떻게확보할것인가가매우중요한정책아젠다로부각되고있다. 1) 아마도개인정보보호이슈를둘러싼국제적협력의규범에대한관심과요구가증대되는데에는클라우드컴퓨팅서비스 (cloud computing service), 빅데이터 (bid data), 스마트기기의보급에따른스마트서비스발달로비즈니스효율성과정보의활용성이커짐에따라공간과국경의제한을뛰어넘는개인정보의이전이가속화되고있기때문이다. 그야말로오늘날기술환경은개인이쉽게자신의행동과환경에관한정보를전례없는규모로공유하고전세계적으로사용되고있는것이다. 이같은글로벌기술환경하에서개인정보의대상과범위는고정되어있는것이아니라, 국가의통제나시장의이윤추구논리에의해지속적으로확대되고있는추세이기도하 1) 이미최근글로벌화에대응하여국제기구및국가간협력규범이슈들로인권 사회, 경제, 영토, 해양, 군축 비확산, 국제안보, 사이버안보, 인터넷거버넌스, 에너지 자원, 관세, 기후변화등다양한부문에서국제협력및국제규범화가진행중에있다. 사이버영토 의확장이라는새로운환경에대응한사이버규범을모색하려는각국의현황에대해서는이원태외 (2014), 사이버세상의새로운규범체계정립방안연구, 정보통신정책연구원을참조

17 다. 2) 예컨대페이스북, 트위터등 SNS 이용확산, 클라우드컴퓨팅, 사물인터넷시대가도래하고구글, 알리바바등글로벌경쟁력을갖춘 ICT 기업들이증가하며개인정보를수집하는장비및방법등도정교해지고수집의용이성이확대되면서개인정보의공유및집적화에대한요구도더욱증가하고있다. 과거에는정부기관에서개인정보를수집 보유하는경우에발생하는이슈에대한논의가대부분이었으나, 최근인터넷의발달과전자상거래의활성화등으로인해민간부문에서보유하고있는고객개인정보의양이방대해지고있는것이다. 3) 이처럼개인정보의국경간이동이불가피한현실이되면서개인정보보호를위한각국및국제사회에서의규범제정및논의도활발해지고있다. 물론국내에서도 개인정보보호법, 정보통신망이용촉진및정보보호등에관한법률, 위치정보의보호및이용등에관한법률 등에서개인정보의국외이전과개인정보보호및활용에대한규정을두고있다. 그밖에 EU에서는개인정보보호지침 (Directive), 개인정보보호규정 [ 안 ](Regulation) 을통해서, APEC 에서는초국경프라이버시규칙 (CBPRs), OECD의경우는 프라이버시가인드라인 등에서개인정보보호를위한국제규범을제정하고국제협력을위한기준에입각한전략적대응을모색하고있다. 그러나이러한개인정보보호를둘러싼국제적협력의규범적모색이항상순탄하기만한것이아니다. 예컨대개인정보보호를둘러싼국제규범과관련해서미국의 일방주의 접근과 EU의 준상호주의 접근이갈등한사례는대표적이라고할수있다. 즉미국은전통적으로프라이버시보호차원에서개인정보보호문제를접근하고있으며, 유럽은나치즘, 스탈리니즘등거대한감시와통제사회를경험한탓에인권보호차원에서개인정보보호문제를접근하고있다는점에서양자간의규범적관념차이는쉽게극복되지못하고있다. 미국에서는 시장중심적인정책 (market-dominated policy) 을취하여당사자들이자율적으로개인정보를보호하도록하고일정한기준을위반하였을때법률이개입하는입장인반면, EU에서는 권리중심적접근방법 (right-dominated approach) 을취하여프라이버시를 2) 특히생체정보, 유전정보, 위치정보, 행태정보등은새로운영역의개인정보로등장하고있다. 3) 개인정보는시장에서이윤창출의대상또는도구로써활동되고있으며, 개인정보의보유량자체가기업의역량과규모를가늠하는척도로인식되고있는것이현실이다

18 기본권으로보호하고각회원국이공통된개인정보보호입법을하도록하고있는것이다. 특히 EU는최근들어 디지털단일시장 (Digital Single Market) 을선언하면서역내에서활발한경제적활동교유를위해국가간자유로운개인정보의이전을보장하면서도그지역을벗어나는경우일정한제한을가하고있다. EU는 Directive 를통해회원국의국가별환경에맞추어프라이버시와데이터보호를위한개별법률을제정하도록했으나, 지침에대한해석과적용이상이하여 EU는회원국의국내에공통적으로법적효과가발생하는규정 (Regulation) 으로입법화하기위한노력중이다. 4) 그와는달리미국은국내적으로 ICT 발전및시장의자유경쟁을활성화하기위하여정부의최소개입을추구하는것과달리, 대외적으로는자국기업의안정적이윤추구와 9.11 테러이후정보보안을강화하려는정책적의도가상충적으로혼재하고있는것으로보인다. 이처럼개인정보보호를둘러싼국제규범을둘러싼갈등과경쟁은구글, 페이스북등글로벌 ICT기업들에의한개인정보유통의폭발적증가로인해더욱첨예한이슈로부각되고있다. 스마트폰등모바일미디어의전지구적확산, 그리고클라우드컴퓨팅 (Cloud Computing), 빅데이터 (Big Data), 사물인터넷 (Internet of Things) 등탈국경화된 ICT 서비스이용증가에따라글로벌방송통신시장에서개인정보유통도더욱일반화되고있다는것이다. 정보통신기술의발달에따른글로벌방송통신네트워크구축및국경을초월한다국적 ICT기업의시장지배력증대로인해내국민의개인정보가국외로이전되는경우도급증하고있다. 계약상또는업무상필요에따라개인정보가불가피하게국외로이전되는경우가많아질뿐만아니라개인정보의이전경로도점차다양해지면서개인정보국외이전에따른문제가국제적이슈화되고있는셈이다. 문제는개인정보가국외로의이전이늘어남에따라개인정보의오 남용피해및사생활침해가능성도함께증가한다는데있다. 새로운 ICT기반의방송통신서비스및산업이개인들에게많은편리성을제공해주고있지만, 다른한편으로는국내의집행력이미치지않는국가로자국민의개인정보가이전되면서국민의정보주권이제한되거나, 특정국가로국민의개인정보가집중되어남용될위험성이있다는것이다. 달리말해서정보통신기술의발전과함께데이터활용이급증하면서개인정보로서통제해야할데이터도증가하 4) General Data Protection Regulation( 안 ) 은 EU 전체회원국에직접적용되는강력한규범이며, 2015년 12월최종승인후 2018년부터시행될예정이다

19 는상황에서개인정보자기결정권의실현방식에대한다양한문제도아울러제기되고있는것이다. 그런점에서본연구는최근들어개인정보국외이전에따른개인정보자기결정권의주요이슈들이 잊혀질권리, 디지털유산 등의다양한이슈에대한규범적논의로까지확장되고있는현상에도주목하고자한다. 예컨대최근에사이버국제규범이슈로급부상하는계기가된 EU의 General Data Protection Regulation( 안 ) 발표, 2014년유럽사법재판소의 잊혀질권리 관련판결등에따라 잊혀질권리 의입법화및규범화를둘러싼국가간논쟁이그대표적인예이다. 특히국내에서입법화노력이진행중인 잊혀질권리 이슈는개인정보자기결정권의파생적권리내지외연확장으로볼수있을뿐만아니라국가, 정보주체, 사적정보관리자들간의삼면적법률관계가형성되는현대적개인정보의새로운규범지형변화를반영하고있다. 또한사자 ( 死者 ) 의디지털개인정보상속이슈도각국의명확한규정이미비하여가입시약관에의해처리되는등여전히혼란이발생하고있는바, 이에대해국내적으로뿐만아니라국제적으로통일된기준제정의필요성이크게증가하고있다. 물론한편으로는국경이무의미해지는글로벌방송통신시장에서개인정보의문제는국내에서의개인정보문제와다를것이없지만, 국제적규범논의과정에서새로운규제나강화된규제가난립할경우오히려새로운서비스와산업의출현을가로막을수도있다는우려도함께제기되고있다. 물론이러한충돌하는이익을적절히조화하면서글로벌방송통신시장에서의개인정보의적정한보호를위한선행적 학제적검토는아무리강조해도지나치지않으며관련연구는개인정보의보호와활용의조화를위한국제규범의대안모색으로까지이어져야할것이다. 그런점에서본연구는글로벌방송통신서비스의확산으로인해개인정보의국외이전문제는특정국가에한정되는이슈가아니므로이에대한국제규범형성전략차원에서심층적으로논의하는데그목적이있다. 그러면왜개인정보보호에대한국제규범의전략적모색이필요한것인가? 무엇보다도 EU, APEC 등차원에서개인정보국외이전에대한규범논의가전혀없었던것은아니지만기술적 지역적한계를넘어선국제규범차원의논의로까지발전하지는못했다고본다. 또한개인정보가국외로이전되면각국의개인정보보호규범에따른역외적용문제가발생하는데이를해결하기위해서각국과의논의가필요하겠지만보다많은국가를망라한 - 4 -

20 국제적규범논의로발전할필요성도제기되기때문이다. 개인정보보호패러다임의변화에따라국내관련규범을정비하는것뿐만아니라, 우리나라가개인정보에관한국제규범형성을주도함으로써글로벌방송통신생태계의적극적주역으로발전하기위한국가전략마련이요구된다는것이다. 그런점에서본연구는개인정보의국외이전, 잊혀질권리, 디지털유산처리등각이슈에대한개별적연구를넘어, 클라우드컴퓨팅, 빅데이터, 사물인터넷시대를맞이하면서개인정보보호의패러다임변화에따른개인정보에관한이슈를총체적으로검토하려는시도라고할수있다. 또한최근 EU의 General Data Protection Regulation( 안 ), 유럽사법재판소의 잊혀질권리 인정한판결, EU- 미국 세이프하버 (Safe Harbor) 협정무효판결등각국및국제기구의최신동향을반영한개인정보보호지형변화를살펴보는연구이기도하다. 기존연구는 잊혀질권리, 디지털유산법제화등개인정보자기결정권보장을위한국내규범으로의도입방안에대한개별적논의에머물러있었으나, 본연구는개인정보보호패러다임변화에따른국내규범정비뿐만아니라일관된국제규범형성을위한우리나라의역할과과제를제시한다는점에서차별화된연구를지향한다. 제 2 절연구의주요내용 앞에서도논의했듯이본연구의목적은글로벌방송통신서비스확산으로인해개인정보의국가간이전이새로운개인정보보호이슈로대두하면서개인정보보호에대한국가간의규제협력이더욱중요해지는상황에서정보주권의관점에서개인정보보호관련국제규범형성을마련하기위한방안을연구하는것이다. 이러한연구목적을달성하기위해서는개인정보보호이슈를둘러싼국내외환경변화는물론그동안의변화과정에서대한역사적 이론적검토, 그리고개인정보보호이슈를둘러싼국제규범과관련한사례분석, 그리고본연구의핵심적내용으로서우리나라가개인정보보호의제를주도하기위한국제규범의전략적가능성을모색하기위한방안등을다루고자하는바, 주요한연구내용을정리하면다음과같이구성할수있다

21 1. 개인정보보호패러다임의변화상에대한역사적 이론적고찰 과거개인정보또는프라이버시문제는국가내부차원의문제로주로국가와개인간의 전통적기본권보장, 국내기업 ( 사인 ) 과개인 ( 사인 ) 간의 기본권의대사인적효력 문제로논의되어왔지만, 이제는클라우드컴퓨팅 (cloud computing), 빅데이터 (big data), 사물인터넷 (IoT) 등 ICT 고도화에따른글로벌방송통신기업들의데이터활용의중요성이커짐에따라국경을초월한개인정보의이전이가속화되고있는만큼정보소통과실질적정보통제권력의재편이라는상황에초점을맞추어새로운프라이버시개념 ( 제3세대 ) 을제시하는등개인정보보호패러다임변화상을살펴본다. 5) 2. 개인정보국외이전관련국내 외규범적차원의대응현황분석 개인정보보호규범모델, 특히미국식 ( 재산권적 ) 과유럽식 ( 인격권적 ) 의대립적모델의역사와상호조응또는조화하기위하여그동안어떠한규제협력을추진하여왔는지를살펴본다. 이를위해미국과 EU의개인정보보호입법동향, 국제교류차원의규제모델 ( 세이프하버, BCR 등 ) 분석을통해정책적시사점을도출한다. 이러한국제적동향에있어본연구는특히, APEC 의 CBPR 과 EU의지침, BCR, GDPR( 안 ) 등의사례에주목하고자하며, 상이한규범들사이에조화와균형을이루기위해필요한요인들이무엇인지도분석하고자한다. 3. 개인정보자기결정권을둘러싼국제규범현황분석 개인정보의국외이전이슈와더불어잊혀질권리, 사자의디지털유산등과같이개인정보자기결정권을둘러싼이슈를둘러싼국제규범현황도분석하고자한다. 즉국내 외차원에서개인정보자기결정권과관련된이슈 ( 잊혀질권리와디지털유산포함 ) 에각국이국민의개인정보자기결정권보장을위해이루어지고있는논의를검토하는것이다. 예컨대 5) 여기서 제3세대프라이버시 ( 新프라이버시 ) 라고하는것은빅데이터및 IoT 환경에서개인재식별이용이해지는상황을상정하여, 개인식별가능성이전제된개인정보자기결정권보장이아닌재차프라이버시를강조하는상황을의미하는것이며, 이러한제3 세대프라이버시개념은당연히개인정보자기결정권까지포괄하는넓은개념이다

22 최근개인정보자기결정권보장의일환으로유럽사법재판소가 잊혀질권리 를인정함에따라전세계적으로 잊혀질권리 입법화에대한논의가탄력을받고있는가운데잊혀질권리를둘러싼국제적규제지형변화를살펴본다. 또한디지털유산의문제는아직까지국제적문제로대두되고있지는않지만, 국제적차원의분쟁여지가있는만큼국내 외동향을살펴보고그시사점을논의하고자한다. 4. 개인정보관련국제규범의전략적모색본연구는개인정보에관한국제규범형성을위한국가간협력의필요성이증대하는최근의상황에주목한다. 각국가는 경쟁법 과같은영역에서영향이론, 이행이론등의이론적근거를마련하여국내법의적용범위를확대하여왔다. 그러나입법관할권과달리집행관할권은동의에기초하지않고타국의영토에서집행관할권을행사하는것은타국의영토주권을직접적으로침해하는행위이므로기본적으로영토적인한계를가질수밖에없다. 또한글로벌방송통신서비스를제공하는 ICT기업의출현으로개인정보의국외이전이급증함에따라각국이경쟁적으로자국의개인정보보호법을외국인또는외국법인에까지적용함으로써역외적용및역외집행문제가지속적으로발생하고있다. 개인정보보호를위한각국의규범의내용과처벌수준이국가마다천차만별이고, 개인정보보호법의역외적용에대하여국제적으로확립된원칙이나학설도부재하고, 역외적용에관한집행력을확보하기위해서는개인정보보호법의역외적용에관한통일적인국제규범과국제적인협력거버넌스가절실히요구된다. 그런점에서본연구는기술의발전에따른개인정보보호이슈지형의변화가지니는의미분석에기반하여최근의방송통신융합환경전반에걸친기술발전, 산업발전등을고려한국내규범의정비방안은물론, 국제사회에서글로벌협력체계구축과국제규범형성을주도할수있는전략적방안도제시하고자한다. 이를위해본연구는현재의국제규범과국내의개인정보의국외이전관련규정의규제수준을비교하여, 국내법제의개선방향과국제규범형성전략도출의근거를검토하고자한다. 특히내국인의정보주권확립을목적으로하는근거마련, 그리고국내차원의대응전략 ( 법제개선및정책운용방향 ) 과국제적차원에서의규범형성에있어서우리나라가선도적으로참여할수있는다양한방안을 - 7 -

23 제시하고자한다. 개인정보보호국제규범형성의단계적전략수립을위해프라이버시및개인정보유통과관련국제법적적용의다양한쟁점들에대한검토와대안도제시하고자하는바, 이와아울러개인정보보호국제규범의형성을위한주요단계별정책과제도아래와같이도출하고자한다. 6) [ 그림 1-1] 개인정보보호국제규범형성의주요단계별정책과제 ( 안 ) 6) 이러한개인정보보호국제규범의단계적모색은단기적전략과중장기적전략의구분및이를뒷받침하기위한정책과제도출이필요하기때문이다. 그런점에서국제규범을둘러싼국가간입장차이로인해사이버공간에보편적으로적용되는국제규범의창설이단기간에이뤄질가능성은매우낮지만, 단기적으로는사이버강국들의일방적역외적용에의한관할권확대와사이버불법행위의발생국, 피해국, 가해국, 피해국의경합적관할권이충돌되는상황의해결을모색하려는시도가있을전망이기때문에, 국제사회가유엔과같은정통성있는국제기구에서빠른시일내에사이버공간과기술의평화적이용에관한정치적선언을도출해내야하는것이시급하다는주장도제기된바있다 ( 유준구, 사이버스페이스거버넌스차원에서의국제규범적용가능성, 국립외교원외교안보연구소, 2014) - 8 -

24 제 3 절연구의추진체계및기대효과 본연구는방송통신위원회등관련기관및전문가들간의긴밀한협력하에협력적연구의효율성을제고할뿐만아니라연구성과를더욱극대화하기위해관련전문가연구협력팀을지속적으로운영하여합리적인정책대안을마련하고자한다. 특히연구진행에따라관련전문가 Pool을구성, 자문등의견수렴및검토작업을진행하는바, 이때의전문가 Pool은개인정보보호관련정책전문가, 정보보안전문가, 개인정보보호관련법 제도분석등이가능한정책및법률분석전문가를멤버로포함하고, 최근빅데이터 클라우드개인정보보호관련현안에대해상세한분석이가능한범부처, 학계, 산업계등각분야다수의전문가를초청하여주요현안을상세히분석하고자한다. 그리고관련정책세미나개최를통해정부부처, 시민단체, 학계, 산업계등다양한여론수렴과개인정보에관한국제규범형성에서의우리나라역할과과제를공론화하는과정도마련하고자한다. 7) [ 그림 1-2] 연구의추진체계 7) KISDI 와방송통신위원회는지난 9월 23일프레스센터기자회견장에서 개인정보보호이슈지형변화와국제규범형성전략 주제로공개세미나를개최한바있다

25 본연구는최근개인정보보호이슈의지형변화를검토하면서우리나라가선도하는국제규범형성전략을적극모색한다는점에서적절성과시의성을지니는연구라는점에서, 학술적 정책적으로기대하고자하는점및활용방안을정리하면다음과같다. 첫째, 개인정보국외이전이슈관련다양한자료를분석하여, 이용자개인정보보호관련국가아젠다도출에필요한참고자료로활용될것으로기대한다. 개인정보보호이슈논의지형의변화에따른우리나라의역할정립을위한연구협력팀을통해학계및산업계의다양한의견을청취하고, 연구에반영하여보다실효성있는연구결과를도출함으로써, 각분야전문가와정책수요자의의견이반영된정책자료를제공할것으로기대한다. 둘째, 향후표현의자유 알권리와의조화, 기술적 경제적한계등에대한분석및전문가의견수렴을통한국가전략의방향을도출함으로써우리나라가개인정보보호관련국제규범을선도하기위한정부의정책결정기초자료로활용될것으로기대한다. 셋째, 본연구의과정이학계전문가뿐만아니라시민단체, 공공기관등여러주체의참여와협력에기반을한다는점에서미래사회정보주권확립방안에대한사회적공론형성에기여할것으로기대한다. 더나아가우리나라가정보주권확립을위한국제적인협력과통일적인국제규범마련을구체화한다는점에서정보법학또는미디어법학등학술적의미도지니는독창적연구하고볼수있다. 넷째, 본연구는국내적으로자국민의개인정보보호, 개인정보보자기결정권보장뿐만아니라글로벌차원의정보주권확립에관한국제규범화전략을선도적으로제시함으로써방송통신융합환경에서해외주요국및글로벌기업과의경쟁에서자국민개인정보보호에도기여할수있을것이다

26 제 2 장개인정보보호패러다임의변화 제 1 절개인정보보호규범 1. 근대사회의형성과개인정보 개인정보의활용및그제한은비단오늘날의정보통신의발전상황속에서만문제시되고있는것은아니었다. 좀더거시적인관점에서보자면, 다소현대적관점에서와맥락상차이가있을수있지만중앙집권형국가가정립되어가던근대초기부터개인정보의활용이이루어졌다고평가할수있겠다. 이러한측면에서기든스 (Anthony Giddens) 는정보화사회의기점을근대시민국가의성립시기로파악하고있다. 근대초기 ( 개인 ) 정보활용의중점은국가의통치력및대외방어력을확보하기위한수단이었다고평가할수있을것이다. 8) 즉근대초기의개인정보를비롯한여타의정보활용은 국가 와 사회 의다소이원론적인구도속에서구체적으로파악이가능하다. 근대이후성장해온입헌주의국가의이념은개인의자유와권리를최대한보장하는데기본적인목적을두고있다. 이는궁극적으로개인의독자적정체성을확인하고보장하는것에서부터출발하는것이라고할수있다. 즉현재의입헌주의이념은자유주의적사고에입각하여국가와사회를다소관념적으로구분하고, 사회및그구성원인개인의자율성을최대한존중하고자하는취지를가지고있다. 이는우리 헌법 에도구현되어있는데, 동법제37조제2항은국가가사회또는개인의자율성 ( 국민의모든자유와권리 ) 을제한하기위해서는국가안전보장 질서유지또는공공복리를위하여필요한경우에한하여의회가제정한법률로써만제한할수있음을천명함과아울러, 제한하는경우에도자유와권리의본질적인내용을침해할수없음을규정하고있다. 바로여기에는자유주의이념의근간이라고할수있는소위 국가-사회이원론 적관점이전제되어있는것이다. 8) Anthony Giddens(1985), The Nation State and Violence: Volume 2 of A Contemporary Critique of Historical Materialism (Polity); A. Giddens, 진덕규 ( 역 )(1991), 민족국가와폭력, 삼지원

27 따라서근대이후정립된국민국가 (nation state) 에서는개인의독자적정체성을확립하고보장하기위해주권자인국민의자격요건을객관적으로확정할필요성이있었다. 이는달리말하여, 국민국가로서의근대시민국가의사회적통제장치의원활한작동을위해서는독자성을가진개인들에대한정보를필요로하게되었다. 구체적으로국가는상비군의구성원이될개인들의신상을파악하기위하여, 국가재정의근간이될조세의징수원을확보하기위하여, 관료에의한합리적국가운영을위한기초정보를확보하기위하여, 그리고궁극적으로는개인의요구사항을정치과정에서실현하기위하여개인들의정보를수집 처리 유지하여야했다. 9) 물론국가및공동체구성원에대한정보를수집및이용하는권력적행태는이미근대사회이전부터있어왔다고할수있겠지만, 개인에관한정보수집및이용의중요성이부각되기시작한것이근대국민국가의성립시기와맞닿아있는것이었다고평가할수있을것이다. 특히이러한국가적차원의정보관리가중요시된이유는금융과조세, 인구정보등각종공식통계의체계적인수집이중요시되었기때문인데, 이와같은상황은근대과학, 즉실증적인사고가급격하게수용되었던역사적사실과밀접한연관성을가진다. 10) 결과적으로자유롭고독자적인개인의지위를확보하기위한근대시민국가의성립은역설적이게도개인의정보에대한국가적감시및통제력을강화하는방향, 즉일종의감시체계의발전으로까지이어지는역설을낳았다. 특히이는역사적으로자유주의적폐단을극복하기위해도입된복지주의패러다임하에서독자적개인의존립의전제인국민들의경제적 사회적여건을보장하기위한목적을표방하며더욱강화된형태로그통제력이확장되었다고볼수있겠다. 이상과같은측면에서, 근대사회의성립과정에서실질적인정보감시체제가정립되기시작하였으며, 그결과현대적관점에서보자면개인정보의중요성또한부각되었다고볼수있다. 그러나분명한것은당시에는개인정보에대한관념은명확하게존재하지않았을것이라는점이다. 이러한개인정보의관념은이후역사적인변화과정을통해지속적으로구체화되었다고보는것이타당하다. 이러한발전의맹아가탄생한것은소위프라이버시 9) 김종철 (2001), 헌법적기본권으로서의개인정보자기결정권의재구성을위한시론, 인터넷법률 제4호, 면. 10) A. Giddens, 진덕규 ( 역 )(1991), 앞의책, 면

28 (Privacy) 의관념이싹트면서본격적으로시작하였다고볼수있다. 2. 프라이버시권 가. 프라이버시권의형성프라이버시권에대한본격적인관심은영미국가들의경험으로부터비롯된것이었다. 프라이버시권은원래부터독자적권리가아니라재산권, 계약및신탁등과연계된법리의연장선에서주거를비롯한사적공간에대한물리적침범에대해간접적으로인정되던권리였다. 19세기말에이르러서야프라이버시권은비로서법적인권리로인정받기시작하였다. 그단초를놓은것이바로워렌과브렌다이즈 (S.Warren & L.Brandeis) 였다. 11) 이들은선정적저널리즘의문제점에대해심각하게받아들이면서, 문헌을통해나타난사상, 정서또는감성에대한법적보호는보다광범위하고일반적인권리인사생활을간섭받지않을권리가세분화된것에불과하다고주장한다. 이후미국에서는판례및입법등을통해주로언론기관에의한사생활침해를규제하기시작하였다. 그러나이러한프라이버시권의내용은정보의유통및관리에연관된것이아니라, 주로전통적사생활보호의영역에서의자율성보장에그초점을맞추는것이었다고평가할수있다. 12) 프라이버시라고하는것은개념적으로볼때프라이버시그자체로존재하는것이아니라프라이버시를어떻게평가하느냐의문제일뿐이다. 그리고프라이버시권이라는개념도프라이버시에대한법적보호정도를어느정도까지확대할수있느냐하는범위의문제로귀결되는것이다. 13) 이러한관점에서프라이버시의개념에관한법의역할은그방향을설정하고올바르게나아가도록하는역할을하는것이지, 결코프라이버시의개념을확고부동하게결정하는배타적도구가되지못한다. 결국프라이버시의법적개념은이에관하여경쟁하는가치들간의이익형량의결과이거나상충하는법익중에서선택된이익이라고할것이다. 따라서프라이버시의개념적범주는일견모호하고또한매우광범위한영역을 11) 이들의논지에대해서는 S.Warren & L.Brandeis(1980), The Right to Privacy, Harvard Law Review 4를참조할것. 12) 김종철 (2001), 앞의논문, 31면. 13) Hyman Gross(1967), The Concept of Privacy, New York University Law Review 42, 36면

29 보호대상으로설정하게되고, 실제적인법적보호가이루어지는것은법적형량의결과문제로귀결된다. 프라이버시에관한개념적접근과더불어고찰하여야할사항이바로영역적접근이다. 공적영역과사적영역에서의관점은프라이버시를바라보는관점을근본적으로차별화하기때문이다. 일반적으로공적영역은작은공동체로부터국가와국제사회에이르기까지공개적인영역으로취급받아왔지만, 사적영역은개인이나가족을위하여불가침의은둔공간으로여겨졌다. 즉사적영역으로인정되는범위에서는공적권위로부터의자유를추구할수있고스스로의결정에따라서삶을영위할수있도록공적규율이나통치가인정되는공적인삶과는전혀다른세상으로이분화된것이었다. 14) 이처럼공적영역과사적영역은인간이삶을영위하는데있어서필수적인두개의차원으로이해되었다. 사실, 프라이버시라는말을사용한다는뜻은그가개화된문명사회의일원이라는뜻이된다. 왜냐하면공적영역에서의문명화된삶을상정하지아니하고서는사적영역으로취급받는프라이버시의존재자체가불가능하기때문이다. 오로지사적영역만이존재하는삶은결국공동체의삶을인정하지않는은둔자가아니면비문명인일수밖에없는것이다. 15) 이처럼프라이버시에관한관념은공적생활을영위하는삶에서출발한다. 공적영역과대별되는자신만의사적공간이있음과이에대하여타인이나국가에대하여, 즉공적영역에대하여이는사적영역임을주장하는근거가바로공적영역의존재인것이다. 나. 개인정보와프라이버시 이상과같은전통적인프라이버시권은사적영역의비밀성을외부적간섭으로부터보호 하려는개인의권리로서인정되기시작한권리이다. 당초이러한권리의성격은침해가있 을때에그것을배제할수있는권리라는측면에서소극적인의미를가지고있었다. 즉사 적영역에서의자율성그자체에초점을둔것이었다. 오늘날과같이정보의유통및관리에관한권리로서프라이버시권이인정되기시작한 것은정보통신기술의비약적발전에힘입어관련입법이증가하면서부터라고할수있다. 특히프라이버시권의개념적재구성을통해적극적프라이버시권을주장한웨스틴 (A. 14) Edwards Shils(1966), Privacy: Its Constitution and Vicissitudes, Law and Contemp orary Problems 31, 면. 15) Hannah Arendt(1958), The Human Condition, University of Chicago Press

30 Westin) 의연구는일종의기폭제역할을했다고평가할수있다. 그는프라이버시를단순히소극적간섭배제의수단으로보기보다는적극적으로자신에관한정보의흐름을통제할수있는권리로전환할필요성이있다고전제하고, 프라이버시권을개인, 집단, 기관들이그들자신에관한정보를언제, 어떻게어느정도까지타인에게유통시킬지여부를스스로결정하고자하는요청으로정의하였다. 16) 그는프라이버시가고립성 (solitude), 친밀성 (intimacy), 익명성 (anonymity), 은닉성 (reserve) 의개념요소를갖고있다고설명한다. 첫째, 고립성 (solitude) 은평온, 공연하게타인이나공공으로부터떨어져있는것을의미한다. 마음의평정은물리적고립으로부터가능하게된다는것이다. 초자연이나신과의대화나또는신의가호를위한목적등고립성의근거는다양하게제기될수있으나일단물리적고립이라는목표는프라이버시개념요소중에서가장달성가능성이높은것임에는틀림없다. 둘째, 친밀성 (intimacy) 은인간이은둔을원하는최소단위의일원으로서하는행위로서둘사이에서나혹은개인적으로서로에밀착하여편안함과솔직함을느끼도록하는것을말한다. 대표적인예로서는부부관계, 가족관계, 친목회 (friendship circle), 배타적파벌 (clique) 을들수있다. 이러한친밀성은인간이인간관계를맺는데있어서갖게되는기초적심리상태가되는것이므로프라이버시로서의의의가크다고보겠다. 셋째, 익명성 (anonymity) 은인간이공적영역에서활동하게되는경우에아직은스스로의정체를밝히지않고감시받지않는상황에서의자유로운행동을하고자하는경우에필요한것이다. 전철을타거나스포츠경기장에가거나거리를걸을때그는다른사람의눈길속에있지만유명인사가아닌한그의정체를밝히고그에따라행동할것을요구받지아니한다. 그저상황에따라행동을하기만하면되는것이다. 만일우리가시스템적으로감시받는객체임을자각하고있다면공공장소에서편안하게자유로움을느끼며행동하는것은불가능하다고할것이다. 이런점을감안하면익명성이우리의일상생활에서얼마나중요한역할을하고있는지새삼느끼게되는것이다. 이러한공적행위에관한익명성과더불어사상의공표에있어서익명성이라고하는것은또다른차원의중요성을갖는다. 표현행위에있어서의익명성은사상의자유시장을지탱하는중요한덕목이된다. 익명성 16) A. Westin, Privacy and Freedom, Atheneum, 7면 ; 안경환 (1988), 미국의프라이버시보호법제에관한연구, 통신정책동향 제10호, 8면

31 이야말로공적프라이버시 (public privacy) 의핵심요소가되는것이다. 넷째, 은닉성 (reserve) 프라이버시개념요소중에가장이해하기어려운요소이다. 은닉성은원치않는침해로부터심리적장애물을설치하는것을말한다. 인간이자신을둘러싼환경으로부터자신에대한접근을차단하는한계를설정하는경우에이러한은닉성이발현된다. 인간의삶은대부분고립되어서 (solitude) 익명으로 (anonymity) 진행되기보다는어느정도의친밀성을갖고 (intimacy) 다른사람과연결되어있게마련이다. 그러나아주친밀한관계라할지라도타인과의의사소통은완벽한것이아니며타인과공유하지않고자신만갖고있고자하는부분이있는것이다. 지극히사적인것이거나아주성스러운것, 치욕스런것, 표현하기에불경스런것등이바로그런것이다. 이러한은닉성은인간관계에서 정신적거리 (mental distance) 를자아내고이는또사회적관계에서는 사회적거리 (social distance) 를만들어일상적사회생활에서의의사소통에적용된다. 웨스틴이주장하는적극적프라이버시관념이과거의소극적프라이버시관념과가지는연계지점은바로 사생활보호 라는측면과결부되어있다. 물론적극적프라이버시관념은과거의소극적이던것에비해개인의사생활보호를통해정치적 사회적참여및기본권행사의전제가되는권리개념으로발전한것이다. 그러나이러한개념도개인의정치적의사형성과사회적자율성의전제로서기본적으로는사적인성격을가지는정보를보호하여야한다는발상에의거하고있다는점에서, 그기본적전제가사생활보호에초점을두고있는소극적프라이버시와동일하다. 다. 프라이버시권의보호범위 : 로서의사생활영역이상에서살펴본바와같은, 프라이버시권의연혁적상황은정보통신기술의발전을전제로볼때의미있는진전을보여주고있음에도불구하고, 그한계를인정하지않을수없다. 이러한한계는오늘날활용되고있는개인정보개념과같이그보호대상을명확하게확정하기힘들다는문제로부터기인하는것이다. 적극적으로자신에관한정보의흐름을통제할수있는권리로서의적극적프라이버시권을주장하는견해가존재한다. 그리고이러한견해는현대적관점에서활용되고있는개인정보자기결정권이라는관념을추동했다는점도부인할수없다. 그러나앞서언급했던바와같이적극적프라이버시권론의그궁극적인초점을사생활보호에두고있다. 이는

32 달리말하여, 그정당성의근거를인간존엄의존중과개인의인격보호에서찾음으로써그궁극적인목적을개인신장의전제조건확보에두고있다. 17) 그결과이러한권리관념은그보호대상의개념적범위를명확히하기보다는다소포괄적으로설정하고, 맥락적 (contextual) 상황을전제로형량을통해구체적인법적보호를부여하는방식을취하게된다. 또한법적인보호대상이개념적으로명확하지않기때문에, 이를근거로자신의권리를적극적으로제기하기힘든상황이전제되어있다. 결국프라이버시권에바탕을둔개인에관한정보의통제는그것이소극적프라이버시권에대한논의이든, 적극적프라이버시권에관한논의이든, 궁극적으로는다소포괄적인사생활영역에서의인격권에대한소극적차원의권리주장에머무를수밖에없는구조적한계를가지고있다. 3. 개인정보자기결정권 가. 개인정보자기결정권의형성과거전통적인프라이버시권논의에있어서는개인의사생활보호를목적으로하는다소소극적인정보의보호와통제에그초점을두고있었다. 18) 그러나정보화의진전으로인하여국가공동체운영에있어개인에관한정보들의활용은필수불가결한상황이되었다. 공동체운영의필수적요소가된개인정보를더이상사생활보호라는소극적범주에묶어둘수는없는상황이되었다. 국가적차원에서개인에관한정보의수집및유통자체는현개사회에서효율적 민주적 복지적관리를위해불가피하게되었으며, 사인간에있어서도개인적복리와편의를위해서자발적으로자신에관한정보의제공이필요한경우도매우자주발생하고있다. 따라서정보의활용자체가불가피한측면이있다면, 자신의정보를적극적으로통제및관리할수있는새로운권리관념의형성이필요하게되었다. 자신에관한정보의흐름을스스로결정하거나자율적으로통제할수있는권리 를뜻 17) 김종철 (2001), 앞의논문, 34면. 18) 적극적프라이버시권관념에근거한전통적인정보통제권의법리는개인의사생활보호와관련한개인정보프라이버시권과국민의정치권력에대한통제와연계되어있는공공정보공개청구권을두축으로하고있다. 성낙인 (1999), 프라이버시와개인정보보호를위한입법정책적과제, 영남법학 제5권제1 2호, 22면

33 하는용어로, 공법학계와법실무계에서는 개인정보자기통제권 19) 또는 개인정보자기결정권 20) 등이사용되고있다. 개인정보자기통제권 의경우, 적극적프라이버시개념에입각하여 정보주체가자신과관련된정보전파를통제할수있는능력 을중시하는미국의 정보프라이버시론 의영향을받은용어이고, 개인정보자기결정권 은일반적인격권에입각하여 자기의개인정보의공개와이용에관하여스스로결정할각자의권한 을중시하는독일의 인구조사판결 영향을받은용어로이해할수있겠다. 21) 그러나 개인정보자기통제권 이라는용어를사용하는측에서도자신에관한정보흐름의통제능력상실이인격적가치를형해화시킬수있다는점을부인하지않으며, 개인정보자기결정권 이라는용어를사용하는경우에도자신에대한정보의수집과처리과정에적극적으로관여하는것을중시하므로, 양자는용어상의차이일뿐, 실질적권리보장내용상의차이는아니라고할수있다. 헌법재판소는 개인정보자기결정권 이라는용어를사용하면서, 그개념을 자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리, 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리 22) 로정의하고있고, 대법원은특정한용어의사용없이헌법제10조와제17 조의헌법규정이사생활이함부로공개되지아니할소극적인권리는물론 고도로정보화된현대사회에서자신에대한정보를자율적으로통제할수있는적극적인권리 23) 도보장하고있는것으로파악하고있다. 19) 자신에관한정보흐름의 통제권 에중점을두는용어로서, 자기정보관리통제권, 자기정보관리권, 자기정보통제권, 자기정보에대한통제권, 자기에대한정보의전파를컨트롤할수있는권리, 자신에관한정보의통제권, 개인정보통제권, 개인정보자기통제권 등다양한용어가사용되고있다. 20) 자신에관한정보에있어서 스스로결정할수있는권리 에중점을두는용어로서, 정보상자기결정권, 자기정보결정권, 정보의자결권, 정보자기결정권, 개인정보자기결정권 등다양한용어가사용되고있다. 21) 권건보 (2005), 개인정보보호와자기정보통제권, 경인문화사, 면, 면참조. 22) 헌법재판소 헌마513 결정. 23) 대법원 선고 96다42789 판결. 다만, 하급심판결은 정보관리통제권 또는 자기정보통제권 이라는용어를명시적으로사용하고있다. 각각서울고등법원 선고 95나44148 판결 ; 서울중앙지방법원 선고 2006가합22413 판결참조

34 생각건대오늘날정보통신수단의발달에의한사회변화는정보자체가하나의자본이며권력으로기능할수있는조건을제공해주고, 이처럼자본화되고권력화된정보가사회체계운용의효율성을높이고반사회적요인들에대한통제를용이하게하여사회의안정적발전에기여하기도하지만, 실재하는개인에체화되어있지아니하면서도그개인의정체성을결정하는데이터화한개인정보들의집적과유통은그정보보유자에의한항상적감시와통제를가능하게하는부작용도낳고있다. 따라서단순히개인정보에대한소극적침해배제나적극적접근및수정권의보장을넘어, 정보가원래의목적에부합하게사용되도록요구하고그정보가어떻게사용되고있는지를감독할수있게함으로써국민의정치권력및사회권력에대한통제권을강화할필요성이있고, 그러한측면에서 자신의개인정보가어떻게수집, 처리, 관리, 이용되는지에대한감독권 으로서 개인정보자기결정권 을법체계속에서수용해야할필요가있을것이다. 나. 개인정보자기결정권의헌법적근거 개인정보자기결정권 의헌법적근거를찾으려는노력은단순히이를헌법상기본권으로포섭하는과정에서그정당화근거를찾는이론적작업에그치는것이아니라, 관련권리의 성격 및 기능 을여하히이해할것인가, 나아가그 보호영역 을여하히설정할것인지를결정하는실천적의미를갖는작업이라고할수있다. 개인정보자기결정권 의헌법적근거를둘러싸고다양한의견이제시되고있지만전통적으로, 1 제17조에서찾는견해, 2 제10조에서찾는견해, 3 제17조를기본으로하면서도, 제10조, 제4조, 제8조등을보완규정으로언급하는견해로유형화할수있겠다. 24) (1) 제17조근거설권영성교수는자기정보관리결정권의법적근거를헌법제17조사생활의비밀과자유에서찾고있다. 이조항은 1987년헌법이정보화사회에서의개인정보침해의심각성을고려하여새로이창설된것이며이는특히 1987년헌법이제127조제1항에서정보의개발을국가의임무로규정한것에서도인정될수있듯이헌법제정자의의도가개인정보보호의새로운필요성에있다고보아야한다고주장한다. 그리고그는개인정보자기결정권을핵심요소로하는사생활의비밀과자유는프라이버시권의한분권인동시에제10조의인간의 24) 이하학설소개는김종철 (2001), 앞의논문, 면참조

35 존엄성규정, 제37조제1항의열거되지아니한권리보호조항과더불어인격권의근거규정이라고보고있으며, 또한사생활의비밀과자유를목적조항으로삼고이조항을보완하는수단적규정들로제18조의통신의불가침이특별히규정되어있다고보고있다. 결국이견해는개인의개인정보자기결정권이인간의존엄을확보하는데필수불가결한사생활보호의차원에서인정된다는점을특히강조하고있는특색이있으며, 개인정보보호의필요도정보의디지털화에의해사생활침해의새로운양상에대응하기위해제기되는것이라는입장을취하고있다. 이러한견해는비교적근래헌법에명시적으로사생활의비밀과자유를보장한헌법제17조의입법취지를고려한장점을인정할수있겠다. 그러나이견해는국가에의한개인정보의수집과관리가일반화되어 감시사회 에대한경계감이확대되고있는현대사회에서개인정보보호의필요성은단순히사생활보호의차원에서머무를수만은없고, 공동체의주권자가공동체의전체이익을위해수집, 관리되는정보에대한통제권을적절히행사하여국가권력의남용을방지하는정치적권리로서의측면까지포섭하는데있음을간과하는한계가있음을부인할수없다. (2) 제10조근거설김철수교수는헌법제17조가보장하는사생활의비밀과자유가소극적자유권에서부터적극적청구권까지포함하는복합적권리로파악하는것과는달리사생활의부당한공개로부터의자유를말하는것으로자유권의일종이라고본다. 그는미국에서헌법적기본권으로인정되고있는광의의프라이버시권과는달리개인의자율권등을내용으로하지아니하는협의의프라이버시를보장하는것이라고파악하고있다. 대신정보화사회에서중요한자기정보에대한결정권혹은콘트롤권은헌법제10조의인간의존엄과가치및행복추구권에서그근거를찾을수있다고주장한다. 이견해는개인정보자기결정권이사생활의보호라는좁은영역에서포섭되기에는성질상한계가있다는점을인식하고있는점에서권영성교수의견해보다진일보하고있는듯보이지만, 개인정보자기결정권의근거를인간의존엄과행복추구권에서찾음으로써그외연을궁극적으로는개인의자율권의신장이라는측면에만고정시키는한계를여전히안고있다

36 (3) 제 17 조보완설 성낙인교수는제 17 조의사생활의비밀및자유조항에의해직접적으로보장된다고하 면서도헌법제 10 조의인간의존엄과가치, 행복추구권규정과헌법전문, 제 4 조와제 8 조 의자유민주적기본질서규정이이를보완하고있다고주장한다. 이견해는앞의두견해와달리, 개인정보자기결정권의의미가개인의사적인격의보장 차원에머무르는것이아니라국가의의사결정과밀접한의미를가지는인격의공적성격 을간파하고있다는점에서진일보한주장이지만, 자유로운인격의보장이자유민주적의 사결정의정당성을담보한다는점을강조하는데머무름으로써이권리가권력행사의민 주성을확보하는데중요한정치적권리로서의성격을가진다는점을놓치고있다. (4) 판례의입장 헌법재판소가개인정보자기결정권을명시적으로처음언급한 99 헌마 513 결정 25) 은개인 정보자기결정권을제 17 조, 제 10 조그리고국민주권원리또는민주주의원리를이념적기초 로하는 헌법에명시되지아니한독자적기본권 으로파악하고있지만, 그직후결정인 2003 헌마 282 결정 26) 은개인정보자기결정권의근거를헌법제 10 조와제 17 조에한정지으려 는태도를보이고있으며, 이후엇갈리는결정들이혼재하여헌법재판소견해가무엇인지 를둘러싸고혼란이야기되고있다. 27) 생각건대, 교육행정정보시스템 (NEIS) 사건에서헌법재판소가 개인정보자결정권 헌법 적근거를제 17 조와제 10 조로한정한것을특정한의도를가지고행한결정이라고볼근거 가희박하고, 동사건을따른결정례들에서 개인정보자기결정권 과인격권그리고사생활 의비밀과자유간기본권경합을판단한주민등록법제 17 조의 8 등위헌확인사건의설시 내용을그대로반복하고있다는점을고려하면, 28) 헌법재판소의기본적인태도는개인정 25) 헌법재판소 헌마513 결정. 26) 헌법재판소 헌마282 결정. 27) 99헌마513 결정을따른결정으로는헌법재판소 헌마257 결정 ( 형의실효등에관한법률제8조의2위헌확인 ); 헌법재판소 헌마663 결정 ( 민사집행법제70조등위헌확인 ) 등이있고, 2003헌마282 결정을따른결정으로는헌법재판소 헌마1401 결정 ( 소득세법제165조제1항등위헌확인 ); 헌법재판소 헌마1092 결정 ( 의료급여법시행령별표제1호가목등위헌확인 ); 헌법재판소 헌바132 결정 ( 민사소송법제290조등위헌소원 ) 등이있다

37 보자기결정권을제17조, 제10조그리고국민주권원리또는민주주의원리를이념적기초로하여 헌법에명시되지아니한독자적기본권 으로파악하는것이라고볼여지가있다. 29) 또한대법원은이른바보안사사찰폭로사건에서헌법제10조, 헌법제17조에서개인정자기통제권의근거를찾고있다. 30) 즉대법원은이들헌법규정들이개인의사생활활동이타인으로부터침해되거나사생활이함부로공개되지아니할소극적인권리는물론, 오늘날고도로정보화된현대사회에서자신에대한정보를자율적으로통제할수있는적극적인권리까지도보장하려는데에그취지가있는것으로해석된다고설시한바있다. 개인정보자기결정권 은자유로운인격성의보장을위한측면과권력통제권이라는정치적권리로서의성격을동시에가지는복합적권리로파악되어야하고그헌법적근거도재구성될필요가있을것이다. 개인정보자기결정권 의자유로운인격성의보장을위한측면은인간의존엄과가치, 행복추구조항에서찾을수있고, 정치적권리로서의개인정보자기결정권의근거는궁극적으로우리헌법의기본원리로서의국민주권의원리와민주주의의원칙에서찾을수있다. 특히민주주의원칙을그근거로이해할때, 개인정보자기결정권 은 정치적권리 로서의성격을갖고, 이는종래 개인정보자기결정권 을프라이버시권의개념아래서인격권적성격과자유권적성격그리고그보호를위한청구권적성격을내포하는것으로이해하던방식에서한걸음더나아가권력에대한민주적통제와감시를강화함으로써국민주권을 28) 헌법재판소 헌마1092 결정그리고헌법재판소 헌바 132 결정은개인정보자기결정권의근거를제10조와제17조로한정하면서도, 다음과같이기본권경합에대한판단을하고있다. 청구인이그침해를주장하는인격권, 사생활의비밀보장권은모두개인정보자기결정권의헌법적근거로거론되는것들로서그보호영역이개인정보자기결정권의보호영역과중첩되는범위에서만이사건과관련되므로, 특별한사정이없는이상개인정보자기결정권에대한침해여부를판단함으로써위기본권들의침해여부에대한판단이함께이루어지는것으로볼수있어그침해여부를별도로다루지아니한다. 논리적으로, 개인정보자기결정권을 헌법에명시되지아니한독자적기본권 으로승인할때에만인격권또는사생활권과의기본권경합논의가가능하다는점에서, 헌법재판소의기본적태도는개인정보자기결정권을 독자적기본권 으로파악하는것이라고할수있다. 29) 같은견해로, 양건 (2011), 헌법강의, 법문사, 408면참조 ; 다만양교수는연구진과는달리이러한헌재의태도에대하여비판적이다 ( 양건 (2011), 앞의책, 409 면참조 ) 30) 대법원 선고 96다42789 판결

38 실질화하는정치적권리의중심으로고양시키는것을뜻한다고할수있을것이다. 다. 개인정보자기결정권의내용프라이버시의족쇄로부터해방된새로운 개인정보자기결정권 은 자신의개인정보가어떻게수집, 처리, 관리, 이용되는지에대한감독권 을뜻하고, 이렇게이해할때, 개인정보자기통제권 은적극적프라이버시권의개념하에보호되던정보에의접근권과정보수정 삭제권을그내용으로포섭할뿐만아니라, 그정보가원래의목적달성을위해서만사용되고있는지에대한감독권까지포함할수있을것이다. 개인정보자기결정권 의내용은개인정보형성 유통단계별또는통제유형별로준별해볼수있는바, 개인정보형성 유통단계에따라개인정보수집통제권, 개인정보보유통제권, 개인정보이용통제권으로구분할수있고, 정보주체가정보보유자를통제하는유형에따라개인정보수집목적등설명청구권, 개인정보열람청구권, 개인정보정정청구권, 개인정보삭제청구권, 개인정보이용중지청구권으로구분할수있다. 결국정보보유자행위통제를위해인정되는구체적권리들은개인정보의수집 이용목적을벗어난오 남용을방지하고, 정보주체를통제하기위한넓은의미에서의 감독권 의구체화라고할수있다. 31) (1) 수집통제권정보주체의 수집동의권, 개인정보수집에앞서수집사실고지와명시적인수집목적을제시하고수집된개인정보처리와이용등에대한구체적인안내를요청할수있는 설명청구권, 사상, 신조등 민감한개인정보수집금지 등이포함될수있고, 불필요하게자신의신원을밝히지않고거래또는교섭을할수있는권리를뜻하는 익명권 또한넓은의미의수집통제권에포함될수있다. (2) 보유통제권정보주체가자신에관한정보에접근할수있는권리를뜻하는 열람청구권, 정보주체가자신에관한정보를열람한결과정보내용이부정확하거나불완전한것일경우이에대한정정을요구할수있는권리를뜻한 정정청구권, 정보보유자가보유가허용되지않는개인정보를보유하거나직무수행상그개인정보보유가더이상불필요한경우정보주체가 31) 개인정보형성 유통단계별개인정보자기통제권내용은권건보 (2005), 앞의책, 면을주로참조하고일부보완 수정을가하였다

39 그삭제를청구할수있는권리를뜻하는 삭제청구권 등이포함될수있다. 이에더하여, 특정목적을위해수집된개인정보는다른기관에서다른목적을위하여수집된개인정보와원칙적으로통합되지않고분리된상태로유지될것을요구할수있는권리를뜻하는 분리청구권 또한넓은의미의보유통제권에포함될수있다. (3) 이용통제권개인정보가수집당시동의한기간을경과하여이용되고있거나그개인정보가법또는수집목적에위반하여이용되고있을경우정보주체가그중단을요구할수있는권리인 중단청구권, 정보보유자가개인정보의수집목적외이용을원하거나제3자에게제공을원할경우정보주체의동의하에만가능하고, 동의의전제로서그이용 제공목적등에대한설명을요구할수있는권리를뜻하는 추가적동의권또는설명청구권 등이포함될수있다. 라. 개인정보자기결정권의보호범위 : 로서의개인식별가능정보다른나라들과마찬가지로, 우리나라의개인정보보호법제 ( 개인정보보호법, 정보통신망이용촉진및정보보호등에관한법률 등 ) 들은기본적으로개인정보자기결정권의내용들을보장하기위한체계로구성되어있다. 우선, 헌법상열거되지않은기본권으로서의개인정보자기결정권을인정한헌법재판소는개인정보자기결정권의보호대상에대해서다음과같이기술하고있다. 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다. 이에따르면, 개인정보자기결정권이보호대상은기본적으로개인의동일성또는주체성을식별할수있게하는일체의정보이다. 이러한맥락에서, 현행개인정보보호법제들은개인식별가능성을기반으로보호대상으로서의개인정보를유사하게개념정의하고있다. 현행법제상 개인정보 는사적정보 ( 私的情報 ) 중개인을식별할수있는가능성이있는정보를의미한다. 이는현재우리나라의대표적인개인정보보호법제인 개인정보보호법, 정보통신망이용촉진및정보보호등

40 에관한법률, 위치정보의보호및이용등에관한법률 등이공히취하고있는입장이다. 예를들어, 개인정보보호법 제2조제1호는 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다 고규정하고있다. 이러한개인정보자기결정권보호대상및범위에해당하는개인정보의개념은앞서살펴보았던프라이버시의보호범위에해당하는사생활영역에비하여구체적이라고할수있다. 즉법해석에있어맥락과상황에근거하여형량이필요하다는점은프라이버시의경우든개인정보자기결정권의경우든마찬가지이지만, 개인정보자기결정권보호범위에해당하는개인정보는개인식별가능성표지를전제로하기때문에형량의여지가적다고할수있으며, 그만큼구체적인개념을전제로한다고할수있다. 입법론적차원에서판단해보자면, 개인식별가능성을전제로하는개인정보의개념은프라이버시에관한판단에비하여정보의소통과흐름을원활히해주는역할도수행하고있다. 예를들어, 프라이버시와그전제인사생활영역의보호라는견지에서보자면일단사적영역에해당하는정보가, 실제적인규제가이루어질수있는지여부를별론으로하더라도, 대부분프라이버시의보호범위에포섭된다. 그러나개인정보의경우에는개념적표지가전제로되어있기때문에, 그러한개념의해석상범위를넘어서는정보는정보활용이비교적자유로운성격을가진다고할수있다. 이러한측면에서개인정보자기결정권과이를실현하기위한개념적전제인개인정보는개인에관한정보의보호는물론이고이용까지도고려한입법기술이라고할수있다. 4. 개인정보보호규범모델과동향가. EU 모델과미국모델미국과유럽에서는일찍이 18세기및 19세기를거치면서개인정보보호의중요성에대한논의가시작되었으나, 현대에와서는서로매우다른개인정보보호에관한법제를갖추게되었다. 32) 그결과현재세계각국의개인정보보호법제들은 EU 모델과미국모델로구분 32) 고학수 (2014), 개인신용정보의공유와보호의한계에대한최적화구조연구, 국회입

41 된다. 물론이러한구분은각국의규제가어떠한경향성에방점을두고있는지여부에관한것이며, 각국의실제규제현실에있어서는두모델이중첩적으로나타나는경우가많다. 이러한두모델의주요한차이점들로는다음과같은것들이있다. 첫째, EU 모델은기본적으로일반법 (omnibus law) 을통해규율하는형식을채택하고있는반면, 미국모델은 섹터별접근 (sectoral approach) 으로평가할수있다. 이와관련하여, 일원적규제체계를가지고있는 EU 모델은대체적으로균질적인개인정보보호수준의유지와규제집행이가능하다는이점을가지고있는반면, 개별영역의특수성은행정적규제재량에의존하는경향성이있다고볼수있다. 미국모델의경우에는일반법이존재하지않은상황에서개별영역의집행근거를가지고규제가이루어지기때문에, 영역의특수적환경과상황에대응하기에용이한측면이있으며, 또한포괄적규제를설정하지않음으로써규제를최소화하는데긍정적으로작용할수있다. 둘째, EU 모델의전통은개인의존엄성, 명예, 인격의발현등의개념을중시하여개인정보보호에있어서도인격권으로서의성격을강조하는경향이있다. 개인정보자기결정권 이라는헌법재판소의개인정보보호의이념도이러한유럽적전통을참조한것으로보인다. 반면미국모델의경우에는법적인규제가설정되어있지않은경우이러한개인정보자기결정권의실현양태라고할수있는고지및동의절차, 즉 인폼드콘센트 (informed consent) 에대한관념이명확하지않은측면이있다. 따라서 EU 모델에비해미국모델이빅데이터및기타정보활용등에있어서는유리한측면이있다. 특히동의방식문제와관련하여미국모델의경우에는동의철회등의방식을활용하는사후동의방식 (opt-out) 방식이용이하게인정된다. 셋째, 집행및규제기관문제와관련하여, EU 모델의경우에는개별국가에일원적은규제기구의일환인 DPA(Data Protection Authority) 가설치되어법이집행되는데, 개별 DPA에따라법집행의양태나관행이다소다르게나타나는경우가종종있다. 반면미국모델의경우에는 FTC를통한법집행이외에, 각주별법집행이이루어지기도하고피해자들에의한집단소송도주기적으로발생한다. 또한 NGO 나시민단체들도적극적인역할을한다. 미국모델의경우 EU 모델에비하여명확하게일원적규제기관이설정되지않는다 법조사처, 8 면

42 는점에서개인정보규제가제대로이루어지않는다는평가가있을수있지만, 이는규제목적을달성하는방식의차이에관한문제로서실질적인개인정보보호수준과필연적으로결부되는것은아니라고할수있겠다. 최근빅데이터의활용및클라우드컴퓨팅의발전등과더불어세계각국은기본적으로개인정보보호강화의필요성을절감하고있으며, 개인정보규범체계의정비를위한다양한논의들을전개하고있다. 그러나각국가의개인정보보호규제수준과방식은그나라가처한상황에따라다르게나타난다고볼수있다. 이는기본적으로활용및보호라는양가치간의형량에있어경제적ㆍ문화적차이가반영된것이라고판단된다. 또한규제수준과관련하여, EU의경우에는정보주체의주체성또는인격권을더욱강조하는입장에있다고할수있고, 미국의경우에는전반적으로는개인정보보호의강화추세에부합하는측면이있기는하지만, 현실적으로는 EU의보호수준에는못미치는것으로평가할수있을것이다. 나. EU와미국의세부입법동향 (1) EU 유럽에서는 1950년의유럽인권협약 33) 과 1981년의유럽회의협약 34) 에이어, 1995년 EU 개인정보보호지침 (Directive 95/46/EC) 35) 이채택되었으며, 이는이후개인정보의개념이나그보호기준에관해국제적으로상당한영향을주고있다. EU 개인정보보호지침 은역내에서개인정보를취급하는경우에항상적용되는것은아니다. 동지침에의하면개인정보의처리를전부또는일부자동화수단 (automatic means) 으로하는경우, 또는개인정보를자동화수단이외의방법으로처리하더라도그것이파일링시스템의일부를구성하거나구성할의도로처리되는경우에도적용된다. 그러나공동체법의적용범위밖에서개인정보가처리되는경우, 예컨대공공의안전, 방위, 국 33) European Convention for the Protection of Human Rights and Fundamental Freedoms, ECHR. 34) Council of Europe Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data, Euro. T.S. No.108: CoE ) Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data,

43 가안보, 형사법분야에서의국가활동에관하여처리작업이이루어지는경우, 또한자연인에의한순수하게개인적이거나가정내활동중에처리되는경우에는동지침이적용되지아니한다. 36)37) EU는개인정보의비밀을지키도록하되, 정보주체가자신의무슨정보가수집되고누가이를어떻게이용하는지, 어디에보관하는지, 어떻게오류를수정하고갱신이되는지, 어떻게삭제할수있는지를동의및동의철회등의절차에기반하여통제할수있도록하였다. EU는미국등과함께인터넷산업의경쟁적차원을고려하고있는것은사실이지만, 대체적으로최신의기술적발전동향에발맞추어지속적으로관련규제를강화시켜나가고있다. 이와관련해서는여러관련법들이존재하지만, 비교적최근에 2012년에발의된 EU 정보보호규칙 (General Data Protection Regulation 38) 제정안이가장대표적인규제대응사례라고할수있다. 이의주요내용으로는동의권과관련한엄격한사전적동의를의미하는사전동의 (Opt-in) 원칙의채택, 개인정보처리자의서비스설계및초기설정단계에서의프라이버시보호조치의무, 이용자의프로파일링에대한거부권, 사업자의다이렉트마케팅구분고지의무, 잊혀질권리, 통계목적등을위한개인정보처리의동의권예외등이있다. 전반적으로는정보의활용보다는정보주체의개인정보보호의측면을강화하고있다고평가할수있을것이다. 39) (2) 미국미국에는 2006년 12월지금까지공공부문과민간부문을포괄하는일반적인개인정보보호법제가존재하지않는다. 공공부문과민간부문의보호체계를분리하여, 민간부문에있어서는각영역별로입법에의한보호가개별적으로이루어지고있다. 36) EU 개인정보보호지침 제3조 ( 범위 ) 참조. 37) 박훤일 (2006), 금융거래와개인신용정보의보호, 경희법학 제41권제1호, 4면. 38) 클라우드컴퓨팅, SNS 등의대두에따라온라인상에서개인정보보호를더욱강화하고디지털경제를촉진하기위하여 EU지침을전문개정한것으로, 유럽연합집행위원회 (European Commission) 가 2012년 1월 25일유럽의회에제안한것이었다. 최근 2013 년 1월유럽의회는동규칙제정안에대한개정제안서를발표한바있다. 39) 이규칙제정안의기본적인내용들에대해서는함인선 (2012), EU 개인정보보호법제에관한연구 년개인정보보호규칙안 을중심으로하여, 저스티스 통권제133호참조

44 공공부문과관련해서는, 공공부문에서만적용이되는 1974년의 프라이버시법(Privacy Act) 에근거하여설치된 프라이버시보호연구위원회 (Privacy Protection Study Commission) 가 정보사회에있어서의개인의프라이버시 (Personal Privacy in an Information Society) 라는보고서에서공개의원칙, 개인접근권의보장, 개인참가의원칙, 수집제한의원칙, 사용제한의원칙, 제공제한의원칙, 정보관리의원칙, 책임의원칙이라는여덟개의원칙을제시하였다. 40) 민간부문의개인정보보호법제에있어미국은영역별로규칙제정이이루어진부문을제외하고는, 자율규제보호의원칙하에정보주체의개인정보를보호하고있다. 미국은의료정보, 통신정보, 신용정보등을제외하고는동의권문제와관련하여일반적으로 Opt-out 방식의개인정보처리 41) 를허용하고있기때문에, EU 등다른나라에비하여상대적으로빅데이터의활용에유리한법적환경을가지고있다. 최근미국의개인정보보호강화움직임을보여주는사례로는 2012년 2월 23일오바마정부가발표한 온라인프라이버시프레임워크 42), 2012년 3월 26일미국연방거래위원회 (FTC) 의프라이버시보호권고로서의성격을가지는 급변하는시대의소비자프라이버시보호 43) 가있다. 미국의개인정보관련규제에있어온라인추적차단 (Do Not Track) 정책은 2010년부터미국 FTC가온라인기업등에게권고해왔으며입법화를추진하는사항으로, 디지털단말기이용자들이자신의개인정보추적수준을직접제한할수있도록브라우저사업자들 (browser venders) 이자신의서비스에추적차단옵션을제공해야한다는내용을가지고있어주목할필요가있다. 40) 이러한원칙들은 OECD의개인정보보호정책과영국의 데이터보호법 에직접적으로큰영향을미쳤다고평가받는다. 41) Opt-out 이란일반적으로, 사전에동의를원칙적으로요구하는것이아니라, 개인정보의제3자제공및목적외사용에대해서정보주체가사후적으로거부할수있는선택권을부여하는방식등을의미한다. 42) The White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, Jan ) FTC, Protecting Consumer Privacy in an era of Rapid Change : Recommendations for Business and Policymakers, March

45 다. 한국의개인정보보호법제우리나라에서개인정보보호와관련된법률로는온라인과오프라인영역, 그리고공적영역과사적영역등을규율하고있는다양한개별법률들이존재한다. 앞서언급한개인정보보호규범모델의분류에따르자면, 현재우리나라는 EU 모델에해당한다고할수있다. 그러나문제는과거영역벽개인정보보호규제체계를가지고있던상태에서일반법인 개인정보보호법 의제정을통하여 EU 모델로의전환이이루어졌다는측면에서실제적차원에서는기존개인정보관련법률 ( 특별법 ) 들의규제와일반법상의규제가혼융되어있는상황이다. 따라서규제현실을반영하여우리나라의입법모델을구분해보자면, 이상적으로는 EU 모델을추구하지만현실적으로는미국모델과유사한측면이있다고볼수있다. (1) 일반법으로서의 개인정보보호법 개인정보보호법 은개인정보보호에관한일반법으로서기능한다. 동법제정및시행이전에개인정보보호에관해존재해오던개별법적용영역에는기본적으로기존법이적용되지만, 관련규정이없거나당해영역에적용될법률이없는경우일반법으로서의 개인정보보호법 이적용되며, 이는규제의사각지대를없애는역할을한다. 즉원칙적으로기존법률들은일반법에대하여특별법으로서기능하기때문에, 사안에적용될법률상규정이있는경우당해기존법률이우선적용된다. 개인정보보호법 은정보주체의개인정보자기결정권보장이라는측면에서사실상기존의 정보통신망이용촉진및정보보호등에관한법률 ( 이하, 정보통신망법 ) 의기본골격을그대로수용하고있다. 즉정보의수집, 이용및제공을위해서는정보주체의사전적동의, 즉 Opt-in 원칙을전제로하고있다 ( 동법제15조 ~ 제22조 ). 이러한동의제도에기반하여동법은또한정보주체가자신의개인정보에대한열람, 정정, 삭제및처리정지등을요구할수있는권리도부여하고있다. 이러한정보주체의개인정보자기결정권보장은현대개인정보보호법제에있어필수적인부분이다. 44) 44) 개인정보보호법의시행과관련한개괄적인설명으로는심우민 (2011), 개인정보보호법시행과당면과제, 이슈와논점 제308호를참조할것. 또한이법의제정배경과제기되는문제점들에대해서는손형섭 (2012), 개인정보보호법의특징과앞으로의방향 - 업계의반응에대한몇가지대안을중심으로, 언론과법 제11권제1호를참조

46 (2) 정보통신관련개별보호법제위와같은일반법으로서의 개인정보보호법 이포괄하는정보통신기술과관련한기존개별법률중대표적인것으로는 정보통신망법 과 위치정보의보호및이용등에관한법률 ( 이하, 위치정보법 ) 이있다. 이두법률들은개인정보보호법과유사한개인정보보호체계, 특히개인정보자기결정권보장체계를가지고있다. 정보통신망법 은정보통신서비스제공자를규제대상으로하고있으며, 개인정보보호법 과마찬가지로정보주체의사전적동의권을전제로하고있다 ( 동법제22조 ). 또한동법은정보주체 ( 이용자 ) 가동의철회, 열람, 정정등을요구할수있는권리를보호하고있다 ( 동법제30조 ). 위치정보법 은그규제대상으로위치정보사업자또는위치기반서비스사업자를대상으로하고있다. 동법은위법률들과마찬가지로개인정보자기결정권을보장하기위한동의권등의제도적장치가강구되어있음은물론이지만구조적측면에서다소차이가있다. 즉개인식별이가능한개인정보에해당한다고할수있는 개인위치정보 와일반적인 위치정보 를구분하여규율하면서, 개인위치정보에대하여더욱엄격한동의및그철회권, 열람및정정요구권을보장하고있는특색이있다 ( 동법제24조 ). 물론동법상의개인정보자기결정권보장체계도기본적으로는사전동의 (Opt-in 원칙 ) 를전제로하고있다. 45) (3) 한국개인정보보호규범의특수성이상의분석및정리를토대로우리나라개인정보보호규범의특수성또는문제점들을정리해보면다음과같다. 첫째, 형식및체계적인측면에서우리나라의개인정보보호법제는앞서언급한바와같이일반법-특별법의혼합체계를취하고있다. 그결과상당수의규제실무상의문제가바로이지점에서발생하는경우가많다. 일반법인 개인정보보호법 의제정및시행에도불구하고, 규제현실에있어서는이법이설정하고있는일반법과특별법관계가정상적으로작동하고있지못하다는평가가지배적이다. 특별법인 정보통신망법, 신용정보의이용및보호에관한법률 ( 이하, 신용정 45) 이법에대한전반적인설명과제기되는문제점에대한지적은박경신 (2012), 개인정보의정의와위치정보보호법의개선방안 - 익명위치정보, 허가제및즉시동의요건을중심으로, ( 전북대 ) 법학연구 제37집을참조

47 보법 ) 등관련법률에서는일반법사항들을대부분그대로중첩적으로규정하고있을뿐 만아니라, 같은문제를다르게규율하는경우도있다. 이러한복잡한지형을다소축약적 인표로정리해보면다음과같다. 소관부처규제대상사업자개인정보의종류법률구분 안전행정부 방송통신위원회 금융위원회 < 표 2-1> 소관부처별개인정보보호법률및규율내용 공공기관오프라인사업자 CCTV 설치자기타개인정보처리자 정보통신서비스제공자위치정보사업자 신용정보회사등금융회사 공공기관개인정보민간영역개인정보개인영상정보 온라인정보 ( 개인 ) 위치정보 신용정보금융거래정보 개인정보보호법 정보통신망법위치정보법 신용정보법전자금융거래법 보건복지부 의료기관 의료정보 의료법 교육부 교육기관 교육정보 교육기본법 * 출처 : 김경환 (2014), 개인정보보호법제및감독기구의개선방향, 개인정보보호법개정을위한입법토론회, 68 면의변형 일반법 특별법 이상에제시된특별법영역의법률들은주요한것들만을열거한것으로, 이밖에도개인정보와관련한법률들이더존재할수있으며, 또한기술적 사회적상황변화에따라추가적으로또다른법률의적용을받는새로운영역의개인정보보호이슈가제기될수도있다. 이는개인정보보호법제의지형이다양화되고있는상황들만큼이나법적용및집행의상황도더욱복잡화될수있는여지가있다. 둘째, 내용적측면에서한국의개인정보보호법제와관련하여가장논란이되는쟁점은동의권행사방식문제와개인정보의개념적범위의문제이다. 우리나라의법제는규범적차원에서만보자면전반적으로강한정보주체의개인정보자기결정권을보장하고있다고할수있다. 그것은위에서살펴본법률들의주요내용에서볼수있는바와마찬가지로, 사전적동의, 즉 Opt-in 원칙을실정규정을통해고수하고있기때문이다. 따라서현재클라우드컴퓨팅및빅데이터의활용에있어중요쟁점으로부각되고있는사안중하나가바로정보주체의동의권행사방식문제라고할수있다

48 이러한동의권행사방식변화의전제로서반드시언급되어야하는문제로는, 개인정보의개념에관한논란이다. 그이유는개인정보자기결정권의보장은법적으로 개인정보 라고인정될수있는정보를대상으로하는것이기때문이다. 즉법적으로개인정보의범주에포함되는정보에대해서는정보주체의권리를인정해줌으로써이에대한통제및보호를강화하도록하고, 이러한법적범주에포함되지않는정보에대해서는최소한의기준으로서헌법상보장되는사생활비밀과자유를침범하지않는수준에서당해정보를활용할가능성을보장해준다는취지를현행법이가지고있는것이다. 위와같이, 우리나라의개인정보보호법제는정보주체의개인정보자기결정권보장, 달리말하여개인정보의활용보다는보호에더욱초점을맞추고있는것으로평가할수있을것이다. 따라서이러한보호범위의조정을위해서는정보주체의동의권행사방식과개인정보개념에대한논의가필수적으로진행되어야할필요성이있다. 라. 개인정보보호규범의변화노력이상에서고찰한내용들을정리해보면, 전세계적으로개인정보보호규범및그관념에대한변화노력이지속적으로경주되고있는상황이라고평가할수있다. 전반적으로는개인정보자기결정권을구체적으로어떠한방식으로실현시킬것인가의문제가그초점에있다고할수있다. 이러한전세계적인개인정보보호규범개선논의의핵심쟁점은데이터활용이급증하는환경속에서어떻게하면실질적으로개인정보를보호하면서도관련정보의이용을저해하지않을수있는지여부와관련되어있다. 이러한쟁점사항의부각은기본적으로정보통신기술의비약적확장과발전에힘입은바가크다. 개인정보보호와이용간의조화문제는기본적으로어떠한가치관을취하는지여부에따라각기상이한결과가도출될수있기때문에, 각국가들은아직까지명확한입법대안을제시하지는못하고있는상황이며, 실제적으로는기존법제및원칙의일부변화만을추구해가고있을뿐이다. 현단계에서개별국가의개인정보보호법제들은다소상이한특성과내용들을가지고있는것이사실이지만, 장기적인관점에서보자면네트워크를통한경제적 문화적교류등을위해서는국가간개인정보보호규범의조화가이루어질것이라는점을예측해볼수있

49 다. 이러한상황을전제로한국의경우에는현행개인정보보호법제의실질화를위해노력해야하는것은물론이고, 다른국가들의개인정보보호규범을적극적으로고려하여그들법제들과의괴리를좁혀나갈수있어야할것이다. 이상과같은보호규범개선의노력을위해서중요한것은그러한규범이작동하고있는정보보호의기술적환경을충분히고려해야할것이다. 이러한문제가면밀하게검토되지않는다면, 변화된환경속에서개인정보의보호와이용간의조화를꾀할수있는지점을찾기힘든상황이될수도있다. 제 2 절개인정보보호환경의변화 1. 네트워크및정보통신기술의규범적특성 오늘날정보화사회에서개인정보의문제가중요한쟁점으로부각되고있는것은기본적으로네트워크기술의발전이전제되어있다. 따라서개인정보보호환경변화의의미를정확하게추적하기위해서는이러한네트워크기술발전의개인정보보호와관련한규범적의미를명확히해두어야할필요성이있다. 네트워크기술의일상화된실현형태인인터넷의출발점은미국국방성의고등연구계획국 (ARPA, Advanced Research Project Agency) 이개발한알파넷 (ARPANET) 으로거슬러올라간다. 이는유사시어느한곳이공격받아도무너지지않는국가연락망을구축하는것을목표로만들어진것이다. 군사적목적으로전문가들만이사용하던폐쇄적인인터넷을일반인들이이용할수있도록하는데결정적인기여를한사람은팀버너스리 (Timothy John Berners Lee) 이다. 팀버너스리는 생각과기술, 사회의분산적이지만유기적인성장을포괄하기위한것 으로서웹을고안하였다. 그의웹발명으로인하여당시까지만해도복잡한방법을통해인터넷을이용해야했던많은사람들은매우간편하게인터넷에접속하게되었고, 이는결과적으로인터넷의대중화에결정적으로기여하게되었다. 46) 팀버너스리는웹이기술적인측면보다는사회적인측면이강하다고역설하였으며, 46) 조희정 (2010), 네트워크사회의정치와민주주의- 정부 정당 시민사회의변화와전망, 서강대학교출판부, 29면 ; 심우민 (2008), 정보사회법적규제의진화, 한국학술정보,

50 그가웹을설계한것은단순히기술적인유희때문이아니라사람들이함께일하는사회적효과를중시했기때문이라고강조한다. 그결과웹의목적은거미줄같이짜인세상의존재를지원하고향상시키는것이라고밝히고있다. 47) 이러한그의기획은현재의 SNS 와같은네트워크의발전성과에비추어볼때상당히성공적이었다고평가할수있을것같다. 이러한팀버너스리의구상은인터넷의이상또는구성원리라고일컬어지는 E-to-E (End-to-End; 최종사용자에서최종사용자까지 ) 개념을내포하고있는것이다. 이러한것이의미하는바는네트워크의한쪽끝에서다른쪽끝까지를연결하여정보를소통한다는의미이고, 이러한관념에입각하여설계된네트워크는이용자수보다도많은무한한목적지들을연결함으로써그물망같은네트워크를만들어낸다는의미로이해할수있겠다. 결국 E-to-E 라는이상은끊임없는연결과소통을의미한다. [ 그림 2-1] 네트워크의매개 현실공간 H H 네트워크 E D C-P Network D C-P E * 주 : H=Human, E=End, D=Device, C=Content, P=Platform 위그림에서파악할수있는바와같이네트워크가매개된종단 (End) 간의소통은과거인간과인간간의그것에비하여소통되는데이터량이급증하게된다. 이는네트워크의연결적속성에기반한것이다. 결국인터넷등네트워크가전제된현대사회에서의개인정보보호규범에대해고민하기위해서는, 필연적으로이러한네트워크의속성에대해이해할필요성이있다. 특히이러한네트워크속성에대한이해는기술구현방식에대한이해가아니라, 기술적환경을규범적으로어떻게이해할수있을것인지에대한문제로귀결된다. 면참조. 47) Tim Berners-Lee(1999), Weaving the Web: The Original Design and Ultimate Destiny of the World Wide Web by Its Investor, Harper; 우종근 ( 역 )(2001), 당신이꿈꾸는인터넷세상월드와이드웹, 한결BP, 170면

51 이하에서는 C-P-N-D 모델에입각하여각층위별로개인정보와관련한사항들에대해살펴보면다음과같다. 첫째, 컨텐츠 (Contents) 층위이다. 과거부터현재까지개인정보가문제시되던주된영역이바로이층위라고할수있다. 즉정보의내용에개인식별가능성을가지는내용이존재하는지여부에따라그에대한법적보호를부여할지여부에대한판단이달라진다. 네트워크생태계를고려해볼때, 데이터소통량의증대는궁극적으로컨텐츠의급속한활용증대를가져오고, 그과정에서수개의정보가결합하여개인식별가능성을가지는정보가급증할것을예상해볼수있다. 그러나과거와같이이에대한법적규제가용이하지않다. 그이유는막대한양의데이터활용과관련하여언급되고있는빅데이터 (Big Data) 등에대한최근담론의지형을전제로볼때데이터그자체는어떠면인간의통제력을넘어서는상황일수도있기때문이다. 둘째, 플랫폼 (Platform) 층위이다. 플랫폼층위는과거일반적으로컨텐츠층위에해당한다고볼수도있는영역이지만, 비즈니스적관점에서네트워크와컨텐츠가직접연계될수는없고, 이를매개하는사업영역의필요성으로인해일정부분경영적관점에서도입된층위라고할수있다. 즉플랫폼층위는이용자들의컨텐츠접근을용이하게해주는역할을한다. 그런데이러한플랫폼이용과정에서이용자확인을위한각종인증수단의활용은개인정보취해위협증대의결정적원인을제공할가능성이있다. 또한플랫폼은기본적으로이용상편의를위하여호환성을갖출것이요구되는데, 이러한측면에서개인정보유출가능성또는위험을증대시킬가능성이높다. 셋째, 네트워크 (Network) 층위이다. 네트워크는프로토콜 (protocol) 에기반하여정보의송수신을매개하는역할을한다. 이영역은기본적으로기술중립성이전제되어있기때문에, 본래적으로는개인정보에관한이슈는그다지큰문제는아니라고할수있다. 그러나망중립성등의문제와관련하여트래픽현황파악및관리를위하여패킷 (packet) 을부득이하게감청하는결과가발생할수있어, 대량의개인정보감시의위험성이존재한다고볼수있다. 넷째, 디바이스 (Devices) 층위이다. 스마트기기의활용이보편화 일상화되면서과거의 PC 등일반적인통신기기에비하여그내부에는다양한개인식별정보가저장되어있는경우가많고, 경우에따라서는그러한정보가복제되어전송될수있는가능성도높다고

52 할수있다. 즉이러한저장및복제 전송기술은정보화사회에서개인정보침해위협의 가장기초적인원인을제공하고있다고할수있다. 2. 데이터활용의급증 정보통신및네트워크기기의활용이지속적으로증가하면서, 데이터의복제 전송이과거에비하여용이한상황이전개되고있다. 특히최근논의되고있는빅데이터활용, 클라우드컴퓨팅그리고사물인터넷으로의발전은모두데이터활용의비약적증대와연관되어있는쟁점들이라고할수있다. 즉사물인터넷등네트워크활용을통한막대한양의컨텐츠및데이터가생산되고, 관련대량정보를클라우드의가상화공간에저장하는것은물론이고, 이러한대량의정보들을가치있는정보로활용하기위해빅데이터분석이이루어진다. 정보통신환경은최근몇년간스마트폰및태블릿 PC 등모바일통신기기활용의증대와더불어매우급격하게변화하고있다. 사회일각에서는이를스마트혁명이라고평가하고있으며, 비교적근자에는클라우드컴퓨팅 (Cloud Computing), 48) 빅데이터 (Big Dat a) 49) 등의용어로대변되곤한다. 이는과거와는비교할수없을정도로막대한규모의데이터가저장되며매우빠르게소통된다는사실을의미한다. 이러한데이터의활용은굳이구체적인예를들지않더라도우리일상생활의많은부분들을변화시키는중요한원동력으 48) 사실클라우드라는개념은초기인터넷시절부터사용되던정보통신용어이다. 네트워크로연결된컴퓨팅자원집단을하나의구름 (cloud) 덩어리로표현한것에서유래한것이다. 그러던것이최근가상화 (Virtualization) 기술, 그리드컴퓨팅 (Grid Computing), 그리고고속데이터전송등과같은기술적요인이부각되면서, 최근에는지리적ㆍ물리적으로분산되어있는전산자원을마치자신의물리적지배하에놓여있는컴퓨팅자원처럼이용할수있도록하는기술을의미하게되었다. 49) 일반적으로빅데이터는다음과같은특성을가지는것으로설명되어진다. 첫째, 막대한규모 (Volume). 둘째, 다양한종류 (Variety). 셋째, 실시간적생성주기 (Velocity). 넷째, 가치창출 (Value) 이그것이다. 이러한빅데이터의출현과분석기술의발전은데이터관리패러다임의변화를의미하는것으로, 단순한축적및공유의대상으로서의데이터관념을넘어서서, 분석및상황인식적추론을위한기반으로서의데이터가치가적극적으로인정되고있는것이다. 최경진외 (2012), 빅데이터환경에서개인정보보호강화를위한법ㆍ제도적대책방안연구, 개인정보보호위원회, 9면참조

53 로작용하고있다. < 표 2-2> 는전세계인터넷트래픽의예측전망치이다. 여기에서확인할 수있는바와같이, 추후에도지속적으로네트워크를통한데이터소통이증대될것으로보 이며, 특히모바일통신 ( 데이터 ) 이이러한변화를급격하게추동할것으로예측된다. < 표 2-2> 년세계인터넷트래픽전망 ( 유형별 ) ( 단위 : PB(Peta Byte)) 연평균성장률 고정인터넷 31,339 39,295 47,987 57,609 66,878 81,818 21% 관리형 IP 11,346 14,679 18,107 21,523 24,740 27,668 20% 모바일데이터 885 1,578 2,798 4,704 7,437 11,157 66% 총계 43,507 55,553 68,892 83, , ,643 23% * 출처 : Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2012~2017, 2013, 6 면. 그러나막대한규모의데이터의저장및소통은일상생활의편의성을증대시키는것이사실이지만, 그만큼의위험을내포하고있다고평가할수있겠다. 그러나일반이용자들의입장에서는막연하게데이터의활용이가지는위험성만을인지하고있을뿐, 그것이무엇을원인으로어떠한결과를초래할수있을지에대해서는정확하게알기힘들기때문에, 관련법적규범및정부정책은이용자들이이러한위험성에유효하게대비할수있는방향성을제공해주어야할필요성이있다. 50) 위와같은상황적요인은개인정보보호의문제와관련하여더욱중요한논의지점을제공해준다. 막대한양의데이터가저장및집적된다는사실은그만큼개인정보침해의위험성이증가한다는점을의미하며, 또한데이터의소통이대규모로이루어진다는사실은그과정에서소통되는개인정보를통제하기어려워진상황을의미하는것이기도하다. 3. 개인최적화서비스로의지향성 단대단 (End-to-End) 원리에입각하여설계된네트워크는그태생에서부터이를통해연 50) 이러한측면에서규범통지 ( 規範通知 ) 의기술로서바람직한입법이갖추어야할사항들을고민해볼수있을것이다

54 결된개인또는주체에최적화된정보활용을전제로한것이라고할수있을것이다. 과거일방향적이고집단적성격을가지는매스미디어의활용으로부터최근모바일디바이스및이와연계된다양한미디어의발전은개인최적화서비스로의발전경향을보여주는예시라고할수있다. 이와같은상황은전체적인개인정보보호법제의논의에있어, 우리헌법상자유주의이념이전제된 국가-사회관계론 을넘어서서, 국가-사회-개인의관계망 이라는새로운관점이부각된다는점을말해준다. 달리말하자면 이용자의주체성 이부각되고있다는점을말한다. 이용자의주체성부각은정보의이용및활용에있어, 최종정보소비자이자제공자로서의개인또는이용자의지위가더욱더강조되고있는상황을의미한다. 사회및민간영역에서이용자주체성이강화되고있는상황은앞서살펴본인터넷트래픽전망을영역별로구분하여검토해보면더욱명확해진다. 아래표에서보는바와같이, 사업자및정부영역에비하여소비자 ( 이용자 ) 영역의트래픽이더욱큰비중을차지한다. 결국이는이용자주체성이부각되고있다는점을간접적으로시사한다. < 표 2-3> 년세계인터넷트래픽전망 ( 영역별 ) ( 단위 : PB(Peta Byte)) 연평균성장률 소비자 ( 이용자 ) 35,047 45,023 56,070 68,418 82,683 98,919 23% 사업자및정부 8,522 10,530 12,822 15,417 18,327 21,724 21% 총계 43,507 55,553 68,892 83, , ,643 23% * 출처 : Cisco, Cisco Visual Networking Index: Forecast and Methodology, 2012~2017, 2013, 6 면. 이용자의개인정보제공은개인에최적화된서비스를제공받기위한중요한수단이라고할수있음은너무나도당연하다. 최종이용자를확인및확정 ( 식별 ) 할수있어야, 그에최적화된정보및재화를공급할수있다. 따라서개인정보의제공은네트워크서비스이용의필수적인전제라고평가할수있다. 반면, 이러한정보는정치적ㆍ사회적ㆍ경제적으로다양하게활용및악용될여지가있다. 특히시장에서의마케팅타깃을확정하기위한중요한수단으로활용될수있다. 이러한측면에서개인정보의보호및활용의경계확정이

55 매우중요한문제로제기된다. 그러나이러한보호및활용의경계를전통적인방식과같이획일적인법적규제로설정 하기에는한계가있다. 그것은개인정보의제공성격은매우다양하게나타날수있기때 문이다. 개인식별가능성이높은정보라고할지라도이용자의입장에서는유용한서비스 를제공받기위해타인에게그정보를제공할수도있으며, 개인식별가능성이매우낮은 정보라고할지라도이용자개인이사적영역으로서보호받고싶은정보가있을수있다. 따라서이러한개인의취향및선택을법률적으로획일화하여보호하기보다는, 가급적개 인의선택에기반하여정보의통제권을부여해주는개인정보자기결정권 51) 이강조되고있 는상황이다. 이러한측면에서개인정보자기결정권은고정적이라기보다는다소 맥락적 성격 을가지는권리이다. 현행법상특정정보가개인정보자기결정권의법적보호대상으로서의개인정보인지여 부를판단하기위해서는, 당해정보가개인식별가능성을가지는지여부또는수개의정 보가용이하게결합하여개인식별가능성을가지는지여부를판단하여야한다. 이중후자 의경우가논쟁적사안으로비화되는경우가많은데, 이는수개의정보가 결합용이성 52) 을가지는지여부의판단과결부되어있기때문이다. 53) 이러한판단에있어앞서언급한 51) 자신에관한정보의흐름을스스로결정하거나자율적으로통제할수있는권리 를뜻하는용어로, 공법학계와법실무계에서는 개인정보자기통제권 또는 개인정보자기결정권 등이사용되고있다. 헌법재판소는개인정보자기결정권을명시적으로처음언급한 99헌마513 결정은개인정보자기결정권을제17조, 제10조그리고국민주권원리또는민주주의원리를이념적기초로하는 헌법에명시되지아니한독자적기본권 으로파악하고있지만, 그직후결정인 2003헌마282 결정은개인정보자기결정권의근거를 헌법 제10조와제17조에한정지으려는태도를보이고있으며, 이후엇갈리는결정들이혼재하고있는상황이다. 52) 현행우리나라의개인정보보호법제들은개인식별가능성표지와더불어, 당해정보만으로는특정개인을알아볼수없더라도다른정보와 쉽게또는용이하게 결합하여식별가능성을가지는 ( 알아볼수있는 ) 정보를포함하는것으로규정하고있다. 53) 소위 증권통사건 으로알려진서울중앙지방법원 선고 2010고단5343 판결은이러한쟁점을보여주는대표적인사례이다. 소프트웨어개발자가증권정보를제공하는 증권통 이라는앱을개발하여배포하였는데, 이애플리케이션은사용자의스마트폰에서 IMEI 번호 ( 단말기인증번호 ) 및 USIM 번호의조합정보등을읽어와서버에저장하였다. 법원은이러한정보를아는경우통신사측의정보를이용하면구체적인개인식별이가능하다는취지에서결합용이성을인정하였다. 또한최근에는휴대전화

56 사안의 맥락성 은중요한의미를가진다고할수있다. 4. 국경간개인정보유통증대 국경간개인정보의유통은과거에도있어왔던것이지만, 최근에는 ICT 글로벌비즈니스영역의확대로인하여더욱급속한속도로증가하고있다. 이는기본적으로전자상거래등경제적소통증대와맞물려있는것이어서, 향후신자유주의및 FTA 정책기조하에서는더욱가속화될것으로보인다. 특히 ICT 기업의활동범위는네트워크가가지는연결성과개방성에기초해볼때, 국경의범위를초월하여설정되는것은당연하다. 예를들어, 최근각광받고있는각종 SNS(Social Network Service) 및전자상거래 금융거래사이트들은주로해외에본사및서버를두고사실상국내에서영업하는경우가많다. 개인정보의국외이전및제공의형태는논자의개념정의에따라다양한형태로논의될수있지만, 개인정보의이동형태를기준으로하면, 자발적제공형, 전자상거래형, 중개형, 공유형, 이전형, 인수 합병형, 제3자제공형으로나누어볼수있다. 54) 이중최근에는 자발적제공형 과 전자상거래형 에해당하는사례들이증가하고있는것으로파악된다. 즉직업해외사이트에가입하여자신의정보를제공한다든가, 해외전자상거래사이트를이용하기위해정보를제공하는경우가그것이다. 이상과같은상황에더하여, 클라우드컴퓨팅 (Cloud Computing) 의활용증대는이러한개인정보의국외이전을더욱촉진할것으로보인다. 그이유는클라우드서비스의구조적측면을확인해보면명확해진다. 번호뒤 4자리도개인정보라고인정한대전지방법원논산지원 선고 2013고단17 판결도논란을불러일으켰다. 이판결에서법원은도박신고를한김모씨의휴대전화뒷자리를가르쳐준혐의 ( 개인정보보호법 위반등 ) 로기소된경찰관과김씨의전화번호를받은도박참가자에게각각징역 6월, 4월에집행유예 1년을선고했다. 위두사안의경우사안의맥락성을어떻게판단하느냐에따라결과가달라진다는특징을가지고있다고할수있다. 즉이는정보간결합용이성에대한맥락적판단의문제이다. 54) 이용규외 (2006), 개인정보국외이전관련국가간협력방안연구, 한국정보보호진흥원, 7면이하

57 [ 그림 2-2] 클라우드컴퓨팅서비스의구조 이용자 (A) 클라우드컴퓨팅서비스제공자 (B) 클라우드제공자 ( 데이터센터 ) (C) 위그림은클라우드컴퓨팅서비스의제공과이용에관한구조를단순화하여도식을구성한것이다. 현행 클라우드컴퓨팅발전및이용자보호에관한법률 에따르면 클라우드컴퓨팅서비스제공자 의개념적범위에는 (B) 와 (C) 를별도로구분하고있지않다. 그러나실제관련서비스제공자들의행태를파악해보면, 외형적으로는이용자에게관련서비스를제공하는것처럼보이는클라우드컴퓨팅서비스제공자는, 실제데이터센터등가상화솔루션설비를또다른사업자로부터제공받는다. 55) 간단하게말하자면, 데이터를저장할수있는서버등물리적공간및설비를관련사업자들과의예약을통해서비스제공자가활용하는것이다. 데이터센터설비를구축하기위해서는관련입지및환경이적합해야가능하다. 따라서대부분의경우에는부지구입비용이저렴하고, 전기공급이효율적인장소를택하여데이터센터를구축하게된다. 그결과국내에서관련설비를기반으로영업을하고있지만, 데이터센터설비는제3국에존재하는경우가많으며, 경우에따라서는다수의국가들에분산하여데이터설비를구축하는사례도있다. 결국이러한구조적상황하에서는클라우드컴퓨팅서비스제공자는이용자로부터개인정보를직접수집하여이를해외에있는서버에저장하는방식을택하는경우가일반적인행태라고할수있다. 따라서국내이용자의개인정보가해외로자연스럽게이전되는과정을거치게되는것이다. 물론데이터센터로이전되는모든이용자정보가개인정보에해당하는것은아니라고할수있다. 이전되는정보들중일부만이개인식별가능성을가질수있기때문이다. 그 55) 물론사업자에따라서는데이터센터를직접보유하면서클라우드컴퓨팅서비스를제공하는경우도있기는하지만, 여기에서는일반적인사업수행의행태및구조를언급하는것이다

58 러나이러한클라우드컴퓨팅서비스의활용이궁극적으로개인정보국외이전을더욱촉진 한다는사실은명확하다. 제 3 절개인정보보호규범의변화요청 1. 개인식별가능성실질적으로개인정보자기결정권을보장하기위해서는그객체인개인정보의개념에대해명확히할필요가있다. 명확한개념정의가전제될때그에대한적절한보호방식을모색해볼수있기때문이다. 대체적으로법적으로보호의대상이되는개인정보는 개인식별가능성 을가지는정보이다. 이는단지하나의정보가가지는식별가능성만을의미하는것이아니라, 다수의정보가용이하게결합하여식별가능성을가지는경우까지포함한다. 그런데문제는현대사회에서와같이다양한정보가결합하여개인식별가능성을가지는개인정보로변환이가능한상황이라는점, 그리고식별가능성이라는것자체가다분히상황적요인의영향을받는맥락적인개념이라는이유에서특정개념을전제로명확한보호범위를설정하는데에는어려움이따른다. 개인정보보호법 제2조제1호는 개인정보란살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 ( 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 ) 를말한다 고규정하고있다. 정보통신망법 제2조제1항제6호는 개인정보란생존하는개인에관한정보로서성명ㆍ주민등록번호등에의하여특정한개인을알아볼수있는부호ㆍ문자ㆍ음성ㆍ음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다 고규정하고있다. 위치정보법 은개인정보로서의성격을가지는위치정보를 개인위치정보 로정의하며, 동법제2조제2호는 개인위치정보라함은특정개인의위치정보 ( 위치정보만으로는특정개인의위치를알수없는경우에도다른정보와용이하게결합하여특정개인의위치를알수있는것을포함한다 ) 를말한다 고규정하고있다. 결국현행개인정보보호

59 법제들은 개인식별가능성 을전제로한개인정보개념을설정하고있으며, 이에더하여다수의정보가결합하여개인식별가능성을현출하는경우 결합용이성 을추가적인요건으로규정하고있다. 이러한상황은해외주요국가들의법제에서도마찬가지라고할수있다. EU 개인정보보호지침 은개인정보를 자연인을식별하거나식별할가능성이있는모든정보 (any information relating to an identified or identifiable natural person) 라고정의하고있다. 또한 2012년에제안된 EU 정보보호규칙 ( 안 ) 제4조제2항에서는개인정보에대하여 정보주체에관한모든정보 (any information relating to a data subject) 라고규정하고있어형식적으로개인정보의범위를넓힌것으로보이지만, 동규칙제4조제1항에서정보주체를직간접적으로식별되었거나식별될수있는자연인으로정의하고있어, 56) 개인식별가능성을전제로한개인정보개념과별반차이가없다. 독일의 연방정보보호법(Bundesda- tenschutzgesetz) 제5조제1항은개인정보를 자연인의신원을식별하거나또는식별할수있는정보주체에관한인적및물적환경에대한일체의정보 로정의하고, 프랑스의 정보처리ㆍ축적및자유에관한법률 (Loi n du 6 janvier 1978 relative à'informatique, aux fichiers et aux libertė) 제3조는 개인정보는기명이나무기명의형식의관계없이직간접적으로자연인의신원을식별하거나확인할수있는개인또는법인이처리하는정보 라고정의한다. 57) 각국개인정보보호법제상의개인정보개념정의규정에대한구체적인규정들을정리하면다음과같다. 56) data subject means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person. 57) 정영화 (2002), 인터넷상개인정보보호및분쟁해결에관한연구, 인터넷법연구 제1 호, 한국인터넷법학회, 24면

60 국가 EU (Data Protection Directive) 영국 (Data Protection Act) 프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdatens chutzgesetz) 스웨덴 (Personal Data Act) 일본 ( 개인정보보호법 ) < 표 2-4> 각국의개인정보개념정의규정 개인정보개념정의규정개인정보는 식별되거나식별가능한자연인 ( 이하, 정보주체 라한다 ) 에관한정보를말한다 ; 식별가능한개인이란신분증번호를통하여또는신체적, 생리적, 정신적, 경제적, 문화적, 사회적요소에관한하나또는그이상의정보를통하여직 간접적으로알아볼수있는사람을의미한다. 제1조개인정보란다음으로부터식별될수있는살아있는개인에관한정보를의미한다. 살아있는개인을식별할수있는정보 살아있는개인을식별할수있는정보및개인정보처리자가보유하고있거나보유할가능성이있는기타정보그리고개인에관한의견, 개인정보처리자또는그밖의사람들의개인에관한의사표현을포함한다. 제 2 조신분증번호또는자연인에관한하나또는그이상의요소로직간접적으로식별되거나식별가능한자연인에관한모든정보개인이식별가능한지여부를결정하기위해서는개인정보처리자또는그밖의사람들이이용또는접근가능한모든수단을고려해야한다. 제3조개인정보란식별되거나식별가능한개인에관한인적물리적환경에관한모든정보를말한다. 제3조이법에서사용되는용어의뜻은다음과같다. 개인정보살아있는자연인과직간접적으로관련이있을수있는모든유형의정보 제 2 조제 1 항이법률에서개인정보라함은생존하는개인에관한정보로서, 해당정보에포함되는성명, 생년월일기타기술등에의해특정한개인을식별할수있는것 ( 다른정보와쉽게조합할수있고, 그에따라특정한개인을식별하는것이가능하게되는것을포함한다 ) 을말한다

61 국가 호주 (Privacy Act) 캐나다 (Personal Information Protection and Electronic Documents Act) 개인정보개념정의규정 제 6 조개인정보란, 진실여부또는기록된형태에 ( 데이터베이스를구성하고있는정보또는의견을포함한다 ) 상관없이, 개인에관한정보또는의견을통하여신원을알수있거나신원을합리적으로확인가능한경우, 그정보또는의견을말한다. 제 2 조제 1 항개인정보개인정보란식별가능한개인에관한정보를말한다. 단기관직원의이름, 직함, 직장주소및전화번호는포함하지않는다. 그런데문제는빅데이터의분석과정에서다양한정보간의결합이이루어지고, 이과정에서개인식별가능성을직접적으로가지는정보가활용될가능성은물론이고, 원래는익명성을가지는정보들간의결합을통해개인식별가능성을가지는경우가발생할가능성이농후하다는점에있다. 그결과현행개인정보보호법제들이현재빅데이터활용을저해한다는의견이강하게제기되면서, 현행법제가개인정보개념의전제로하고있는 개인식별가능성 요건을완화해야할필요성이논해지고있다. 이러한완화요구가일정부분타당성을가지는것도사실이지만, 이에대해서는장기적인관점에서신중하게접근해야할필요성이있다. 급박한요건완화는전반적인개인정보보호법체계에혼선을발생시킬수있기때문이다. 현행개인정보보호법제의규정취지에비추어볼때식별가능성요건을개념정의부분에서완화할경우, 전반적인규율체계가활용에방점을두는방향으로급선회하여규제혼선을일으킬위험이있다. 또한네트워크의연결적속성에입각해볼때, 개인식별가능성을명문으로완화할경우다른국가들의개인정보보호법제와다소충돌될여지도있음은물론이다. 2. 동의권프레임현행개인정보보호법제들은기본권으로서의개인정보자기결정권을보장하기위하여, 그핵심적내용중하나로자신의정보활용에대한동의권등을규정하고있다. 특히이와관련하여우리나라의법제들은엄격한사전동의 (Opt-in) 원칙을설정하고있다는점은앞

62 에서살펴본바와같다. 그러나언제어떠한방식으로개인식별가능성을가질지알수없는모든정보들에관하여사전에모든이용자들의동의를구하는것은현실적으로불가능하다고할수있으며, 만일그렇게될경우사실상합법적이고정상적인빅데이터의활용을저해하는결과를불러일으킬수있다. 이지점에서정보주체의동의권행사방식에관한입법상검토의필요성이강하다. 이용자들에게법적으로주어진동의권행사방식의문제 (Opt-in 또는 Opt-out) 는앞서언급한개인식별가능성문제와도결부된다. 개인식별가능성을전제로, 특정정보에그것이현실적으로존재하는경우개인정보자기결정권의구체적실현양식에의하여법적보호를부여하고, 그것이존재하지않는경우당해정보를가능한한활용할수있도록해주는것이현행법제의취지라고할수있다. 동의권행사방식의변경요구는기본적으로개인식별가능성이있는정보에대하여좀더그활용가능성을제고할수있는방향으로구체적인법적보호부여방식을변화시키자는것이다. 따라서단계적으로보자면, Opt-in 방식의동의권행사가반드시요구되는개인정보, Opt-out 방식의동의권행사가가능한개인정보, 그리고동의권자체가필요없는단순한사적정보로법적보호부여의강도가구분될수있을것이다. 최근네트워크상정보소통에있어빈번히활용되고있는위치정보의경우, 이러한동의권행사방식에관한진지한논의가더욱요청된다. 위치정보의악용가능성에대한우려를불식시키려는입법취지였는지는모르겠지만, 위치정보법 은개인식별가능성을가지는 개인위치정보 뿐만아니라, 그러한식별성을가지지않는 ( 단순 ) 위치정보 까지도당해정보의수집에있어사전적동의를규정하고있는데 ( 동법제15조 ), 58) 이는문제의심각성을여실히드러낸다. 또한클라우드컴퓨팅활성화와관련하여, 동의권행사방식에있어논해야되는지점은개인정보국외이전문제이다. 정보통신망법 제63조제2항은 정보통신서비스제공자등은이용자의개인정보를국외로이전하려면이용자의동의를받아야한다 고규정하고있다. 즉이규정에의하면해외에서버를두고있는클라우드서비스를활용하기위해서는 58) 이에대한자세한내용은심우민외 (2012), 위치정보보호법 상의동의규정에대한입법영향분석, 국회입법조사처, 현안보고서제155호를참조할것

63 정보주체또는이용자입장에서동의권행사가있어야한다. 그러나클라우드서비스이용자의경우자신의정보가어느국가에있는서버에저장되는지를중요하지않게생각하는경우가대부분이라는점과더불어, 실제클라우드서비스이용을위해국외서버에저장하는것 59) 이개인식별가능성을가지는개인정보의 활용을위한제3자제공 에해당한다고보기는어렵다는점에서, 결국이러한동의권행사규정은클라우드컴퓨팅의활성화를저해할여지가있다고생각한다. 또한이와유사한대상을규율하는 개인정보보호법 제17 조제3항은 개인정보처리자가개인정보를국외의제3자에게제공할때에는제2항각호에따른사항을정보주체에게알리고동의를받아야하며, 이법을위반하는내용으로개인정보의국외이전에관한계약 60) 을체결하여서는아니된다 고규정하고있어법률간상충또는괴리가능성에대한고려도필요하다. 이상과같은상황을종합해보면, 개인정보자기결정권을보장하기위한고지및동의프레임 ( 이하, 동의권프레임 ) 이과연향후데이터활용이급증하고있는상황에서적절할수있을것인가하는의문이제기된다. 즉데이터를활용하는과정에서뜻하지않게개인식별정보가생성되는경우가빈번히발생하게될여지가있기때문이다. 더욱이심각한문제가될수있는것은사실상익명화에가까울정도의조취가취해진정보가활용과정에서재식별화되는경우가충분히발생할수있는상황이어서동의권프레임이실질적으로개인정보자기결정권을보장하는수단이될수있을지에대해서는의문이있다. 또한동의권프레임과관련하여다음과같은미국백악관이 2014년 5월발간한 빅데이터와프라이버시 : 기술보고서 ( 이하, 빅데이터보고서 ) 의문제제기를참조할필요성이있을것이다. 61) 59) 국내법의적용을받는국내사업자가외국에데이터센터를건립하여운영하는경우, 외국에데이터센터를운영하는국내외서비스클라우드제공자로부터전산자원을확보하여사업을수행하는국내사업자의경우등이이에해당한다고할수있다. 60) 클라우드서비스와관련하여이계약은국내서비스제공자와국외클라우드설비제공자간의서비스수준계약 (Service Level Agreement) 을의미한다고할수있다. 사실국외사업자에대한실질적인통제는이계약에의해서이루어진다고해도과언이아닐것이다. 61) Executive Office of the President President s Council of Advisors on Science and Technology, (REPORT TO THE PRESIDENT) BIG DATA AND PRIVACY: A TECHNOLOGICAL PERSPECTIVE, May

64 [ 빅데이터보고서, 38면 ] 현재고지와동의는소비자프라이버시의보호를위한전략으로가장많이사용되고있다. 이용자가자신의모바일디바이스에새로운앱을다운로드받거나웹서비스를위한계정을새로만들경우고지가표시되는데, 이용자는이앱이나서비스를이용하기전에반드시여기에동의를표시해야한다. 어떤상상속의세계에서는이용자들이실제로이고지를읽고, 이의법률적의미를이해하고, 필요할경우변호사의자문도받고, 더좋은프라이버시보호를위해비슷한서비스를제공하는다른업체와협상하고나서야클릭을하여동의를표시한다. 그러나현실은이와다르다. 고지와동의는근본적으로프라이버시보호책임을개인에게전가시킨다. 이는올바르다고인정되는것과정확히반대된다. 더욱이서비스제공자가개인정보를공유할수있는권리를갖고있다는사실을이러한고지에서숨길경우, 일반적으로이용자는본인이동의할가능성이훨씬적은그다음회사로부터 ( 그회사에서의자료의이용이다를수있더라도 ) 이러한고지를받지못한다. 또한서비스제공자가프라이버시정책을더나쁜방향으로변경할경우, 이용자는이에대해고지를유효한방식으로받지못한다. 유용한정책도구로서고지와동의는빅데이터가제공하는긍정적인이익으로인해무효화된다. 즉, 새롭고, 분명하지않고, 예상치못한자료의효과적인이용등으로인해무효화가된다. 개인들은모든새로운상황이나앱에대해정확한선택을하는게너무어렵고복잡하다. 그럼에도불구하고고지와동의가현재관행으로뿌리깊게자리잡고있기때문에, 이의유용성확대에관한연구가필요해지고있다. 고지와동의에관한문제중한가지는서비스제공자와이용자사이의묵시적인프라이버시협상에서대등하지않은환경을조성한다는것이다. 서비스제공자는강력한법률적무기의지원을받으면서복잡한 수락아니면탈퇴 (take-it-or-leave-it) 라는제안을제시한다. 반면, 이용자는이용자의목적인거래를완수하기위해서는동의를해야하고또한용어가쉽게이해하기어렵더라도이러한제안을단지몇초만에결정해야한다. 이는일종의시장실패이다. 달리말해, 이와같은시장실패는수많은이용자를대표하고이들을대신하여협상할수있는제3자의간섭에의해완화될수있다. 결국각종디바이스를통한데이터활용의증대는동의권프레임의본래적의미, 즉개 인정보자기결정권의실질적보장을어렵게만들고있다. 위보고서에서언급하고있는사 항들은바로동의권프레임이실효적인수단이되지못하고있는문제점을지적한것이다

65 3. 정보주권과거의개인정보보호환경에서는자국내국민들의개인정보를국내적개인정보규제설정을통해충분히해소될여지가있었다. 그러나현대사회에서는 ICT 관련기업의영업범위가꾸준히국경을초월하고있는상황이어서, 특정국가의규제노력만으로는개인정보보호사안에유효하게대응하기힘들어졌다. 일국의법률적규제는기본적으로국민의기본권제한은물론이고기본권보장을위한수단들을포함하고있는것이다. 개인정보보호에관한개인정보자기결정권도헌법상인정되는기본권이기때문에, 개별국가들을자국민들의개인정보자기결정권보장을위한수단을강구해야할필요가있다. 그런데국내법이효력을가지는주권적범위는당해국가의영토로한정되기때문에, 타국으로이전되거나제공된개인정보에대해자국민들의개인정보자기결정권을보장하는데에는어려움이있다. 결과적으로는기본권보장의공백이발생하는것이다. 특히개인정보의국격간유통이국내사업자를매개로이루어지는경우에는그사업자를대상으로개인정보보호법제를준수하는정보이전계약등을체결하도록강제할수있고일정부분실효성을가질수있겠지만, 해외사업자가인터넷을통해내국인들의개인정보를직접제공받는경우에는국내개인정보보호법제의적용이사실상불가능하다고할수있겠다. 이는법적관할권문제와도결부된다. 동일한내용의개인정보보호규제에대하여국내사업자의경우에는국내법상규제가적용및관철되지만, 해외사업자들에대해서는국내법적용이사실상어렵고, 적용한다고하더라도규제집행상의어려움이있다. 결국이러한문제의해결은각국가들의개인정보보호규제의수준을어느정도유사한수준에서유지될수있도록한다면가능할수도있다. 그러나세계각국의개인정보보호법제는당해국가의사회적 문화적 경제적상황에따라상이한내용을가지고있는상황이어서유사한수준의개인정보규제수준을이끌어내는데에는어려움이있는것이사실이다

66 제 4 절개인정보보호패러다임전환 현재사회내각이해관계자 ( 국가, 사업자, 국민등 ) 들은자신의입장에서개인정보규제의개선을주장하고있다. 특히사업자의입장에서는향후빅데이터및클라우드산업을주축으로하는 ICT 산업육성을위해서다른국가에비해엄격한규제가설정되어있는국내개인정보보호법제의개선을주장하고있으며, 시민단체등의경우에는변화하고있는정보통신환경에서얼마든지개인정보의악용및오남용이가능한상황이기때문에더욱엄격한규제를설정해줄것은요청하고있다. 이와더불어, 국가의입장에서는최근국가간자유무역활성화를위한 FTA 체결등의사안에있어개인정보보호법제개선의문제가중요한쟁점으로부각되고있는상황이지만, 개인정보보호수준이국가별 지역별로차이가있어이를조화시키는데에는어려움이발생하고있다. 이상의분석을통하여개인정보보호규범의내용, 개인정보보호환경의변화상황, 그리고개인정보보호규범의변화논의에대해살펴보았다. 이를종합해보자면, 국가감시와프라이버시개념을기원으로하여발전해온현재의개인정보보호규범은기술적환경등의변화로인하여한계에봉착하고있다는점을확인할수있다. 이에각국가들은개인정보관련규제의개선방안을진지하게모색할필요성을인식하고있다. 현재의개인정보보호규제체계가한계에봉착하고있다는사실은개인정보보호규범을바라보는관점, 즉패러다임의전환의필요성을의미한다. 현행개인정보보호법제의중점은 개인정보자기결정권 의보장에있다. 즉특정개인의정체성, 즉개인식별가능성을가지는정보에대해서는정보주체의적극적인통제권한을인정해야한다는개인정보자기결정권의실현을주요내용으로하고있다. 그런데문제는기술의발전으로인하여, 식별성이라는의미자체가다분히상황-맥락적으로이해될수밖에없는상황이며, 통제권한의실현방식으로여겨져왔던동의권프레임조차그실질적인의미를상실해가고있다. 따라서현행개인정보보호법제의한계를극복할수있는대안적패러다임을모색해야한다. 이와관련해서는다음과같은사항들이고려되어야한다. 첫째, 개인식별가능성을전제로법적보호를부여하는방식에대하여원론적차원의관점전환이필요하다. 빅데이터분석등대규모데이터를분석하는과정에서의도치않게개인식별가능성을가지는정보가충분히생성될수있는상황이기때문에, 현재와같이

67 개인정보의개념적범위를한정하는체계에대해서는진지한재검토가필요할것으로보인다. 둘째, 동의권프레임을중심으로한개인정보자기결정권보장체계에대한진지한재검토가필요하다. 현대의정보통신기술환경에서는정보주체가동의하지않더라도법적보호를부여해야할상황이빈번하게발생하고있다. 또한정보주체가동의했다는이유만으로또다른성격을가지는개인정보를생성하는행위는정보주체에대한평가등을목적으로한프로파일링의위험을높인다는측면에서더욱그러하다. 62) 셋째, 사후구제조치가아니라사전예방조치 ( 위험관리및예방 ) 를중심으로한규제체계를도입할필요가있다. 네트워크기술의발전상황을전제로볼때, 일단개인정보가악용된경우에는이를회복하는데에는오랜시간이걸리거나, 심지어영구적으로회복할수없는손해를발생시키는경우가빈번하게발생하고있다. 특히우리나라의경우에는변경이용이하지않은주민등록번호등고유식별정보의활용이법률적으로강제되거나허용되고있는경우가많기때문에, 손해배상등사후구제조치가아닌사전예방조치를중심으로한법적대응체계를구축할필요성이있다. 63) 넷째, 개인정보보호규범의세계적모범사례및기준에대한적극적인고려가필요하다. 네트워크는기본적으로국경과상관없는연결성과개방성을그특징으로한다. 이러한상황에서자국국민의개인정보를보호한다는취지로관련규제의수준을독자적으로높이는경우에는다른국가들과의다양한관할권적문제점을유발할가능성이높다. 따라서우리나라개인정보보호법제의정비는물론이고, 초국적인개인정보규제협력을위한노력에적극적으로참여할필요가있다. 이를통해한국의상황적특수성을국제기준에어느정도투영될수있도록하는노력도필요하다. 이상의고려사항들을종합해도면, 궁극적으로보호범위또는영역을과거프라이버시에서의경우와마찬가지로다소광범위한영역을설정하되, 개인정보위협을발생시키는사 62) 이와관련해서는 EU의 GDPR 제정논의등에서프로파일링금지규정, 미국의추적방지 (Do Not Track; DNT) 정책추진등을참고할수있을것이다. 63) 이와관련해서는 EU GDPR( 안 ) 및각국의개인정보규제개선입법정책과관련하여논의되고있는 설계시프라이버시고려규정 (Privacy by Design) 등을참고해볼필요가있다

68 안들에대해서는실효적이고구체적인행정및사법적규제집행이이루어질수있는개인 정보규제및규범체계를형성해야할필요가있을것이라고판단된다. 구분프라이버시 개인정보자기결정권 新프라이버시 보호범위 < 표 2-5> 개인정보보호패러다임전환 식별성비전제 ( 사생활영역 ) 식별성전제 ( 개인정보 ) 식별성 + 비식별성 보호정도소극적적극적소극적 + 적극적

69 제 3 장국내 외개인정보국외이전관련규범적대응 제 1 절논의의배경 2000년대후반부터본격적으로스마트폰, 태블릿PC 등스마트디바이스가확산되면서인터넷뱅킹, SNS, 전거상거래등을통해국내뿐만아니라국외의사업자에게개인정보를제공하고해당서비스를이용하고있다. 또한사회 경제전반에걸쳐글로벌화가진행중에있으며, 사물인터넷, 클라우드컴퓨팅서비스, 빅데이터등 ICT환경의고도화로인하여개인정보를포함한각종정보의국경간이동은불가피한현실이되었다. 오늘날전세계적으로공공, 기업, 전자상거래, SNS 등에서는하루에도엄청난양의개인정보가수집및활용되면서이러한빅데이터가 ICT 산업의핵심자원으로여겨지고있지만, 일련의개인정보대량유출사건, 해킹, 보이스피싱등다양한형태로나타나는프라이버시침해위험도나날이증가하고있다. 이에우리나라는개인정보처리에관하여아주엄격한요건을요하는개인정보보호와관련한법률을제정및반복적인개정을통해인터넷이용자의개인정보를보호하기위해끊임없는노력이진행중에있다. 하지만사회, 경제전영역에걸쳐정보통신망을통한개인정보의유통이일반화되는가운데해외주요국의규범과비교했을때국내의과도한개인정보보호규범은오히려국내 ICT 산업진흥에걸림돌로작용할수있다는비판도만만치않은상황이다. 이처럼정보통신서비스제공자에게국외로이전되는개인정보에대하여엄격한국내법만을적용한다던가아니면아무런규제를하지않는등의이분법적인접근으로는각나라마다상이한개인정보보호규범으로비추어볼때, 개인정보국외이전에관한글로벌스탠다드를정립하지않고서는결코해결될수없다. 한편, 국내에서는개인정보의 국외이전 의개념을정의하고있는법률은존재하지않고, 개인정보의국외이전을제3자제공의일종으로규정하거나 ( 개인정보보호법제17조제3항 ), 목적이나성질등을불문하고어떠한형태로든지국내이용자의개인정보가물리적으로국외로이동한다면국외이전에해당한다고해석 ( 정보통신망이용촉진및정보보호등에

70 관한법률제63조 ) 하는등개인정보의국외이전에대한정의, 원칙, 보호수준등을일반적으로규정하는법률은없다. 해외에서는개인정보의국외이전과관련하여 OECD 는프라이버시가이드라인, EU는개인정보보호지침과개인정보보호일반규정 ( 안 ) 을, APEC 은 Privacy Framework, CBPRs 등을제정하고, 미국, 일본등각국에서도국외이전에관한제반사항을입법또는입법화하려는노력이진행중에있다. 이하에서는개인정보의국외이전과관련하여국내 외규범현황과내용그리고 2015년 10월 6일유럽사법재판소의 EU-미국간 세이프하버 (Safe Harbor) 무효판결에대한검토와시사점을도출하고자한다

71 제 2 절개인정보국외이전관련국내법 제도현황 1. 개인정보보호법개인정보보호법에서는개인정보국외이전의전반에대하여규율하지않고, 개인정보처리자가국외의제3자에게개인정보를제공하는경우에한하여규율하고있다. 64) 개인정보보호법제17조제3항에따르면, 국외의제3자에게개인정보를제공할때에는국내의제3자에게개인정보를제공하는경우와마찬가지로개인정보처리자는동조제2항각호에따른일정한사항을정보주체에게고지하고동의를받도록하고있으며, 위의사항을위반하는내용으로국외의제3자와개인정보이전에관한계약체결을금지하고있다. < 표 3-1> 개인정보보호법 상개인정보국외이전에관한규정 제17조 ( 개인정보의제공 ) 3 개인정보처리자가개인정보를국외의제3자에게제공할때에는제2항각호에따른사항을정보주체에게알리고동의를받아야하며, 이법을위반하는내용으로개인정보의국외이전에관한계약을체결하여서는아니된다. 2. 정보통신망이용촉진및정보보호등에관한법률정보통신망법은개인정보보호법과달리개인정보를국외의제3자에게제공하는경우뿐만아니라목적이나성질등을불문하고개인정보가국외로이전하는모든경우에정보주체에게고지하고동의를받도록하는등강력한규정을두고있다. 65) 구체적으로제63조제1항에따르면, 정보통신서비스제공자등이이용자의개인정보에관하여이법을위반하 64) 국외이전은국외제공보다넓은개념으로써, 국외의제3자에게개인정보를제공하는경우는물론이고개인정보처리를국외의제3자에게위탁하는경우, 영업의양도 합병등에의하여개인정보데이터베이스가국외로옮겨지는경우도모두국외이전에포함된다. 이경우에는각각의규정에따라제공, 위탁, 양도등의절차에따르면된다 ( 행정안전부 (2011), 개인정보보호법령및지침 고치해설 ). 65) 이와관련하여개인정보보호법에서는국외이전의목적, 형태등을고려하지않고무조건동의를받도록하면글로벌경제활동등에많은지장을주기때문에일률적인동의절차는배제하였다 ( 행정안전부 (2011), 앞의해설서 )

72 는사항을내용으로하는국제계약체결을금지하고, 동조제2항및제3항에서는이용자의개인정보를국외로이전하려고하는경우에는 1 이전되는개인정보항목, 2 개인정보가이전되는국가, 이전일시및이전방법, 3 개인정보를이전받는자의성명, 4 개인정보를이전받는자의개인정보이용목적및보유 이용기간을이용자에게고지하고동의를받도록하고있다. 나아가정보통신서비스제공자등은이용자의동의를받아개인정보를국외로이전하는경우, 대통령령으로정하는바에따라 ( 시행령제67조제1항 ) 보호조치를하여야한다. < 표 3-2> 정보통신망법 상개인정보국외이전에관한규정 제63조 ( 국외이전개인정보의보호 ) 1 정보통신서비스제공자등은이용자의개인정보에관하여이법을위반하는사항을내용으로하는국제계약을체결하여서는아니된다. 2 정보통신서비스제공자등은이용자의개인정보를국외로이전하려면이용자의동의를받아야한다. 3 정보통신서비스제공자등은제2항에따른동의를받으려면미리다음각호의사항모두를이용자에게고지하여야한다. 1. 이전되는개인정보항목 2. 개인정보가이전되는국가, 이전일시및이전방법 3. 개인정보를이전받는자의성명 ( 법인인경우에는그명칭및정보관리책임자의연락처를말한다 ) 4. 개인정보를이전받는자의개인정보이용목적및보유 이용기간 4 정보통신서비스제공자등은제2항에따른동의를받아개인정보를국외로이전하는경우대통령령으로정하는바 66) 에따라보호조치를하여야한다. 3. 신용정보의이용및보호에관한법률 신용정보법에서는개인신용정보의국외이전에관한직접적규정을두지않고개인신용 정보의제 3 자제공에관한일반적사항을규율하고있다. 다만, 제 3 자제공의범위에국외 66) 동법시행령제67조 ( 개인정보국외이전시보호조치 ) 1 법제63조제4항에따라개인정보를국외로이전하는경우에하여야하는보호조치는다음각호와같다. 1. 제15조에따른개인정보보호를위한기술적ㆍ관리적조치 2. 개인정보침해에대한고충처리및분쟁해결에관한사항 3. 그밖에이용자의개인정보보호를위하여필요한조치

73 이전도해당한다고폭넓게인정할경우, 신용정보회사등이개인신용정보를국외로이전하기위해서는동법의적용을받는다고해석할수있다. 신용정보법제32조제1항에서는신용정보제공 이용자가개신신용정보를타인에게제공하려는경우에는 1 개인신용정보를제공받는자, 2 개인신용정보를제공받는자의이용목적, 3 제공하는개인신용정보의내용, 4 개인신용정보를제공받는자 ( 신용조회회사및신용정보집중기관은제외 ) 의정보보유기간및이용기간을해당신용정보주체에게고지하고, 개인신용정보를제공할때마다개별적동의를받도록하고있다. 나아가신용정보보호법상개인신용정보의국외이전에관한직접적규정의공백으로인하여해석상국외로이전되는개인신용정보는본법의적용대상이되지않는다고할지라도신용정보법의일반법인개인정보보호법의적용은불가피하다. 개인정보보호법제6조에따르면 개인정보보호에관하여는다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다. 고정하고있으므로신용정보법으로개인신용정보의국외이전을직접적으로규율할수없을지라도개인정보보호법에따라, 개인정보의국외의제3자제공에관한규정을보충적으로적용할수있을것이다. < 표 3-3> 신용정보법 상개인정보국외이전에관한규정 제32조 ( 개인신용정보의제공ㆍ활용에대한동의 ) 1 신용정보제공 이용자가개인신용정보를타인에게제공하려는경우에는대통령령 67) 으로정하는바에따라해당신용정보주체로부터다음각호의어느하나에해당하는방식으로개인신용정보를제공할때마다미리개별적으로동의를받아야한다. 다만, 기존에동의한목적또는이용범위에서개인신용정보의정확성 최신성을유지하기위한경우에는그러하지아니하다. 1. 서면 2. 전자서명법 제2조제3호에따른공인전자서명이있는전자문서 ( 전자거래기본법 제2 조제1호에따른전자문서를말한다 ) 3. 개인신용정보의제공내용및제공목적등을고려하여정보제공동의의안정성과신뢰성이확보될수있는유무선통신으로개인비밀번호를입력하는방식 4. 유무선통신으로동의내용을해당개인에게알리고동의를받는방법. 이경우본인여부및동의내용, 그에대한해당개인의답변을음성녹음하는등증거자료를확보 유지하여야하며, 대통령령으로정하는바에따른사후고지절차를거친다. 5. 그밖에대통령령으로정하는방식

74 4. 한미 FTA 한미FTA 제13부속서 13-나제2절 ( 정보의이전 ) 에서는각당사국은다른쪽당사국의금융기관이그기관의일상적인영업과정에서데이터처리가요구되는경우그러한처리를위하여자국영역안과밖으로정보를전자적또는그밖의형태로이전하는것을허용한다고규정하였다. 또한대한민국은이협정발효일후 2년이내에이약속에효력을부여한다고규정하여정보의자유로운유통을보장하도록규정하고있다. 아울러제15장제 15.8조 : 국경간정보흐름에서는무역을원활히함에있어정보의자유로운흐름의중요성을인정하고개인정보보호의중요성을인정하면서, 양당사국은국경간전자정보흐름에불필요한장벽을부과하거나유지하는것을자제하도록노력한다고규정하고있다. 68) 5. 한 EU FTA 한 EU FTA 제 7.43 조에는발효후 2 년이내금융서비스공급자의일상적인영업과정에 서자료처리가요구되는경우자료처리 (Data Processing) 를위한정보의국외이전 (Transfer of Information) 을허용하도록규정하면서, 이경우에도개인의기본권및자유 보호에유의해야하며개인자료의이전에대하여프라이버시보호를위한충분한보호장 치를채택해야한다고규정하였다. 또한동협정문부속서 7- 라에서는정보이전허용방안 마련시 1 소비자의민감정보의보호, 2 민감정보의무단재사용금지, 3 감독당국의기 록접근권보장, 4 기술설비의소재지요건등도함께다루기로하였다. 69) 67) 동법시행령제28조 ( 개인신용정보의제공 활용에대한동의 ) 2 신용정보제공 이용자는법제32조제1항에따라해당개인으로부터동의를받으려면다음각호의사항을미리알려야한다. 다만, 동의방식의특성상동의내용을전부표시하거나알리기어려운경우에는해당기관의인터넷홈페이지주소나사업장전화번호등동의내용을확인할수있는방법을안내하고동의를받을수있다. 1. 개인신용정보를제공받는자 2. 개인신용정보를제공받는자의이용목적 3. 제공하는개인신용정보의내용 4. 개인신용정보를제공받는자 ( 신용조회회사및신용정보집중기관은제외한다 ) 의정보보유기간및이용기간 68) 최경진 (2015), 개인정보국외이전에관한 BCR/CBPR과한국주도의국제공조체계확립방안, KISDI 전문가초청세미나 (2차) 발제문, 정보통신정책연구원

75 제 3 절개인정보국외이전관련해외법 제도현황 1. OECD OECD는 1980년국가간합법적이고자유로운개인정보의흐름보장하면서국가간의이해관계를조정및프라이버시보호를위해 프라이버시보호와개인정보의국제유통에대한가이드라인에관한이사회권고안 을작성하여동년 9월최종적으로이사회권고안이채택되었다. 채택된 OECD 프라이버시가이드라인 70) 은법적구속력은없으나최초의글로벌규범으로서원칙적으로국가간개인정보의자유로운유통을보장하고, 예외적으로프라이버시보호를위해이를제한하는태도를취하고있다. 또한본가이드라인은장래의정보통신기술의발전을충분히수용할수있는기술중립성을반영했고, 각국에서개인정보에관한규범을제정함에있어중요한지침이되고있다. 나아가가이드라인에서제시하고있는개인정보보호 8원칙등은 UN 가이드라인이나 EU지침에도큰영향을끼친것으로평가되고있다. < 표 3-4> OECD 프라이버시가이드라인 8 원칙 원칙 1. 수집제한의원칙 2. 정보정확성의원칙 3. 목적명확성의원칙 내용 개인정보의수집은제한되어야하고, 수집하는경우합법적이고공정한절차에따라정보주체에게알리거나동의를받아야함 개인정보는그이용목적에부합하는것만수집하고, 목적에필요한범위내에서정확하고완전하며최신의상태를유지하여야함 개인정보수집목적은수집하기이전또는당시에명시되어야하고, 명시된목적으로이용하여야함 69) 최경진 (2015), 앞의발제문. 70) Organization for Economic Cooperation and Development guidelines, Annex to the recommendation of the Council of 23 September 1980, Guidelines governing the protection of privacy and transborder flows of personal data

76 원칙 4. 이용제한의원칙 5. 안전성확보의원칙 6. 공개의원칙 7. 개인참여의원칙 8. 책임의원칙 내용 개인정보는수집된목적으로만이용해야하며, 목적이외로는이용할수없음 ( 단, 정보주체의별도동의를받거나법률에의하여허가된경우는제외 ) 개인정보의분실, 불법적인접근, 훼손, 사용, 변조, 공개등의위험에대비하여합리적인보호조치를마련하여야함 개인정보관리자의주소등을비롯하여개인정보의이용목적, 관련된정책등에대한내용이포함된공개방침이있어야함 정보주체는본인의개인정보에대해확인, 열람요구, 이의제기및정정, 삭제, 보완청구권을가짐 개인정보관리자는위에서제시한원칙들이지켜지도록필요한제반조치를취하여야함 OECD 프라이버시가이드라인에서개인정보의국외이전과관련하여 회원국가는개인의프라이버시와인권보호라는명목하에필요한수준을넘어서단순한통과를포함한개인정보의국외이전을저해하는법률, 정책, 관행의실시를억제하고, 정보의자유로운유통이방해받지않고보장할수있는합리적이고적절한수단을강구하여야한다. 71) 고규정하여정보의자유로운유통을보장하고있다. 하지만 다른회원국이본가이드라인을실질적으로준수하고있지않거나프라이버시보호에관한국내법및보호조치가미흡한경우에는예외적으로개인정보의국외이전을제한할수있다. 72) 고명시하고있다. 이후정보통신기술의발달과글로벌서비스의증가로인하여개인정보의처리 ( 수집, 이용, 제공등 ) 환경이변화하고, 개인정보의사회 경제적가치가높아짐에따라이러한변화에발맞춰 OECD 는 2013년 7월프라이버시보호가이드라인의개정안을최종채택하였다. 개정된 OECD 프라이버시가이드라인에서개인정보의국외이전과관련하여는이전되는개인정보가안전하게보호될수있는기준과관리책임에관한사항 ( 개인정보가국외로이전된이후에도개인정보의관리책임은개인정보처리자에게있음 ) 을포함하고있으며, 나아가개인정보의민감도, 처리에대한목적, 이용되는상황과존재하는위험에기반하여개 71) OECD 개인정보가이드라인제 16 조및제 18 조. 72) OECD 개인정보가이드라인제 17 조

77 인정보의국외이전을제한해야한다는내용 (paragraph18) 을담고있다. 2. EU 가. 개인정보보호지침 (95/46/EC) 1995년개인정보보호지침 ( 이하 EU 지침으로한다 ) 전문제57항과제25조제1항에따르면, EU회원국은당해개인정보가처리중이거나또는이전된후처리될예정인경우이지침의기타규정에따라서채택된국내규정을침해하지않으며, 제3국이 적절한보호수준 (adequate level of protection) 을보장하는경우에한하여개인정보의제3국으로의이전을가능하도록하고있다. 73) 즉, EU회원국국민의개인정보를적절한수준의보호를보장하지않는경우에는제3국으로개인정보를이전할수없도록하면서회원국과위원회는제3국이개인정보의적절한보호수준을보장하지않는경우에는다른회원국에게알리도록하고있다. 한편, 위원회는국민의사생활과개인의기본적자유와권리의보호를위한제3국의국내법, 제3국이체결한국제조약을기준으로제3국과의협상결과에따라개인정보보호의적정한수준을보장하고있다고인정할수있다. 74) 여기서말하는제3국에의한보호의 적절성 (Adequacy) 판단은개인정보의성질, 예정되어있는개인정보의처리목적과기간, 개인정보의최초이전국과최종수신국, 당해제3국에서유효하게시행되는일반적 분야별법률규범, 보안조치등개인정보의국외이전을둘러싼모든상황을종합적으로고려하여평가하여야하는데 75) 이와관련하여 EU의 Working party 보고서 76) 에따르면, 적절성 판단에대한구체적인기준을밝히고있다. 제3국은위보고서가밝히고있는실체적 절차적판단기준을실현하고있어야하며, 적절한수준이인정되지않을경우에는표준계약서에의해개인정보를이전해야한다. 73) Directive 95/46/EC Art. 25(1). 74) Directive 95/46/EC Art. 25(3)-(6). 75) Directive 95/46/EC Art. 25(2). 76) EU Working Party on the protection of Individuals with regard to the Processing of Personal Data, Working Document, Transfers of Personal data to third countrie s; Applying Articles 25 and 26 of the EU data protection directive ( )

78 < 표 3-5> 적절성 의실체적판단기준 기본원칙 추가원칙 기준 1. 목적제한의원칙 2. 정보의질확보및비례성원칙 3. 투명성원칙 4. 안전성원칙 5. 열람 정정및반대할권리 6. 개인정보의제공제한 1. 민간정보처리제한 2. 다이렉트마케팅제한 3. 개인에대한자동화된결정제한 출처 : 최경진 (2012), 앞의보고서. 내용 데이터는특정한목적에따라처리되고그목적범위내에서이용 제공되어야함 데이터는정확해야하고필요한경우최신으로업데이트되어야함. 또한데이터는이전또는처리되는목적에적합하고관련성이있어야하며목적에비해과도해서는안됨 개인은처리목적, 처리자등공정성을위해필요한정보들을투명하게제공받아야함 개인정보처리자는적절한기술적 관리적보안조치를하여야함 정보주체는처리중인자신에관한데이터의사본을받아볼수있고부정확한정보를수정할수있으며, 자신에관한정보처리를반대할권리를가져야함 1차적으로개인정보를제공받는자가다시개인정보를제공하는것은전전제공받는자가적절한보호수준이갖춰진보호원칙의적용을받는경우에한해서만허용됨 민감한정보로분류되는데이터는정보처리에대한정보주체의명백한동의등추가적인안전조치를확보해야함 데이터가다이렉트마케팅목적으로이전되는경우, 정보주체는 opt-out 을할수있어야함 개인에대한자동화된의사결정을위한개인정보이전의경우, 개인은그러한의사결정에사용되는로직에대해알권리가있고개인의합법적이익을보호하기위한추가적인보호조치가취해져야함

79 기준 1. 보호원칙이잘준수되는체계의확보 (good level of compliance) < 표 3-6> 적절성 의절차적판단기준 2. 정보주체의권리행사를지원하고도와주는보호체계 (support and help to individual data subjects) 3. 보호원칙미준수로피해를입은자에대한적절한구제조치필요 (appropriate redress) 출처 : 최경진 (2012), 앞의보고서 내용 개인정보처리자가자신들의의무를뚜렷이인식하고, 정보주체가자신들의권리및행사방법을잘알수있는보호체계. 효과적이고억제력이강한제재수단을통해보호원칙을존중하도록유도 개인이신속하고효과적으로, 과도한비용부담없이자신들의권리를행사할수있어야함. 이를위해민원 고충에대한독립적조사가보장되는제도적매커니즘필요 손해배상이나적절한제재조치가가능한독립적조정또는중재시스템필요 한편개인정보보호수준이낮은제3국으로의개인정보이전이무조건금지되는것은아니며, 다음과같은경우에는예외적으로개인정보보호수준이 EU의수준에미치지못하더라도제3국으로의개인정보이전이허용된다. 77) 즉, 1 정보주체가제안된개인정보이전에명백히동의한경우, 2 정보주체와관리자사이에체결된계약의이행에필요한이전또는정보주체의요청에따라채택된계약체결전조치를이행하기위하여필요한이전, 3 개인정보처리자와제3자사이에정보주체의이익을위해계약의체결또는이행을위하여필요한이전, 4 중요한공익적근거에기초하여필요한이전또는소송의제기 수행및방어를위하여필요한개인정보의이전, 5 정보주체의중대한이익의보호를위하여필요한이전, 6 특정사안에있어서법률적인조건이충족되는범위내에서공중에게정보를제공할목적으로구축되었고공중에의한또한정당한이익이입증할수있는자에의한의견개진의기회를주기위하여공개를목적으로등록부로부터이루어진이전인경우에는 EU지침제25조제2항에서말하는개인정보의적절한보호수준을보장하지않는제3국으로의이전이예외적으로허용된다. 나아가위에열거된경우에해당하지않는다고하더라도개인정보처리자가개인의프라이버시와기본권그리고자유의보호와이에준하 77) Directive 95/46/EC Art. 26(1)

80 는권리의행사와관련한적절한보호조건을제시한경우에도예외적으로개인정보보호수준이낮은제3국으로의개인정보이전을승인할수있다. 78) 마찬가지로회원국은 EU지침제26조제2항에의해개인정보이전을승인한경우위원회와다른회원국에게알려야하고, 위원회또는회원국이개인의프라이버시와기본권그리고자유의보호를포함한정당화된근거에이견이있는때에는회원국은위원회의결정에따라필요한조치를취하여야한다. 79) EU지침제25조제6항은 EU 위원회가개인정보에대해서적절한보호를제공하는국가의목록을작성할수있도록규정하고있다. 다만, 예외적으로정보이전시적절한안전조치를마련하기만한다면 EU 내의기업들은적절한보호를제공하지않는외국으로개인정보를이전할수도있다. EU는제한적으로일부국가에대해서만적절성을판단하고있다. 때문에제25조는현실적으로그의의를상실한반면제26조의유용성이증가하면서예외가원칙을지배하는현상이나타나고있다. 나. GDPR(General Data Protection Regulation) 지금까지 EU는개인정보보호와관련하여법적구속력은없지만유럽연합회원국을대상으로유럽공동법의한형태인지침 (Directive) 을제정하여각회원국은국내법을제정및개정하여왔다. 하지만 EU는개인정보를체계적이고효과적으로보호하고개인정보자기결정권을보장하기위해회원국이별도의국내법으로규정할필요없이, 모든회원국에게적용되는공통규범으로써법적강제력을가진규정 (Regulation) 을제정하기에이르렀다. 개인정보보호일반규정 (General Data Protection Regulation, GDPR) 은 2012년 1월 EU 집행위원회 (European Commission) 가규정의초안을제출하였고, 2014년 3월 EU 의회 (European Parliament) 가수정안을제출, 2015년 6월 EU 이사회 (Council of Ministers) 가 3번째안을제출하였다. 이후협의체인 EU 집행위원회, EU 의회그리고 EU 이사회는 2015년말까지심의를통해 2016년초까지개인정보보호일반규정을최종채택할예정이며, 2년후인 2018년초부터본규정은각회원국에적용된다. EU 집행위원회가 2012년제출한일반정보보호규정 ( 안 ) 에서는개인정보국외이전과관 78) Directive 95/46/EC Art. 26(2). 79) Directive 95/46/EC Art. 26(3)

81 련하여 2개 ( 제25조, 제26조 ) 의조문으로규율하던기존의개인정보보호지침과달리, 6개조문 ( 제40조 ~ 제45조 ) 으로보다구체적으로규정하고있다. 주요내용으로는제3국이나국제기관으로이전되어처리되고있거나처리될예정인개인정보는본규정에서정하는요건을콘트롤러가충족하는경우에국외이전이가능하다는일반원칙을규정하고 ( 제40조 ), 이러한일반원칙을기반으로개인정보를국외이전하기위해서는 EU 집행위원회의적절성결정이있어야하는데집행위원회가보호수준의적절성을평가할때의고려사항 ( 제41 조 ) 들을규정하고있다. 또한 EU 집행위원회의적절성결정이없는경우라도세이프가드 (safeguard) 를통하여개인정보를국외로이전할수있는규정 ( 제42조및제43조 ), 위의 EU 집행위원회의적절성결정과세이프가드가없는경우라도일정한요건을갖추면개인정보를국외로이전할수있는규정 ( 제44조 ) 등을두고있다. < 표 3-7> GDPR 의주요내용 EU 집행위원회의적절성결정시고려사항 세이프가드 (Safeguard) 에의한이전 내용 (a) 법률의규정, 일반적으로또는부문별로시행중인공공의안녕, 국방, 안보, 형법등과관련된것을포함한관련법률, 해당국가또는해당국제기관에서준수해야하는관련법률및보안조치, 정보주체, 특히개인정보가이전되는유럽연합에거주하는정보주체에대한효과적인행정및사법적시정을포함한효과적이고도실행가능한권리 (b) 정보보호규정의준수, 권리를행사하는정보주체에대한지원및통지, 유럽연합및회원국감독기관과의협력등에책임이있는하나이상의제3국의독립적인감독기관이나해당되는국제기관의존재및효율적역할 (c) 해당되는제3국이나국제기관이체결한국제협약 (a) 구속력있는기업규칙 (BCR) (b) EU 집행위원회가채택한요준정보보호조항 (c) 제62조제1항 (b) 에따라 EU 집행위원회가유효하다고인정하는경우, 제57조에서규정한일관성매커니즘에따라감독기관이채택한표준정보보호조항 (d) 제4항에따라감독기관이승인한콘트롤러와정보수령인사이의계약조항

82 예외적허용 내용 (a) 정보주체가정당한결정이나적절한안전조치의부재로인해발생할수있는이전의위험에대해통지를받은후제안된이전에동의하는경우 (b) 정보주체와콘트롤러사이에서의계약이행을위해또는정보주체의요청에의해취해진계약전사전조치의이행을위해이전을해야하는경우 (c) 정보주체의이익을위해콘트롤러와다른자연인또는법인사이에서체결된계약의이행을위해이전을해야하는경우 (d) 공공의이익을위해이전이필요한경우 (e) 법적소송의제기, 행사, 방어를위해이전이필요한경우 (f) 정보주체가물리적으로또는법률적으로동의를할수없는경우에정보주체또는제 3 자의중요한이익을보호하기위해이전이필요한경우 (g) 유럽연합이나회원국법률에따라일반대중에정보를제공하기위해그리고일반대중또는정당한이익을입증할수있는사람에의한협의를위해유럽연합이나회원국법률에서규정한조건이충족되는한도내에서공개되는등록부로부터이전되는경우 (h) 콘트롤러가정보또는일련의정보이전행위와관련된모든상황을평가하고이러한평가에기초하여개인정보의보호를위해적절한세이프가드를제시하는경우로서콘트롤러나프로세서가추구하는합법적이익의목적을위해이전되는경우 위의 < 표 3-7> 과같이 2012년 GDPR( 안 ) 에서는 EU집행위원회의적절성결정, 세이프가드그리고제44조따라 EU 집행위원회의적절성결정또는세이프가드가없는경우일지라도 8가지의일정한요건하에서예외적으로개인정보의국외이전을허용하고있다. 그러나 2014년 GDPR( 안 ) 에서는 2012년 GDPR( 안 ) 의개인정보국외이전에관한내용을대부분계승하면서몇가지수정안을제안하였다. 첫째, 2012년 GDPR( 안 ) 이제시하고있는세이프가드유형중 (b) 의 EU 집행위원회가채택한표준정보보호조항 을 콘트롤러및개인정보를제공받는자의유럽정보보호인장 으로수정하였다. 둘째, EU 집행위원회의적절성결정또는세이프가드가없는경우에도일정한요건하에서개인정보국외이전이허용되는예외조항에서 (h) 하단의 콘트롤러나프로세서가추구하는합법적이익의목적을위

83 해이전되는경우 는합법적이익의범위가모호하고너무쉽게개인정보가이전될수있는위험성으로인하여삭제되었다. 추가적으로 2015년 GDPR( 안 ) 에서는개인정보국외이전과관련하여는 2014년 GDPR( 안 ) 에서큰변화가없지만, 논외로개인정보의호환적이용 (Compatible use), 프로파일링, 프라이버시영향평가, 기업의프라이버시책임관, 개인정보유출시해당기업전세계매출액의 5% 또는 100만유로의벌금을부과하는조항등을주목할만하다. 3. APEC 가. APEC Privacy Framework(APF) 개발및개정안협의 APEC 은전자성거래환경에서이용자보호와전자상거래촉진을위해정보통신망에서개인정보및프라이버시보호와정보의자유로운흐름을보장하기위해 OECD 프라이버시가이드라인을기준으로초안을마련하고각국의의견을수렴하여 2005년 11월 APEC Privacy Framework(APF) 를개발하였다. APEC 의 Privacy Framework는개요, 범위및 APEC 역내국에서의전자상거래활성화등을위한개인정보보호관련 9개원칙 80) 과이원칙의이행으로구성되었다. 이행은 APEC 회원국이 APF 원칙에맞게국내개인정보보호법제및제도를정비하는 국내적이행 과개인정보의국가간이전과관련한내용을포함하는 국제적이행 의두부분으로구성되어있다. 81) 최근에는 APEC 회원국간안전한개인정보의국외이전방안을논의하고프라이버시관련법집행기관간정보공유및협력방안을모색하고 APEC-EU 간개인정보보호인증제도상호운용성을논의하기위해 2015년 8월 APEC 전자상거래운영그룹 (ECSG) 의 2차개 80) APF 에서제시하고있는 9원칙은다음과같다. 1 피해의예방 (Preventing Harm), 2 수집제한 (Collection Limitations), 3 고지 (Notice), 4 이용 (Use of Personal Informati on), 5 선택 (Choice), 6 정보접근과수정 (Access and Correction), 7 개인정보의온전성 (Integrity of Personal Information), 8 보안수단 (Security Safeguards), 9 책임 (A ccountability) 81) 한국인터넷진흥원 (2014), 글로벌기업에대한개인정보보호규제효과제고및불법 청소년유해정보의유통금지를위한국가간협력방안연구, 방송통신위원회

84 인정보보호분과회의 (DPS) 가필리핀세부에서개최되었다. 개인정보국외이전과관련하여현행 APEC Privacy Framework의 APEC 국가간개인정보보호에관한공통 9원칙을유지하면서 2013년 OECD 프라이버시가이드라인개정내용을반영한 APF 개정안을협의하였다. 특히, 개정안에는국가간개인정보의자유로운흐름을보장하기위해 APF를이행하는법 제도를갖추거나충분한보호조치가있는국가로의이전을제한하지않는다는사항을추가하였다. 나. CBPRs(Cross-Border Privacy Rules) APEC 의 ECSG 가중심이되어추진한 CBPRs 는국가간전자상거래및무역의증진에개인정보보호이슈가장애가되지않도록안전한국가간이전을위한최소한의보호기준체계를마련하기위한목적으로이루어졌다. CBPR 은기본적으로 APEC 이추구하는프라이버시기본체계 (APEC Privacy Framework,APF) 에서규정하는정보프라이버시원칙 (Information Privacy Principles) 을기초로한다. 이를구체화한 APEC CBPR Program Requirements 의점검항목및기준을충족하는경우에 CBPR 에참여할수있으며, 참여절차나시스템의개관등에대하여는 APEC CBPR System Policies, Rules and Guideline 에서정하고있다. 현재 CBPRs 를도입한국가는미국, 일본, 멕시코, 캐나다 4개국뿐이다. 우선가이드라인에서제시하는 CBPRs 참여절차는다음의 4단계로구성되어있다. 1단계는단체및기업의자체평가 (Self-assessment) 이다. 자체평가는설문지형태로되어있는데단체및기업의개인정보보호정책및실무관행이 APF나자국법에따라적합한지, CB PR 프로그램의보호기준을준수하고있는지, 적절한책임체계를갖추고있는지등을스스로판단한다. 2단계는제3자검증 (Third Party Examination/Compliance Review) 이다. 본단계에서는 1단계에서각기업이스스로판단한내용을제3자가검증한다. 3단계는인증 (R ecognition/acceptance) 이다. 3단계에서는인증기관 ( 책임기관 ) 이 CBPRs 를신청한단체나조직이 APEC 지역내에서프라이버시원칙을준수하면서자유롭게개인정보를이전할수있는수준임을인증한다. 4단계는분쟁해결및집행 (Dispute resolution and enforcement) 이다. 본단계에서는분쟁발생시분쟁조정프레임워크및 CBPR 시스템의집행을위한체계를가동한다

85 [ 그림 3-1] CBPRs 의개념도 출처 : 박훤일 (2014), 개인정보유통에관한국제규범과우리의대응, 국제거래법학회. 또한 CBPR 에참여하기위해서는그프로그램을실행하기위한집행기관과책임기관이지정되어있어야한다. 집행기관은 APF에부합하는자국의법규제인프라이버시법을집행할수있고, CBPR 에참여하는기업이나책임기관이 CBPR 에대한불만사항이나문제점들을해결하지못할경우이를검토하고조사할수있는권한이있고관련법제도를집행할수있는공공기관을말한다. 또한다른집행기관의지원요청을처리할지여부를결정할수있는권한을보유하는기관을말한다. 책임기관은신청기업의인증과관련된모든업무를이행할수있는능력, 신청기업과참가기관에필요한인증기준의수립, 신규신청기업의인증과관련된정부기관이나공공기관과관련되거나참여하는기업의감독과분쟁해결과관련하여정기적으로보고할수있는시스템구축, 개인정보이슈사례를정기적으로발행할수있는시스템구축, 참여중혹은신청기업의정보프라이버시집행과절차의이행및프라이버시정책과관련된컨설팅이나기술적서비스능력을갖추고있어야한다. 구체적으로는이해상충, 프로그램요건, 인증과정, 지속적인모니터링과준수검토절차, 재인증및매년인증, 분쟁해결, 집행체계측면에서의세부기준을충족하여야한다. 82) 82) 최경진 (2015), 앞의발제문

86 마지막으로 CBPRs 에참여하려는국가가 APF 의프라이버시원칙등의개인정보국외이 전을위한적절한보호수준을갖추고있는지를판단할수있는점검항목등구체적인기준 을제시하고있는 APEC CBPRs Program Requirements 의내용은다음과같다. < 표 3-8> CBPRs Program Requirements 기준 고지 수집제한 개인정보이용 선택 정보의무결성 내용 1. 명확하고쉽게접근가능한개인정보를규율하는업무및정책에관한방침을제공하고있는가? 2. 개인정보수집시그러한정보가수집되고있음을고지하는가? 3. 개인정보수집시개인정보수집의목적을고지하는가? 4. 개인정보수집시개인에게개인정보가제3자와공유될수있음을고지하는가? 5. 개인정보를수집하는방법 6. 수집목적또는기타양립가능하거나관련되는목적을달성하기위하여관련되는정보에그수집을제한하는가? 7. 합법적이고공정한방법으로개인정보를수집하는가? 8. 프라이버시방침에명시된바에따라수집한개인정보의이용을제한하는가? 9. 8번질문에대한답변이 아니오 일경우, 수집된정보를어떠한상황하에서다른목적으로사용하는가? 10. 수집한개인정보를다른컨트롤러에게공개하는가? 11. 수집한개인정보를프로세서에게전송하는가? 번과 11번질문에답변이 예 일경우, 이러한공개와전송은원래의목적을달성하기위하여이루어지는가? 번에대한답변이 아니오 일경우, 다음중어떠한상황하에서공개와전송이이루어지는가? 14. 개인정보의수집에대하여개인이선택할수있는체계를제공하는가? 15. 개인정보의이용에대하여개인이선택할수있는체계를제공하는가? 16. 개인정보의공개에대하여개인이선택할수있는체계를제공하는가? 17. 정보의수집, 이용및공개에관한선택은명시적이고뚜렷한방법으로제공되는가? 18. 정보의수집, 이용및공개에관한선택은명확하고쉽게이해가능한방법으로설명되었는가? 19. 정보의수집, 이용및공개에관한선택은쉽게접근가능하며이용할만한가? 20. 선택이이루어졌을때, 효과적이고신속한방법으로의사를존중하는가? 21. 이용목적상필요한범위내에서개인정보최신성, 정확성, 완전성을위한조치를취하고있는가?

87 기준 22. 이용목적상필요한범위내에서불완전하거나부정확한개인정보를수정하기위한체계를갖추고있는가? 23. 불완전하거나부정확한정보가전송된결과이용및수정의목적에영향을미치는경우, 이의수정에관하여프로세서, 대인인또는개인정보를이전받은다른서비스제공자와교신하는가? 24. 불완전하거나부정확한정보가공개된결과이용및수정의목적에영향을미치는경우, 그수정에관하여개인정보를공개받은제3자와교신하는가? 25. 프로세서, 대리인또는다른서비스제공자등이정보가불완전하거나부정확함을알게된경우이를통지하도록요청하고있는가? 26, 정보보안정책을시행하고있는가? 27. 정보의손실, 권한없는접근, 파괴및권한없는이용 / 변경, 공개등과같은위험으로부터개인정보를보호하기위하여물리적, 기술적, 행정적조치를행하는가? 번문제에대한조치는정보의민감도, 위험의중대성및발생가능성에따라어떻게달라지는가? 29. 피고용자들에게개인정보보안유지의필요성을어떻게인지시키고있는가? 30. 정보의민감도, 위험의중대성및발생가능성에비례한조치를시행한적정보보호이있는가? 31. 개인정보파기에관한정책을실행한적이있는가? 32. 공격, 침입등보안문제에대한탐지, 예방및대응조치를취한적이있는가? 번문제에대한조치의효과성검증을위한절차가있는가? 34. 리스크평가또는제3자인증을활용하고있는가? 35. 프로세서, 대리인, 수급인, 기타개인정보를이전받은서비스제공자등에게정보의손실, 권한없는접근, 파괴, 사용, 변경및공개를보호하도록요구하고있는가? 36. 개인의요청에따라개인정보의보유여부를확인해주고있는가? 37. 개인에게개인정보에대한접근을제공하는가? 접근및수정 38. 정보의정확성에대한개인의문제제기를받아들이는가? 변경, 개정및삭제요청을받아들이는가? 39. APEC 정보프라이버시원칙준수를보장하기위해취하는조치는무엇인가? 40. 프라이버시원칙준수에관한담당자를지정하였는가? 41. 프라이버시관련한불만을접수하고조사하는절차가있는가? 책임성 42. 불만접수후지체없이답변을위한절차가있는가? 번절차가존재하는경우, 답변에불만과관련한구제조치에대한설명이포함되어있는가? 출처 : 최경진 (2015) 내용

88 한편 CBPRs 프로그램이요구하는보호기준을국내현행개인정보보호법제에서대부분이미반영하고있거나더높은보호수준을갖추고있으며, 다만개인정보의민감도, 위험의중대성및위험발생가능성에따른물리적 기술적 행정적조치를비례적으로접근하는입법적개선이필요하다. 4. 미국 미국은공공부문과민간부문을아우르는종합적인입법방식을채택하지않고, 규제가필요한영역별로프라이버시에관한법률을제정하고, 민간부분은기본적으로자율규제로프라이버시를보호하고있다. 이처럼미국은정보통신환경에서개인정보및프라이버시보호에관한일반법이아닌개별적인영역이나개별주마다개인정보에대하여각각다른규제방식을채택하고있는관계로개인정보의국외이전에관한일반적규정은없다. 공공부문에서는개인정보보호에관하여 Privacy Act, 1974 ( 프라이버시법 ) 83), Computer Security Act, 1987 ( 컴퓨터보안법 ), Fair Credit Reporting Act, 1997 ( 공정신용보고법 ), Health Insurance Portability and Accountability Act, 1997 ( 연방의료보험통상책임법 ), Children's Online Privacy Protection Act, 1998 ( 어린이온라인사생활보호법 ), Graham-Leach-Bliley Act, 1999 ( 금융현대화법 ) 등을부문별로제정및규제하고있다. 민간부문에서는개인정보보호에관하여 Cable Communication Policy Act, 1984 ( 케이블통신정책법 ), Electronic Communications Privacy Act, 1986 ( 전자통신프라이버시법 ), Telecommunication Act, 1996 ( 연방통신법 ) 등이존재하고이밖의영역은원칙적으로자율규제하에정보주체의개인정보를보호하고있다. 83) Privacy Act 에의하여설치된프라이버시보호조사위원회 (Privacy Protection Study Commission) 는 정보사회에있어서의개인의프라이버시 (Personal Privacy in a Information Society) 보고서에서 1 공개의원칙, 2 개인접근권보장, 3 개인참가의원칙, 4 수집제한의원칙, 5 사용제한의원칙, 6 제공제한의원칙, 7 정보관리의원칙, 8 책임의원칙의 8원칙을제시하였다 ( 임규철 (2007), 개인정보의국외이송에대한법적통제의필요성, 인권과정의 365호, 대한변호사협회 )

89 5. 일본일본은현재개인정보보호와관련하여 개인정보보호법, 행정기관이보유하는개인정보의보호에관한법률, 독립행정법인등이보유하는개인정보의보호에관한법률, 정보공개 개인정보보호심사회설치법 및 행정기관이보유하는개인정보의보호에관한법률등의시행에따른관계법률의정비등에관한법률 등을제정 ( 시행 ) 하여공공및민간부분의개인정보보호법체계를구성하고있다. 공공부문의개인정보보호법제는국가의행정기관및독립행정법원이보유하는개인정보를보호하고, 각지방공공단체가보유하는개인정보에대하여는각지방공공단체가제정하는조례에의해규율한다. 민간부문에적용되는개인정보보호법은법률의목적 정의 ( 제1조 제3조 ), 개인정보보호에관한국가 지방자치단체의책무등 ( 제4조 제6조 ), 개인정보보호의기본방침 ( 제7조 ), 개인정보보호에관한국가 지방자치단체의시책등협력 ( 제8조 제14조 ), 개인정보취급사업자의의무 ( 제15조 제 36조 ), 인정개인정보보호단체 ( 제37조 제 49조 ), 적용제외 권한위임 공표등을규정하는잡칙 ( 제50조 제55조 ), 벌칙 ( 제56조 제59조 ) 및시행일 경과조치에관한부칙으로구성되어있고, 각사업분야별가이드라인을마련하고있다. [ 그림 3-2] 일본의개인정보보호에관한법체계 출처 : 백문흠 전혜정 (2012), 일본의개인정보보호법제에관한소고, 2012 년도통합법제연구보고서

90 하지만총 6장 59개조와부칙으로구성되어있던 개인정보보호법 이총 7장 78개조와부칙으로 2015년 9월개정되었다. 개정된주요내용은 1 개인정보의개념명확화, 2 적절한조건하에개인정보활용보장, 3 개인정보보호강화, 4 개인정보보호위원회설립, 5 국제적조화, 6 기타등이며, 이중개인정보국외이전과관련하여는 24조를정비하였다. 우선, 자국민의개인정보를수집한국외의사업자들에게일본의개인정보보호법을적용하며, 나아가 ⅰ) 일본과동등한수준의개인정보보호가보호되고있다고인정된국가, ⅱ) 일본의개인정보취급자와같은개인정보보호체계를정비하고있다고인정되는경우를충족하는경우에는개인의사전동의없이국외로이전가능하며, 두조건을모두충족하지못한국가의개인정보취급사업자는정보주체의동의를받도록규정하였다

91 제 4 절유럽사법재판소의 EU- 미국간세이프하버 (Safe Harbor) 협정무효판결의의미와시사점 1. 개요 지난 2015년 10월 6일유럽최고법원인유럽사법재판소는미국과 EU 간 2000년부터 15 년간유지해오던정보공유협정인 세이프하버 (Safe Harbor: 안전피난처 ) 84) 가무효라는결정을내림에따라각국에서개인정보의국외이전이슈에대한논의가뜨거워지고있다. 그동안미국 ICT기업들은양국간의 세이프하버 협정을근거로유럽이용자들의개인정보를손쉽게수집및전송하여미국내서버에저장해왔지만, 유럽사법재판소의판결에따라애플, 페이스북, 구글, 마이크로소프트, 야후등 4,400여개에달하는미국기업들은더이상관행적으로해오던유럽이용자들의정보수집및공유가금지되거나어려워지게되었다. 실제지난 2013년미국국가안보국 (NSA) 소속으로일하던에드워드스노든이미국정부의대량감시 (mass surveillance) 활동을폭로한직후, EU의요구에따라미국상무성과 EU 집행위원회는 2년여에걸쳐 세이프하버 협정의개정작업을진행해왔는데유럽사법재판소의판결에따라그동안지지부진했던개정작업이탄력을받게되었다. 85) 본절에서는유럽사법재판소가미국-EU간세이프하버협정이무효라고내린판결의요지와본판결에서쟁점이된사항에대한검토그리고국외로이전되는자국민의개인정보보호에관하여 ECJ 판결이주는시사점은무엇인지살펴보고자한다. 84) Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p.7). 85) 월스트리트저널에의하면, 미국과 EU는 10월 26일데이터전송에관한새로운협약에원칙적으로합의를했고, 다만새로운협약이유럽사법재판소의요구사항이충분히반영되었는지는검토중인것으로알려졌다 < e-in-principle-on-data-pact >( 최종방문 )

92 [ 그림 3-3] 유럽사법재판소판결문 출처 : 2. 사건의경과및관련조문 가. 사건의경과 Max Schrems 는오스트리아에서 europe-v-facebook.org 를운영하는프라이버시보호활동가이며로스쿨을졸업한법학도이다. 2013년에드워드스노든이미국국가안보국 (NS A) 의불법감청및개인정보수집을폭로하면서 2008년부터페이스북을이용해오고있었던

93 그는페이스북에제공한자신의정보도미국정부의감시대상이되었다고판단하여미국의프라이버시와관한법과관행이미국으로이전되는개인정보에대한보호가충분한수준으로이루어지지않아미국와 EU간의세이프하버협정이위법하다는취지로 2013년 6 월 25일아일랜드개인정보보호감독청에 (Irish Data Protection Commissioner, DPC) 청원하였다. [ 그림 3-4] 원고가아일랜드개인정보보호청에제출한청원서 출처 : 원고가아일랜드개인정보보호감독청에청원을한후, 2013 년 7 월 23 일아일랜드개인정 보보호감독청은미국상무부와유럽위원회가맺은세이프하버협정에근거하여세이프하

94 버에가입한미국기업들은개인정보를제 3 국으로전송이허용되는충분한수준의보호가 이루어지고있다고보기로하였으므로, 페이스북이원고의개인정보를충분히보호하고 있다며기각판결을내렸다. [ 그림 3-5] 아일랜드개인정보보호감독청의기각통지문 출처 : 이에원고는 2013 년 10 월 24 일아일랜드고등법원에아일랜드개인정보보호감독청의판 단에대한행정소송을제기하였고, 아일랜드고등법원은 2014 년 3 월 29 일에공판 (hearing)

95 을열었다. 이후 2014년 6월 18일아일랜드고등법원은유럽위원회의결정에도불구하고회원국의개인정보보호감독청이제3국이개인정보보호의적정한수준을보장하고있는지를조사할권한이있는지그리고세이프하버협정이유럽연합기본권헌장및 EU지침을위반한다고판단될경우해당개인정보의이전을중지할권한을가지고있는지에대하여유럽사법재판소에선결판결 (preliminary ruling) 을요청하는중간판결 (interlocutory judgment) 을내렸다. 이후유럽사법재판소는공판을거쳐 2015년 10월 6일 EU-미국간의세이프하버프레임이무효라는취지의판결을내렸다. [ 그림 3-6] 아일랜드고등법원의중간판결 (interlocutory judgment) 출처 :

96 < 표 3-9> 사건의경과정리 원고는페이스북아일랜드에대한불만을아일랜드개인정보보호당국에제출 아일랜드개인정보보호당국은원고의신청에대해조사할의무가없다고기각결정 원고는아일랜드고등법원에아일랜드개인정보보호당국판단에대한사법심사를청구 아일랜드고등법원의공판 아일랜드고등법원은유럽사법재판소에법률의해석을구하는선결판결을요청하는중간판결을내림 유럽사법재판소대심판부의공판 법무감 (Advocate General) 의견서제출 유럽사법재판소판결 출처 : 수정및보완 유럽사법재판소가 2015년 10월 6일 EU에서미국으로의개인정보이전을허용하는유럽연합집행위원회의세이프하버결정이무효라고판단함으로써아일랜드법원은 EU지침에따라미국이개인정보보호의적당한수준을보장하고있지않다는점에서유럽의페이스북이용자들의개인정보가미국으로이전되는것을금지할지여부를결정하여야한다. 유럽사법재판소의판결이후, 2015년 10월 20일아일랜드법원은아일랜드개인정보보호감독청에게유럽연합이용자들의정보를미국으로이전하는것과관련하여개인의프라이버시가충분하게보호되는지여부를조사하도록명령하였다. 86) 한편미국상무성은 10월 6일유럽사법재판소의세이프하버협정무효판결로인하여미국과유럽기업과소비자모두에게많은혼란이발생하고있다고비판하면서, 지난 2년동안미국상무성과유럽연합집행위원회는 EU-미국세이프하버를강화하기위해긴밀하게협력하고있으며, 곧새로운내용을도출할것이라고성명서를홈페이지에게시하였다. 86) 회원국개인정보보호감독청이유럽연합집행위원회에게세이프하버체계의개선을요구하고유럽연합집행위원회가그개선요구를수용하지않을경우, EU기능조약제 265조에따라유럽사법재판소에불이행제소를제기할수있을것임 ( 박노형 (2015), 미국과 EU의개인정보보호세이프하버체계에대한 EU사법법원의 Schrems 사건 판결평석, 제15회사이버법 정책콜로키엄, 고려대학교사이버법센터 )

97 [ 그림 3-7] 미국상무성의성명서 출처 : 나. 관련조문 EU지침에서개인정보의제3국으로의이전은본지침의규정에따라서채택된회원국의규정을위반하지않으며, 해당제3국이적절한수준의보호 (adequate level of protection) 를보장하는경우에한하여가능하다고규정 ( 제25조제1항 ) 하고있다. 여기서말하는 보호수준의적정함 (adequacy of the level of protection) 은개인정보이전과관련한모든상황을종합적으로고려하여판단하고특히, 개인정보의성질, 제안된처리작업의목적과기간, 정보의정보발신국과최종수신국, 당해제3국에서시행되는일반적 분야별법규범그리고제3국에서적용되는전문적법규와보안조치를기준으로판단하도록 ( 제25조제2항 ) 하고있다. 또한유럽연합집행위원회는제3국이이전받은개인정보를적절한수준으로보호하지않고있다고판단할경우, 다른회원국에게고지할뿐만아니라해당제3국으로동일한형태의정보의이전을방지하기위한필요한조치를취해야한다고규정 ( 제25조제3항및제4항 ) 하고있다. 아울러유럽연합집행위원회는동조제4항의판단으로야기된상황을해결하기위해적절한시기에협상에착수해야하며 ( 제25조제5항 ), 제3국의국내법또는

98 제3국이체결한국제조약, 동조제5항에따른협상의결과에따라서유럽연합집행위원회는제3국이사생활및개인의기본적자유와권리를적절한수준으로보호하는것으로인정할수있도록 ( 제25조제6항 ) 하고있다. 다만예외적으로정보주체가개인정보이전에명백히동의한경우, 정보주체와개인정보처리자사이에체결된계약의이행에필요한경우, 정보주체의요청에따른계약체결전조치를이행하기위하여필요한경우, 개인정보처리자와제3자사이에정보주체의이익을위한계약의체결또는이행을위하여필요한경우, 중요한공익적근거에기초하거나법률적청구를제기, 수행하거나방어하기위하여필요하거나법적으로요구되는경우, 정보주체의중대한이익보호를위하여필요한개인정보의이전인경우일지라도제26조제1 항에따라제3국의개인정보보호수준이유럽연합에서요구하는 적정한수준 에이르지못하더라도해당제3국으로개인정보를이전할수있다. 3. 판결의요지 가. EU 회원국개인정보보호감독청의권한원고가아일랜드고등법원에제기한행정소송에대하여아일랜드고등법원이유럽사법재판소에선결판결을구한첫번째쟁점은회원국의개인정보보호감독청이개인정보의제3국이전에관하여해당제3국이충분한수준의보호를하고있는지여부를조사하고판단할권한을가지고있는지여부, 나아가세이프하버에따라미국의해당기업이유럽회원국이용자의개인정보를전송받아적절한수준의보호를하고있다는유럽집행위원회의판단에각회원국개인정보보호감독청이구속되는지여부이다. 이에유럽사법재판소는회원국개인정보보호감독청은개인정보제3국이전과관련하여제3국이충분한수준의보호 (adequate protection) 를하는지여부를조사하고판단할독립적인권한을가지고있으며, 나아가그권한은제3국이전송된개인정보의적절한수준의보호를보장하고있다는유럽연합집행위원회의결정이나판단의존재가회원국개인정보보호감독청의권한을축소하거나배제할수없다고밝혔다. 무엇보다유럽사법재판소는어떠한규정도유럽연합집행위원회의결정사안인제3국으로개인정보전송에관하여회원국개인정보보호감독청의조사및감독권한을금지하고있지않으며, 유럽연합집행위

99 원회가어떠한결정을채택하더라도회원국의개인정보보호감독청은독립적으로제3국으로개인정보의이전이국내및 EU법률을준수하는지여부를조사할수있다고명시하였다. 따라서제3국으로개인정보의이전에관한집행위원회의결정이무효라고판단되면국내기관이나개인은국내개인정보보호감독청및법원에소를제기할수있으며, 국내법원역시집행위원회의결정이의심스러울때는유일하게집행위원회의결정효력여부에대한결정권한이있는유럽사법재판소에회부할수있다. 나. 세이프하버의유럽연합기본헌장및 EU지침위반여부유럽사법재판소는 EU- 미국간의세이프하버협정의효력에관하여유럽연합집행위원회가미국이국내법이나국제협약에따라유럽연합내기본권헌장및지침에의해보장되는것과본질적으로동등한기본권의보호수준을사실상보장하는지판단했어야하는데이러한판단을하지않고세이프하버제도자체만을검토하였다고판시하였다. 나아가미국의정보 수사기관들의요구는세이프하버협정을압도하였고, 미국기업들은미국정보 수사기관들의요구들과세이프하버협정에서의프라이버시보호규정과충돌이발생할경우후자를제한없이무시하여미국정보기관으로부터 EU 시민의불법감청및개인정보수집을가능하게했다고판시하였다. 아울러유럽집행위원회와미국상무부간의세이프하버협정은미국국내법및프라이버시침해에관한법적보호를고려하지않은점등을종합하여 EU- 미국간의세이프하버협정이무효라고선언하였다. 4. 시사점유럽사법재판소의 EU-미국간의세이프하버가무효라고판결함에따라유럽회원국의개인정보보호감독청은미국의대량적이고무차별적인감시에정보를제공한기업들에대한조치를취하거나이용자의요청이있는경우즉각적으로조사에나설것으로예상된다. 더이상유럽이용자들의정보를미국으로이전하여처리하는미국기업들은세이프하버에의존하여개인정보의이전이금지되는것이고다만, 이용자들에게명시적인동의를받거나, 계약의체결, 이행의경우와 BCR이나 SCC를이용하는방법은아직유효하다. 또한이번판결은개인정보를이전하여수집한개인정보를활용하는기업에대하여각국이

100 어떻게규율할것인지에대한논의를촉발시킬것이고, 우리나라도그동안국민의개인정보를대량으로이전했던글로벌기업들에대하여어떠한규범과정책으로대응할것인지주목된다. 유럽사법재판소의판결의의미와시사점은다음과같다. 첫째, 그동안미흡하다고평가되던 EU- 미국간의세이프하버협정이개선될것이다. 세이프하버제정과정에서부터그내용이유럽의개인정보보호법제에서보장하는보호수준에현저하게미달된다는비판을많이받아왔는데, 유럽사법재판소가취하는입장이기본권보장에충실하며, EU기본권헌장, 지침등을엄격한해석을통하여반영하여야한다는점에비추어보면개인정보의국외이전에가능한적절한보호수준이강화될것이다. 둘째, 유럽연합집행위원회의결정에구애됨이없이회원국개인정보보호감독청은그적절성을독립적으로판단, 평가할수있다는점을확인하였다. 이번판결에서집단적이고무차별적인감시가주된초점이었고, 그와관련한적법절차의보장, 권리구제사단, 비례성이나필요성의원칙을비롯한권리보호조치들이쟁점이었는데, 앞으로는회원국의개인정보보호감독청의독립성이나권한, 권리구제수단의실효성과같은점에서도그것이유럽연합수준의충분성을보장하는것인지, 그런수단이불비된경우개인의사생활보호나기본적권리나자유보장이충분하게이루어지고있다고볼것인지등을쟁점으로한판단도이루어질가능성이높다. 셋째, 미국기업은 EU에서미국으로개인정보를이전하는대신 EU 내에서개인정보를처리하기위해 EU 역내에서서버를설치하는 정보현지화 (data localization) 이실행하도록요구될것이다. 예를들어아일랜드와핀란드에데이터센터를보유하고있는구굴은벨기에에소재한자신의데이터센터규모를확대하고있고, 2016년가동을위한데이터센터를네덜란드에설치중에있다. 넷째, 디지털단일시장 (Digital Single Market) 을적극추진하고있는유럽연합집행위원회는회원국의개인정보보호감독청과협력하여개인정보의국외이전에대한분명한가이드를합의하여개인정보이전에관한여회원국들사이의조화를유지해야하는숙제도함께안게되었다

101 제 4 장개인정보자기결정권관련국내외규범의현황과특성 제 1 절논의의배경 인식지평은새로운경험을통해성장하기마련이다. 빠르게변화하는현실을규범이따라잡지못하는이른바 규범지체 (normative lag) 현상이야말로역설적으로현존하는정책 규범에대한비판적성찰을촉발하는계기가되는이유이다. 이러한현상은개인정보보호를둘러싼담론에서도그러한바, 개인정보를수집 보관 처리하는기술이비약적으로발전하고개인정보보호에관한사회문화적감수성이변화함에따라, 개인정보보호를둘러싼담론또한끊임없이요동치고있다. 일례로, 유럽사법재판소의이른바 잊혀질권리 판결이촉발한관심에서드러나듯이, 개인정보자기결정권의내용이확장되는양상이관찰되고있다. 전통적으로 개인식별정보 을중심으로하는좁은의미의개인정보수집 보관 처리통제에서검색차단요구권, 사정변경사실고지요구권, 삭제요구권등정보주체의정당한이익이존재하는경우, 넓은의미에서 인격관련 개인정보에관한통제로외연이확장되는실무 이론이관측되고있다. 다른예로는, 이른바사망한사람의온라인디지털정보에관한통제권논의가등장하고있다. 전통적으로개인정보보호는 생존하는 자연인을그보호주체로삼고, 사망한자연인 에관한개인정보의경우직계가족등생존하는자연인의법익과일정한연결점을형성하는경우에한하여부수적으로문제삼아왔다. 그러나, 온라인에유통되는개인정보는정보주체의죽음과동시에곧바로소멸하는것이아니며, 정보주체가사망한후에도영구히보존 이용될수있음을감안할때, 사망한사람의개인정보라는이유만으로보호의사각지대에두는것은문제가있다. 여기서, 이른바 디지털유산처리 쟁점을개인정보맥락에서재검토하는논의들또한등장하고있다. 아울러, 잊혀질권리내지사망한사람의개인정보보호담론에서도확인할수있듯이, 개인정보침해주체가국가로부터사적단체 기업으로이동하고있는현실에도주목할필요가있다. 이에따라, 필연적으로개인정보자기결정권의 대사인적 효력에대한심도있는

102 논의또한필요하게되었고, 국가는이제개인정보자기결정권보호자로서개인정보자기결정권과다른공 사익간조정을수행해야할의무를부담하게되었다. 그러한측면에서국가는입법을통한것이든, 행정적제재를통한것이든, 법원의사법적판단을통한것이든보호와공개 이용간균형을잡아가는노력을경주하지않을수없게되었다. 본장에서는개인정보자기결정권을둘러싼논의지형변화를관측할수있는두가지쟁점인 잊혀질권리 와 사망한사람온라인디지털정보처리 관련담론들을소개하고, 그에대응한국내외규범동향을개관해봄으로써, 개인정보자기결정권의본질을재성찰하고, 바람직한정책방향을도출하고자한다. 제 2 절이른바 잊혀질권리 관련국내외규범동향 1. 논의의촉발점 : 유럽사법재판소의판결 가. 사건의경과 2010년스페인변호사마리오코스테하곤잘레스 (Mario Costeja Gonzalez) 는 1998년스페인유력지 라뱅가르디아 (La Vanguardia) 에게재된기사와구글검색링크가자신의프라이버시권을침해한다면서소송을제기하였다. 곤잘레스는 1998년기사내용의채무내역과재산강제매각부분이해결되었는데도기사와구글검색이지속되고있다 며스페인정보보호원에구글과신문사를제소하였으나, 구글과신문사측은 기사내용이사실이며법적으로문제없다 며삭제요청을거부하였다. 스페인개인정보보호원은 라뱅가르디아 기사는법적으로문제없다며기각하였으나, 구글과구글스페인에대해서는해당링크를삭제할것을명령하였다. 이에불복하여, 구글과구글스페인은스페인고등법원에개인정보보호원의조치를무효화해달라고소송을제기하였고, 스페인고등법원은은유럽사법재판소에 유럽개인정보보호지침 관련규정해석과관련하여 선결적판단 (preliminary ruling) 을요구하였다. 이에, 2014년 유럽사법재판소가유럽개인정보보호지침규정에의거하여관련링크를삭제하여야한다고최종판결한사건이다. 87) 87) Case C-131/12, Google Spain SL, Google Inc. v Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzalez (May 13, 2014)

103 나. 판결의기초유럽사법재판소판결의기초가되었던현행유럽개인정보보호지침은제12조에서잊혀질권리에대응하는규정으로 접근권 (right of access) 을규정하고있다. 그내용은정보의불완전성또는부정확성으로인하여지침상규정을준수하지아니하고처리되는개인정보의수정, 삭제또는차단이적절히이루어질수있도록일정한권리를정보주체에게보장하는것이다. 한편, 현행지침은제13조에서정보주체의보호와공공안전등공익, 표현의자유등사익간조화를도모하기위해서회원국이접근권을제한하는조치를입법화할수있음도규정하고있다. 다. 판결의내용유럽사법재판소는선결적판단요청에대하여, 개인정보보호지침에의거하여구글에관련링크를삭제하라라고결정하였다. 88) 개인정보가합법적으로제3자에의하여공개된경우라고하더라도, 정보주체가자신에게해로울것이라고생각하거나잊혀지기를원하는경우제3자의웹페이지에공개된개인관련정보의색인을방지하기위하여검색엔진에대하여정보주체가차단을요구할수있는것인지가쟁점이었다. 이와관련하여, 재판과정에서단순히정보주체가자신에게해가될것으로생각하거나잊혀지기를원한다는이유로개인정보보호지침상의삭제권, 차단권을인정할수는없다는주장과개인정보보호와프라이버시에관한기본적권리가검색엔진운영자의경제적이익, 정보의자유에관한일반적이익에우선하는경우에는관련된개인정보가검색엔진에의하여색인되지않도록요구할권리를인정할수있다는주장이대립하였다. 유럽사법재판소는개인정보보호지침에따른개인정보의수정, 삭제또는차단권은개인정보의불완전성또는부정확성에기초하여인정될수있을뿐만아니라정보처리목적과관련하여부적당하거나관련성이없거나초과적인경우, 최신의정보로유지되지않는경우또는역사적, 통계적또는과학적목적으로그보유가요구되지않는한필요한기간보다더오래보유되고있는경우에도인정될수있다고판단하였다. 결론적으로, 유럽사법 88) 판결의쟁점, 내용에대한상세는최경진 (2014), 잊혀질권리에관한유럽사법재판소 (ECJ) 판결의유럽법제상의미와우리법제에대한시사점, 법학논총제38권제3호, 53-64면참조

104 재판소는개인정보보호지침적용요건을평가함에있어서정보주체와관련된정보가정보주체의이름과연계한검색결과에서더이상연결되지않도록요구할수있는권리를정보주체가보유하는가를검토하였다. 유럽사법재판소는기본권적측면에서정보주체는해당정보가검색결과에포함되어더이상일반에공개되지않도록요청할권리가있기때문에, 검색엔진운영자의경제적이익만존재하는경우에는정보주체의권리가우월하며, 정보주체의이름과관련한검색에나타나는정보에접근할일반공중의이익보다도앞선다고판단하였다. 다만, 특별한경우로서예컨대, 정보주체의공인으로서의역할과같이일반에공개되는정보에접근하는공중의우월한이익에의해서정보주체의기본권에대한제한이정당화되는경우에는예외가인정된다고판단하였다. 라. 판결의함의, 파장유럽사법재판소판결은 잊혀질권리 라는용어를언급하기는하였지만, 새로운실체적권리로서잊혀질권리를형성한것은아니고, 삭제권, 차단권행사요건을명확히하였을뿐이다. 89) 특히, 삭제권, 차단권의적용요건을 정보의불완전성또는부정확성으로인하여이지침의규정을준수하지않은처리 에한정하지않고, 처리목적과관련하여부적당하거나관련성이없거나초과적인경우, 최신의정보로유지되지않는경우또는역사적, 통계적또는과학적목적으로그보유가요구되지않는한필요한기간보다더오래보유되고있는경우까지확장하였다는데의미가있다. 한편, 유럽사법재판소는삭제권, 차단권을절대적인권리로인식하지는않았다. 원칙적으로정보주체의삭제권이나차단권은검색엔진운영자의경제적이익만존재하는경우에는그보다우월하고정보주체의이름을기초로한검색결과정보에접근할일반공중의이익보다도앞서지만, 언론의개인정보처리의경우와같이법적용의예외사유가존재하는경우나정보주체의공인으로서의역할로인하여공중의우월한이익이존재하고정보주체의기본권에대한제한이정당화되는경우에는예외가인정된다고하여, 적용에있어서이익형량의여지를남겨놓았다. 나아가, 이판결은개인정보보호범위를확장하면서도그한계또는타법익과의조정필요성을언급하였다는점에서도의미를갖는다. 관련하여, 이른바 목적구속원칙 견지에서, 수집 보유 처리목적을유월하는개인정보이용에대하여차단권, 삭제권을인정함으로써, 개인정보자 89) 최경진 (2014), 앞의논문, 면

105 기결정권의내용을명확히하였다는점도하나의공적으로평가할만하다. 이판결은서로모호한개념인 잊혀질권리 를현실적으로어떻게적용할지에대한논의를촉발하였다. 구글은 2014년 5월 30일유럽연합지역이용자들에게자신들의개인정보에관한검색결과에대해삭제요청을할수있는웹페이지를개설했는데, 삭제요청신청자들은사진이첨부된신분증사본을제출하고자신에관해삭제하려는내용으로연결된링크를입력하도록했다. 각각의링크에대해서는해당링크가어떻게자신과관련한것인지와함께검색결과가부적절하고적합하지않은이유를적도록했다. 구글은삭제요청을알고리즘에의한자동처리가아니라, 각각의삭제요청이타당한지를사람이개별적으로검토해처리하기로했다. 90) 한편, 유럽사법재판소의판결이후유럽연합개인정보보호정책자문조직인 Article 29 Working Party 는 잊혀질권리를실행하기위한가이드라인을발표했다. 이가이드라인은잊혀질권리의행사방법에대하여, 1 원소스의게시글은삭제하지않고, 2 검색엔진의검색결과만삭제하고, 3 링크삭제의효과는구글의.com 을비롯한관련도메인에발생하여야한다는것을주요내용으로하고있다. 91) 2. 잊혀질권리관련해외규범동향 가. 유럽연합일반정보보호규정안개인정보보호지침에따른삭제권의인정범위가유럽사법재판소판결을통하여넓게인정되었지만, 유럽사법재판소판결이전부터유럽연합은잊혀질권리에대하여광범위하게인정하려했다. 일반정보보호규정 ( 이하, GDPR) 원안은 잊혀질권리 라는용어를명시적으로사용하였고, 이후논의과정에서격렬한찬반론을거쳐, 수정안이마련되었다. 92) 1) GDPR 원안 90) 구본권 (2014), 잊혀질권리판결이던진과제, 정보삭제권리와인터넷검색기업의역할토론회자료집, 29면. 91) 김경환, 잊혀질권리와정보갱신권, 법률신문, ) GDPR 원안, 수정안에대한상세는, 최경진, 앞의논문, 면참조

106 GDPR 원안제17조는그표제를 잊혀질권리및삭제권 (right to be forgotten and to erasure) 이라고규정하여잊혀질권리를명시적으로규정하였다. 이에따라, 정보주체는자신과관련된개인정보의 삭제권및확산중지권 (abstention from further dissemination) 을보유한다. 특히, 아동인정보주체의개인정보에대하여그러한권리가보장된다. 다만, 이러한권리가인정되기위해서는 1 해당개인정보가수집되거나처리되는목적과관련하여더이상필요하지않은경우, 2 해당개인정보를처리할수있는법적근거가없는경우로서, 처리에대한동의를철회하거나동의한보관기간이만료된경우, 3 정보주체가해당개인정보의처리에반대하는경우, 4 다른이유로인하여해당개인정보의처리가 GDPR 을준수하지못하는경우이어야만한다. 나아가, 정보관리자 (data controller) 가개인정보를공개한경우, 그공개에대하여책임있는개인정보와관련하여해당개인정보를처리한제3자에게해당개인정보에대한링크, 사본또는복제본의삭제를정보주체가요구하였다는사실을알리기위한합리적인조치를취하여야한다. 이경우정보관리자가제3자에게개인정보의공개를허용하였다면, 그정보관리자는그공개에대하여책임있는것으로보아야한다. 잊혀질권리및삭제권이인정되면정보관리자는개인정보를 지체없이 (without delay) 삭제하여야한다. 다만, 잊혀질권리또는삭제권은절대적인것은아니며, 1 표현의자유에대한권리를행사하기위하여필요한경우, 2 공공보건부문에서공익을위하여필요한경우, 3 역사, 통계, 과학연구목적으로필요한경우, 4 정보관리자가따라야하는유럽연합또는회원국의법률에의해개인정보를보관해야하는법적의무를준수하기위하여필요한경우, 5 개인정보의처리를제한하여야하는경우, 정보관리자가예외적으로개인정보를보유할수있도록하여, 공익내지타법익과조화를모색하고있다. 2) GDPR 수정안 GDPR 수정안에서가장큰변화는 잊혀질권리 라는표현을삭제하고, 제17조표제를 삭제권 (right to erasure) 으로명명하였다는점이다. 이는 잊혀질권리 라는용어가내포하는불명확성에대한우려를제거하기위한것으로보인다. 이러한변화와함께아동에대하여명시한문구를삭제하고, 해당정보로의링크, 해당정보의사본이나복제본을삭제할권리 를추가하면서삭제권의상대방에정보관리자외에제3자까지포함시켰다. 기존에잊혀질권리및삭제권을행사할수있는대상으로서규정되었던 이규정을준수하

107 지않은개인정보의처리 를수정하여, 불법적으로처리되는개인정보 라고수정하였다. 한편, GDPR 수정안은 유럽연합내의법원이나규제기관이관련개인정보가삭제되어야한다고최종적이고절대적인결정을한경우 에도삭제권을행사할수있도록하였다. GDPR 수정안은그동안의논의를바탕으로하여타협점을찾은결과로서, 잊혀질권리 대신 삭제권 을보다명확히규정하는형태로수정한데그특징이있다. 나. 캘리포니아주미성년자들을위한디지털세계에서의프라이버시권법미국 통신품위법 (Communications Decency Act) 제23조는인터넷서비스사업자가제3 자의콘텐츠를사전에검열하지않았다는이유로소를제기할수없다고규정하고있고, 인터넷업체들의로비력과함께표현의자유를위축시킬경우인터넷시장에도부정적인영향을미칠것이라는시각이많아유럽과같이전이용자층을대상으로하는포괄적인 잊혀질권리 채택은어려울것으로전망된다. 93) 다만, 캘리포니아주는 18세미만의이용자들에게온라인상게재한콘텐츠를삭제할수있는권리를부여하는주법을제정하였다. 94) 캘리포니아미성년자들을위한디지털세계에서의프라이버시권 (Privacy Rights for California Minors in the Digital World) 으로이름붙여진이법률은 부터시행되었다. 특히, 이법률상삭제조항은, 미성년자를대상으로 하거나, 일반대중을대상으로한것이더라도미성년자가이를사용한다는것을인식하고있을경우, 웹사이트, 온라인서비스, 온라인어플리케이션이나모바일어플리케이션의운영자가이용자로등록한미성년자에게그들이사이트나어플리케이션에올린정보를삭제하거나삭제할것을요구할수있도록하여야한다고규정하고있다. 미성년자를보호하기위한조치로서, 서비스제공자들로하여금웹사이트에서삭제한다면서버에있는데이터까지삭제할것을요구하지는않는다는점, 제3자가복사하거나포스팅한것까지삭제하지는않는다는점, 익명화된정보의경우면제된다는점, 미성년자가보상등을받은게시물등에대해서는적용되지않는다는점, 다른사람들이미성년자를언급한게시물에는적용되지않는다는점등에있어서제한된다. 93) 한국인터넷진흥원 (2014), 유럽사법재판소 (EJC), 온라인상잊혀질권리판결, Internet & Security Biweekly Vol. 2, 55면. 94) 최경진 (2015), 잊혀질권리의국내 내외법제동향과시사점, 잊혀질권리 보장을위한세미나자료집, 15면

108 다. 일본유럽사법재판소판결이후유럽연합이외국가로서는처음이라고할수있는잊혀질권리와관련된판결이일본에서도나왔다. 95) 일본인남성이야후재팬의검색사이트에자신의이름을검색하면 미혹행위방지조례 ( 迷惑行爲防止條例 ) 위반용의자로체포된사실이표시되어명예훼손및프라이버시침해라는점을근거로하여야후재팬에대하여손해배상및금지청구를한사건에서, 교토지방재판소는해당청구를기각하였다 이사건과같은원고가구글일본법인에대하여표시금지등을구하는별건소송에서, 교토지방재판소는구글의검색사이트를관리하는것은미국법인이라는이유로청구를기각하였다. 나아가, 신청인이구글검색사이트에자신의이름을검색하면범죄와관련된것같은검색결과가표시되어, 미국구글본사를상대방으로하여금지청구한가처분사건에서, 동경지방재판소는검색결과의일부삭제를명하는가처분결정을내렸다. 3. 잊혀질권리관련국내규범동향 가. 현행법규정 1) 개인정보보호법개인정보보호법에따르면, 자신의개인정보를열람한정보주체는개인정보처리자에게그개인정보의삭제를요구할수있다. 다만, 다른법령에서그개인정보가수집대상으로명시되어있는경우에는그삭제를요구할수없다 ( 제36조제1항 ). 개인정보처리자는정보주체의삭제요구를받았을때에는개인정보의삭제에관하여다른법령에특별한절차가규정되어있는경우를제외하고는지체없이그개인정보를조사하여정보주체의요구에따라삭제등필요한조치를한후그결과를정보주체에게알려야한다 ( 제36조제2항 ). 아울러, 개인정보를삭제할때에는복구또는재생되지않도록조치하여야한다 ( 제36조제3 항 ). 한편, 1 공공기관이처리하는개인정보중통계법에따라수집되는개인정보, 2 국가안전보장과관련된정보분석을목적으로수집또는제공요청되는개인정보, 3 공중위 95) 최경진 (2015), 앞의자료집, 17 면

109 생등공공의안전과안녕을위하여긴급히필요한경우로서일시적으로처리되는개인정보, 4 언론, 종교단체, 정당이각각취재 보도, 선교, 선거입후보자추천등고유목적을달성하기위하여수집 이용하는개인정보의경우, 삭제요구권이제한된다 ( 제58조 ). 현행개인정보보호법은개인정보를정보주체로부터수집한경우에적용되는것을상정한입법으로서, 정보주체의동의하에업무를목적으로정보처리자가보관하는개인정보에대하여삭제요구권을인정함으로써, 일정한범위에서 잊혀질권리 를실현하고있다. 현행법해석론상으로는검색엔진등을개인정보처리자에포함시킬수있는지문제되는바, 유럽사법재판소판결사안과같이, 검색차단요구권형태로 잊혀질권리 를실현하는데에는일정한한계가있다. 현행법이 1차적개인정보처리자를상정하고있을뿐검색엔진과같은 2차적개인정보처리자에대해서는별다른고민을하지않은결과라고할수있다. 96) 2) 정보통신망법 2007년개정된 정보통신망이용촉진및정보보호등에관한법률 ( 이하. 정보통신망법 ) 에따르면, 정보통신망을통하여일반에게공개를목적으로제공된정보가사생활침해나명예훼손등타인의권리를침해할경우침해받은자는정보통신서비스제공자에게침해사실을소명하여그정보의삭제또는반박내용의게재를요청할수있으며 ( 제44조의2 제 1항 ), 정보통신서비스제공자는위요청을받으면지체없이삭제 임시조치등의필요한조치를하고즉시신청인및정보게재자에게알려야하며 ( 제44조의2 제2항 ), 삭제요청에도불구하고권리의침해여부를판단하기어렵거나이해당사자간에다툼이예상되는경우최장 30일해당정보에대한접근을차단하는조치를할수있다 ( 제44조의2 제4항 ). 임시조치규정은주지하다시피권리침해적성격을가지는게시물의확산을방지하기위해고안된제도적장치로, 기본적으로는관련정보주체가원할경우인격적권리의보호를위하여인정되는잊혀질권리와는다소다른성격을가진다고도볼수있는규정이다. 그러나, 현실적으로특정개인은자신이원하지않는게시물에대해삭제의요구를사업자들에게할수있으며, 사업자의입장에서는향후제기될수있는소송위험을회피하기위해관련요청에대해기계적으로응하여임시조치하고있다. 이렇게임시조치된게시물은종 96) 정찬모 (2014), 유럽사법법원의 잊혀질권리 판결과시사점분석, 정보법학제18권제2호, 115면

110 국적으로는사실상삭제처리되고있는것이현실이다. 결국유럽사법재판소판결의경우, 관련정보의삭제청구의대상이언론사가아니라일반적인정보통신서비스제공자였다고한다면, 우리나라에서는정보통신망법상임시조치규정에의해처리되었을가능성이크며, 궁극적으로삭제될수있는여지가높은상황이다. 이러한사실상의정보삭제는임시조치규정도입의기본취지라고는볼수없지만, 현실적인규정적용에있어서는용이한정보삭제를위한제도적수단으로원용되고있다. 이처럼, 국내의경우에는이미잊혀질권리의취지를일정정도실현해줄수있는제도적장치는존재하고있는상황이다. 나. 입법안앞서검토한바와같이, 사생활침해정보의삭제요청과중첩되는한도에서잊혀질권리는정보통신망법을통해일정정도보호되고있으며그범위를넘어서서도개인정보보호법의확장해석에따라서인정될여지가전혀없는것은아니다. 다만, 범위를명확히하여예측가능성을담보하고, 잊혀질권리를확대하고자하는의도에서입법적개선안들일제시되고있다. 1) 정보통신망법개정안 이노근의원이잊혀질권리와관련하여, 정보통신망법제44조의2 제7항에 법률에이용자가자신의저작물로서정보통신망을통하여일반에게공개를목적으로제공한정보에대하여해당정보를취급하는서비스제공자에게삭제를요청하는경우서비스제공자는지체없이대통령령으로확인절차를거쳐해당정보를삭제하고즉시신청인에게알려야한다 라는규정을신설하고, 저작권법제103조의4에 온라인서비스제공자의서비스를이용하여정보통신망에자신의저작물을게시한자는언제든지해당온라인서비스제공자에게게시된저작물의삭제를요청할수있다. 온라인서비스제공자는제1항에따른해당저작물의삭제를요청받으면지체없이해당저작물을삭제하고즉시신청인에게알려야한다 는규정을신설하는법안을대표발의한바있고, 이는 19대국회에서위원회심사단계에있다. 97) 97) 이법안에대하여는법안이 저작물 로한정해서잊혀질권리를행사할수있도록하고있는데, 저작물은창작성을요건으로하기때문에대상범위가지나치게좁아질수있

111 2) 검색목록배제요구권입법의견포털사이트에서특정개인정보를검색어로입력하여나오는게시글의검색결과를삭제해줄것을내용으로하는검색목록배제요권을구체적으로입법할필요가있음을주장하는견해도있다. 98) 이견해는자신의개인정보가포함된게시글이 1 본래목적을달성하였거나, 2 상당한기간이경과하였음에도검색결과로공개되는경우, 그삭제를요구하는형식으로 잊혀질권리 를법제화할필요가있음을언급한다. 한편, 이러한요구가있을경우, 그요구를수용할지여부를심의함에있어서, 게시글의목적달성여부내지상당한시간경과여부뿐만아니라, 그러한게시글로인한법익침해, 제3자의이익, 법령상의규정등을고려하여구체적인사안별로결정하여야한다고본다. 아울러, 이견해는공인에대한게시글이나공적사안에대한게시글의경우검색배제요구권의예외사유로규정할것을주장하면서, 검색배제판단주체로는이른바검색정보심의조정위원회를둘것을제안하고있다. 다만, 1차적검색배제판단주체를현행정보통신망법과같이정보통신서비스제공자로하고, 2차적검색배제판단주체를검색정보심의조정위원회로하는안도제시하고있다. 현행정보통신망법을보완하면서, 잊혀질권리와관련하여현실적으로문제되는검색배제요구권내지검색목록삭제요구권을구체적으로실현하고자하는방안이라고할수있다. 4. 시사점 개인에관한정보의대규모집적과자동화된처리로부터개인정보를보호하기위한입법적노력은필요하며, 구체적인명칭이나내용은다소상이할수있지만소위잊혀질권리와같은권리를인정하여야한다는인식은공유되고있다. 그럼에도불구하고, 잊혀질권리는전혀새로운권리라기보다기존의법률에따라전부혹은일부논의되는개별적인권리를강화혹은개선하는포괄개념이라는점을주의해야한다. 따라서, 독자적내용을갖는권리라기보다는여러법률에흩어져있는권리의집합으로파악하는것이바람직하 고예외사유가없어알권리를침해할수있으며, 잊혀질권리는개인정보자기결정권의문제이지저작권의문제는아니라는점에서법리및법체계상혼란이생길수있다는비판이제기되고있다. 김경환, 잊혀질권리 : 몇가지오해, 보안뉴스, ) 지성우 (2015), 잊혀질권리법제화방향 ( 안 ), 잊혀질권리 보장을위한세미나자료집, 33면이하참조

112 고, 입법적개선지점도현행법률의보완에두는것이바람직하다. 국내외잊혀질권리담론으로부터몇가지법정책적시사점을도출하면아래와같다. 가. 개인정보보호패러다임변화고려현단계에서잊혀질권리의국내법적수용의필요성은크지않은상황이지만, 이와같은새로운권리개념이주장되는데에는이유가있다. 빅데이터분석및클라우드컴퓨팅의활용은현대사회에서데이터의단순한이용은물론이고, 방대한양의데이터가집적된다는사실을보여준다. 이에따라개인들은이러한대규모집적정보가자신의사생활영역의보호와직결되는인격적가치의실현을저해할수도있다는우려를가지고있으며, 이러한맥락에서잊혀질권리담론이그의미를부여받고있는것이라고평가할수있겠다. 이러한측면에서각정보주체들은단순히자신의개인정보가타인에의해활용된다는점에우려를품고있는것이아니라, 관련정보를타인들이활용함으로써자신의사생활영역에간섭이발생하는것은원하지않는것이라고할수있다. 결국이는현재개인정보보호담론에서개인식별가능성을전제로하는지배적담론이다시금그이전시대의사생활영역의보호, 즉프라이버시보장담론으로전이되고있는현상을보여주고있다. 또한이러한프라이버시보장담론은비단국가를향한인격적가치실현의요청에머물지않고, 자신을둘러싼타인들을향한보장의요청이라고할수있으며, 따라서이와관련한기본권의대사인적효력이더욱본격적으로문제시되는정황을간접적으로시사한다고볼수있겠다. 이상의내용들을종합해볼때, 현재의개인정보패러다임논의에있어지배적관점을형성하고있는개인정보자기결정권이라는관념에는변화가필요하다는점이명확해보인다. 따라서, 현재개인정보보호법제의개선을논한다면, 오히려개인정보자기결정권중심의관념속에서프라이버시보장을더욱확장하기위한입법기술적요청이라고할수있다. 나. 관련입법시우선적고려사항잊혀질권리도입에관한논의를위해서는현재관련규정의법제화논의가이루어지고있는 GDPR 제정안과우리나라개인정보보호법제간의차이점을먼저확인해두어야할필요성이있다. 그이유는앞서언급한바와같이우리나라에서는현단계에있어잊혀질권리의입법상수용의이유는크지않으나, 국제적개인정보규범간의조화또는상호운용

113 성을고려해볼때, 관련규정간의차이점을명확히하여국제적동향에발맞춘입법정비가필요할수있기때문이다. 즉국제적으로관련규정의도입이이루어지게되는경우, 우리나라에서는비단잊혀질권리규정의기계적도입이아니라, 국내법상제반규정개선이병렬적으로이루어질필요가있다. GDPR 등에서논의되고있는수준에서의잊혀질권리 ( 정보삭제권 ) 규정들은이미우리나라개인정보보호법제에도상당부분구현되어있다고할수있지만, 다음과같은주요한차이점이있어, 이에유의해야할필요성이있을것이다. 첫째, GDPR 은개인정보를정보주체와관련한모든정보라고규정하면서정보주체를정보를통해식별되는자로부연하고있는구조를가지기때문에, 개인식별가능성을전제로한우리나라법제의개인정보의개념적범위보다다소넓다는의견이있다. 또한, EU에서현재활용되고있는지침도이러한방식의개념정의규정을두고있다. 이러한입법방식을취하게된이유에대해서는다양한분석이존재하는데, 다소포괄적으로프라이버시또는사생활영역까지그보호범주에포섭할수있는재량의여지를두기위한것이라고보는것이타당하다. 둘째, GDPR 제정안상의잊혀질권리규정의경우개인정보삭제또는확산방지를요구할수있는것으로규정하고있지만, 우리나라개인정보보호법제들의경우개인정보의정정, 삭제및처리제한만을요구할수있는것으로규정하고있다. 이와같은확산방지요구에대해서는유럽네트워크정보보호원 (European Network and Information Security Agency, ENISA) 을중심으로문제점이제기되었다. 즉사실상잊혀질권리의궁극적인실현을위한확산방지는불가능할수있다는것이다. 그결과잊혀질권리의현실적제도화라는측면에서유럽사법재판소의잊혀질권리판결이나국내에서의입법논의는검색사업자규제로귀결되는양상으로보이고있다. 실제이와같은과도한확산방지요구까지입법상반영하기는힘들것으로보이며, 이러한측면에서전면적인잊혀질권리도입까지는매우많은난관이예상된다. 셋째, GDPR 제정안의잊혀질권리관련규정에서는정보주체가개인정보처리자에게개인정보의삭제및처리제한을요구할수없거나개인정보처리자가정보주체의요구를거절할수있는예외사유를다소상세하고광범위하게규정하고있지만, 우리나라개인정보보호법제의경우그범위가다소협소하다. 이는 EU의잊혀질권리법제화논의가정보삭

114 제를이유로발생할수있는다양한권리및법익충돌의문제를진지하게고민하고있다는점을보여주고있는것이라고할수있다. 그러나, 우리나라개인정보보호법제들은그러한예외사유를다소협소하게규정하고있어, 향후논의에있어서는이지점에대한고려가필수적으로선행되어야한다. 이와더불어, GDPR 제정안에서논의되고있는잊혀질권리담론을순수히개인정보자기결정권문제로국한하여본다면다음과같은국내현행법률규정들이이미존재하고있다는점을고려할필요가있을것이다. 1 정보통신망법제30조제1항-제3항등개인정보수집및활용등에관한동의철회및그로인한파기의무규정등, 2 개인정보보호법상개인정보의정정, 삭제및처리정지를규정하고있는동법제36조 ( 그실현의전제인열람을규정하고있는동법제35조포함 ) 및제37조등, 3 신용정보의보호및이용에관한법률제18조제2항등신용정보삭제관련규정등이그것이다. 앞서언급한바와같이, EU 등지에서의잊혀질권리사안들의경우, 단순히개인식별가능정보를대상으로하는개인정보보호에국한하지않고, 사생활침해또는명예훼손등을광범위하게포함하는인격권침해사안들까지일부포함하는것이라고한다면, 위법률규정들에추가하여다음과같은제반규정들에대해서도논의가필요하다. 1 정보통신망법제44조의2에규정되어있는삭제등을비롯한임시조치등관련규정, 2 언론중재및피해구제등에관한법률제5 조제1항의인격권침해금지규정과동법제14조제1항의정정보도규정등이그것이다. 결론적으로, 잊혀질권리의보호대상법익 ( 개인정보자기결정권또는인격권일반 ) 이무엇인지에대해서는 EU 등국제사회의동향뿐만아니라국내현실을고려하여입법정책적으로형량하여야하는문제로서, 관련입법논의에있어위와같은세부적특성들에대해필수적으로고려해야할필요성이있다

115 제 3 절사망한사람의온라인디지털정보처리관련국내외규범동향 1. 사망한사람의온라인디지털정보관련법적쟁점 2010년 3월천안함사건으로순직한사병의유족이싸이월드 (Cyworld) 의계정에대한정보를 SK커뮤니케이션즈에요청하였으나, 개인정보를제3자에게제공할수없다는정보통신망법규정을이유로거절되었다. 그러나사망한사람의온라인디지털정보사후처리에관한쟁점은해외의경우꾸준히문제가되어왔고, 그에따라업계의정책이나입법이등장하여왔다. 물론, 사망한사람의온라인디지털정보와관련된논의는주로그정보의물성 ( 物性 ) 인정여부와관련하여상속성을인정할수있는가라는상속법적측면에서논의되어왔지만, 사망한사람의온라인디지털정보처리문제는상속법적쟁점을넘어서개인정보자기결정권쟁점도포함하고있다는점에주목할필요가있다. 가. 온라인디지털정보의의의현행우리나라의법률중에서 디지털정보 라는용어의개념을정의하는법률은존재하지않는다. 다만, 국가정보화기본법제2조제1호는 정보 란특정목적을위하여광 ( 光 ) 또는전자적방식으로처리되어부호, 문자, 음성, 음향및영상등으로표현된모든종류의자료또는지식을말한다 라고개념정의하고있는바, 이러한정보에대한법률상의개념정의를바탕으로생각해보면, 디지털정보는정보의존재형식의특성을기준으로한정보의일유형인하위개념이므로디지털형태로된정보 (information in digital form) 로서 인간에게유의미하도록정신적작용을거친전달가능한디지털형태의자료또는자료의처리결과 라고개념정의할수있을것이다. 이러한디지털정보가온라인상에존재하게되면온라인디지털정보라고할수있을것이다. 온라인디지털정보가현실세계에서존재하는형태로는 UCC(User Created Contents), 인터넷상의저작물 상표 디자인, 홈페이지, 블로그, 카페, SNS(Social Network Service), 인터넷상의각종게시물, 계정정보 (account information) 및계정접속정보, 이메일, 도메인, 아이템, 게임머니, 사이버머니등을들고있으나, 정보통신망상의사자의개인정보도온라인디지털정보로서함께논의가되어야

116 할것이다. 99) 나. 온라인디지털정보의유형, 법적취급 100) 사자와관련된온라인디지털정보의유형은크게 사자가작성한정보 와 사자에대한 정보 로구별할수있다. 사자가작성한정보는다시 재산적가치있는정보 와재산적가 치는없고 인격적가치만있는정보 로구분해볼수있으며, 사자에대한정보는제 3 자에 의한평판이나언급등 사자에대해제 3 자가작성한정보 와 사자의개인정보 로나누어 볼수있다. 우선, 사자가작성한온라인디지털정보중에서재산적가치가있는정보로에는저작권 으로보호되는저작물, 콘텐츠산업진흥법에따라보호되는콘텐츠, 사이버머니와같은전 자금융거래법상의선불전자지급수단, 그리고게임아이템등해당된다. 이러한것들은재산 권의객체가될수있으므로상속재산의범위에들어간다는점에는의문의여지가없다. 다음으로, 사자가작성한정보중에서타인의사이트에자신의의견을제시하는댓글을 단다든가또는이메일계정의보낸메일함에저장되어있는이메일이나트위터나페이스 북과같은 SNS 에수시로올린글들은주로인격적가치만이인정될수있을것이다. 이러 한정보의경우, 재산상속만을인정하고있는우리상속법체계에서는상속성이당연히인 정되는것은아니다. 이처럼사자의인격과관련된정보의경우, 사자와일정한관계에있 는자에게그통제권을부여할것인가아니면그대로방치하여둘것인가의문제가발생하 고, 특히제 3 자가지배하고있는영역에서사자가작성한온라인정보라면그제 3 자가통 제권을가지는것이타당한것인지도쟁점이된다. 또한, 사자에대해서제 3 자가자신의사이트나블로그등에사진또는구체적인사실이 나평판을올린경우, 이에대해서도사자와일정한관계에있는자에게통제범위에두어 야할것인가도문제가된다. 원칙적으로사자에대해제 3 자가작성한정보는작성자의것 이고, 따라서그의통제범위에두어야한다. 다만, 사자에대해제 3 자가작성한정보가명 예훼손이나사생활침해등의권리침해에해당하는내용을포함하고있다면, 이에대해서 는불법행위등으로충분히규율가능하다. 99) 오병철 (2013), 인격적가치있는온라인디지털정보의상속성, 가족법연구제27권제 1호, 152 면. 100) 이러한유형화, 쟁점분류에대한상세는, 오병철, 앞의논문, 153면이하참조

117 마지막으로, 정보주체가생존할당시에제3자에게제공한개인정보에대하여정보주체가사망한이후일정한범위에있는사람에게통제권을주어야할것인가도문제가된다. 예를들어 A가생전에 B라는포털사이트에이름, 주민등록번호, 주소, 전화번호, 이메일주소등을입력하고계정을개설하여 ID와 PW를설정한경우, A가사망한후에 B 포털사이트가보유하고있는이러한개인정보와계정정보를 A의상속인에게상속시키는등의방법으로통제권을이전할것인가의문제가발생한다. 현행개인정보보호법이나정보통신망법에서개인정보란 생존하는개인에관한정보 라고한정하고있으므로정보주체가사망하는순간부터는더이상엄격하게보호되는개인정보가되지아니하고단순한정보로전락하게되기때문에법률적으로문제된다. 사망한후에정보주체가갖고있던개인정보자기결정권을여하히처리하여야할것인가의문제이다. 다. 개인정보자기결정권관련지점현행개인정보보호법제에서는사망한사람의디지털정보는더이상개인정보가되지아니하므로, 개인정보보호법이나정보통신망법등의적용이불가능하다. 또한대부분사자의개인정보가재산적가치가있는것은아니므로상속재산의범주에포함되지아니하여상속인에게상속시킬수도없다면, 결국개인정보였던정보에대해서는오로지정보보유자의통제에맡겨두는형국이된다. 따라서, 사자의의사를존중하면서도, 일정한경우사자와일정한범위에있었던자에게사자의개인정보를통제할수있는지위를인정하는법리구성, 입법필요성이제기된다. 2. 사망한사람의온라인디지털정보처리를둘러싼분쟁사례 가. Justin Ellsworth 사례 2004년 11월 13일이라크전쟁에서해병대원인저스틴엘즈워쓰 (Justin Ellsworth) 가 20 세에사망하자, 그의아버지는아들이이라크에있었던 2년동안아들이지인들과주고받았던야후 (Yahoo!) 계정의이메일내용을수집하고자하였다. 야후에이메일자료의제공을요청하였으나, 야후는자신의서비스약관에는사용자의사망시유족에게그권리가양도되지않고사용자의이메일계정은종료된다고명시하고있음을들어, 법원의명령

118 없이이메일을제3자에게공개하는것은프라이버시정책에반하는것이라고하면서요청을거절하였다. 101) 이에, 그의아버지는미시건주오클랜드카운티검인법원으로부터정보공개명령을얻어냈고, 위명령에따라야후는저스틴의이메일의내용을 CD에담아존에게제공하게되었다. 102) 이사건은미국에서디지털유산의상속논의를촉발시킨중요한계기가되었다. 나. Benjamin Stassen 사례 2010년 12월미네소타의헬렌 (Helen Stassen) 과제이 (Jay Stassen) 는위스컨신대학교학생이었던 21세의아들벤자민스타센 (Benjamin Stassen) 이자살했다는소식을접했다. 그리하여스타센부부는아들의자살원인을찾기위해페이스북 (Facebook) 과구글 (Google) 회사에아들의페이스북과구글계정에의접근을허용해줄것을요청하였다. 그러나위두회사는이를거절하였고, 결국스타센부부는위두회사를상대로위스컨신검인법원에소를제기하였다. 법원은 2011년구글에게, 2012년페이스북에게스타센부부에게계정에관한접근을허가하라는명령을내렸다. 구글은곧법원의명령을따랐으나페이스북은 101) 야후는야후의계정은이전불가능하고이용자의사망시종료된다는약관의규정 (28 조 ) 에근거하여위요청을거부하였다. 야후는약관에서 야후는법률이나신의성실의원칙에따라요구되고, (i) 법적절차에따르거나, (ii) 약관을집행하는경우, (iii) 어떠한내용물이제3자의권리를침해하였다는소송에대응하는경우, (iv) 고객서비스로서이용자의요청에따르는경우, (v) 야후, 야후의이용자들과공중의권리, 재산, 개인적안전을보호하기위하여필요한경우에이용자의계정정보와내용물에접근, 보존하고공개할수있다는점을인식하고동의한다 고이용자의사적인정보 (private information) 를공개할수있는특정한예를정하고있다는점을근거로, 이용자들의프라이버시권을지킬의무가있다고주장하였다. 102) 야후는이메일이담긴 CD를아버지에게지급하였으나, 계정의비밀번호를제공하지는않았다. 저작권의측면에서볼때, 유언집행인은 Justin Ellsworth가작성한이메일에대한저작권을가지고있고, Justin Ellsworth 가제3자로부터받은이메일의경우에도제3자의묵시적인동의가있다고볼수있으므로권리를가진다고볼수있다. 야후는이사건에서야후의약관에따른계약에의한권리는유언집행인의저작권에우선한다고주장했다. 이러한주장은서비스이용자들은단지이메일계정의보유자일뿐이고, 내용물에접근할수있는권리는계정보유자의사망으로소멸한다는것이다. 즉, 야후의계정은계약법에의해규율되는것이고, 저스틴은야후의약관을받아들임으로써그의계정을이전할수없다는점에대해동의한것이다

119 법원의위명령에도불구하고접근을허용하지않다가스타센부부로부터절대다른사람 에게그내용을공개하지않겠다는서약을받고나서야벤자민의페이스북계정에의접근 을허용하였다. 103) 다. Eric Rash 사례 2011년 1월 20일버지니아의평화로운전원마을인노토웨이카운티에서모범생이었던 15세의에릭래쉬 (Eric Rash) 가자살을하였다. 충격에빠진그의부모는자살의단서를찾고자아들의페이스북계정에접속하기위해페이스북회사에아들의사망증명서사본을첨부하여그의비밀번호를알려줄것을요청하였다. 그러나페이스북은개인정보보호정책을들어사망한에릭의계정을폐쇄하거나추모페이지를열어줄수는있으나그의부모에게에릭의페이스북계정자체에대한접근권한은줄수없다고답변하였다. 이에래쉬부부는페이스북을상대로투쟁을하는한편, 주의회에미성년자녀의소셜미디어계정에대한부모의권리를인정하는방향으로주법을변경해줄것을요청하는청원운동을하였다. 같은해 11월페이스북은회사의개인정보보호정책의변경없이에릭이페이스북에남긴모든자료를 CD에담아부모에게주었다. 한편위청원운동이결실을맺어 2013년 2월버지니아주는소셜미디어사용자가 18세가되기전에사망하는경우그의부모에게사망한미성년자녀의소셜미디어계정에대한권리를주는법안을상하원에서각각통과시켰다. 라. Alison Atkins 사례 2012년 Alison Atkins라는 10대소녀가대장질환으로사망했는데, 그녀의가족들은위안을받기위해그녀의온라인계정에접속하고자하였다. 가족들은그녀의컴퓨터의자동로그인기능을이용해트위터, 페이스북과이메일계정등에접속해야만했는데, 그녀의계정에는갈등을겪는그의성격을나타내는것들이포함되어있었다. Alison 이사후에자신의계정이공개되는것을원했는지는알려지지않았다. 비록가족들이그녀의계정을통제하는것은일시적이었지만, 계정의내용중영원히사라진것들도있었다. 이에대해 103) 법원은 Stassen 은아들의상속인이고페이스북계정의내용을포함한모든유무형의자산에대한권리를갖는다. 라고명령에서밝히고있어서페이스북의계정도상속대상이라는견해를밝혔으나, 이는공간되지않아서구속력있는판결이되지못하였다

120 저널리스트 Geoffrey A. Fowler는 Alison의가족은그녀를추모하는것과그녀의프라이버시를침해하는것사이의경계선을걸은것이며, 그결과그녀가감추고싶었던저속한잡지까지도발견하게된것이다. Alison 이패스워드를갖는것에는다이유가있다 고평한바있다. 마. 브라질페이스북사례 브라질에서페이스북이용자가사망할경우, 유가족의요청이있다면추모페이지까지모두삭제해야한다는법원의판결이있었다. Juliana Ribeiro Campos 는 위절제술을받은뒤합병증으로사망하였으나, 사망후수개월이지나도록 Campos 의페이스북에는지인들의추모메시지와사진음악등이계속해서올라왔다. 딸을추억하는것이힘들었던 Campos 의어머니는페이스북측에해당게시물과딸의계정을삭제해줄것을요청했지만페이스북은회사경영방침에따라이를거절하였다. 이에 Campos 의어머니는계정삭제캠페인을벌이고소송을제기하는등강력하게요구를계속하였고, 법원은페이스북에두차례에걸쳐해당페이지를삭제할것을명하였다. 하지만페이스북은 Campos 의계정을삭제하는대신추모페이지로옮겨두고등록된친구들에한해이용하는것을계속허용하였다. Campos 의어머니는 자신들이구축해둔네트워크를깨뜨리고싶지않아이미사망한고인을계속해서이용하는것은인간의존엄성을해치는일 이라며다시소송을제기하였고, 재판부는 해당추모페이지와 Campos 의계정자체를삭제할것을다시한번명하였다. 바. 디지털장례문화관련분쟁사례한편, 온라인상의기록을사후에처리해주는 사이버장례식 문화가나타나고있다. 미국의 디지털장의사 서비스회사인 lifeensured.com 이라는인터넷웹사이트의운영진은인터넷인생을마감해주는디지털장의사를표방하고있다. 이사이트에가입해 300달러를내고사후에자신의인터넷계정을어떻게처리할지를유언의형태로남간후, 회원의사망신고가행전안전망을통해접수되면회원이생전에요청한대로인터넷에서의모든흔적을대선삭제하는대행업무를하고있다. 이사이트에서는친구나친지들에게이메일을통해당사자가유언으로해당글을삭제해줄것을요청하는의사표시를했다는사실을고지할수도있고, 페이스북, 트위터등소셜네트워크서비스에올려둔사진을삭제하고

121 친구들의페이지에남긴댓글까지도일일이찾아지워준다. 계정삭제사이트인네덜란드의 suicidemachine.org 는페이스북 트위터 마이스페이스 링크드인등글로벌소셜네트워크에연결되어있는친구를모두정리하고이용자의이름, 암호와사진까지바꿔버리면서이용자가더이상접속할수없게만든다. 이보다앞서만들어진일본의 세푸쿠 seppukoo.com) 는페이스북의계정과프로필, 팬페이지등을모두삭제해주는서비스를제공하였다. 그러나페이스북은페이스북의서비스약관을위반했다는이유로 2009년말세푸쿠의사이트를차단했고, suicidemachine.org 를차단해페이스북의계정을삭제할수없도록하였다. 3. 국내외기업들의디지털유산, 사자의프라이버시관련정책 가. 구글 (Google) 휴면계정관리자 (Inactive Account Manager) 서비스구글은 20l 개인의계정설정페이지에휴면계정관리자서비스를추가하여, 이용자가계정을일정기간이상사용하지않을경우해당데이터 [ 사진, 이메일, 문서등, 지메일 (Gmail), 유튜브 (youtube), 개인용클라우드스토리지서비스인구글드라이브 (Google Drive), 소셜네트워크서비스인구글플러스 (plus), 이미지관리프로그램인피카사 (picasa) 등구글이운영하는모든서비스에적용됨 ] 를어떻게처리할지를정해둘수있도록하였다. 즉이용자가지정한일정기간 (3, 6, 9, 12개월 ) 동안계정에아무런업데이트가없으면모든데이터를삭제하거나, 데이터를타인 ( 친구, 가족등 ) 에게보낼수있다. 다만, 지인에게전달되는것은데이터에제한되고계정의비밀번호까지전달되는것은아니다. 이서비스는이용자가사망했을경우뿐만아니라질병등의경우에도이용가능하다. 나. 트위터 (Twitter) 아카이브 (Archive) 기능트위터는 이용자의계정을백업하는트위터아카이브기능을이용자들에게공개하였다. 트위터아카이브는이용자가자신이올린트윗이나리트윗한글까지모두오프라인에서확인할수있도록내려받는서비스이다. 트위터아카이브를신청하면아카이브파일이 ZIP 파일로생성되어다운로드할수있는링크가이용자에게전달되고, 해당파일을이메일을통해내려받으면이용자계정을글을연도별, 월별로오프라인에서확인할

122 수있다. 유가족이나지인들은사자의자료를내려받아저장해두고간직할수있어후에해당계정이삭제되더라도계속해서고인을추모할수있다. 다. 페이스북 (Facebook) 추모 (memorialization request) 기능페이스북의경우유족이원하면글과사진이올려진이용자계정을삭제할수있다. 특정페이지에사망자의출생신고서나사망신고서같은서류와함께자신이상속인임을입증하는증명서를업로드하면해당계정을삭제할수있다. 한편, 페이스북의경우이용자가사망하면추모모드로전환할수도있다. 이렇게할경우페이스북계정에는사망자의친구들만접근할수있고, 그밖의사람들은검색할수없다. 페이스북계정을추모모드로전환시키는데필요한별도의공식문서는없다. 사망공지와더불어인터넷부고란링크등이용자의사망을입증하는것만으로충분하다. 라. 야후 (Yahoo!) 미국의야후는전세계적으로발생하는고인의디지털유품상속신청을준법감시팀 (Criminal Compliance Team) 에서처리한다. 유족이승계를희망할경우신청일로부터늦어도두달안에고인의계정정보가든 CD나 DVD를유족에게전달한다. 계정삭제는명백한요청이있을때만가능하다. 야후는여전히고인의전자우편계정내용을제3자가변형 승계하는것을허용하지않고있다. 마. 다음 (Daum) 이용자가사망할경우고인에대한유가족의상속요청이있으면설명을전제로사망사실과가족관계를확인한후계정삭제만가능하도록하고있고, 자료열람을허용하지는않는다. 블로그와메일의경우계정삭제요청이있을경우삭제하지만, 계정삭제이후에는내용물을열람하거나백업하는것이불가능하다. 나아가유가족의요청이없더라도 1년간로그인기록이없으면다음서비스약관제17조 ( 이용계약의해지 ) 에따라아이디를삭제한다. 다만, 다음의별도블로그서비스인티스토리에서는신원확인이가능한경우에한해공개게시물과비공개게시물의백업을제공하고, 로그인권한도부여한다. 유가족이요청할경우폐쇄할수있고, 명예훼손이우려되는글이게시될경우블라인드로처리한다

123 바. NHN ( 네이버 ) 사망에따른자동회원탈퇴등별도의절차는없으나, 일정기간이상이용자본인의서비스이용이없을경우데이터가자동으로삭제되거나계정을정지하는등의 휴면정책 등을자체적으로마련해두고있다. NHN 은사망자의아이디나비밀번호를양도나상속이불가능한일신전속적인이용권한이라고본다. 다만, 블로그등계정서비스의게시물내려받기를요청한경우기본적으로제공이불가능하지만, 공개서비스인경우사망자의가족이가족관계를증빙할수있는서류를첨부하여백업을요청한경우에한하여백업데이터를제공한다. 사. SK커뮤니케이션즈이용자의사망시미니홈피를고인이최종설정해둔상태로유지하고, 비공개콘텐츠의경우유족이요청하더라도공개로전환하거나열람할수없다. 유가족이미니홈피의정지나해지를요청할경우해지해준다. 사망한회원의미니홈피가제3자에의해운영되는경우명백히아이디나패스워드의도용이기때문에사업자가이를인지했을때미니홈피를폐쇄하는것이기본원칙이지만고인을추모하기위한목적이라면사실상폐쇄하기어려워남겨두기도한다. 아. 시사점사망한사람이정보통신서비스사업자들의지배영역에있는서버에남긴디지털정보들에대한처리문제에대한대응은이제시대적인요청이되었고, 각기업들은약관, 정책등을통해서이에대응하고있다. 현재로서는약관, 정책에따른계약법리를통해문제를해결하고있는실정이며, 적극적인상속, 승계를인정하고있지는않다. 다만, 계약법리로해결할수없는경우들에있어서는경성법적입법또는연성법적지침을통한규율이필요할것으로보이며, 그정책방향은사자의의사, 프라이버시를존중하면서도그승계를원하는사람들의요구도반영하는균형점발견에놓여있다고할수있다

124 4. 사망한사람의디지틸유산관련해외규범동향 가. 독일독일의인터넷서비스제공자협회인정보산업과통신, 뉴미디어협회 (BITKOM) 는 2010년 3월협회차원에서사자의디지털유산에대한 6가지의디지털유산처리방안을제시하였다. 1 유족은사자의개인용컴퓨터에남겨진정보를살펴보고, 이정보를어떻게처리할지를결정하면된다. 이때사자의유언장이별도로있다면, 사자의뜻에따라개인용컴퓨터에저장된정보를처리해야한다. 2 사자가사용했던온라인주소록, 이메일, 사진, 신상정보, 홈페이지등의모든정보는유족의상속재산이다. 유족이사자의공공기관에서발급하는사망증명서와상속증명서를제출하면, 서비스제공자에게새로운비밀변호를요청하고, 일반적인상속품과동일하게사자의디지털유산을이용할수있는권리를갖는다. 3 인터넷공간에있는개인의홈페이지, 블로그등소셜네트워크서비스는유족이추모공간으로이용하겠다는의사를밝히지않을경우통상인터넷사이트관리자나홈페이지관리자등제 3자가해당계정을삭제한다. 그러나유족이사자의계정을상속하기를희망할경우상속을허용한다. 사자의초상이들어있는사진을서비스제공자나제3자가사용하고자할때는독일의예술저작권법 (KunstUrheberGesetz) 제22조에따라유족으로부터사후 10 년까지사용허가를받아야한다. 즉유족에게 10년간권리가보장된다. 4 사자의개인적인디지털공간을디지털유산으로상속할때, 개인적인정보가유족을비롯한제3자에게공개됨으로써미칠수있는모든후속상황에대해책임이있다. 5 자신의죽음에대비하여디지털유산에대한사후처리방안에대해유언을남기거나사후에도유족이별도의법적절차없이정보를삭제하거나이용할수있도록스스로정하는일도중요하다. 6 반드시자신의비밀번호를남겨두는일이중요하다. 가장효과적인방법은변호사나공증인에게맡겨두는것이다. 104) 한편, 최근독일정부는사자의디지털유산에대한법률관계를생전에어떻게규율해햐하는지에대한법적조언을발표하였다. 정부는개인들이자신들의온라인서비스로그인정보등에대한내용을유언장에포함시켜야하며, 그러한유언장에는자신의개인정보에 104) 황용석외 (2011), 사망자의디지털유산 ( 개인정보, 계정, 게시물등 ) 처리방안연구, 방송통신위원회, 14면

125 접근할권한을갖는이용될정보와삭제될정보의목록이포함되어야한다고조언했다. 105) 나. 미국 1) 디지털자산에대한신인의무자의접근 (Fiduciary Access to Digital Assets Act) 에관한통일법 (FADAA) 106) 1 UFADAA의개요 UFADAA은기본적으로계정보유자의사생활과의사를존중하고, 수탁자의계정보유자의재산에대한관리능력을증진시킨다는신탁및자산법의전통적인접근방법을취하고있다. UFADAA의목적은광의의수탁자들 (fiduciaries) 에게디지털자산과계정에대한접근, 통제, 복사할권한을부여하는것으로, 동법에따라디지털자산에대한권한을부여받은수탁자들은허가받지않은접근을금지하는연방법에위배되지않는다. 그리고수탁자들이관리자에게서면으로디지털자산에의접근, 통제및복제를요청하면관리자들은그요청에따라야하고, 이와같은요청에따라신의성실로행한관리자들의정보제공행위는민사상손해배상으로부터면책된다. 이와같은통일적접근은법원, 계정이용자, 수탁자그리고인터넷서비스제공자에게확실성과예측가능성을보장해준다. 2 UFADAA의주요내용 (i) 디지털자산의관리에관한일반법 UFADAA는디지털자산의관리에관한일반법이다. 첫째, UFADAA은디지털자산을전자적기록 (an electronic record) 라고정의하면서 ( 제2조 (8)), 데이터파일이나데이터베이스에관한정보디렉토리를말하는전자통신카탈로그와전자통신의내용을포함한다 ( 제2 조 (10)). 즉디지털자산은아이디와패스워드를포함하여전자적방식에의해창작되고생성되고송신되고공유되고저장된모든데이터, 텍스트, 이미지, 동영상, 소리, 컴퓨터프로그램, 소프트웨어, 데이터베이스를의미한다 ( 제2조 (14)). 둘째, 동법은광의의수탁자들에게디지털자산과계정에대하여접근, 관리, 분배, 복사할권한을부여한다. 다시말하면, 디지털자산의소유자가사망한경우의사후처리뿐만아니라, 디지털자산의소유자가그자 105) nachlass.html 106) 김현진 (2015), 디지털자산의사후처리에관한소고 : 미국델라웨어주법을중심으로, 저스티스통권제147호참조

126 산을신탁하거나판단능력이상실 (incapacity) 된경우까지도함께규율한다. (ii) 적용범위디지털자산에관한권한을부여받는광의의수탁자는네유형으로나뉘는데, 망인의상속재산에대한인격대표자 (personal representative), 요보호성인의후견인 (conservator), 위임장에기한대리인 (agent), 그리고신탁계약에따른협의의수탁자 (trustee) 가그것이다. 이러한네유형의수탁자들은디지털자산보유자들의추정적의사를고려해각각다른기본권리 (default rules) 를갖고선택적으로권한이추가 (opt-in) 될수있다. 인격대표자는망인의이에반하는유언이나법원의다른결정이없는한, 망인의디지털자산전체에대한접근권한이있다고추정된다 ( 제3조 ). 후견인은법원의후견인선임결정에서후견인에게디지털자산에의접근권한을부여할수있는데, 그권한은통신기록일수도있고통신의내용에미칠수도있다. 법원의결정의정도에따라후견인은피후견인의디지털자산에대한접근권한을갖는다 ( 제4조 ). 위임장에기한대리인은본인의통신기록에대한접근권한이있다고추정되지만, 만약다른법에서그자산을보호하고있다면위임장에서명시적으로그자산의내용에대한접근권한을부여해야만한다 ( 제조 ). 협의의수탁자는신탁계약에이에반하는조항이없는한디지털자산에의접근이허용된다. 즉생전신탁 (inter vivos trust) 에의하거나유언신탁 (testamentary trust) 에의하거나유언에의해생전신탁재산에넣기로하는신탁 (pourover will) 이있는경우디지털자산이신탁재산으로이전될때수탁자는접근권한을갖는다 ( 제6조 ). (iii) 광의의수탁자의권한동법에따라디지털자산에의권한을부여받은광의의수탁자는허가받지않은접근을금지하는연방법에위배되지않는다 ( 제7조 (d)). 즉이러한수탁자들은디지털자산보유자들의신발을신은지위에있으므로, 그들이갖는권리는디지털자산에의접근, 통제 (control) 및저작권법에의해허용되는한에서의디지털자산의복제권한으로, 자산보유자가갖는권리이상의권리도이하의권리도아닌바로디지털자산보유자에게인정되는권리를갖는다. 한편, 만약이용자와인터넷서비스제공자의이용약관 (Term-of- service agreement) 이계정보유자의디지털자산에대한접근권한을제한한다면, 계정보유자가동법의시행일이후다른이용약관에대한동의와는별개의적극적인행위로그조항에동의하지않는한, 그조항은공공정책 (strong public policy) 에반하여무효 (void) 가된다 ( 제

127 7조 (3)(b)). (iv) 관리자의준수의무와면책구체적으로수탁자들은증명서를첨부하여서면으로관리자 (custodian) 에게디지털자산에의접근, 통제및복제를요청하여야하고, 이러한요청을받은인터넷서비스제공자의관리인은 60일이내에그요청에따라야한다 ( 제8조 ). 그리고수탁자들의유효한서면요청에따라신의성실로관리자가정보를제공하였다면그들은민사상손해배상으로부터면책된다 ( 제9조 ). 2) 델라웨어주의디지털자산과계정에대한신탁적접근에관한법률 107) 2015년 1월 1일부터시행되고있는델라웨어주의디지털자산과계정에대한신탁적접근 (Fiduciary Access to Digital Assets and Digital Accounts Act) 에관련된델라웨어법의 12장을수정하는법은 UFADDA을채택하여신인의무에따라합법적으로행동하는광의의수탁자들에게디지털자산에관한접근권한을부여한다. 동법의 1부는디지털자산과계정에대한신탁적접근에관하여규정하고, 2부는대리인에대한일반적권한부여규정인제49A-201(b) 조를, 3부는재산에관한후견인의권한규정인제3923(d) 조를, 4부는수탁자의특별한권한규정인제3325조의내용을수정한다. 자산보유자즉망인, 요보호성인, 본인또는신탁자가유언, 신탁, 위임장에서다른의사를표시하거나법원이다른결정을하지않는한광의의수탁자들에게디지털자산및계정에접근할권한을부여한다. 즉동법상광의의수탁자란망인의상속재산에대한인격대표자, 요보호성인의후견인, 위임장에기한대리인, 그리고신탁계약에따른수탁자를의미한다. 동법은보호대상인디지털자산및디지털계정을보다자세하게정의하고있다. 먼저, 디지털자산이란, 아이디와패스워드를포함하여전자적방식에의해창작되고생성되고송신되고통신되고공유되고수신되고저장된모든데이터, 텍스트, 이메일, 오디오, 동영상, 이미지, 소리, 소셜미디어내용, 소셜네트워크내용, 코드, 건강관리기록, 건강보험기록, 컴퓨터소스기록, 컴퓨터프로그램, 소프트웨어, 소프트웨어라이선스, 데이터베이스등을의미한다. 한편, 디지털계정이란, 현존하거나기술발전에따라존재할가능성이있는디지털자산에의접속을제공하는정보를만들고보내고받고통신하고공유하고저 107) 김현진 (2015), 앞의논문참조

128 장하고보여주고처리하는전자적시스템으로서, 디지털자산이저장되는기기의소유권과관계없고이메일계정, 소셜네트워크계정, 소셜미디어계정, 파일공유계정, 건강보험계정, 건강관리계정, 금융관리계정, 도메일등록계정, 도메인이름이용계정, 웹호스팅계정, 세금준비서비스계정, 온라인스토어계정, 이와관련된프로그램기타현존하거나기술발전에따라존재할가능성이있는온라인계정을포함한다. 다만, 피용자가일상적인영업의과정에서이용한사용인의디지털자산이나디지털계정은이에해당하지않는다. 한편, 디지털자산의사후처리측면에서보면, 델라웨어주법은디지털자산이당연히상속의대상이된다는전제하에디지털자산의사후처리를재산승계의영역으로다룬다. 디지털자산및계정에대한접근권이부여된사람은계정보유자와동일한권한을가지므로, 자산보유자의적법한동의 (lawful agreement) 가있고모든적용가능한주법과연방법및최종사용자조항하에서정당한권한이있는것으로간주된다. 이들로부터디지털자산과디지털계정에대한접근, 이전, 복사혹은파기를구하는유효한서면요청을받은관리자는 30일이내에그요청에따라야한다. 만약관리지가 30일이내에요청을따르지않으면, 수탁자는법원에준수를명할것을청구할수있다. 그리고이들의권한이무효이거나효력이없어졌거나권한이종료되었음을알지못하고신의칙에부합하게유효한서면요청을받아들인관리자는그서면이무효이거나그신인의권한이없어졌거나수탁자가권한을넘어부적절하게권한을행사하더라도정보제공에따른손해배상및디지털자산과디지털계정의파기에따른손해배상책임으로부터면책되는것으로규정하여, 관리자의의무와면책을명확히하고있다. 5. 사망한사람의디지틸유산관련국내규범동향 가. 손인춘의원안손인춘의원이 19대국회에대표발의하여현재위원회심사단계에있는정보통신망법개정안의경우, (i) 정보통신망법제30조의3을신설하여이용자가자신의사망이후개인정보의처리방법을지정할수있도록하고, (ii) 서비스제공자들이개인정보를이용하려고수집하는경우이용자의사망에따른개인정보처리방법에대한이용자본인의의사를확인하도록하면서, (iii) 법시행일부터 6개월이내에개정규정에따라이용자의사망에따른

129 개인정보의처리방법에대한이용자본인의의사를확인하여야한다는경과규정을두는것을내용으로하고있다. 나. 김장실의원안김장실의원이 19대국회에대표발의하여현재위원회심사단계에있는정보통선망법개정안은 (i) 이용자가생전에획득한게임아이템, 작성한게시물, 관리한미니홈피 블로그등을디지털유산이라하고, 그소유및관리권한의승계에관한규정과제3자의이의제기규정을마련하고 ( 제44조의11 제1항 ). (ii) 이용자가사망하기전에디지털유산의처리방법을대통령령으로정하는바에따라마리지정한경우서비스제공자는이용자가지정한처리방법에따라디지털유산을처리하도록하되 ( 제44조의 11 제 2 항 ), (iii) 디지털유산의승계에관하여본조에규정되지않은사항은민법의상속에관한규정을준용하도록 ( 제44조의11 제3항 ) 하고있다. 다. 정보통신망법법률시안및권고안 108) 한국인터넷자율정책기구 (KISO) 가방송통신위원회의위탁을받아수행한연구결과에서가이드라인및법률시안을제안하였다. 위연구결과에서입법안을제안하였지만, 기본적으로디지털유산의상속에관한기본적인사항만정하고나머지사항은서비스제공자들의약관이나자율적인규약에맡기는것이바람직한방향이라는의견을제시하였다. 또한, 제안된법안이실제입법되지않더라도법률적논의를바탕으로한자율적인규약에의하여디지털유산에관한처리방안을마련할수있을것으로보았다. 우선, 법률시안은제44조의11( 사망한이용자가남간정보의처리등 ) 을신설하는형태로총 3개항을제안하고있고, 그내용은다음과같다. 첫째, 디지털유산을사망한이용자가작성하거나전송하여서비스제공자가보관중인공개또는비공개의게시물전자자료등으로정의하였다. 이러한디지털유산에대하여사망한이용자의상속인이요청하는경우에제공할수있는법적근거를마련하였다 ( 법률시안제44조의11 제1항 ). 다만, 사망한이용자가사망하기전에디지털유산의처리방법을서비스제공자에게미리지정하여알린경우에는상속인의요청이있더라도사망한이용자가지정한방법에따라디지털유산을 108) 권경선 (2015), 디지털유산의처리방안, 서울대석사학위논문, 112 면이하참조

130 처리할수있도록예외를허용하였다 ( 제44조의11 제1항단서 ). 둘째, 디지털유산의상속에관해서동법률시안에서정하고있는사항외에는기본적으로민법중상속편에의하여규율되도록하였다. 셋째, 디지털유산의제공과관련하여상속인의요청절차와방법, 서비스제공자가제공할수있는디지털유산의범위, 정보의성격에따른절차와제공방법, 디지털유산의제공에필요한비용의징수여부등디지털유산의제공에관한구체적인사항을서비스제공자의약관에의하도록하였다. 한편, KISO 가제안한가이드라인의정식명칭은 디지털유산 ( 사망한회원의계정과관련콘텐츠 ) 처리기준에관한권고안 이다. 이권고안은정보통신서비스를이용하는회원이사망한경우에그회원의계정에관한권리, 그회원이남긴각종정보또는콘텐츠에대한취급방법에대한공통의처리기준을마련하는것을목적으로한다. 권고안은기본적으로인터넷서비스중일정한정보를제공하고회원으로가입한경우에제공되는회원용서비스를적용대상으로한다. 그리고디지털유산의처리방법에관하여사망한회원이미리정해둔경우에는그에따르고, 미리정하지않은경우에만권고안이적용된다. 권고안은구체적으로유형을나누어처리기준을제시하고있다. 즉, (i) 서비스제공자는상속인이요청에따라디지털유산의존재여부를조회하여그정보를제공할수있다. (ii) 사망한회원의아이디나비밀번호나계정이용권은원칙적으로상속인에게제공하지않지만, 적절한기간을정하여상속인의접속을허용하는것은가능하고, 그기간을경과하고사후처리를마친후계정을폐쇄할수있도록하고있다. (iii) 사이버머니나포인트등경제적가치가있는이용권에대해서는권고안의기준이적용되지않는다. (iv) 공개된게시물등의콘텐츠는상속인의요청이있는경우에는그에대한접근권한을부여하거나별도의매체에복사하여주는백업서비스를제공할수있고구체적인백업범위는서비스제제자의기술적 경제적현실을고려하여따로정하도록하였다. (v) 비공개게시물등의콘텐츠는공개된게시물등의콘텐츠와마찬가지로처리하도록하였다. (vi) 미니홈피, 개인적인카페, 블로그, 소셜네트워크서비스등공개된개인용웹페이지에대해서는상속인이그존치를요청하는경우고인을추모하는용도로만허용하고구체적인내용과방법은서비스제공자가구성하며, 필요한경우에는비용을징수할수있도록하였다. (vii) 카페운영자의지위등에대한상속은허용하지않았다. (viii) 인적사항을제외한로그정보나위치정보등의개인정보는상속인에게제공하지않고법령이나약관등에정해진기준과절차에따

131 라폐기하도록하였다. 처리절차는서비스제공자의요청에따라사망증명서, 가족관계증명서등사망자의상속인임을입증할수있는근거를제시하도록하였고상속인이다수인경우에는공동으로신청하거나단독신청의경우다른공동상속인의동의가있음을입증하도록하였다. 6. 시사점 가. 계약법리의활용사망한사람의온라인디지털정보는그성질에따라재산의성격을갖는것도있으나, 현행상속법상으로는처음부터상속의대상이아니거나, 재산성을인정하더라도일신전속성을가지므로상속의대상이아니다. 사자의디지털유산의처리는단순히디지털유산의상속가능성차원에머무르는것이아니고, 디지털유산에내포된사자의개인정보보호내지자기결정권보장이라는쟁점과연결된다. 그방향은우선개인의자기결정권을보장하는데놓여있다고할수있다. 이경우, 사자의자기결정권보장을위해미리디지털유산의처리방법을지정하여서비스제공자에게알린경우그방법에따르도록할필요성이있게된다. 그러한측면에서, 인터넷자율기구의권고안처럼상속법의틀을흔들지않고당사자의계약법리에기반하여문제를해결하고자시도하면서, 개별기준에서상속인의권리를최대한보장하면서도현실적으로남용되지않도록일정한제한을가하는입법정책이필요하다고하겠다. 나. 상속법리의활용개인정보를제공한정보주체가사망하면그개인정보를보유하고있는자에게상속인과같은일정한범위의사람이그개인정보의삭제를요청할권리를입법적으로신설하는것도고려해볼수있다. 109) 그개인정보가정보통신서비스제공자에의해정보통신망을통해수집, 제공되는것이라면정보통신망법에그근거규정을두어야할것이고, 오프라인으로수집되고제공되는개인정보까지도규율하기위해서는개인정보보호법에사후통제권을신설하여야할것이다. 다만, 통제권의구체적인내용은개인정보의열람청구권및 109) 오병철 (2013), 앞의논문, 175 면

132 삭제청구권으로좁게설정하더라도무방할것이다. 다. 유언법리활용유언은반드시법률로규정된사항인유언사항에대해서만할수있으며, 이에포함되지않는사항이외의유언은법적으로는무효이다. 인격적가치있는온라인디지털정보는유증에포함시키는해석론은현행법상불가능하다. 사자가자신의인격권에관한의사표시를남긴것을근거로하여상속인이사자가남긴인격적흔적에대해제3자에게통제권을행사하는것은별개의문제로다루어져야한다. 사자의의사표시가상속인을법적으로구속하는형식이아니라, 상속인에게통제권을부여하는형식이라면이것이상속인에게과도한부담을지울위험도없을뿐만아니라사자가직접현실세계에구체적인영향력을행사하는것도아니기때문에허용되어도무방하다. 상속인에게사자의인격적흔적에대한통제권부여의형식으로상속법이아닌특별법을통해허용하는것은긍정적으로검토될수있을것이다. 110) 110) 오병철 (2013), 앞의논문, 면

133 제 4 절정책적시사점 1. 개인정보자기결정권의본질재고사생활의비밀이란, 사생활정보의보호에관한것이고, 궁극적으로사생활정보의공개에관한자기결정권의문제이다. 외부의방해, 간섭, 관찰을받지않는내적공간의보호없이는, 인간의존엄성이실현될수없으며, 외부의영향을받지않고자유롭게개성을유지하고발전시킬수없다. 한편, 사생활의자유는, 사생활영역을들여다보고사생활정보를수집하는것에대하여사생활영역을보호하고자하는것을넘어서사생활의자유로운형성을방해하거나금지하는것에대한보호에관한것을뜻한다. 이러한사생활의비밀, 자유를 개인정보의보호 의관점에서파악한다면, 사생활의비밀 이란개인이자신의사생활영역을외부에공개할것인지에관하여결정할권리, 즉 사생활정보의수집, 공개에관한자기결정권 을의미하고, 사회적인격상에관한자기결정권 이란개인정보가사회적으로어떻게처리되는지에관하여결정함으로써외부세계에묘사되는자신의사회적인격상에관하여스스로결정할권리, 즉 개인정보의사회적공개, 이용에관한자기결정권 을의미한다. 사생활의비밀 의경우, 개인의사생활영역에관하여무엇이공개되어도되는지에관하여결정할권리에관한것이고당사자의의사에반하여사생활에관한정보를 수집 하는것에그전형적인침해행위가있다면, 사회적인격상에관한결정권 의경우, 정보의수집이아니라정보를 처리, 즉, 공개, 이용하는방법에의하여인격권이침해된다. 전자의경우, 수집한정보를가지고무엇을하는지와관계없이, 국가나타인이사생활영역을들여다보고사생활정보를수집함으로써사생활을침해하는것이특징이라면, 후자의경우, 적법하게얻은정보를처리하는방법에의하여인격권이침해된다는데그특정이있다. 따라서, 일반적인격권으로부터그핵심적보장내용으로서 개인정보의공개와이용에관하여스스로결정할권리 인개인정보자기결정권이중요한의미를갖는다. 111) 개인정보자기결정권이란, 개인정보의공개와이용에관하여스스로결정할권리를말하는데, 112) 이를통하여개인은궁극적으로 누가자신에관하여어떠한사회적인격상을형 111) 한수웅 (2013), 헌법학, 법문사참조. 112) 현재 헌마 282 : 인간의존엄과가치, 행복추구권을규정한헌법제

134 성해도되는지 에관하여결정할수있는권리를확보하게되었다. 여기서주안점은정보의저장, 전달, 변경, 삭제의형태로개인관련정보를처리하는문제에관한것이다. 국가가어떠한방법으로정보를얻는지의 정보수집 의관점보다는 정보처리 의효과가결정적인의미를가진다. 사회적인격상에관한자기결정권에서는, 정보가어떠한방법으로얻어졌는지, 그정보가어떠한종류의것인지하는것은중요하지않으며, 결정적인것은 정보가개인의사회적인격상을형성함에있어서유용하고이용가능한지 의문제이다. 따라서원칙적으로모든개인관련정보가개인정보자기결정권의보호대상이된다. 113) 요컨대, 개인정보자기결정권 은 자신의개인정보가어떻게수집, 처리, 관리, 이용되는지에대한감독권 을뜻하고, 이렇게이해할때, 개인정보자기결정권 은적극적프라이버시권의개념하에보호되던정보에의접근권과정보수정 삭제권을그내용으로포섭할뿐만아니라그정보가원래의목적달성을위해서만사용되고있는지에대한감독권까지확장할수있다. 2. 정책방향성 잊혀질권리와디지털유산처리과정에서나타나는개인정보쟁점검토를통해, 개인정보의개념, 주체, 보호법익의확대화경향을확인하였다. 그럼에도불구하고, 공익또는타인의법익과의균형점발견, 나아가보호와이용의균형점발견이중요한입법정책적과제임도확인할수있었다. 다른한편으로, 개인정보보호쟁점과관련하여이른바기본권의제3 10조제 1문에서도출되는일반적인격권및헌법제 17조의사생활의비밀과자유에의하여보장되는개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리를말한다. 113) 헌재 헌마513 : 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특정짓는사항으로서그개인의통일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다

135 자효와관련하여글로벌기업을포함한사기업의역할이중요한의미를갖는다는점또한확인하였다. 이러한검토의결과, Global Standard 국내규범의조화를모색하여규제형평을도모하고나아가국제규범형성에기여할필요성이있으며, 기업들의정책을분석하여일정한방향으로행위를유도하는연성법적전략의활용을모색할필요성도있다. 요컨대, 개인정보와관련한현재의담론들을검토해보면, 개인정보보호본질을고려하여개인정보주체, 범주, 보호의무자등의범위를확장하면서, 다만, 다른정당한이익을고려하도록영역별, 단계별차별취급을모색하는방향성을확인할수있다. 다시말해서, 개인식별정보중심좁은개인정보담론을극복하고자하면서도, 개인정보의유형별로그보호의정도를달리설정하는방향성이확인되는것이다. 114) 114) 헌재 헌마282 : 일반적으로볼때, 종교적신조, 육체적 정신적결함, 성생활에대한정보와같이인간의존엄성이나인격의내적핵심, 내밀한사적영역에근접하는민감한개인정보들에대하여는그제한의허용성은엄격히검증되어야할것이다반면, 성명, 직명 ( 職名 ) 과같이인간이공동체에서어울려살아가는한다른사람들과의사이에서식별되고전달되는것이필요한기초정보들도있다. 이러한정보들은사회생활영역에서노출되는것이자연스러운정보라할것이고, 또국가가그기능을제대로수행하기위해서도일정하게축적 이용하지않을수없다. 이러한정보들은다른위험스런정보에접근하기위한식별자 ( 識別子 ) 역할을하거나, 다른개인정보들과결합함으로써개인의전체적 부분적인격상을추출해내는데사용되지않는한그자체로언제나엄격한보호의대상이된다고하기어렵다

136 제 5 장개인정보국제규범형성전략 제 1 절논의의배경 개인정보보호의문제는현재단지일개국가의보호노력만으로는성취할수없는상황이되었다. 특히정보의빠른유통과이전의근간이라고할수있는네트워크기술의발전과확장은지속적으로그지역적 주권적범위를확장시켜나가고있음은주지의사실이다. 국가간규범정립의문제는비단개인정보보호영역에한정하는문제는아니라고할수있다. 가장중요한예로, 최근국제적인자유무역정책기조 (FTA 등 ) 하에서는국경간거래질서의확립을위한다양한규범적차원의방안들을고민하고있으며, 이러한맥락에서국제적규범형성의논의가진행되고있다. 그러나이러한국제적규범질서정립을위한협력적과정에서도아직까지개인정보보호규범의문제는다소부차적인것으로여겨져왔던것이사실이다. 그러나최근미국의스노든사건은개인정보, 더욱본질적으로는프라이버시권보장의문제에대해경각심을불러일으키는데중요한계기를마련해주고있다. 최근유럽사법재판소 (European Court of Justice) 의판결 (2015년 10월 6일 ) 에서볼수있는바와같이, 이사건은그간미국과유럽의국경간개인정보이전의중요한프레임이라고할수있었던세이프하버 (Safe Harbor) 협정을무효화하였다. 이를계기로국제적차원의개인정보보호규범및질서에관한논의가더욱본격적으로진행될것이라는조심스러운예측을제시해볼수있겠다. 개인정보보호와관련한새로운국제적규범형성결과는기존의국내법적질서와다소간의충돌을발생시킬여지가있기때문에, 궁극적으로는개인정보가전제된국제적전자상거래질서에서개별국가들이가지는위상에상당한영향을미칠것이예견되고있다. 따라서이러한개인정보보호국제규범형성은결코도외시할수있는문제는아니며, 이에관한국제적논의에서도태될경우국내경제에상당한타격이있을것으로보인다. 따라서궁극적으로는개인정보관련국제규범형성의필요성과대응방안에대해명확한

137 원칙과기준을설정하고, 이에입각하여국제적인논의에주도적으로참여해야할필요성이있다. 그러나단순히국제사회에적극적인주장만을제기하는것으로는부족하다. 그것은세계적인개인정보보호규범의주도적질서는경제규모에의해결정된다고할수있으며, 결국 EU 및미국과같이규모의경제를구가하고있는국가들의규범적동향을적절히반영하면서한국의개인정보규범질서상의원칙을국제환경에관철시킬수있는방안을모색해야할필요가있다. 물론국내의규범질서를설득력있게국제사회에제시하기위해서는한국사회의개인정보규제체계의정비작업도병행되어야할필요가있을것이라고판단된다. 이러한국내규범체계의정비문제는현재한국사회내부적으로도많은논란이제기되고있는상황이어서이에대한적극적인고려또한필요하다. 제 2 절개인정보에관한국제적규범형성필요성 1. 개인정보국제규범미비의문제점글로벌사업자들은특정지역에서규제이슈가발생하는경우국제적규범기준을적용해줄것을규제당국에요청하지만, 관련규제당국의입장에서는 로마에가면로마의법을따라야한다 는오래된법언 ( 法諺 ) 을관철시키기위해노력한다. 이러한사업자및규제당국간의충돌은종종국가간분쟁상황을연출하기도하며, 그과정에서궁극적으로이용자들의권리및이해관계를저해하는경우가발생하기도한다. 그런데궁극적인문제는각국가별 지역별로규제는상당한기간동안형성되어온역사적 문화적관점을배경으로이미정립되어활용되고있는반면, 국제적규범기준, 소위글로벌스탠더드 (global standard) 는아직까지명확하지않은상황이다. 이과정에서각국의내부적규범또한현실적합성을가지는방향으로개선되어야한다는요구를강하게받고있는상황이다. 즉일종의규범적차원의아노미 (anomie) 현상이발생하고있다고평가할수있겠다. 이러한규범상황은크게다음과같은문제점을발생시킨다고할수있다. 첫째, 그것이국내에기반을둔사업자이든해외에기반을둔사업자이든, 글로벌사업자들의입장에서는각국의지역적규제수요를충족시키기위하여별도의시스템이나시설

138 또는장비의구축이필요한경우가증가하기때문에, 결과적으로정상적사업수행을위해서는높은비용을지출할수밖에없는상황이다. 이와관련해서는특히국내사업자들에게문제시되는실명또는본인확인조치등이대표적인사례가될수있을것이다. 둘째, 글로벌사업자들은지역적규제로인하여국제적으로제공되고있는서비스의전부또는일부를당해지역고객들에게는제공하지못하는문제점도발생할수있다. 예를들어, 위치정보와관련한규제가엄격한지역에서는스마트기기를통한 지도서비스 를정상적으로제공하지못하는경우가발생할수있다. 즉서비스의국제적호환성이문제시될수있다. 셋째, 특정지역의규제가엄격한경우, 법적관할문제와관련하여그지역이외에본사를두고있는사업자들은관련규제로부터비교적자유로울수있는반면, 당해지역에본사를두고있는사업자들에게는엄격한규제가적용되는상황, 즉규제형평성문제가발생할수있다. 결국관련지역의규제당국은관련사업자의국적및지역에상관없이당해지역의법적규제를적용하기위해노력하게되는데, 이러한문제가최근빈번하게문제시되고있는경우가미국과 EU 간의개인정보관련분쟁이라고할수있다. 결국궁극적인문제는당해지역에서경제적편익에우선하는사생활보호등자유권적기본권을어디까지인정하고보호할것인지여부이다. 이러한맥락에서각국가들은개인정보규제를강화하기위한노력들을수행하고있다. 그러나형식규범적차원에서는관련규제가강화되고있음에비해, 현실적으로는개인정보침해사고가더욱비번해지고있다. 또한이러한개인정보관련규제의강화노력을국가정책적차원에서모두포용하기에는한계가있는데, 그이유는다른나라의규범적기준보다특정지역의규범적기준이엄격한경우에는지역산업또는사업자들의성장에지장을초래할수있기때문이다. 결국개인정보에관한 국제적기준 과 지역적가치 는소위길항 ( 拮抗 ) 적관계를가지고있으며, 이를해소하기위해서는양자를적절히고려하여국제적차원의원칙을장기적으로수립해나가야하며, 이과정에서국내법제의정비도병행해야할필요성이있다. 2. 개인정보국제규범정립의필요성 그렇다면개인정보국제규범은어떻게개념정의할수있을것인가? 일반적으로개인정

139 보국제규범으로통용되고있는기준들로는일반적으로승인된국제법이있고, 좀더세부적으로는국가간개별적으로또는집단적으로체결된조약이존재한다. 또한이와유사한수준에서 EU에서활용되고있는바와같은지침 (Directive) 또는규칙 (Regulation) 도존재한다. 이상과같은수단들은개별규범내용에따라차이가있는것이기는하지만, 다소간의법적규범력을가지는지역적규범으로서기능한다고할수있다. 이에더하여, 온전한규범력을가진다고는할수없지만사실상의구속력을가지며국제적으로일정부분통용되고있는기준들로는 OECD 등의가이드라인및원칙등이있다. 이러한가이드라인및원칙들은국가간정보흐름을어느정도확보하기위해국제적으로합의할수있는다소보편적인원칙과기준들을제시하고있는것이다. 이상에서확인할수있는바와같은이제까지의국제규범들은이미오래전서부터논의가이루어져온것들이라고할수있지만, 현재상황에서문제시되는것은그러한국제규범들이현재급속하게발전하고있는정보통신기술환경을반영하기에는역부족이라는점이며, 이에더나아가서는이상과같은원칙적차원의규범적합의에기반하여국가또는지역별로상이한내용을가지는개별법제및규제들이발전하고있다는점이다. 따라서현재의상황에서는각국가별개별적규범가치들을모종의보편타당성을가지는방향으로정향지울수있는개인정보국제규범의새로운모색이요구되고있는상황이다. 이러한맥락에서개인정보국제규범은 각국가별개인정보정책과규제, 정보주체의권리 ( 내용 ), 관련산업 ( 서비스, 재화 ) 진흥, 기술발전의방향성등핵심사항에관하여국제적으로통용될수있는보편타당성을지향하는원칙또는기준 으로정의해볼수있을것이다. 이러한국제규범이라는것은궁극적으로직접적인규범력을가지는경우도상정해볼수있겠지만, 각국가의개별적법적주권의문제를고려한다면종국적으로는개별국가의입법적개선방향과원칙을제시해주는하나의기준이라고할수있을것이다. 이상과같은개인정보국제규범이새롭게형성되는경우, 개별국가의입장에서는그러한규범적기준및원칙을경시하기는힘들다. 그이유는국제적으로연결된네트워크를통한거래에있어자유로운국제적정보의소통과흐름을저해하고서는당해국가의경제적존립과실질적인자국인의프라이버시권등기본권보장을이루어낼수없기때문이다

140 제 3 절개인정보관련국제규범정립을위한기준 1. 규범정립의원칙적방향 각국의개인정보관련규범은원칙적으로프라이버시권및개인정보자기결정권보장을위한체계를가지고있다. 다만이러한기본권은객관적가치질서로서절대적인가치를가지는것이아니라, 관련다른법익과비교형량을통해구체화되는성격을가지고있다. 따라서일반적으로개인정보는정보주체의권리보호와다소대립적법익은개인정보의활용이라는가치와균형및조화를이루어야한다. 결과적으로각국의개인정보보호법제들은일방적으로권리보호의측면만을고려하고있지는않다. 그러나문제는각국의개인정보보호법제들이원칙적차원에서는유사한규제체계를가지고있지만, 세부적인내용에있어서는개별국가의역사적, 문화적, 제적, 사회적맥락에따라각기다른보호범위와규율내용을가지고있어, 국가간자유로운정보의흐름을저해하는상황이발생하였다. 따라서국제적차원에서합의된기준들은대부분정보의자유로운흐름을확보하면서정보주체의권리를보호할수있는원칙및기준을제시하는방향으로형성되어왔다. 이러한맥락에있어, 국제적으로가장먼저가이드라인등회원국의입법적조치를촉구하고, 또한각국의개인정보보호법제형성에지대한영향을미친것은바로 OECD의가이드라인이다. 1980년경제협력개발기구 (OECD) 에서 프라이버시보호와개인정보의국제유통에대한가이드라인에관한이사회권고 ( 이하, OECD 프라이버시보호가이드라인 ) 115) 가작성되었다. OECD 이사회가 1980년 9월채택한프라이버시보호와개인정보의국제유통에대한지침은개인정보의수집및관리에관한국제사회의일치된의견을반영한것으로써, 회원국이준수해야할일반적인가이드라인 ( 지침 ) 을규정한것이다. 이지침은장래의기술발전을충분히수용할수있는기술중립적인가이드라인원칙을반영했고, 현재동가이드라인에서규정된원칙들이각회원국에서제대로시행되기위한조치를강구하는데중요한 115) Organization for Economic Cooperation and Development guidelines, Annex to the recommendation of the Council of 23 September 1980, Guidelines governing the protection of privacy and transborder flows of personal data

141 지침이되고있으며인터넷상에서동원칙이원활하게시행되도록하기위한기술과방법의개발에논의가집중되고있다. 동가이드라인은회원국에대하여 1 적절한국내입법을채택하고, 2 실행규약 (Code of Conduct) 이나기타의형식으로자율규제를장려하여야하며, 3 개인의권리행사를도울수있는적절한방법을제공하여야한다. 또한, 4 개인정보보호원칙을따르지않는경우적절한제재조치를취하고이로인한피해에대한구제수단을마련하여야하며, 5 정보주체에대한불공정한차별이없도록보장하여야한다. 동가이드라인은여덟가지개인정보보호기본원칙을천명하고있는데, 이러한개인정보보호원칙은 UN 가이드라인이나 EU지침을비롯하여각국의개인정보보호법에큰영향을끼쳤다. OECD 가이드라인역시회원국내에서준수되어야할개인정보처리에관한최소한의기준을제시한것이라고밝히고있고, 세계적으로도개인정보보호를위한기본원칙과기준으로서인정받고있다. 구체적인 OECD 가이드라인제8원칙의주요내용은아래와같다. OECD 8 원칙 수집제한의원칙 (Collection Limitation Principle) 정보정확성원칙 (Data Quality Principle) 목적명시의원칙 (Purpose Specification Principle) 이용제한의원칙 (Use Limitation Principle) 안전성확보의원칙 (Security Safeguard Principle) 공개의원칙 (Openness Principle) 개인참가의원칙 (Individual Participation Principle) 책임의원칙 (Accountability Principle) < 표 5-1> OECD 개인정보보호 8 원칙 주요내용 적법하고공정한방법을통한개인정보의수집 정보주체의인지또는동의를얻어개인정보수집 민감한개인정보의수집제한 이용목적과의관련성요구 이용목적상필요한범위내에서개인정보의정확성, 완전성, 최신성확보 수집이전또는당시에수집목적명시 명시된목적에적합한개인정보의이용 정보주체의동의가있거나, 법규정이있는경우를제외하고는목적외이용및공개금지 개인정보의침해, 누설, 도용등을방지하기위한물리적 조직적 기술적안전조치확보 개인정보의처리및보호를위한정책의공개 개인정보관리자의신원및연락처, 개인정보의존재사실, 이용목적등에대한접근용이성확보 정보주체의개인정보열람 정정 삭제청구권보장 정보주체가합리적시간과방법에의해개인정보에접근할수있도록보장 개인정보관리자에게원칙준수의무및책임부과

142 이상과같은 OECD 프라이버시보호가이드라인 은 2013년에개정이이루어졌다. 크게원칙적사항들의수정이이루어지지는않았는데, 다만기존가이드라인에서두가지의측면이고려되어증보되었다. 첫째는위험관리 (risk management) 에기반한프라이버시보호의실천, 둘째는국제적차원에서의규범간상호운용성 (interoperability) 증진의필요성이그것이다. 116) 이러한가이드라인수정의주요내용은현대적개인정보및프라이버시보호사안의특수성을그대로반영하고있는것이라고평가할수있을것이다. 위험관리에기반한프라이버시보호라는관점은, 국가별로형식적차원의개인정보보호규범들이증가하고있는상황에서, 그러한형성적규제체계가실질적인프라이버시의침해위험을방지하지못하면서도, 국제적교류및거래에장애물로등장하고있는상황을염두해둔것이라고할수있다. 그리고국제적차원에서의규범간상호운용성증진은급증하고있는국경간개인정보이동문제에직면하여개인정보보호규제의실질적인규범력을증진시키기위한노력이라고할수있다. 이러한국제적개인정보보호규범은우리에게도시사하는바가크다고할수있다. 특히 2013년 OECD 프라이버시보호가이드라인 개정의큰맥락은향후필수적으로고려해야하는관점으로서, 국제규범의형성방향을예측해볼수있게해주며, 또한국제사회의개인정보보호규범형성에적극적으로참여할수있는전제로서의국내개인정보보호규범의개선방향성을모색해볼수있게해준다. 위와같은 OECD의규범적프레임워크 ( 가이드라인 ) 는실제개별지역적규범의개선과정에서나타나는고민을내포하고있다. EU에서최근 2012년발의되어논의되고있는 EU 정보보호규칙 (General Data Protection Regulation) 117) 제정안의경우비단개인정보의개념적범주에포섭할수있는정보만을보호하는것이아니라실질적인프라이버시침해위협이존재하는정보들을보호하기위한제도적장치를강구하고있는경향성을보여 116) OECD(2013), THE OECD PRIVACY FRAMEWORK 참조. 117) 클라우드컴퓨팅, SNS 등의대두에따라온라인상에서개인정보보호를더욱강화하고디지털경제를촉진하기위하여 EU지침을전문개정한것으로, 유럽연합집행위원회 (European Commission) 가 2012년 1월 25일유럽의회에제안한것이었다. 최근 2013년 1월유럽의회는동규칙제정안에대한개정제안서를발표한바있다

143 주고있는데, 특히서비스설계단계에서의프라이버시고려규정 (privacy by design), 자동화된방식의프로파일링 (profiling) 금지규정, 잊힐 (right to be forgotten) 권리논의등이그것이다. 또한이러한전체 EU 차원의개인정보보호규제마련의노력은디지털단일시장 (Digital Single Market) 의형성, 즉 EU 개별국가간의규범적상호운용성을마련하기위한고안물이라고할수있다. 이러한논의상황은비교적느슨한개인정보보호규범을가지고있다고평가받고있는미국의경우에도크게다르지않다. 2012년 2월 23일오바마정부가발표한 온라인프라이버시프레임워크 118), 2012년 3월 26일미국연방거래위원회 (FTC) 의프라이버시보호권고로서의성격을가지는 급변하는시대의소비자프라이버시보호 119) 등이그것인데, 이러한미국의논의에서주목할만한것으로는온라인추적차단 (Do Not Track) 정책이있다. 또한백악관은최근 2014년 5월발간한 빅데이터와프라이버시 : 기술보고서 120) 를발간하여새로운기술적환경에적합한실질적프라이버시보호를위한제도적개선방향성을제시한바있다. 결과적으로미국의경우에도형식적인것이아니라실질적인위험기반의개인정보또는프라이버시보호를위한법제개선의방향성을모색하고있다. 또한아직까지미국에서구체적인법제마련의방향성은제시되지않았지만, 지속적인연구를통한권고및방향성의제시는성급한제정법의마련에앞서국제적 ( 또는미국내의개별주들간 ) 규범적상호운용성을확보하기위한사전작업으로이해해볼수있을것이다. 결론적으로기본의개인정보규범체계의원칙적사항들을수용하면서도, 실질적인위험관리적관점을토대로한개인정보또는프라이버시의보호와국제적차원의규범간상호운용성확보는향후개인정보국제규범형성의기준으로서활용될것으로보인다. 특히각국의개인정보보호법제들이대체적으로 OECD 가이드라인상의원칙들을반영하고있다 118) The White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, Jan ) FTC, Protecting Consumer Privacy in an era of Rapid Change : Recommendations for Business and Policymakers, March ) Executive Office of the President President s Council of Advisors on Science and Technology, (REPORT TO THE PRESIDENT) BIG DATA AND PRIVACY: A TECHNOLOGICAL PERSPECTIVE, May

144 는측면에서본다면, 향후국제적논의는각국개인정보보호규정들의상이한발전내용들 을어떻게조화시키면서, 실질적인프라이버시보호에기여할수있을것인가의논의로좁 혀질것으로예상된다. 2. 세부쟁점별대응방향이하에서는개인정보보호규범과관련한국제적차원의논의와국내적차원의논의를포괄하여, 쟁점별로대응의방향성을살펴보고자한다. 국제적차원에서의규범형성전략은국내적차원에서의법제개선과병행되어야할필요성이있다. 가. 개인정보의개념정의최근빅데이터분석및클라우드컴퓨팅서비스활용이급증함에따라, 개인정보개념정의의개선논의가급격하게이루어지고있다. 현재이러한문제제기는다소대조적인입장으로부터출발하고있다. 첫째, 법적인보호를부여받고있는개인정보의개념적범위를명확히하여, 정보주체의동의와개인정보규제제약없이관련정보를활용할수있게해주자는입장이있다. 둘째, 개인정보의법률상개념적표지인 식별가능성 을명확하게구분하는것이힘든상황이기때문에이러한식별가능성을전제되지않더라도실질적인프라이버시보호가이루어질수있는방향으로관련법제를개선하자는논의가그것이다. 이러한개인정보개념정의와관련한논란은비단한국에서만발생하고있는것이아니라, 세계각국에서지속적으로문제제기가이루어지고있다. 물론한국의경우에는실제법원이판결등에있어관련규정의해석을다소모호하게함으로써개인정보의개념적범위가넓어지고있는것으로비춰지고는있지만, 이는본질적으로현재한국의개인정보개념정의규정의문제라고만은볼수없다. 다른국가들의개인정보개념정의규정을살펴보더라도, 현재우리나라와입법적차원에서현격한차이가있다고볼수는없으며, 따라서한국에서발생하고있는개인정보개념정의의모호성문제는법률적용및해석관행으로인해발생하고있는것이라고할수있다. 그러나이러한상황이현재한국의개인정보개념정의규정이개선될필요성이없다는것은아니다. 개인정보개념정의규정은우리나라뿐만아니라세계주요국가들에서도공히그개선의방향성을모색하고있는상황이다. 따라서국제적맥락에부합하는개인정보

145 개념정의규정의개선노력이필요할것으로보인다. 앞서위험관리 (risk management) 차원의개인정보보호규범개선에대해언급한바있다. 이는개인정보개념정의규정개선논의와직결되는논의라고할수있다. 즉개인정보의개념적정의에기반하여, 이에포함되는경우보호를부여하고그렇지않은경우에는보호를부여하지않는일도양단식의개인정보또는프라이버시보호가이니라, 실질적인위험여부를판단하여위험이있는곳에법적인보호를부여할수있는방안을모색하는가운데개인정보개념정의규정의개선을고민해보아야할필요성이있다. 즉이는위험기반접근방식 (risk-based approach) 이라고칭할수있을것이다. 이렇게본다면, 무작정개인정보의개념정의를좁혀개인정보의활용이라는측면만을고려할것이아니라, 개인정보의개념정의를일반적인프라이버시보호차원으로다소확장하여법적인보호대상의범주에포함시키고, 실질적인위험이있는경우에사법적 행정적제재가가해질수있는체계를모색하는것이바람직할것으로보인다. 또한이러한관점을전제로국제적개인정보규범형성방향을모색할필요성이있을것이다. 나. 정보주체의동의권및개인정보자기결정권강화개인정보개념과결부하여, 논의되는가장중요한쟁점중하나는바로정보주체의동의권행사방식에관한문제이다. 즉개인정보의활용 ( 이용및제3자제공 ) 을위해서는정보주체의동의가필수적으로요구된다는소위 동의권프레임 의문제이다. 이러한동의권행사는헌법상열거되지않은기본권으로인정되고있는개인정보자기결정권이라는기본권을보장하는하나의수단으로서기능한다. 그러나이러한개인정보보호규제및개인정보자기결정권에관한인식이확대되면서, 동의권에대한다양한인식론적오해를유발시키고있다. 현재의개인정보보호규제의맥락에한정하여보자면, 가장대표적인것은법률적차원에서개인정보의범주에포함되지않는정보에대해서는정보주체의동의가필요없다는오해이다. 그러나현행개인정보보호규범상의개념정의에따라개인정보에포함되지않는경우라고할지라도, 관련정보가실질적인프라이버시침해위험이있는경우에는당해정보주체의동의가필요하다고보는것이현재의법체계원칙상타당하다고보아야할것이다. 즉사생활영역에대한침해가이루어질여지가있는상황에서는, 당연히당해영역의사인에게동의를받아야하는것이다. 따라서동의권은개인정보라는법률적개념적표

146 지와필연적견련성을가지는것은아니다. 정보주체의동의권행사는궁극적으로정보주체의개인정보의보호는물론이고, 프라이버시침해의위험성을가전에고지한다는측면의의미가더욱강한것이라고할수있다. 일반적으로한국의개인정보보호법제와 EU의개인정보보호법제는엄격한사전동의원칙 (Opt-in) 을취하고있는것으로평가받고있다. 그러나이러한법제들은정보주체의동의없이개인정보를활용할수있는예외규정들을두고있는데, 이러한경우는대부분공익과공익, 사익과공익간의이익형량을통하여필요한경우, 더나아가서는프라이버시침해위험이없는경우에한정하는경향성이있다. 그런데정보통신기술의비약적발전으로인하여정보수집단계에서개인정보및프라이버시침해위험을사전에확정하기어려운경우가빈번하게발생하고있어, 이러한엄격한사전동의원칙의개선이국내에서논의되고있다. 대표적으로사후동의철회방식 (Opt-out) 에관한논의가그것이다. 그러나이는궁극적으로정보수집이후단계에서의개인정보자기결정권보장에관한논의인것이지, 개인정보의개념적표지와결부되어있는동의권행사방식에관한논의는아니라고할수있다. 결론적으로현재논의되고있는정보주체의동의권행사방식의문제는종국에는개인정보자기결정권의실질화방안의논의로귀결된다. 즉사후적인개인정보자기결정권이실질적으로보장함으로써프라이버시침해위험이존재하지않는상황이라면, 엄격한사전동의를법률상전제해야할필요성은없다고할수있겠다. 따라서사후동의철회방식 (Opt-out) 의도입논의는정보수집이후단계에의개인정보자기결정권의실질화를전제로논의할필요가있으며, 이러한개인정보자기결정권의제도적실현을위해서는개인정보처리자의처리절차및알고리즘이적정수준에서투명하게공개될필요성이있을것이다. 결국개인정보의수집및이용에있어법률적으로강제되는형식적인동의절차자체에초점을둘것이아니라, 실질적인프라이버시보호와개인정보자기결정권이보장될수있는것인지에중점을둘필요성이있으며, 국제적차원에서의개인정보규범형성의논의도이러한맥락을반영할필요가있다. 다. 개인정보보호규제체계일원화한국적상황에서는개인정보보호규제체계의문제점이극명하게부각되고있다. 즉일반법인 개인정보보호법 이제정되기에앞서, 각개별영역에서는특별법인 정보통신망이

147 용촉진및정보보호등에관한법률, 위치정보의보호및이용등에관한법률, 의료법, 신용정보의이용및보호에관한법률 등이적용되어왔으며, 일반법제정이후에도개별특별법이그대로운영되고있는상황이어서법률적용간우선순위는물론이고소관부처판단에있어서도혼선이발생하고있다. 이러한상황은개인정보규제체계문제에관한한국적상황을보여주는것이라고할수있는데, 사실이에관한각국가별입법태도또한매우다양하다고할수있다. 예를들어, 미국의경우에는프라이버시를헌법적권리로보고있으나, 개인정보관련일반법은존재하지않고각분야별로개별입법을두고있으며, 일본은공공영역에는 개인정보보호법 을두고있으나개별분야별로입법을두고있다. 또한캐나다의경우에는공공및민간을구분하여각기일반법을두고있다. 즉일반법과특별법체계는각국가별상황에따라각기다른양상을보이고있으며, 결과적으로어떠한법체계가타당한것인지에대해서는항시논란의여지가있을수있다. 다만개인정보보호법제가적용되는수범자들의관련규제이이해가능성, 그리고국가간개인정보규제체계의상호운용성확보를위해서는개인정보보호규제체계의문제를국제적차원에서논의해야할필요성은있다. 물론반드시일반법을제정하라든지하는직접적인접근이아니라, 그것이일반법이든지침이든지간에당해국가의규범제정및운용의원칙과내용을명확하게확인할수있는체계를갖추도록할필요가있을것이다. 이와관련해서는, 현재우리나라의개인정보보호규제체계에서빈번히논란이되고있는일반법과특별법적용관계를더욱명확하게해소하는작업부터선행되어야할필요성이있다. 또한이문제는일원적규제기구 (DPA; Data Protection Authority) 를설정하고있는 EU 등의사례를참조하여, 관련규제체계의일원적규제집행체계도모색할필요성이있다. 궁극적인쟁점은관련영역의규제기구가총체적으로정보주체의프라이버시위험을방지하는데기능할수있는지여부여야할것이다. 라. 형사적 행정적제재실제우리나라의개인정보보호법제가엄격한체계에기반하고있다고평가받는주요한원인은다른국가들에비하여비교적엄격한사법적 ( 형사적 ) 행정적제재를규정하고있기때문이라고할수있다. 프라이버시및개인정보관련사안들은명백한권리 ( 개인정

148 보자기결정권 ) 의보호범위를전제하여일도양단적으로판단할수없는성격의사안인경우, 즉가치적형량이필요한경우가대부분이다. 그런데이러한이익형량이요구되는사안에있어엄격한형사적 행정적제재조치를규정하게되는경우사법및행정적재량판단에사안의해결을상당부분의존하게되는결과를발생시킨다. 결국정보주체나관련정보를이용하는사업자의입장에서는개인정보보호규범에대한자율적예측가능성을상실할수밖에없다. 따라서현행개인정보보호규범의엄격한제재규정들은위험평가에기반하여차등화하여야할필요성이있을것으로판단된다. 즉실질적인위험이있는곳에강화된제재규정을도입하고, 그렇지않은경우에는다소완화된제재조치를규정하는방안이그것이다. 예를들면, 앞서언급한바와같은개인정보의개념적정의에있어 GDPR( 안 ) 은정보주체와관련한모든정보 (any information relating to a data subject) 라고포괄적인규정을두고, 그이하에서정보주체 (data subject) 를식별가능성을가지는자연인이라고정의하고있다. 이러한법문의구조는기본적으로개인정보의개념적범주를넓히는역할을하고있다고평가할수있다. 즉기본적으로정보주체와관련한모든정보는개인정보로서의지위를가질수있다는가능성을열어두고, 식별가능성문제를검토한다는취지로이해할수있을것이다. 121) 결국개인정보개념에관한광범위한판단여지를전제로, GDPR( 안 ) 은과징금이외의별도의형사적제재를규정하고있지않다. 이는달리말하자면, 획일적이면서도엄격한형사적 행정적제재를통해관련규제목적을달성하려는것이라기보다는, 다소간의맥락적판단을통하여실질적인위험이있는경우이를규제하겠다는목적을가지고있는것으로평가할수있다. 또한국가간개인정보보호규범의상호운용성관점에서도현재우리나라의개인정보보호법제와같은엄격한형사적 사법적규제체계는타당하지않다고판단된다. 특히위험성이있는개인정보침해및유출사고들의경우주로대규모사업자들의영업행위와관련성을가진다는측면에서, 기업수익에비례하는과징금부과체계가더욱적절한측면이있으며, 따라서형사제재의경우에는가급적자제할필요성이있을것이다. 실제로해외주요국가들의개인정보관련규제는이러한취지에입각해있다고볼수있다. 121) 이러한법문의구조를취하게된데에는전체 EU차원의다양한규범현실을포괄적으로반영하기위한것이고도볼수있을것이다

149 마. 개인정보국외이전규제국가별로공고한개인정보규제체계가형성된상황에서, 국경간개인정보이전에는다양한규제적장애요인들이존재한다. 현대적인기술적상황에서개인정보에기반한각종거래들이인터넷을통해이루어지면서국경을넘어선개인정보의이전은당연한것으로받아들여지지만, 각국의규제관념과구조의차이로인해원활한정보유통이이루어지지못하는경우가종종발생하고있다. EU에속한대부분의국가들은 1995년 EU 개인정보보호지침 (Directive 95/46/EC) 에근거하여비교적다른지역의국가들에비해엄격한개인정보국외이전의문제를규제해왔다. EU지침전문제57항및제25조제1항에서는개인정보가 적절한수준 으로보호 (adequate level of data protection) 되지않는역외 (EEA국가밖 ) 122) 제3국에대하여는회원국의개인정보감독기구가정보의이전을금지하고있으며, 다만자유로운정보유통을촉진하기위하여제3국의법제가개인정보를적절히보호하지못하더라도개인정보보호를위한각종보호조치 (safeguards) 가취해져있는경우에는정보의이전을허용한다. 123) EU 지침에의거하여집행위원회 (Commission) 가인정하고있는안전조치로는 1 미국과의정 122) EU 개인정보보호지침은 EU 회원국은물론유럽회의협약 (Council of Europe Convention 108) 을체결한유럽경제지역 (European Economic Area: EEA) 의 3개가맹국아이슬란드, 리히텐슈타인, 노르웨이를대상으로한다. 123) EU지침제26조제1항은제3국으로정보를이전할때적절한수준의정보보호가이루어지지않아도되는다음과같은예외사유 (derogations) 를규정하고있다. 정보주체에대한위험이상대적으로적거나공익또는정보주체의이익이프라이버시권보다큰경우에제한적으로예외가인정되는것이다. 이러한예외적인경우는엄격하게해석해야하고, 일부회원국에서는국내법상으로예외사유를좁게인정하고있다. (a) 정보주체가정보이전에명백히동의한경우, (b) 정보주체와관리자간에체결된계약의이행에필요한정보이전또는정보주체의요청에따른계약전조치의이행에필요한정보이전, (c) 정보관리자와제3자간에정보주체의이익을위한계약의체결또는그이행을위하여필요한정보이전, (d) 중요한공익상의이유에의한또는조세 사회보장등법적으로의무화된정보이전또는소송의제기 수행 방어를위하여필요한정보이전, (e) 정보주체의중대한이익의보호를위하여필요한정보이전, (f) 법령상으로일반공중이열람할수있는공부 ( 公簿 ) 로부터일정요건을갖춘경우에일어나는정보이전. 이경우공부의열람을청구한자가제3국에소재하는지, 열람행위가정보이전에해당하는지여부는문제가되지않는다

150 보교류에있어서미국연방거래위원회 (Federal Trade Commission: FTC) 의감독하에자율규제방식으로실시하는세이프하버원칙 (Safe Harbor Principles), 2 집행위원회가승인한표준계약 (ad hoc/model contract), 3 유럽에기반을둔다국적기업의경우 EU지침에맞게프라이버시정책을운영하는구속력있는기업규칙 (Binding Corporate Rules: BCRs) 등이있다. 또한현재이미적절한수준의개인정보보호가이루어지고있는나라들은이른바 화이트리스트 (White List) 124) 에올려놓고이들나라에대하여는별도의조치없이개인정보를이전할수있도록하고있다. 이러한큰틀의규제체계는최근 2012년발의되어논의되고있는 EU 정보보호규칙 (General Data Protection Regulation) 125) 제정안에도상당부분반영및구체화되어있다. 이상과같은 EU는전반적으로자국내의개인정보국외이전에관하여매우엄격한틀을유지해왔다고할수있는데, 그나마미국등과의개인정보유통을원활하게하는데기여했던세이프하버 (Safe Harbor) 협정이무효화 (ECJ, 2015년 10월 6일 ) 됨으로써, 향후국경간개인정보이전규제의문제가중요한화두가될것으로예상된다. 이러한개인정보국외이전의문제는우리나라의측면에서는두가지관점에서접근할필요성이있다. 첫째, 우리나라의기업들이영업활동수행을위해해외주요국가들의개인정보를이전받는경우둘째, 해외기업들이우리나라에서의영업활동을통해국내개인정보를해외로이전하는경우이다. 우선첫번째문제를해소하기위해서는현실적으로현재미국과의개인정보국외이전문제로마찰을빚고있는 EU와의관계를고려할필요가있다. 그것은 EU가앞서살펴본바와같이비교적강력한규제체계를가지고있기때문이다. 한국에서채택할수있는방안으로는 EU 집행위원회의적절성평가를거쳐화이트리스트 (White List) 에우리나라를포함시켜개인정보를이전받는방법과구속력있는기업규칙 (Binding Corporate Rules: BCRs) 인증을받는방법이가장유력한대안이라고할수있다. 126) 이를위해서는위각각 124) 이러한 White List 는 EU Information Commissioner s Office 에서확인할수있다. 125) 클라우드컴퓨팅, SNS 등의대두에따라온라인상에서개인정보보호를더욱강화하고디지털경제를촉진하기위하여 EU지침을전문개정한것으로, 유럽연합집행위원회 (European Commission) 가 2012년 1월 25일유럽의회에제안한것이었다. 최근 2013년 1월유럽의회는동규칙제정안에대한개정제안서를발표한바있다. 126) 관련내용들은

151 의평가및인증의기준을토대로국내개인정보보호규범의변화를꾀하는방안도고려해볼수있을것이다. 특히일한전략은화이트리스트 (White List) 와관련한영역에적합할것으로보이며, 국내기업들의 BCR 인증에있어서도일부활용될수있을것으로보인다. 결론적으로현제국제적으로경제적규모를가짐과동시에가장엄격한규제를가지고있는지역의규제에우리국내규범을조화시킬수있는방안을모색하는것이필요할것으로보인다. 특히 BCR과관련해서는우리나라가속해있는 APEC 의 CBPR 인증체계논의에적극적으로참여하여, 이를 BCR과조화시킬수있는전략을구사하는것도효과적이라고할수있을것이다. 127) 두번째문제를해소하기위해서는개인정보국외이전에관한 개인정보보호법 과 정보통신망법 의개정작업이필요할것으로보인다. EU 등의개인정보국외이전규정등과비교해볼경우, 국내의관련규정들은별다른안전조치없이사실상정보주체의동의에입각하여개인정보를국외로이전하는체계를가지고있다. 이는궁극적으로개인정보와관련한우리나라의정보주권을형해화시키고있으며, 사실상국내외기업간의역차별문제도발생시키고있다. 또한국내개인정보보호법제의규정내용도일관적이지못할뿐만아니라, 사실상입법적불비에해당하는경우도있어이에대한정비작업도필요한상황이다. 궁극적으로정합성을가지는방향으로의관련규정의개정, 그리고 EU 등에서활용하고있는적절성평가등의입법적도입에관한논의가필요할것으로보인다. 궁극적으로데이터유통, 그안에서개인정보의송수신이증가하고있는현재의상황에서개인정보국외이전의문제는국가적차원의주권적차원의보호가당해국가내의정보주체에게보장될수있는지의문제로귀결되는중요한문제이다. 이과정에서중요한고려요소는관련규정들이실질적인프라이버시위험을감소시킬수있는지여부와국제적인상호운용성을확보할수있는지여부이다. 바. 잊힐권리및사자의디지털유산등 프라이버시및개인정보보호와결부된쟁점으로최근들어본격적인논쟁이이루어지 index_en.htm 을참조해볼수있을것이다. 127) EU BCR 과 APEC CBPR의유사점과차이점에관한인증기준에관한항목별비교 분석으로는한국정보화진흥원 (2014), 국제기구의개인정보보호인증제도간인증항목비교 : EU BCR 의승인및 APEC CBPR 의인증자격요건을중심으로 참조

152 고있는잊힐권리및사자의디지털유산의문제등에대해서는신중한접근이필요하다. 두사안모두데이터소통및축적이확장되어가는과정속에서과거에는고민해보지못한사안이라고도평가될수있겠지만, 과연그러한문제를현행법질서속에서하나의권리로인정할수있는지여부에대해서는진지한고민이필요하다. 잊힐권리의경우 EU GDPR 논의에있어궁극적으로는개인정보삭제요구라는개인정보자기결정권실현방식의일환으로논해지고있는상황이며, 이러한개인정보삭제및처리정지요구는온전한형태는아니라고할지라도, 상당부분국내법상반영되어있다. 잊힐권리의본원적형태는과거표현물또는게시물로부터자유로울권리로인식되어왔다. 그런데유럽사법재판소 (ECJ) 의잊힐권리판결이후원본게시물의삭제에관한논의보다는검색서비스제공자의검색중단및배제청구권문제로귀결되고있는양상이다. 따라서본래적의미의잊힐권리보장에관한논의라고보기는어려운상황으로평가할수있겠다. 결국잊힐권리사안에서의쟁점은표현의자유와프라이버시 ( 또는인격권 ) 간의형량이라고할것이며, 이러한가치간형량의문제는권리보호차원에서논의를전개하는것은적절하지않다고볼수있다. 128) 사자의디지털유산의문제는사실프라이버시보장차원의문제라기보다는일종의재산권상속문제와유사한방향에서다루어지는것이바람직하다고볼수있을것이다. 물론사자의정보가공개되거나이전됨으로써발생할수있는프라이버시및인격권침해문제가있을수있지만, 사자의디지털정보와관련하여궁극적으로문제시되는것은재화로서의성격을가지는정보의물성 ( 物性 ) 을인정할수있을것인지여부라고볼수있겠다. 만인사자의디지털유산에속하는정보로인하여사생활침해가발생하는경우에는유족및친족의전통적인법적권리보호차원에서다루어질수있을것이다. 잊힐권리와사자의디지털유산의문제는과거와는다른정보통신이용환경의변화로인해부각되고있는쟁점이라고할수있다. 그러나해외주요국가들의경우에도관련입 128) 이에더하여우리나라에서는인격권보장과관련하여, 정보통신망법 상게시물삭제조치에관한보완책의일환으로매우광범위하게활용되고있는 임시조치 제도도논해질필요가있다. 본래관련규정의입법취지와는달리게시물삭제등의요청이있는경우사업자들은소송위험을탈피하기위해사실상별다른조건없이그러한요청을받아들여임시조치하고있는상황이기때문에, 잊힐권리관련논의의상당부분은이에의해해결될수있는가능성이높다

153 법이확립되고있지못한상황을감안한다면, 이러한논의들을성극하게법제화하는경우 모범입법사례가되기보다는오히려규범의국가간상호운용성을저해하는결과를초래할 수있을것이라는점에유의해야할필요가있다. 제 4 절우리나라의역할과과제 1. 기본방향우리나라의경우매우독특한개인정보규제환경을가지고있다. 특히개인정보규제모델의큰축이라고할수있는미국등과 APEC 이라는지역적범주를가지고있지만, 전반적인규제체계의지향점은 EU의규제체계를모델로하고있다. 따라서국내개인정보보호규범의개선작업은그리용이하지않은측면이있는것이사실이지만, 이는달리말하여양대규범모델의절충지점을제시함으로써국제적규범형성을주도할가능성을가진다고도할수있다. 전략적차원에서한국 ICT기업들의해외진출을견인하기위해서는이들기업들의국내활동이국제적차원의개인정보보호규범기준에부합하는것이어야할것이다. 또한해외 ICT 기업들의국내활동을활성화함으로써우리나라내국인들의편익을증진시킴에있어서는국민들의개인정보자기결정권이실질적으로보장받을수있는국내규제체계를형성해나가야할필요성이있다. 거시적관점에서보자면, 국제적차원의개인정보보호규범의국제적기준의국내법으로의수용을물론이거니와, 더나아가서는국제규범형성에적극적으로기여하여우리의이해관계는일정부분관철시켜나가야할것이다. 그러나우리나라의경제적규모와지역적외연을고려해볼때, 국내법체계의정비와국제규범형성에의기여모두가그다지용이한상황은아니라는점은주지의사실이다. 따라서이러한작업에있어서는다소장기적인관점에서전략적인접근방식을취할필요성이있다. 만일국제적차원의규범형성을주도하기위하여성급하게다양한새로운이슈들을선제적으로법제화하게될경우, 오히려다른선진국가들의규범체계와는다른규제체계로인하여규범적상호운용성이저해받을수있기때문에, EU, 미국등관련국가

154 들이어떠한내용을개인정보보호규범을정립해나가고있는지, 그리고그효과는무엇인지에대해면밀히검토하여반영해나가야할필요가있을것이다. 또한국제규범형성을전략적절충지점에서선도해나가기위해서는반드시국내규범체계의개선에관한논의도진지하게추진해나가야할필요성이있다. 주지하다시피국내의개인정보규범체계는그체계적인측면에서다소간의상충및혼선이존재함은물론이고, 실체적내용에있어서도변화하고있는정보통신환경과부합하지않은경우들이발생하고있어, 이러한문제점들의해소를병행해가야하는상황이다. 2. 국내적차원 : 개인정보보호법제정비 ( 위험기반접근 ) 가. 현행개인정보보호규범의특정과변화의필요성그간국내의개인정보보호법제들은기본적으로국가 사회적차원의개인정보처리등과관련한규범적 획일적표준을설정하는데주력해왔다. 그결과실질적인개인정보및프라이버시침해위험의방지에그목적을두기보다는, 관련수범자들의행위를특정기준에부합하도록하는데초점을두어왔다고평가할수있겠다. 그러나 2013년 OECD 프라이버시가이드라인 과관련하여언급하였던바와같이, 위험관리 (risk management) 적차원의접근이필요하다. 즉현대상황에서알수있는바와같이개인정보유출사고는어쩌면필연적으로일어날수밖에없는상황이기때문에, 개인정보보호규범은그러한위험을실질적으로저감시키는방향으로개선되어야할필요가있다. 나. 위험관리적접근의국내법적수용위와같은위험관리적접근이국내법체계에수용되기위해서는다음과같은사항들이고려되어야한다. 첫째, 데이터활용및분석기술의발전은현행법제상개인정보의개념적범주의표지라고할수있는개인식별가능성을판단하기에어려운상황을연출하고있다. 동일한정보라고할지라도맥락 (context) 에따라서는개인식별가능성을가지는정보가될수도있고그렇지않을수도있다. 결국개인정보보호규범의적용범위를확정하는것이매우어려운상황이기때문에, 이러한측면에서실질적인사생활또는프라이버시보장을위한맥락적상황판단의가능성을국내규범에포섭해나가야할필요가있다. 이와관련해서는관련개

155 념정의및규제규정의개선도필요하지만, 궁극적으로보호규제집행기관의역할이입법상명확하게확립되어야할필요성이있을것이다. 둘째, 개인정보침해및유출사고가불가피한것이라면, 가급적이러한사고들로인한피해가최소화될수있는예방적차원의접근이요망된다. 예를들어, 관련서비스설계시부터프라이버시보장을위한노력을요청한다든가, 개인에관한신상및행태정보들을자동화된방식으로추적하는행위등을미연에규제함은물론이고, 이에대한개인적차원의통제권한을부여하는방안을강구하는것이그러한예시라고할수있겠다. 또한사업자들이각종개인정보보호체계인증 (PIMS: Personal Information security Management System, PIPL: Personal Information Protection Level 등 ) 을받는경우에는정책적차원의인센티브를현재보다더욱적극적으로부여해주는것도하나의방안이될수있을것으로보인다. 셋째, 개인정보및프라이버시위험에대하여차등적인규제적접근방식을취함으로써, 위험도가낮은경우에는개인정보의활용이원활하게이루어질수있도록하고, 위험도가높은경우에는개인정보보호규제를엄격하게집행할수있도록하는방안을강구할필요가있다. 이렇게될경우사업자들이입장에서는위험도가높은개인정보활용을자제하기위한서비스를개발하게될것이며, 자연스레개인정보보호환경이개선될여지가있다. 넷째, 개인정보보호규범은물론이고, 개인정보의처리를수반하는법 ( 령 ) 등이제정되는경우와지속적은기술적환경에대한실효성있는영향분석 (impact assessment) 을사전에명확하게수행할필요성이있다. 이러한측면에서최근개정된 개인정보보호법 제8조의 2( 개인정보침해요인평가 ) 는각중앙행정기관의장으로하여금소관법령의제정또는개정을통하여개인정보처리를수반하는정책이나제도를도입 변경하는경우에는개인정보보호위원회에개인정보침해요인평가를요청하여야한다고규정하고있어상당히진일보한규정이라고할수있다. 다만하루가다르게급격한발전의과정에있는 ICT 기술환경 (ex. 빅데이터활용기법, 개인식별정보활용현황등 ) 의프라이버시침해위험도에대한면밀한영향분석을더욱체계적으로추진하고그결과는입법에반영해나가야할필요성이있을것이다

156 3. 국제적차원 : 전략적국제규범형성관여 ( 규범적상호운용성확보 ) 가. 국제적상호운용성요청과실현방식개인정보보호규범의국제적상호운용성은다양한국제적기준에서요청하고있는사안이다. 따라서이러한규범적상호운용성 (interoperability) 개념자체는국제적인공감대가이미형성되어있는상황이라고할수있다. 따라서이러한개념적요인은국제적개인정보보호규범형성에우리나라가다소전략적 적극적으로개입해들어갈수있는실마리를제공해준다고할수있다. 우선이러한상호운용성개념은 2013년 OECD 프라이버시보호가이드라인 에핵심적추가개념으로포함되었다. 이러한상호운용성개념이등장하게된것은각국가별개인정보보호법 ( 령 ) 들이증가하고있는상황속에서정보의소통과흐름또한급증하고있어, 자유로운정보의이전을보장하기위해서는국가규범들간의상호운용성을확보해나가야할필요성이있다는취지를가지고있다는점에착안하고있다. 또한이러한상호운용성이실현가능성을가지게되는단초는개별국가들의개인정보보호규범들은구체적인내용에있어서각기상이한경우가많지만, 대부분 OECD 8원칙등동일한원칙에입각하여제정되었다는점이다. 이러한 2013년 OECD 프라이버시보호가이드라인 상의상호운용성개념의실현의현실적목표는집행기관사이의정보공유, 상호협조, 그리고세부규정 ( 기준 ) 의공개등이라고할수있다. 이는비단 OECD 에서만강조된것은아니다. 개인정보보호규범의국제적상호운용성은 APEC 에서도강조된바있다. 호주, 캐나다, 뉴질랜드개인정보보호당국은 2005 APEC 프라이버시프레임워크 의개선방향을 APEC Privacy Framework Stocktake 2015 을통해제시하였는데, 여기에서 APEC 프라이버시프레임워크 는 APEC 지역외의프라이버시프레임워크와상호운용성을가질필요가있음이제기되었다. 또한 2012년미국온라인프라이버시프레임워크 의내용중에도정보장벽을낮추기위한세계여러나라와의프라이버시기준의상호운용성을고려할필요가있다는점이제시되었다. 그런데이러한상호운용성개념은다양한차원에서논의되고있다. 2012년 European Interoperability Framework(EIF) for European Public Service는상호운용성을이질적이고다양한조직들이상호이익과합의된공동의목표를향해협력할수있는가능성이라는

157 의미로다소포괄적으로접근하고있다. 그러나개인정보보호국제규범형성과관련해서궁극적으로쟁점이되는것은법규범적상호운용성 (legal interoperability) 로서이에대해 Rolf H. Weber 는관할을넘어서는협력적입법이라고정의하고있다. 이러한상호운용성이라는관념에대해 Félix Tréguer 는사람, 상품, 그리고기타서비스들이규제에따라쉽게이동할수있을정도로규제분산비용 (cost of regulatory fragmentation) 이낮은경우에그러한법체계를상호운용적이라고할수있다고설명한다. 또한주목할만한시각으로 Palfrey and Gasser 는법규범적상호운용성은그러한체계를함께형성해나가는것이지동일하게만드는것은아니라고설명한다. 그이유는그러한법규범체계가동일하지않을때상호경쟁을통해가장최선의규범질서를만들어나갈수있기때문이라고한다. 결국개인정보보호규범에서요청되는상호규범성은이러한법규범적상호규범성을의미한다. [ 그림 5-1] 상호운용성의다차원적층위 출처 : EU; 김경환 (2015), 개인정보관련국제규범형성을위한우리나라의역할과과제, 정보통신정책연구원. 그렇다면어떠한법적형식으로국가간또는국제적법규범적상호운용성을달성할수 있을것인가? 이와관련하여 Rolf H. Weber 는다음과같은도식을제공해주고있다

158 < 표 5-2> 국제적법규범적상호운용규제모델 출처 : 김경환 (2015), 개인정보관련국제규범형성을위한우리나라의역할과과제, 정보통신정책연구원. 위표에서왼쪽열은위쪽으로갈수록규범력이높아지는국제법적법원을의미하고, 최상위행은왼쪽으로갈수록통합의정도가높아지는단계를의미한다. 위표에서가장단순하게는조약등국제적으로승인될수있는법형식을동원하여완벽한조화를이루어내는방안을고려해볼수있지만, 이러한목적을달성하기에는각국가별법규범적환경이매우상이하여막대한어려움이있을수밖에없다. 따라서현실적으로채택할수있는방안은각국이처한경제적, 문화적, 사회적규범환경과기술적상황을고려하여채택할수있는방안을모색할필요가있을것이다. 개인정보보호규범의경우국제적으로는 OECD 8원칙 과같은일반원칙차원의규율적합의는어느정도이루어졌다고볼수있다. 따라서이를토대로이보다는한차원높은법규범적차원의상호운용성을추구할필요가있을것이다. 또한현대적개인정보보호의문제는다소자율적인토대를가진기술적발전이전제되어있다는점에서, 프라이버시친화적기술발전과활용을유도할수있는다소자율적인법규범적상호운용성을확보할수있어야할것으로보인다. 결론적으로개인정보보호와관련한국제적차원의법규범적상호운용성을확보하기위해서는상호인정 (mutual recognition) 의바탕속에서각기세부적차별성을가지는국가별기준 (standards) 들을형성해나가할필요성이있을것으로보인다. 결국이러한맥락에서보자면, 글로벌사업자들을중심으로개인정보의국경간이동이활성화되고있는시점에