개인정보보호법제 개선을 위한 정책연구보고서 2013. 1 프라이버시 정책연구 포럼
<목 차> 1. 프라이버시 보호: 신화에서 규범으로 1 (문재완, 한국외대 법학전문대학원 교수) 2. 개인정보 보호와 다른 헌법적 가치의 조화 11 (황성기, 한양대학교 법학전문대학원, 교수) 3. 개인정보보호의 법, 경제, 및 이노베이션 27 (고학수, 서울대학교 법과대학 교수) 4. 현행 개인정보보호 법제상 개인정보 정의의 문제점 35 (구태언, 테크앤로법률사무소 변호사) 5. 개인정보처리(수집 이용 제공)의 법적 기준에 대한 타당성 분석 47 (이인호, 중앙대학교 법학전문대학원 교수) 6. 개인정보 주체의 동의 : 동의의 허구성과 해결방향 62 (김기창, 고려대학교 법학전문대학원 교수) 7. 클라우드 서비스와 개인정보보호 72 (김기창, 고려대학교 법학전문대학원 교수) 8. 개인정보 국외이전의 실무적 문제와 개선방향 84 (박광배, 법무법인 광장 변호사) 9. 개인정보 의 정의와 위치정보보호법의 개선 방안 97 (박경신, 고려대학교 법학전문대학원 교수) 10. 행태기반서비스(위치기반서비스 포함) 관련 법령 정비 방안 118 (박상철, 김 장 법률사무소 변호사) 11. 개인정보 주체의 권리에 대한 조화로운 접근 132 (최경진, 가천대학교 법과대학 교수) 12. 잊혀질 권리와 알 권리 : 저널리즘적 관점에서 142 (구본권, 한겨레신문 온라인에디터) 13. 개인정보 관련 소송에 있어서 과실 및 손해판단 151 (권영준, 서울대학교 법학전문대학원 부교수) 14. 개인정보침해행위에 대한 형사처벌의 적절성 165 (전응준, 유미IP법률사무소 변호사) 15. 개인정보보호법이 의학 및 보건학 연구에 미치는 영향 177 (박병주, 서울대학교 의과대학 예방의학교실 교수)
프라이버시 보호: 신화에서 규범으로 한국외대 법학전문대학원 교수 문재완 Ⅰ. 문제의 제기 정보화 시대가 되면서 프라이버시 침해를 우려하는 목소리가 점점 커지고 있다. 정보통신 기술의 급속한 발전은 정치 경제 사회 문화 등 시민의 모든 생활을 혁명적으로 개선시켰지만, 부정적 측면도 나타난다. 평범한 사람의 일상적 움직임도 사회 곳곳에 설치된 정보통신기기에 기록되면서 시민은 프라이버시를 기대하기 어렵게 되었다. 세계 각국은 이러한 문제를 해결하 기 위하여 법과 제도를 정비하고 있다. 우리나라 역시 개인정보를 보호하는 법제를 마련하였 다. 특히 2011년 3월 29일 제정된 개인정보보호법은 개인정보의 수집 유출 오용 남용으로 부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄 과 가치를 구현하기 위한 목적으로 제정되었다. 하지만 우리나라에서 프라이버시 보호, 특히 개인정보 보호는 신화가 되었다. 프라이버시가 무엇을 의미하는지, 무엇을 보호하고자 하는 것인지, 어떻게 보호할 수 있는지에 대해서 충분 히 논의하지 못한 채 법으로 강요되고 있다. 프라이버시는 보호하면 할수록 좋고, 보호수단을 많이 마련할수록 좋고, 위반에 대해서 엄하게 다스릴수록 좋다는 막연한 믿음, 즉 신화가 우리 사회를 지배한다. 개인정보보호법은 보호라는 명분 아래 개인과 기업의 활동을 과도하게 규제 하고 있다. 개인정보 보호, 나아가 프라이버시 보호에 대한 냉철한 접근이 필요한 시점이다. 프라이버시를 보호하자는 이상을 추구하는 것은 바람직한 일이지만, 다른 가치에 대한 고려 없이 프라이버시는 보호하면 할수록 좋은 것이라는 맹목적인 태도는 지양하여야 한다. 신화가 아닌 현실의 프라이버시 보호라는 관점에서 살펴보면, 보호라는 명분으로 시행하는 법제 강화가 반드시 좋은 것만은 아니다. 그 이유는 첫째, 개인정보 보호 강화가 다른 헌법적 가치, 즉 알 권리, 표현의 자유, 영업의 자유 등에 대한 침해로 나타날 수 있기 때문이다. 개 인정보 보호 입법에서는 서로 충돌하는 헌법적 가치들을 조화롭게 해결하는 방법을 찾는 일이 가장 중요하다. 조화로운 해결을 위해서는 개인정보 보호의 가치와 목적을 분명하게 성찰할 필요가 있다. 둘째, 개인정보 보호를 강화하는 법제는 자칫 잘못하면 개인정보 보호를 최고의 헌법적 가치로 오인하여 개인정보 보호라는 이름 아래 이루어지는 모든 조치를 정당한 것으로 간주하는 잘못으로 이어질 수 있다. 과연 이러한 과오가 실제로 발생하고 있는지 확인하기 위 해서 개인정보 보호 법제에 수용된 각종 수단들이 얼마나 효율적으로 개인정보를 보호하는지 살펴볼 필요가 있다. 셋째, 개인정보 보호의 법제가 반드시 프라이버시 보호라는 현실적 결과 로 이어지는 것도 아니다. 개인정보 보호라는 목표는 법으로만 달성할 수 있는 것이 아니라, 프라이버시를 존중하는 사회문화가 형성될 때 비로소 가능한 것이다. 일상생활에서 다른 사람 의 프라이버시를 경시하는 사회에서, 개인정보 보호의 법제만 강화될 경우 자신의 개인정보 만 중시하는 현상만 나타나고 한 사회 전체의 프라이버시 보호 수준은 향상되지 않을 수 있 다. 중요한 것은 법제를 제대로 강화하는 것이다. 개인정보 보호, 나아가 프라이버시 보호는 공 공부문과 민간부문을 구분하여 접근하는 것이 타당하다. 하지만 개인정보보호법은 두 부문을 동일하게 취급함으로써 개인정보 보호의 이슈가 공공부문에서 민간부문으로 이전하는 착시현 상을 일으킨다. 공공부문은 공공기관과 사인간의 불균형적 권력관계에서 공권력에 의해 사인 - 1 -
의 자유가 일방적으로 침해될 우려가 있는 영역이고, 민간부문은 사인과 사인의 대등한 관계 를 전제로 하지만 정보통신기술의 발전으로 자신도 모르는 새 또는 경제력 차이로 비자발적 동의 아래 사인의 자유가 침해될 수 있는 영역이다. 이 중 개인의 사생활 침해가 크게 우려되 는 영역은 공공부문이다. 어느 나라에서나 개인정보 보호 법제는 기술 발달로 개인의 일거수 일투족이 국가의 감시 하에 놓이면서 발생하는 개인의 자유 침해를 방지하기 위한 목적에서 시작되었다. 민간부문의 급속한 성장으로 인터넷서비스사업자 등 사기업에 의한 개인정보 침 해 역시 심각해지고 있는 것은 사실이다. 그럼에도 불구하고 개인정보 보호 법제의 근간은 여 전히 개인의 사생활 영역에서 공권력에 의한 자유 침해를 방지하고, 개인이 자유를 향유하도 록 보장하는 데 있다. 공공부문과 민간부문을 구분해서 접근해야 하는 근본적인 이유는 영역별로 프라이버시 법 제가 추구하는 목적과 수단이 다르기 때문이다. 공공부문에서는 개인의 프라이버시를 최대한 보장하기 위하여 공권력 행사를 최대한 통제하는 방향으로 법제가 마련되어야 한다. 즉 프라 이버시의 최대 보장이 목적이고, 불가피한 사정으로 프라이버시를 제한하더라도 그 피해를 최 소화하는 수단이 사용되어야 한다. 하지만, 민간부문에서는 대립되는 두 자유, 즉 한 쪽 사인 의 프라이버시와 다른 한 쪽 사인의 표현의 자유 또는 영업의 자유 사이의 조화와 균형을 이 루기 위해서 두 자유의 가치를 비교형량한 후 덜 중요한 자유를 제한하는 방법으로 법제화되 어야 한다. 따라서 프라이버시의 최대 보장이 목적이 될 수 없으며, 프라이버시와 다른 자유의 조화와 균형이 목적이 되어야 한다. 문제는 표현의 자유, 영업의 자유와 같은 전통적 자유에 대해서는 그 헌법상 가치와 개념 이 충분히 검토되었지만, 프라이버시와 같은 현대적 자유에 대해서는 그렇지 못하다는 데 있 다. 프라이버시란 무엇인지, 프라이버시가 헌법상 권리인지, 프라이버시와 개인정보 보호와의 관계는 무엇인지, 개인정보자기결정권이 보호하고자 하는 것은 무엇인지, 개인정보의 헌법상 개념은 무엇인지 등에 대해서 사회 구성원 사이에 공감대를 형성하는 답은 현재 없다. 프라이 버시 및 개인정보자기결정권의 성격에 대한 사회적 공감 없이 이루어지는 법제화는 프라이버 시를 신화화하는 것이다. 프라이버시 보호가 제대로 이루어지기 위해서는 프라이버시와 개인 정보자기결정권의 본질에 대한 연구가 선행되어야 한다. Ⅱ. 프라이버시에 대한 올바른 이해 1. 프라이버시를 보는 두 개의 시각 프라이버시를 바라보는 시각에 있어서 미국과 유럽의 차이는 크다. 예컨대 형사재판기록의 경우 미국에서는 공적 정보이기 때문에 프라이버시의 대상이 되지 않는다고 보고 있지만, 유 럽에서는 그렇지 않다. 예컨대, 스위스 연방법원은 1983년 Société Suisse 사건에서 1939년 사형을 선고받고 집행된 한 범죄인의 사연을 TV 다큐멘터리로 방영하지 못한다고 선 고한 적이 있다. 1) 다큐멘터리는 공문서와 생존자의 회고에 기초하여 제작되었지만, 법원은 범 죄인의 신원에 관한 대중의 알 권리는 일정 시간이 흐르면 사라지고, 범죄인의 잊혀질 권리가 알 권리에 우선한다고 판단하였다. 유럽의 경우 프라이버시권의 보호이익은 개인의 인격권 보호에 있다고 본다. 인격권은 인 간의 존엄성(human dignity)을 보호하는 데 있어서 필요한 개인의 사생활영역 및 자유로 1) X v. Société de Radio et de Télévison, BGE 109 Ⅱ 353 (1983). - 2 -
운 인격발현의 기본여건 을 보장하는 것을 그 내용으로 한다. 2) 전자의 인격권이 사생활의 보 호 이고, 후자의 인격권이 사회적 인격상에 관한 결정권 (right to control one s public image)이다. 3) 사회적 인격상에 관한 결정권은 자유로운 인격발현의 기본여건으로 사회에서 다른 사람에게 비춰지는 자기 모습을 보장하는 권리다. 자신에 관한 정보를 자기가 결정할 수 있다는 개인정보자기결정권은 그 핵심내용이다. 결국 유럽이 보는 프라이버시권의 핵심은 개 인정보자기결정권에 있으며, 원하지 않는 언론 보도로 인하여 일반인의 사회적 평가가 훼손되 는 상황을 우려한다. 이에 반하여 미국에서는 공권력에 의하여 개인의 자유(liberty)가 침해되는 상황을 가장 우려한다. 프라이버시권의 핵심은 여전히 국가에 의하여 가정의 신성함(sanctity of home) 이 침해받지 않도록 방어하는 데 있다. 가정 안에서 벌어지는 사안에 대해서는 개인 또는 가 족의 자기결정권을 철저하게 보호하려고 한다. 유럽과 달리 언론에 의한 프라이버시 침해는 크게 우려하지 않는다. 언론의 자유를 절대적으로 보호하여야 한다는 인식이 더 강하기 때문 이다. 결국 프라이버시의 가치를 미국에서는 자유에서 찾는 데 반하여, 유럽 국가들은 인간의 존엄성에서 찾고 있다고 하겠다. 4) 2. 미국 프라이버시법의 발전 미국에서 프라이버시법은 가정(home)이라는 사적 공간에 대한 보호에서 시작되어, 의사 결정의 자율성 보장, 자기정보 결정권 등으로 발전하고 있는 중이다. 5) (1) 혼자 있을 권리(right to be let alone) 프라이버시권은 1890년 워렌(Samuel Warren)과 브랜다이스(Louis Brandeis)가 공 동으로 작성한 논문, '프라이버시에 대한 권리'(The Right to Privacy)가 하버드대학 법률 잡지에 게재되면서 주목받기 시작하였다. 6) 워렌과 브랜다이스는 위 논문에서 기술과 사업 모 델의 발전으로 '혼자 있을 권리'(right to be let alone)를 보호하여야 할 필요성이 생겼다 고 주장하였다. 7) 혼자 있을 권리 란 집과 같은 사적 공간의 보호를 의미하였다. 미 연방대법 원이 음란물의 사적 소유를 형사처벌하는 법률을 위헌으로 선고하면서, 자기 집에 혼자 앉아 있는 사람이 어떤 책을 읽든, 어떤 영화를 보든 국가가 상관할 일이 아니다 라고 판시한 것은 이를 잘 설명하고 있다. 8) (2) 의사결정의 자유(decisional privacy) 2) 한수웅, 헌법학, 법문사, 2012년, 540~58쪽; 박용상, 명예훼손법, 현암사, 2008년, 388~89쪽. 3) 한수웅, 위의 책, 541쪽. 4) Edward J. Eberle, DIGNITY AND LIBERTY: CONSTITUTIONAL VISIONS IN GERMANY AND THE UNITED STATES (2002); Robert C. Post, Three Concepts of Privacy, 89 Geo. L.J. (2001). 5) 프라이버시 개념 변화에 대해서는 노동일ㆍ정완, 사이버공간상 프라이버시 개념의 변화와 그에 대한 법적 대응 방안, 경희법학 제45권 제4호, 2010 참고. 6) Samuel Warren & Louis Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193 (1890). 7) 혼자 있을 권리는 쿨리(Thomas Cooley) 판사가 처음 만들어 낸 용어다. Thomas Cooley, LAW OF TORTS (2d ed. 1888). 8) Stanley v. Georgia, 394 U.S. 557 (1969) ("If the First Amendment means anything, it means that a State has no business telling a man, sitting alone in his own house, what books he may read or what films he may watch. Our whole constitutional heritage rebels at the thought of giving government the power to control men's minds."). - 3 -
사생활에 관한 의사결정의 자유가 주목받기 시작한 것은 인권운동이 한창이던 1960년대 중반이다. 사법적극주의자로 유명한 워렌(Earl Warren)이 대법원장이었던 1965년 미국 연 방대법원은 Griswold 사건에서 피임약의 사용을 금지한 코네티컷 주 법률을 위헌이라고 판 시하면서 그 논거로 프라이버시 침해를 들었다. 9) 프라이버시권은 미국 헌법에 명시되어 있지 않지만, 연방대법원은 기본권 조항인 권리장전의 반영(penumbra)으로부터 도출된다고 판시 하였다. 10) 그 후 프라이버시권은 낙태로 이어져, 1973년 미 연방대법원은 Roe 사건에서 여 성의 프라이버시권을 헌법상 중대한 권리(fundamental right)로 인정하고, 여성의 낙태를 일률적으로 금지하는 법률이 위헌이라고 판시하였다. 11) (3) 자기정보 결정권(information privacy) 컴퓨터의 등장과 보급으로 개인정보를 대량으로 수집하여 보관하다 용도에 맞게 처리할 수 있게 되면서 새로운 법률문제가 발생하였고, 이를 해결하기 위하여 도입된 개념이 정보 프라 이버시다. 개인정보는 낱개로 흩어져 있을 때는 가치가 없지만, 한 곳에 모이면 특정 개인이나 집단의 성향을 파악할 수 있는 자료로 가치를 생긴다. 컴퓨터를 이용하여 데이터베이스(DB) 가 구축되면서 개인정보는 활용가치가 커졌다. 동시에 개인에 관한 정보를 그의 허락 없이 수 집, 보관, 사용하는 것이 타당한지 의문을 품는 사람들도 늘어났다. 콜럼비아 대학의 웨스틴(Alan Westin) 교수는 1967년 프라이버시를 개인, 집단 또는 기관이 자신에 관한 정보를 언제, 어떻게, 또 어느 범위에서 다른 사람에게 전달할 것인지 결 정할 수 있는 요구 라고 정의하였다. 12) 즉 자기정보에 대한 관리, 편집 및 삭제의 권리를 프 라이버시권이라 이해하였다. 웨스틴 교수의 자기정보 통제의 법리는 미국과 유럽의 프라이버 시권 입법에 영향을 미쳤다. 3. 유럽의 인격권 법리 13)14) (1) 인격권의 근거 미국의 프라이버시권에 해당하는 독일의 법적 개념은 인격권이다. 독일 연방헌법재판소는 1954년 일반적 인격권을 사법상 권리로 인정한 이래 이 권리를 중심으로 프라이버시 침해 및 그 구제를 파악하고 있다. 독일에서 전개된 일반적 인격권의 법리에 의하면, 인격권은 1949년 독일 기본법(헌법)상 인간 존엄성 조항(제1조제1항)과 자유로운 인격발현 조항(제2 조제1항)을 근거로 인정되었다. (2) 인격권의 내용 독일에서 일반적 인격권 내지 프라이버시권은 예로부터 법적으로 보호되어 오던 것은 물론 이고 최근 새롭게 보호받게 된 것 등 다양한 인격 가치를 포괄하게 되었다. 즉 이 권리는 고 독에 관한 인간의 권리 또는 자기 고유의 생활을 할 권리 라는 소극적 권리에서 출발하였지만 오늘날에는 자유로운 자주결정권 또는 개인정보에 관한 자주결정권 으로서 적극적 성격의 권 9) Griswold v. Connecticut, 381 U.S. 479 (1965). 10) Griswold 다수의견을 작성한 더글러스 대법관의 견해다. 11) Roe v. Wade, 410 U.S. 113 (1973). 12) Alan Westin, PRIVACY AND FREEDOM (1967). 13) 이하 내용은 박용상, 앞의 책, 389~96쪽 내용을 요약 소개한 것임. 14) 유럽의 인격권 법리 발전사에 대해서는 James Q. Whiteman, The Two Western Culture of Privacy: Dignity versus Liberty, 113 Yale. L.J. 1151 (2004) 참조. - 4 -
리를 포함하고 있다. 15) 인격권은 생성 중인 권리이고, 그 내용과 한계가 확정되어 있는 권리 가 아니다. 즉 인격권에 대한 새로운 침해의 가능성은 항상 있으므로 일반적 인격권은 완결적 규율을 목표로 할 수 없다. (3) 인격권의 효력 인격권은 개인의 주관적 권리로서 국가권력에 대해서 뿐만 아니라 사인 간에도 통용될 수 있어야 하고, 따라서 대세적 효력이 인정된다는 것이 독일의 일반적 학설과 판례의 태도다. 따 라서 인격권의 침해는 민사상 불법행위가 성립하며, 피해자에게 손해배상청구권은 물론 방해 예방청구권과 방해배제청구권이 인정된다. 그런데 대세적 효력이 인정되는 다른 권리의 경우 그 내포와 외연이 근거법에 명시되어 있거나 확실히 뿌리내린 법 표상에 의해서 그 자체가 충 분히 정해지만, 인격권은 그 내포와 외연이 불확정적이고 그 한계도 불명확하기 때문에 인격 권 침해에 대해서는 신중한 법리가 적용되어야 한다. (4) 인격권의 한계 인간은 사회공동체 안에서 살아가는 존재이기 때문에 모든 권리는 사회적 구속 성 (Sozialgebundenheit)이 허용하는 범위 안에서만 인정된다. 인격권 역시 마찬가지다. 독일 판례와 학설은 정상적으로 사고하는 품위 있는 일반인의 인식을 기준으로 사회적 구속성 을 수인할 수 있는 범위 내의 것인지 판단한다. 독일 연방헌법재판소는 사생활의 모든 영역이 절대적으로 보호받는 것이 아니며, 시민은 공공의 우월적 이익을 위해 엄격한 비례원칙의 준 수 하에 내려진 국가의 조치가 사적 생활형성의 불가침영역을 침해하지 않는 한 이를 감내해 야 한다고 한다. 4. 소결 프라이버시권의 발전과정에서 다음과 같은 몇 가지를 확인할 수 있다. 첫째, 프라이버시는 역사와 경험의 산물이다. 따라서 국가와 시대에 따라서 프라이버시 개념은 다를 수밖에 없다. 동양과 서양이 다르고, 같은 서양에서도 미국과 유럽이 다른 것이 프라이버시에 대한 인식이 다. 프라이버시는 한 시대를 함께 살고 있는 공동체를 중심으로 생각할 수밖에 없다. 동일한 행위가 발생했을 때 사회마다, 시대마다 프라이버시 침해로 받아들이는지 여부가 다를 수 있 다. 현실의 프라이버시 보호는 그 사회의 프라이버시 개념을 전제로 한다. 둘째, 프라이버시권의 개념은 일의적으로 정의내릴 수 없다. 프라이버시권은 시간이 흐르면 서 그 내용이 확대되어왔다. 19세기 말 등장한 프라이버시권은 사적 공간에 대한 보호를 중 시한 개념이어서, 오늘날 프라이버시권의 중심 내용이라고 할 수 있는 자기정보 결정권과는 다른 개념이다. 솔로브(Daniel J. Solove) 교수는 프라이버시의 모든 경우를 확인할 수 있 는 공통분모를 찾는 방식으로 프라이버시 개념을 정립하는 방식은 실패했다고 주장한다. 16) 유럽은 인격권이라는 단일 개념으로 프라이버시권을 이해한다. 그러나 인격권 역시 그 내 용을 살펴보면, 사생활 영역에서 자유를 인정하므로 은둔과 격리를 의미하는 혼자 있을 권리 와 사회적 영역에서 자신의 인격상에 관한 결정권을 의미하므로 정보 프라이버시를 모두 포함 하고 있다. 인격권 역시 성격이 다른 내용의 권리를 하나의 이름 아래 묶어 놓은데 불과하다. 15) Wenzel, a.a.o. 3 Aufl. S. 110; BVerGE 65, 1 (박용상, 앞의 책, 289쪽에서 재인용). 16) Daniel J. Solove, Conceptualizing Privacy, 90 Cal. L. Rev. 1087 (2002). - 5 -
여러 사람이 똑같이 프라이버시권이라고 이야기하더라도 각자 머릿속에 그리고 있는 개념이 서로 다를 수 있다. 셋째, 프라이버시권은 기술 발전에 따른 사회 변화를 수용하여 형성된 권리다. 워렌과 브랜 다이스가 처음 이 권리에 주목하여 논문을 발표하게 된 것은 19세기 말 급성장한 신문 산업 과 보급형 사진기의 등장으로 인하여 사생활 침해의 우려가 커졌기 때문이다. 또 1960년대 정보 프라이버시 개념이 등장한 것은 컴퓨터의 발전으로 개인정보가 데이터베이스화되고, 이 렇게 수집된 개인정보가 함부로 사용되는 일이 많아졌기 때문이다. 1990년대 중반 이후 인터 넷 사용이 보편화되고, 정보통신기술이 급속도로 발전하면서 프라이버시 침해의 유형이 더욱 늘어나고 있는데, 이러한 변화가 새로운 프라이버시권의 탄생을 가져올지 주목되는 시점이다. 넷째, 프라이버시는 사적 영역과 공적 영역의 구분을 전제로 해서 사적 영역을 보호하기 위해서 마련된 개념이다. 인간은 혼자 살 수 없고, 다른 사람과 더불어 살기 때문에 공적 영역 인 사회생활과 구분되는 사적 영역인 사생활을 보호할 필요가 생겼다. 미국의 경우 집 (home)은 국가의 간섭에서 독립된 왕국처럼 보호된다. 독일 역시 사적 영역과 공적 영역을 구분해서 인격권의 보호정도를 달리한다. 영역이론은 개인의 생활영역을 내밀 영역, 비밀 영 역, 사적 영역, 사회적 영역, 공개 영역 등 개방성에 따라 단계적으로 구분한 후 국가 개입의 한도 및 사생활에 관한 언론보도의 한계를 다르게 파악한다. 최근 정보 프라이버시가 중시되면서 사적 영역과 공적 영역의 구분론이 흔들리는 것은 사 실이다. 정보통신기술의 발달로 개인정보가 광범위하고 무제한적으로 수집되고, 신속하고 종합 적으로 처리되면서 공적 영역에서 수집된 개별적인 개인정보도 당사자의 사회적 인격상에 적 지 않은 영향을 미칠 수 있게 되었기 때문이다. 그럼에도 불구하고 프라이버시의 핵심은 사적 영역의 보호에 있다. Ⅲ. 사생활의 비밀과 자유, 그리고 개인정보자기결정권 1. 프라이버시권과 헌법 제17조 미국의 프라이버시권에 대응하는 우리 법제상 개념은 사생활의 비밀과 자유라고 보는 것이 헌법학계의 다수 견해다. 하지만 양자를 동일시할 수는 없다. 첫째, 미국에서 프라이버시권은 헌법상 권리라고 단정할 수 없다. 미국 헌법은 프라이버시라는 용어를 담고 있지 않다. 수정헌 법 제4조가 부당한 압수 수색(unreasonable searches and seizures)으로부터 신체, 가 택, 서류 및 동산의 안전을 보장받는 권리를 규정하고 있어 혼자 있을 권리(right to be let alone)는 헌법상 권리로 이해할 수 있다. 미국 연방대법원은 1967년 Katz v. United States 사건 17) 이후 프라이버시에 관한 합리적 기대를 보호하고 있으며, 그 근거를 수정헌법 제4조에서 찾고 있다. 연방대법원은 또 사생활에 관한 의사결정의 자유(decisional privacy)를 미국 헌법의 기본권 조항인 권리장전의 반영(penumbra)으로부터 도출된다고 판시한 바 있다. 그러나 자기정보 통제권(information privacy)은 미국에서 헌법상 권리로 인정되고 있지 않다. 둘째, 우리 헌법 제17조의 내용을 미국 프라이버시권 유형 분류를 그대로 수용하여 해석 하는 것도 잘못이다. 우리는 헌법 제10조에서 일반적 인격권을 도출할 수 있으므로, 헌법 제 17조는 다른 의미를 갖는 것으로 해석하는 것이 타당하다. 즉 헌법 제17조는 사생활 영역에 17) 389 U.S. 347 (1967). - 6 -
서 비밀과 자유를 보장한 것으로, 미국식 분류에서 혼자 있을 권리(right to be let alone) 와 사생활에 관한 의사결정의 자유(decisional privacy)가 여기에 해당된다. 하지만 개인이 사회생활 영역에서 다른 사람들에게 보이는 모습과 관련된 내용은 헌법 제10조에서 도출되는 일반적 인격권의 내용으로 이해하는 것이 타당하다. 18) 2. 개인정보자기결정권 정보통신기술이 급속도로 발전하면서 정보 프라이버시(information privacy), 즉 자 기정보 결정권이 더욱 중요해지고 있다. 하지만 자기정보 결정권의 성격이나 법적 근거에 대 해서 미국과 유럽이 이해하는 바가 서로 다르다. 우리나라는 독일의 영향을 받아 인격권의 하 나로 이해하고 있으며, 헌법상 권리로 수용한다. 다만, 헌법적 근거에 대해서는 견해가 갈린 다. 헌법재판소는 이 권리를 개인정보자기결정권이라고 부른다. (1) 개인정보자기결정권의 법적 성격 개인정보자기결정권의 법적 성격을 인격권이라고 이해하는 유럽과 달리 미국에서는 재산권 으로 이해하고자 하는 학자들이 상당수 있다. 이들은 개인정보를 재산권의 객체로 인정하게 되면 개인정보를 거래하는 시장에 의하여 투명하게 개인정보가 관리되고, 개인정보 주체들은 개인정보를 이용하고자 하는 기업들과 협상을 통하여 공개범위를 결정함으로써 자신의 개인정 보를 완전히 통제할 수 있다고 본다. 19) 또 재산법은 집행에 관한 확립된 규범을 가지고 있기 때문에 현재 동의(consent)에 기초한 개인정보자기결정권 보호체제보다 우수하다고 판단한 다. 20) 하지만 개인정보를 재산권으로 인정하게 되면 그 양도를 인정해야 하는데, 이는 개인의 독립 성과 자율성을 보장하는 프라이버시 본래 취지에 반하게 되는 문제가 있다. 또 개인정보자기 결정권을 보장하고자 한 취지가 개인정보의 공개에 있어서 개인의 이익을 인정하자는 데 있는 것이 아니라, 개인정보의 공개를 금지하는데 있기 때문에 재산권설은 정보 프라이버시의 본질 에 반한다는 주장도 제기된다. 정보 프라이버시, 즉 개인정보자기결정권은 인간의 존엄성과 자율적 행동자유권을 보장하 기 위한 여건을 마련하는 권리이기 때문에 의미가 있고, 따라서 그 법적 성격은 인격권이라고 보는 것이 맞다. 우리나라 판례와 학계 통설은 개인정보자기결정권의 법적 성격을 인격권으로 이해하는 데 일치한다. (2) 개인정보자기결정권의 헌법적 근거 앞에서 살펴본 바와 같이 미국 법조계는 개인정보자기결정권을 헌법상 권리가 아닌 법률상 권리로 이해한다. 이에 반하여 유럽 법조계는 개인정보자기결정권을 인격권에서 도출하고, 인 18) 한수웅 교수는 우리 헌법은 일반적 인격권의 보호범위 중 사생활의 보호에 관한 부분에 관하여는 개별적 기본 권인 주거의 자유(제16조), 사생활의 비밀과 자유(제17조), 통신의 비밀(제18조)을 통하여 직접 구체적으로 규범화하였으며, 사회적 영역에서 인격발현의 기본조건의 보호(사회적 인격상에 관한 자기결정권)는 헌법에 명 시적으로 규정되지 아니한 인격권을 보장하는 일반적 인격권에 의해서 이루어진다고 설명한다. 한수웅, 앞의 책, 541쪽. 19) 프라이버시의 경제적 분석에 대해서는 Richard A. Posner, The Right of Privacy, 12 Ga. L. Rev. 393 (1978), 정상조ㆍ권영준, 개인정보의 보호와 민사적 구제수단, 법조 제58권제3호 통권630호, 2009 참조. 20) Viktor Mayer-Schönberger, Beyond Privacy, Beyond Rights Toward a Systems Theory of Information Governance, 98 Cal. L. Rev. 1853, 1860 (2010). - 7 -
격권의 근거를 최고의 헌법원리인 인간의 존엄성에서 찾고 있어 헌법상 권리로 파악한다. 우리나라에서는 개인정보자기결정권이 헌법상 권리라는 데 이견이 없다. 다만, 헌법상 근거 에 대해서는 견해 차이가 크다. 인간의 존엄성과 행복추구권을 규정한 헌법 제10조에서 찾는 견해, 사생활의 비밀과 자유를 규정한 헌법 제17조에서 찾는 견해, 제10조와 제17조 모두에 근거가 있다는 견해, 민주주의 원리에서 찾는 견해 등 다양하다. 헌법재판소는 2005년 5월 지문날인 사건에서 개인정보자기결정권의 헌법적 근거를 굳이 어느 한두 개에 국한시키는 것 은 바람직하지 않고, 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라고 보아야 한다고 판시하였다. 21) 생각건대, 우리 헌법은 일반적 인격권의 근거조항인 제10조 외에 제17조라는 독자적인 규 정을 가지고 있기 때문에 개인정보자기결정권의 헌법적 근거는 제10조에서 찾는 것이 타당하 다고 본다. 헌법 제17조는 사생활 영역의 권리를 보장한 것으로 이해되기 때문이다. 개인정보 자기결정권은 사회로부터 은둔할 수 있는 사생활 영역의 권리가 아니고, 사회에 참여하는 데 필요한 사회적 영역의 권리다. 사회적 영역에서 인격권을 가진다는 것은 사회에 묘사되는 자 신의 모습을 형성하는 개별정보에 대한 통제권을 가진다는 의미로 이해할 수 있다. 따라서 인 격권보호의 핵심적 내용은 개인정보의 보호에 있고, 일반적 인격권으로부터 그 핵심적 보장내 용으로서 개인정보의 공개와 사용에 관하여 스스로 결정할 수 있는 권리인 개인정보자기결정 권이 도출된다고 보는 견해가 타당하다. 22) 3. 개인정보의 헌법상 개념 헌법재판소는 지문날인 사건에서 개인정보자기결정권의 보호대상이 되는 개인정보는 개인 의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개 인의 동일성을 식별할 수 있게 하는 일체의 정보이며, 반드시 개인의 내밀한 영역이나 사적 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 고 판시한 이래 개인정보의 개념에 관하여 일관된 태도를 보이고 있다. 위 판시 내용은 개인정보자기결정권의 법적 성격을 인격권으로 파악하는 한 논리적이다. 헌법상 개인정보에 해당하는 정보는 개인에 관한 사회적 인격상에 영향을 미칠 수 있는 정보 이기 때문에 사생활에 속하는 정보에 한정할 이유가 없고 공적 생활에서 형성되었거나 이미 공개된 정보도 여기에 포함되어야 한다. 또 정보처리 기술이 발전하면서 개인에 관한 사소한 개별정보라도 그러한 정보들이 결합되어 개인에 관한 사회적 인격상을 형성할 수 있기 때문에 헌법상 보호되는 개인정보는 그 가치의 경중을 따질 수 없다. 일체의 개인정보가 여기에 포함 된다. 또한 정보처리 기술의 발전은 정보 그 자체로 정보주체를 식별할 수 없는 정보라고 하 더라도 다른 정보와 결합하여 정보주체를 식별하는 일을 가능하게 한다. 따라서 개인의 동일 성을 식별하는 정보(personally identified information)뿐 아니라 동일성을 식별할 수 있는 정보(personally identifiable information)까지 헌법상 개인정보의 개념에 포함되 게 된다. 그런데 문제는 개인정보의 헌법상 개념을 이렇게 정의할 경우 개인이 사회생활을 하면서 남기는 모든 흔적이 개인정보자기결정권의 대상이 되어 프라이버시 내지 프라이버시권을 인정 한 본래 의도에 반하게 된다는 데 있다. 프라이버시는 사회공동체에서 살아가는 개인을 전제 21) 헌재 2005. 5. 26. 99헌마513, 판례집 제17권 1집, 681. 22) 한수웅, 앞의 책, 542쪽. - 8 -
로 사적 영역을 국가의 감시에서 벗어나 개인의 자율적 통제 아래 두겠다는 것이지, 모든 생 활영역을 개인의 통제 아래 두겠다는 것이 아니다. 후자는 혼자 사는 사회에서나 가능한 것이 다. 개인식별가능정보는 개념이 불명확하고, 사회 공동재산으로서의 정보를 과도하게 개인정보 화하는 문제를 낳는다. 정보통신기술의 발달로 개인식별 불가능으로 분류됐던 정보도 개인식 별가능정보로 바뀌고 있기 때문이다. 더구나 헌법재판소는 개인정보를 대상으로 한 조사 수집 보관 처리 이용 등의 행위는 모 두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. 고 보고 있기 때문에 개인정보에 관련된 모든 사안은 위헌 시비가 놓이게 된다. 우리나라 헌법학계 통설은 일반적 인격권과 사 생활 권리에 대해서 제3자적 효력을 인정하기 때문에 정부가 공권력 행사로 행하는 개인정보 의 조사 수집 보관 처리 이용 등의 행위뿐 아니라 사인이 일상생활관계에서 행하는 개인정보 의 조사 수집 보관 처리 이용 등의 행위도 정보주체의 개인정보자기결정권에 대한 제한이 된 다. 개인정보보호법은 이러한 입장에서 공공부문과 민간부분을 구분하지 않고 법제화되었다. 그러나 개인정보자기결정권을 사회적 인격상에 관한 자기결정권의 핵심 내용으로 본다면, 개인정보자기결정권의 본질은 개인정보의 공개 에 있는 것이지, 개인정보의 수집 에 있는 것이 아니다. 수집 이 헌법적 문제를 일으키는 것은 헌법 제17조에 규정된 사생활의 비밀과 자유를 침해하는 방법으로 개인정보를 수집하는 경우다. 사생활 영역이 아닌 공적 영역에서 개인정보 를 수집하는 것은 개인정보자기결정권을 침해하는 것이 아니다. 일부에서는 국가권력이 공적 영역에서 개인정보를 수집할 경우에도 수집한다는 사실이 개 인의 자유로운 활동을 위축하기 때문에 개인정보의 수집 도 개인정보자기결정권의 내용에 포 함시켜야 한다고 주장한다. 그러나 공적 영역에서는 누구나 자기 행동을 누군가 보고 있다는 것을 의식하여야 하며, 그러한 의식이 책임 있는 사회 활동으로 이어질 수 있다고 본다. 물론 정보통신기술의 발전으로 개인의 모든 정보가 종합되어 모든 국민의 일거수일투족을 국가가 파악하는 감시국가는 바람직한 것은 아니다. 하지만 해악은 개별정보의 수집 에 있지 않고, 수 집된 정보를 종합하여 사용 하는 데서 나온다. 감시정부의 위험은 사용 의 해악을 처리하는 입 법으로 해결하는 것이 올바른 접근이다. 모든 문제를 헌법 해석으로 일괄적으로 해결하는 것이 바람직한 것은 아니다. 헌법 해석으 로 개인정보의 범위를 광범위하게 설정하고 개인정보자기결정권의 내용을 광범위하게 인정할 경우 개인정보는 보호되지만, 이와 상충하는 다른 사람의 자유와 권리는 보호되지 않을 수 있 다. 개인의 사회활동을 하면서 남기는 정보를 다른 개인이 알 권리를 실현하기 위해서 또는 영업활동을 위하여 수집해서 내부에서 이용하는 행위를 일반적으로 금지할 헌법적 타당성은 없다. 그렇지 않고 개인의 사생활 정보를 수집하여 이용한다면, 이는 개인정보자기결정권의 침 해가 아니라 사생활의 비밀과 자유의 침해로 다루면 될 일이다. Ⅳ. 맺는 말 현대 사회에서 프라이버시는 중요하다. 중요한 만큼 누구나 공감하는 개념이어야 할 터인 데, 실제로 그렇지 못해서 문제를 더욱 복잡하게 한다. 많은 사람들이 프라이버시를 이야기하 지만, 서로 사용하는 의미가 같지 않다. 동양이 생각하는 프라이버시와 서양이 생각하는 프라 이버시가 다르고, 미국인이 느끼는 프라이버시와 유럽인이 느끼는 프라이버시가 다르다. 프라 이버시의 정의를 내리지 못하겠다는 학자들도 많다. 우리나라에서 프라이버시는 더욱 어려운 개념이다. 미국의 사생활 보호를 중심으로 하는 - 9 -
프라이버시 논의와 유럽의 인격권 중심의 개인정보자기결정권 논의가 혼재되어 있다. 프라이 버시는 사회생활과 사생활의 구분을 전제로 하는 개념인데, 이를 제대로 인식하지 못한 채 법 률이 만들어지는 경우도 많다. 또 공권력의 행사로 프라이버시가 침해되는 헌법 문제와 사인 간 불법행위가 성립하는지 살펴보는 민사 문제를 혼용하기도 한다. 프라이버시 침해를 방지하고, 실효성 있는 구제방법을 찾기 위해서는 프라이버시를 총괄적 으로 접근하는 태도를 버려야 한다. 프라이버시를 총괄적으로 이해하려고 할수록 개념 혼동은 심화된다. 개인정보자기결정권이라는 포괄적 개념으로 모든 문제를 해결할 수 있다는 것은 근 거 없는 신화일 뿐이다. 프라이버시의 내용을 하나씩 구분해서 그곳에서 발생하는 구체적인 해악을 발견하고 대책을 마련하는 것이 올바른 태도라고 본다. 공공부문과 민간부문의 구분, 사생활영역과 공개영역의 구분은 프라이버시 문제 해결의 전제다. 정보통신기술의 발달로 구 분이 불명확해지면 그 정도만큼 반영하여 입법하고 실행하는 것으로 보충해야 할 것이다. - 10 -
개인정보 보호와 다른 헌법적 가치의 조화 황성기(한양대 법학전문대학원 교수) Ⅰ. 들어가는 말 2011. 9. 30부터 시행된 개인정보 보호법 (이하 개인정보보호법 이라 함)에 대해서는 여러 가지 맥락에서 문제제기라든지 논란이 존재하고 있다. 예컨대 개인정보보호법에 대한 이 해의 부족 1), 새로운 개인정보보호 처리 비용의 증가에 따란 부담감 등도 그 중의 하나이다. 그런데 개인정보와 관련된 법정책은 개인정보의 성격을 어떻게 파악하느냐에 따라 그 방향 성이 달라질 수 있다. 즉 일반적으로 개인정보는 인격적 가치와 경제적 재산적 가치를 동시에 갖고 있는 것으로 평가되는바, 이 두 가지 가치 중에서 어느 부분에 초점을 맞추느냐에 따라 개인정보를 둘러싼 법정책의 방향성이 달라질 수 있다. 예컨대 개인정보의 인격적 가치에 방 점을 두는 경우에는 개인정보의 보호에 초점을 맞추게 될 것인 반면에, 개인정보의 경제적 재 산적 가치에 방점을 두는 경우에는 개인정보의 활용 내지 이용으로 무게중심이 옮겨지는 경향 이 있다. 개인정보와 관련하여서는 기존의 정책방향이나 시장에서의 관행이 활용 에 치우쳤다고 한 다면, 최근에는 특히 개인정보보호법의 시행을 계기로 유럽연합에서부터 촉발된 보호 쪽으로 의 흐름이 강하게 존재한다. 특히 유럽에서 형성된 잊혀질 권리(right to be forgotten) 라 는 개념이 이러한 보호 쪽으로의 정책방향을 보여주는 대표적인 상징적 개념이라고 할 수 있 다. 현재 유럽을 중심으로 2) 논의되고 있는 잊혀질 권리 3) 는 양면성을 갖고 있는 것으로 분석 된다. 즉 잊혀질 권리는 두 가지 서로 다른 상황을 전제로 주장되고 있는바, 첫째는 개인정보 처리자가 개인정보를 취득할 목적으로 정보주체로부터 개인정보를 수집 관리 이용 제공하고 있는 경우이고, 둘째는 개인정보를 직접적으로 수집 관리 이용할 목적이 아니었지만 인터넷 서비스를 제공하는 과정에서 부수적으로 개인에 관한 정보들이 모여지거나 검색 유통됨으로써 결과적으로 사생활이나 인격권 침해가 발생하는 경우 4) 이다. 이 두 가지 경우를 전제로 해서 각각 정보주체 및 피해자의 권리구제 프로세스가 논의되거나 제도화되고 있는데, 이 두 가지 1) 특히 개인정보보호법에 대한 이해의 부족에 대해서는 손형섭, 개인정보 보호법의 특징과 앞으로의 방 - 업계의 반응에 대한 몇 가지 대안을 중심으로 -, 언론과 법 제11권 제1호, 2012. 6, 104-108면 참조. 2) 잊혀질 권리에 관한 간략한 국제적 동향은 홍명신, 정보의 웰다잉을 향한 시도 - 잊혀질 권리 를 둘러싼 국제동 향, 언론중재 제119호(2011년 여름호), 2011. 6, 20-31면 참조. 3) 잊혀질 권리가 등장하게 된 여러 가지 배경 중의 하나는 디지털 및 커뮤니케이션 기술의 비약적인 발전으로 인 해 개인에 관한 정보가 삭제불가능한 현실에 대한 인식이 존재한다. 예컨대 빅토어 마이어-쇤베르거는 정보의 디 지털화, 정보저장의 저비용성, 정보검색의 용이성, 정보접근의 광범위성(글로벌 네트워크) 등으로 인해 과거와는 달리 기억이 표준이 되고 망각은 예외가 되었다고 한다. 빅토어 마이어 쇤베르거 저 구본권 역, 잊혀질 권리, 지식의 날개, 2011, 88-139면 참조. 4) 두 번째의 대표적인 경우가 바로 묵은 기사 로 인한 사생활이나 인격권 침해를 주장하면서 과거의 기사에 대한 삭제 수정 요구를 하는 경우이다. 이러한 문제를 해결하는 방안으로 프라이버시 권리 개념에 잊혀질 권리 개념을 도입함과 동시에 언론중재법의 개정을 제안하면서, 언론사가 기록적 형태의 콘텐츠는 그대로 유지하되, 인터넷 검색을 통해 유통되는 과거 기사는 언론중재 조정의 대상이 되도록 해서 언론의 보도 매체로서의 기능과 개인의 프라이버시 보호 요청 간에 합의점을 찾을 수 있다는 견해가 있다. 이재진 구본권, 인터넷상의 지속적 기사 유 통으로 인한 피해의 법적 쟁점 - 잊혀질 권리 인정의 필요성에 대한 탐색적 연구 -, 한국방송학보 제22-3 호, 한국방송학회, 2008. 5, 207면. 그리고 헌법적으로 보면 이러한 문제는 언론의 자유와 인격권 및 사생활 의 자유의 충돌(기본권의 충돌)문제로 이해되고 있다. 지성우, 기본권 이론적 관점에서의 잊혀질 권리(Right to be forgotten) 에 대한 시론적 고찰, 언론중재 제119호(2011년 여름호), 2011. 6, 38-39면. - 11 -
경우의 이념적 공통분모로 활용되고 있는 개념이 바로 잊혀질 권리이다. 하지만 여기에서 이 념적 권리개념으로 활용되고 있는 잊혀질 권리는 그 법적 성격이 각각의 경우에 상이한데, 전 자와 관련된 경우는 개인정보자기결정권으로 파악되고, 후자와 관련된 경우는 사회적 인격상 에 관한 자기결정권으로 이해된다. 5) 여기서 개인정보자기결정권은 아래에서 상술하다시피, 이 미 지문날인제도사건에서부터 우리 헌법재판소가 헌법상의 권리로 인정한 바 있다. 6) 그리고 사회적 인격상에 관한 자기결정권도 청소년성매수자 신상공개제도사건에서 그 개념의 단초가 제시된 적이 있으며 7), 지문날인제도사건에서는 개인정보자기결정권이 사회적 인격상에 대한 자기결정권을 내포한다고 판시한 적이 있다. 8) 이러한 맥락에서 잊혀질 권리는 그 용어에 있어서의 새로움과는 별개로, 내용적인 측면에 있어서는 새로운 것이라 보기 힘든 측면이 있다. 왜냐하면 내용적인 측면에서는 이미 우리 법 제 하에서도 위에서 설명한 바와 같이 개인정보자기결정권 및 사회적 인격상에 관한 자기결정 권이라는 개념하에 충분히 포섭될 수 있기 때문이다. 따라서 현재 유럽을 중심으로 논의되고 있는 잊혀질 권리 담론의 실질적 의의는 기존의 개인정보 활용정책 에서 향후 개인정보 보호 정책 으로 그 트렌드를 전환시키기 위한 흐름에 있어서 추동력으로 작동되는 하나의 레토릭 으 로서의 의미를 가지는 것으로 이해된다. 9) 물론 레토릭으로서의 잊혀질 권리가 갖는 의미는 결 코 과소평가되어서는 안된다. 하지만 잊혀질 권리 담론의 실천적 의미를 확보하기 위해서는, 궁극적으로는 개인정보 보호 v. 개인정보 활용 간의 구도에 있어서 어떻게 균형을 유지하고, 상호 대립되는 목표를 어떻게 조화시킬 것인가의 문제로 귀결되어야 할 것이고, 보다 구체적 인 법제도 및 정책에 있어서 어떻게 반영시킬 것인가의 문제로 귀결되어야 한다. 이 글은 이러한 방향성을 전제로 하여, 일반론적이고도 추상적인 차원에서 개인정보 보호 와 다른 헌법적 가치의 조화 문제를 검토하는 것을 목적으로 한다. 5) 문재완, 프라이버시 보호를 목적으로 하는 인터넷 규제의 의의와 한계 - 잊혀질 권리 논의를 중심으로 -, 언 론과 법 제10권 제2호, 한국언론법학회, 2011. 12, 32면. 6) 헌재 2005. 5. 26. 99헌마513, 주민등록법 제17조의8 등 위헌확인 등. 7) 헌재 2003. 6. 26. 2002헌가14, 청소년의성보호에관한법률 제20조 제2항 제1호 등 위헌제청. 청소년성매 수자 신상공개제도사건에서는 위헌의견이 5이고 합헌의견이 4이어서 위헌의견이 많았지만, 정족수 미달로 합헌 결정이 내려졌다. 이 사건에서 위헌의견은 다음과 같이 사회적 인격상에 관한 자기결정권을 설명하였다. 국가가 범죄사실과 같이 개인에 대한 사회적 평가에 중대한 영향을 미치는 정보자료를 함부로 일반에 공개할 경우, 그 개인의 긍정적인 면을 포함한 총체적인 인격이 묘사되는 것이 아니라 단지 부정적인 측면만이 세상에 크게 부각 됨으로써 장차 그가 사회와 접촉ㆍ교류하며 자신의 인격을 자유롭게 발현하는 것을 심대하게 저해할 수 있다. 그러므로 사회활동을 통한 개인의 자유로운 인격발현을 위해서는, 타인의 눈에 비치는 자신의 모습을 형성하는 데 있어 결정적인 인자가 될 수 있는 각종 정보자료에 관하여 스스로 결정할 수 있는 권리, 다시 말하여 사회적 인격상에 관한 자기결정권이 보장되어야 하고, 국가는 이를 최대한 보장할 책무가 있다. 그러나 이 사건 신상공 개제도는 본인이 밝히기를 꺼리는 치부를 세상에 공개하여 위와 같은 사회적 인격상에 관한 자기결정권을 현저 하게 제한함으로써 범죄인의 인격권에 중대한 훼손을 초래한다고 볼 것이다. (밑줄 필자 강조) 8) 개인정보자기결정권은 정보주체로 하여금 개인정보의 공개와 이용을 스스로 통제하도록 함으로써 타인에게 형성 될 정보주체의 사회적 인격상에 대한 결정권을 정보주체에게 유보시킨다는 의미를 갖고 있는바 (헌재 2005. 5. 26. 99헌마513, 주민등록법 제17조의8 등 위헌확인 등). 9) 반면에 잊혀질 권리는 기존의 정보보호 관련 권리들이 정보의 정확한 처리 등 주로 정보의 저장과 기록, 수집 등 의 행위에 초점을 맞춘 것에 반해, 정보의 삭제, 망각 등에 중점을 두는 패러다임 전환적인 권리라는 평가가 이 루어지기도 한다. 즉 기존의 개인정보자기결정권의 내용에 더하여 잊혀질 권리의 고유한 부분은 특정기간이 지 났을 경우 자동적인 정보의 삭제 가 보장된다는 것이다. 민윤영, 인터넷 상에서 잊혀질 권리와 개인정보보호법 에 대한 비교법적 고찰, 고려법학 제63호, 고려대학교 법학연구원, 2011. 12, 288-289면 및 299면. - 12 -
Ⅱ. 개인정보 보호와 다른 헌법적 가치의 충돌 1. 개인정보 보호와 객관적 공익 목적과의 충돌 일반적으로 개인정보 보호와 관련되어 있는 헌법상의 권리는 개인정보자기결정권 이다. 우 리 헌법재판소는 일찍이 지문날인제도사건에서 개인정보자기결정권은 자신에 관한 정보가 언 제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정 할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있 게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사( 私 事 )의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한 다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원 칙적으로 개인정보자기결정권에 대한 제한에 해당한다. 10) 고 판시하면서, 개인정보자기결정권 을 현대의 정보사회에서 새로운 독자적 기본권으로서 헌법에 명시되지 아니한 기본권으로 인 정한 적이 있다. 11) 이러한 개인정보자기결정권은 그 보호법익과 한계의 설정에 있어서 강한 유동성을 지니는 데, 그 이유는 개인정보자기결정권은 그 존재 및 의의, 내용이 판례에 의해 인정 및 형성되고 있을 뿐만 아니라, 유동적인 정보통신의 발달과 궤적을 같이 하고 있기 때문이다. 12) 한편 위와 같은 개인정보자기결정권은 결코 절대적인 권리는 아니다. 즉 일정한 경우에는 객관적 공익을 위해서 제한이 가능하다. 예컨대 우리 헌법재판소는 범죄수사 목적 이라는 공익 과 관련하여, 지문날인제도사건에서 개인의 지문정보에 대한 수집, 보관, 전산화 및 범죄수사 목적 이용행위에 대하여 그 합헌성을 인정한 적이 있고 13), 범죄혐의로 수사를 받은 피의자가 검사로부터 혐의없음 의 불기소처분을 받은 경우 혐의범죄의 법정형에 따라 일정기간 피의자 의 지문정보와 함께 인적사항ㆍ죄명ㆍ입건관서ㆍ입건일자ㆍ처분결과 등 수사경력자료에 관한 정보의 보존 및 범죄수사 등을 위한 이용에 대해서도 합헌성을 인정한 적이 있다. 14) 또한 졸 업증명서 발급업무에 관한 민원인의 편의 도모, 행정의 효율성 및 투명성의 제고 를 위하여, 서울특별시 교육감 등이 졸업생의 성명, 생년월일 및 졸업일자 정보를 교육정보시스템(NEIS) 에 보유하는 행위에 대해서도 합헌성을 인정하였다. 15) 국민기초생활보장법상의 수급자격 및 급여액의 객관성과 공정성 확보 를 위하여, 급여신청자에게 금융거래정보의 제출을 요구할 수 있도록 하는 것에 대해서도 합헌성을 인정한 바 있다. 16) 납세자의 편의 및 사회적 비용의 절 10) 헌재 2005. 5. 26. 99헌마513, 주민등록법 제17조의8 등 위헌확인 등. 11) 헌법재판소의 이러한 입장은 지문날인제도사건 이후에도 일련의 사건들에서 일관되게 유지되고 있다. 헌재 2005. 7. 21. 2003헌마282, 개인정보수집 등 위헌확인; 헌재 2005. 11. 24. 2005헌마112, 국민기초 생활보장법 제23조 위헌확인; 헌재 2007. 5. 31. 2005헌마1139, 공직자등의병역사항신고및공개에관한법 률 제3조 등 위헌확인; 헌재 2008. 10. 30. 2006헌마1401등(병합), 소득세법 제165조 제1항 등 위헌확 인 등; 헌재 2009. 9. 24. 2007헌마1092, 의료급여법 시행령 별표 제1호 가목 등 위헌확인; 헌재 2009. 10. 29. 2008헌마257, 형의 실효 등에 관한 법률 제8조의2 위헌확인; 헌재 2010. 5. 27. 2008헌마663, 민사집행법 제70조 등 위헌확인; 헌재 2010. 9. 30. 2008헌바132, 민사소송법 제290조 등 위헌소원; 헌재 2011. 12. 29. 2010헌마293, 교육관련기관의 정보공개에 관한 특례법 제3조 제2항 등 위헌확인; 헌재 2012. 8. 23. 2010헌마47, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제44조 의5 제1항 제2호 등 위헌확인. 12) 임규철, 국내외 개인정보 보호법제 현황 및 쟁점, 언론중재 제124호(2012년 가을호), 2012. 9, 9면. 13) 헌재 2005. 5. 26. 99헌마513, 주민등록법 제17조의8 등 위헌확인 등. 14) 헌재 2009. 10. 29. 2008헌마257, 형의 실효 등에 관한 법률 제8조의2 위헌확인. 15) 헌재 2005. 7. 21. 2003헌마282, 개인정보수집 등 위헌확인. - 13 -
감과 같은 조세행정의 효율성 확보 와 부당공제 방지를 통한 조세정의 및 형평의 실현 을 위하 여, 의료기관에게 환자들의 의료비 내역에 관한 정보를 국세청에 제출하는 의무를 부과하는 것에 대해서도 합헌성을 인정하였다. 17) 의료이용자가 의료급여를 받을 적법한 수급자인지 여 부 및 의료급여의 범위 등의 정확성 을 담보하기 위하여, 개별 의료급여기관으로 하여금 수급 권자의 진료정보를 국민건강보험공단에 알려줄 의무를 부과하는 것에 대해서도 합헌성을 인정 하였다. 18) 채무이행의 간접강제 및 거래의 안전 도모 를 위하여, 채무자의 이름, 주소, 주민 등록번호, 집행권원과 불이행한 채무액 및 그 등재 사유와 날짜를 기재한 채무불이행자 명부 를 누구든지 열람ㆍ복사할 수 있도록 하는 것에 대해서도 합헌성을 인정하였다. 19) 마지막으 로 객관적인 증거에 의해 확인되는 실체적 진실에 따라 법적 분쟁을 공정하게 해결 하기 위하 여, 법원의 제출명령이 있는 경우 금융기관이 특정인의 금융거래의 내용에 대한 정보 또는 자 료를 본인의 동의 없이도 법원에 제공할 수 있도록 하는 것에 대해서도 합헌성을 인정하였 다. 20) 2. 개인정보 보호와 표현의 자유의 충돌 개인정보 보호가 위와 같이 범죄수사 목적 등과 같은 공익적 목적뿐만 아니라 다른 기본권 주체의 기본권, 예컨대 의사표현의 자유라든지 알권리와 같은 여타의 헌법적 가치와 충돌하는 경우도 존재한다. 우선 의사표현의 자유와 개인정보자기결정권의 충돌과 관련하여, 대법원은 예컨대 로마켓 사건 에서 정보주체의 동의 없이 개인정보를 공개함으로써 침해되는 인격적 법익과 정보주체 의 동의 없이 자유롭게 개인정보를 공개하는 표현행위로서 보호받을 수 있는 법적 이익이 하 나의 법률관계를 둘러싸고 충돌하는 경우에는, 개인이 공적인 존재인지 여부, 개인정보의 공공 성 및 공익성, 개인정보 수집의 목적 절차 이용형태의 상당성, 개인정보 이용의 필요성, 개인 정보 이용으로 인해 침해되는 이익의 성질 및 내용 등의 여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권의 보호에 의하여 얻을 수 있는 이익(비공개 이익)과 표현행위에 의하 여 얻을 수 있는 이익(공개 이익)을 구체적으로 비교 형량하여, 어느 쪽의 이익이 더욱 우월 한 것으로 평가할 수 있는지에 따라 그 행위의 최종적인 위법성 여부를 판단하여야 한다 21) 고 판시한 적이 있다. 또한 언론보도에 의해서 개인정보가 공표되는 경우라든지 언론에 의한 개인정보의 취급도 언론의 자유와 개인정보보호 사이의 조화적 해석이 필요한 경우라고 할 수 있는데, 예컨대 유명인의 동정에 관한 보도에 있어서 개인정보가 노출된다든지 혹은 범죄관련 보도에 있어서 범인이나 범죄피해자 등의 성명, 나이, 직업, 주소, 전과사실 등이 공개되는 사 례가 대표적이다. 22) 그리고 알권리와 개인정보자기결정권의 충돌과 관련하여, 헌법재판소는 교원의 교원단체 및 노동조합 가입현황(인원 수)만 공시대상정보로 규정하고 개별 교원의 명단은 규정하지 아 니한 것의 위헌 여부가 문제가 된 교육관련기관의 정보공개에 관한 특례법사건 에서, 교원의 16) 헌재 2005. 11. 24. 2005헌마112, 국민기초생활보장법 제23조 위헌확인. 17) 헌재 2008. 10. 30. 2006헌마1401등(병합), 소득세법 제165조 제1항 등 위헌확인 등. 18) 헌재 2009. 9. 24. 2007헌마1092, 의료급여법 시행령 별표 제1호 가목 등 위헌확인. 19) 헌재 2010. 5. 27. 2008헌마663, 민사집행법 제70조 등 위헌확인. 20) 헌재 2010. 9. 30. 2008헌바132, 민사소송법 제290조 등 위헌소원. 21) 대법원 2011. 9. 2. 선고 2008다42430 전원합의체 판결, 정보게시금지 등. 22) 권건보, 방송의 자유와 방송사업자의 개인정보 보호, 공법학연구 제11권 제2호, 한국비교공법학회, 2010. 5, 37-38면. - 14 -
교원단체 및 노동조합 가입에 관한 정보의 공개를 요구하는 학부모들의 교육정보에 대한 알 권리 및 그것을 통한 교육권과 그 정보의 비공개를 요청하는 정보주체인 교원의 사생활의 비 밀과 자유 및 이를 구체화한 개인정보자기결정권이 충돌하는 문제상황 을 전제로 하여 사건을 해결하고 있다. 23) 법원도 이와 동일한 사안에서 학부모의 알권리에 근거하여 교원의 노동조 합 가입 여부에 관한 정보를 공개하는 것은 교원의 인격권 및 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권의 침해에 해당하고, 이는 학부모의 알권리와 교원의 개인정보자 기결정권의 충돌로 나타나게 된다 는 점을 전제하였다. 24) 위와 같이 개인정보 보호와 의사표현의 자유라든지 알권리가 충돌하는 경우에는, 결국 상 충하는 헌법적 가치를 조화시키기 위한 규범조화적 해석 내지 법익형량이 개별 판결에서나 입 법을 통해서 이루어져야 할 필요가 있을 것이다. 3. 개인정보 보호와 영업의 자유의 충돌 개인정보 보호가 다른 기본권 주체의 기본권과 충돌하는 양상과 관련하여, 영업의 자유와 충돌하는 경우도 존재한다. 우선 기업이나 개인이 영업활동의 일환으로 소비자의 개인정보를 수집 처리하여 이를 상품 또는 서비스의 생산이나 마케팅에 활용하는 것은 헌법이 보장하는 영업의 자유에 속하는바, 만약 기업이나 개인이 영업활동의 일환으로 소비자의 개인정보를 수집 처리 이용하는 것을 제 한하거나 금지하는 경우에는 당해 기업이나 개인은 헌법상 보장받고 있는 자신의 영업의 자유 를 제한받는 것이 된다. 25) 또한 개인정보 보호와 관련된 법정책이나 시스템의 설계에 있어서 일관성이 없거나 체계정 당성이 확보되지 않는 경우에도, 사업자인 개인정보처리자의 영업의 자유에 대한 부정적 효과 가 발생할 수 있다. 예컨대 동일한 수범자에 대해서 개인정보의 수집의무와 개인정보의 보호의무를 동시에 부 과하는 경우를 볼 수 있다. 공직선거법 제82조의 6이 규정하고 있는 인터넷언론사 게시판ㆍ 대화방 등의 실명확인제가 대표적인 경우이다. 공직선거법 제82조의 6 제1항은 인터넷언론사 로 하여금 선거운동기간 중 당해 인터넷홈페이지의 게시판 대화방 등에 정당 후보자에 대한 지 지 반대의 문자ㆍ음성ㆍ화상 또는 동영상 등의 정보(이하 정보 등 이라 한다)를 게시할 수 있 도록 하는 경우에는 행정자치부장관 또는 신용정보의 이용 및 보호에 관한 법률 제2조 제4 호에 따른 신용정보업자가 제공하는 실명인증방법으로 실명을 확인받도록 하는 기술적 조치를 하도록 인터넷언론사에 대해 의무를 부과하고 있다. 다만, 인터넷언론사가 정보통신망 이용촉 진 및 정보보호 등에 관한 법률 제44조의 5에 따른 본인확인조치를 한 경우에는 그 실명을 확인받도록 하는 기술적 조치를 한 것으로 보고 있다(동항 단서). 실명확인과정에서 인터넷언 론사는 당해 인터넷홈페이지의 게시판ㆍ대화방 등에서 정보 등을 게시하고자 하는 자에게 주 민등록번호를 기재할 것을 요구하여서는 아니된다(동조 제5항). 그런데 공직선거법 제82조의 6이 예정하고 있다시피, 인터넷언론사 게시판ㆍ대화방 등의 실명확인제가 운영되기 위해서는 개인정보의 수집 및 활용이 필수적이다. 즉 본인인증시스템의 강제적 구축을 통한 의사표현의 통제 가 인터넷언론사 게시판ㆍ대화방 등의 실명확인제의 기본목적이라고 한다면, 본인인증시 23) 헌재 2011. 12. 29. 2010헌마293, 교육관련기관의 정보공개에 관한 특례법 제3조 제2항 등 위헌확인. 24) 부산지방법원 2011. 2. 17 선고 2010가합10002 판결, 손해배상(기). 25) 김일환, 개인정보의 보호와 이용법제의 분석을 위한 헌법상 고찰, 헌법학연구 제17권 제2호, 한국헌법학 회, 2011. 6, 363면. - 15 -
스템을 구축하기 위해서는 궁극적으로 개인정보를 활용할 수밖에 없다. 26) 따라서 주민등록번 호를 직접적 간접적으로 활용하든 또는 주민등록번호 이외의 개인정보를 활용하든지간에, 본 인인증 내지 실명인증절차는 개인정보의 활용이 반드시 전제될 수밖에 없게 되고, 따라서 공 직선거법상의 실명확인제는 인터넷언론사에 대해서 사실상 개인정보의 수집의무를 부과하는 결과를 초래한다. 그런데 인터넷언론사가 공직선거법 제82조의 6에 따라 자신에게 부과된 의 무를 수행하기 위해 개인정보를 수집, 활용할 수밖에 없다고 한다면, 문제는 인터넷언론사가 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정보통신망법 이라 함)상의 정보통신 서비스제공자에 해당하는 경우에 발생한다. 왜냐하면 그 순간에 정보통신망법상의 개인정보 보호시스템이 동시에 적용되기 때문이다. 결국 인터넷언론사는 공직선거법상의 실명확인의무 를 수행하기 위하여 동시에 정보통신망법상의 개인정보 보호의무도 부담할 수밖에 없는 모순 적인 상황이 만들어질 수 있는 것이다. 위와 같은 현상은 동일한 법률 내에서도 발견되기도 한다. 예컨대 최근에 헌법재판소로부 터 위헌결정된 27) 정보통신망법상의 제한적 본인확인제 등은 개인정보의 수집의무를 정보통신 서비스제공자에 부과하였으면서도, 동일한 정보통신서비스제공자에 대해서는 동시에 정보통신 망법상의 개인정보 보호관련 규정들도 동시에 적용되었던 것이다. 개인정보 보호와 영업의 자유가 실제로 충돌하는 상황도 볼 수 있다. 예컨대 사업자들은 개인 정보보호법이나 정보통신망법상의 개인정보 보호관련 규정들에 근거해서 개인정보 보호를 위 하여 인적 물적 비용 등을 투입하고 있다. 실제로 개인정보 보호를 위한 인적 비용으로 개인 정보 보호책임자(Chief Privacy Officer: CPO)와 본부 단위의 팀이 투입되고 있으며, 개 인정보보호법상의 기술적 관리적 및 물리적 보호조치의무에 따라 물적 비용으로 보안시스템 구축 및 유지 비용, 매년 이루어지는 실태조사에 따른 비용, 관제서비스 구축(시스템 공격에 대한 방어)에 따른 비용 등이 투입되고 있다. 더 나아가서 개별 사업자들은 개인정보보호법이 나 정보통신망법상의 개인정보 보호관련 규정들이 너무 강력하여 고객관리 및 리스크관리에 어려움이 많을 뿐만 아니라, 비즈니스의 창의성이나 다양성을 확보하기 어렵다는 호소를 많이 한다. 결국 위에서 적시한 예들은, 개인정보보호법이나 정보통신망법상의 강력한 개인정보 보호 시스템이 개인정보자기결정권의 보호라는 관점에서는 (+)의 효과를 야기시킬 수 있지만, 반 면에 개인정보처리자가 되는 사업자의 영업의 자유의 보호라는 관점에서는 (-)의 효과를 야기 시킬 수 있다는 것을 의미한다. Ⅲ. 개인정보 보호와 다른 헌법적 가치의 조화의 방향성 및 기준 1. 일반적 방향성 및 기준 일반적으로 개인정보 보호와 다른 헌법적 가치 간의 충돌을 조화시키기 위한 법익형량은 개별 사건에서의 법원의 판결을 통해서 이루어지겠지만, 입법적 차원에서도 개인정보 보호와 다른 헌법적 가치 간의 조화를 위한 방향성 및 추상적인 기준이 제시될 필요가 있다고 생각한 다. 이렇게 사법적 차원뿐만 아니라 입법적 차원에서 개인정보 보호와 다른 헌법적 가치 간의 26) 황성기, 인터넷 실명제에 관한 헌법학적 연구, 법학논총 제25집 제1호, 한양대학교 법학연구소, 2008. 3, 24면. 27) 헌재 2012. 8. 23. 2010헌마47등(병합), 정보통신망 이용촉진 및 정보보호 등 에 관한 법률 제44조의5 제1항 제2호 등 위헌확인. - 16 -
조화를 위한 방향성 및 추상적인 기준을 모색함에 있어서는 다음과 같은 사항들을 고려해야 한다고 본다. 첫째, 개인정보별 보호 정도의 차별화가 가능한지에 대한 검토가 필요하다. 예컨대 민감정 보와 비민감정보의 구분에 따른 보호 정도의 차별화가 가능한지, 민감정보와 비민감정보 사이 에 중간영역의 정보유형이 존재하는지 등에 대한 검토가 필요하다. 만약 개인정보별로 유형화 가 가능하고, 그에 따른 보호 정도의 차별화가 가능하다면, 개인정보 보호와 다른 헌법적 가치 간의 조화를 위한 방향성 및 추상적인 기준의 모색이 보다 수월해질 수 있을 것이다. 둘째, 개인정보 보호와 충돌되는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화가 가 능한지에 대한 검토가 필요하다. 예컨대 표현의 자유가 가지는 중요도 및 보호 정도, 비상업적 표현 v. 상업적 표현의 구분, 영업의 자유의 중요도 및 보호 정도 등에 대한 검토가 필요하다. 셋째, 커뮤니케이션 및 통신기술의 변화 및 발전 정도도 고려해야 한다고 본다. 오늘날 커 뮤니케이션 및 통신기술의 변화 및 발전을 고려한다면, 사실상 개인정보의 활용을 전제하지 않는 비즈니스는 거의 존재하기 어려울 것이다. 또한 개인정보가 전혀 노출되지 않은 채 삶을 살아가는 것은 거의 불가능하다. 즉 오늘날 커뮤니케이션 및 통신기술의 변화 및 발전을 고려 한다면, 어느 정도의 개인정보의 노출은 불가피하다. 따라서 너무 개인정보의 보호 에만 집착 하는 경우에는 오히려 새로운 기술의 개발 및 발전을 저해할 위험성도 존재할 수 있다. 이러 한 관점에서 개인정보보호법으로 대표되는 현재의 우리나라의 개인정보 보호법제가 보호 에만 너무 무게중심을 두었다면, 앞으로는 안전한 활용 으로 무게중심을 좀 옮길 필요가 있다. 이와 관련하여 우리가 교훈을 얻을 수 있는 유사한 예가 바로 공직선거법이다. 그동안 공직선거법 은 선거의 공정성 에 너무 갇혀 있어서 인터넷이라는 새로운 매체의 등장과 그 활용에 대해서 공직선거법이 전혀 수용을 하지 못하였다. 최근에 헌법재판소가 공직선거법상의 인터넷 이용 선거운동에 대해서 위헌결정 28) 을 내리는 등 전향적인 흐름이 등장하고 있지만, 그동안 공직 선거법상의 각종 규제장치는 인터넷이라는 매체의 특성을 전혀 고려하지 못한 채 오히려 인터 넷을 이용한 커뮤니케이션 기술의 발전을 저해한 측면이 없지 않았다. 바로 여기서 새로운 커 뮤니케이션 기술의 발전에 있어서 법제도가 어떠한 역할과 기능을 해야 하는가의 문제가 등장 하게 된다. 결론적으로 우리의 개인정보 보호법제가 너무 개인정보의 보호 라는 도그마에 갇혀, 새로운 커뮤니케이션 기술의 발전을 저해하는 일이 없도록 할 필요가 있고, 이러한 관점에서 우리나 라의 개인정보 보호법제에 대한 면밀한 재검토가 필요하다고 본다. 2. 개인정보별 보호 정도의 차별화 현행 개인정보보호법은 개인정보 를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 포함한다) 으로 정의하고 있고, 정보 통신망법은 생존하는 개인에 관한 정보로서 성명 주민등록번호 등에 의하여 특정한 개인을 알 아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 로 정의 내리고 있다. 이 두 가지 법률이 채택하고 있는 개인정보에 관한 개념정의의 기본틀은 개인정 보간의 차별화 혹은 개인정보별 보호정도의 차별화는 전제하고 있지 않다. 왜냐하면 두 가지 28) 헌재 2011. 12. 29. 2007헌마1001, 공직선거법 제93조 제1항 등 위헌확인. - 17 -
법률상의 개인정보 개념정의의 핵심지표는 개인의 동일성의 식별가능성 그 자체이지, 그 활용 시 개인의 존엄과 인격권, 사생활에 미치는 영향, 당해 개인정보의 형성 영역 등은 고려하지 않기 때문이다. 하지만 개인정보간의 차별화 혹은 개인정보별 보호정도의 차별화는 헌법적으 로 정당화될 수 있다. 29) 대표적인 것이 바로 민감정보와 비민감정보의 구분에 따른 보호정도의 차별화가 될 것이 다. 우선 현행 개인정보보호법은 민감정보라는 개념을 분명히 전제하고 있다. 현행 개인정보보 호법 제23조 본문은 사상 신념, 노동조합 정당의 가입 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령 으로 정하는 정보 를 민감정보 라고 개념정의를 내리고 있고, 동법 시행령 제18조는 민감정보 의 범위 라는 제하에 유전자검사 등의 결과로 얻어진 유전정보, 형의 실효 등에 관한 법률 제2조제5호에 따른 범죄경력자료에 해당하는 정보도 민감정보에 포함시키고 있다. 그리고 이 러한 민감정보에 대해서는 원칙적 처리 금지, 예외적 처리 허용 이라는 정책을 적용하고 있다. 민감정보는 오 남용의 경우 그 피해는 커지고 복구가 거의 불가능한 특징을 갖고 있으므로 민 감정보는 상대적으로 활용보다는 보호에 더 치중해야 한다는 점에서 30), 민감정보에 대한 현 행 개인정보보호법의 기본태도는 타당하다. 우리 헌법재판소도 종교적 신조, 육체적ㆍ정신적 결함, 성생활에 대한 정보 와 같이 인간의 존엄성이나 인격의 내적 핵심, 내밀한 사적 영역에 근접하는 것은 민감정보로서 엄격히 보호 되어야 하는 반면, 성명, 직명( 職 名 ) 과 같이 인간이 공동체에서 어울려 살아가는 한 다른 사 람들과의 사이에서 식별되고 전달되는 것이 필요한 기초정보들은 그 자체로 언제나 엄격한 보 호의 대상이 되기 어렵다고 보면서 31), 민감정보와 비민감정보의 구분에 따른 보호정도의 차 별화가 가능하다는 것을 전제하고 있다. 이러한 맥락에서 헌법재판소는 성명, 생년월일, 졸업 일자 는 그 자체로 개인의 존엄과 인격권에 심대한 영향을 미칠 수 있는 민감정보라고 보기 어 렵다고 보았다. 32) 그리고 지문정보에 대해서도 개인정보자기결정권의 한 내용인 사회적 인격 상에 관한 자기결정권과의 고리가 약하다고 헌법재판소는 보았다. 33) 반면에 병역의무가 면제 된 공무원의 경우 그 공개가 강제되는 면제사유 질병명이 그 공개 시 인격이나 사생활의 심각 한 침해를 초래할 수 있는 질병이나 심신장애내용인 경우에 내밀한 사적 영역에 근접하는 민 감한 개인정보에 해당한다고 보았다. 34) 이와 동일한 차원에서 개인의 의료에 관한 정보(의료 비내역에 관한 정보 및 병명이나 구체적인 진료내역에 관한 정보 포함) 는 개인의 인격 및 사 생활의 핵심에 해당하는 민감한 정보 가운데 하나라고 보았다. 35) 29) 개인정보를 보호가치 혹은 경제적 가치에 따라 유형별로 분류하고 인격적 속성과의 연관성에 비추어 개별적으 로 논의하는 시도는, 개인정보에 관한 구조적 조망을 가능케 하는 법리적 논거를 제시할 뿐만 아니라, 적정 수 준의 개인정보 유통을 유지할 수 있는 정책적 유인으로 작용한다는 점에서도 그 의의가 인정될 수 있다. 이민 영, 개인정보법제론, 개정증보판, jinhan M&B, 2007, 40면. 30) 임규철, 교원정보 실명공개의 위법성 유무, 공법학연구 제11권 제3호, 한국비교공법학회, 2010. 8, 350 면. 31) 헌재 2005. 7. 21. 2003헌마282, 개인정보수집 등 위헌확인. 32) 헌재 2005. 7. 21. 2003헌마282, 개인정보수집 등 위헌확인. 33) 헌재 2005. 5. 26. 99헌마513, 주민등록법 제17조의8 등 위헌확인 등. 34) 헌재 2007. 5. 31. 2005헌마1139, 공직자등의병역사항신고및공개에관한법률 제3조 등 위헌확인. 35) 헌재 2008. 10. 30. 2006헌마1401등(병합), 소득세법 제165조 제1항 등 위헌확인 등; 헌재 2009. 9. 24. 2007헌마1092, 의료급여법 시행령 별표 제1호 가목 등 위헌확인. 물론 개인의 의료에 관한 정보라고 할지라도 의료비내역에 관한 정보와 병명이나 구체적인 진료내역에 관한 정보 간에는 차별화될 수 있는 여지는 존재한다. 개인의 의료에 관한 정보는 개인의 인격 및 사생활의 핵심에 해당하는 민감한 정보 가운데 하나이 다. 물론 이 사건 소득공제증빙서류에 기재될 내용은 누가, 언제, 어디서 진료를 받고 얼마를 지불했는가라는 의료비의 지급 및 영수( 領 收 )에 관한 것으로 병명이나 구체적인 진료내역과 같은 인격의 내적 핵심에 근접하는 - 18 -
개인정보간의 차별화 혹은 개인정보별 보호 정도의 차별화는 위와 같은 민감정보 v. 비민 감정보 간의 구분의 경우에만 적용되는 것은 아니다. 기타 다른 기준이나 관점에 따라서도 개 인정보간의 차별화 혹은 개인정보별 보호 정도의 차별화는 가능하다. 예컨대 성향중립 개인정보 36) 와 성향기반 개인정보 37) 로 구분하고, 성향기반 개인정보는 그 자체의 유통이 국가나 사회가 존속하고 발전하는 데 필수적인 경우(예컨대 전과기록)와 그 렇지 않은 경우(예컨대 개인이 핸드폰에 저장해 놓은 지인의 전화번호)로 구분하는 것도 가능 하다. 38) 공적 성격의 정보 v. 사적 성격의 정보간의 구분도 개인정보별 보호 정도의 차별화를 가능 하게 하는 기준이 될 수 있다. 공적 성격의 정보는 개인정보자기결정권의 보호대상이 되는 개 인정보이기는 하지만, 또한 정보의 자유라고 하는 권리의 보호대상이 되기도 하다. 이러한 측 면에서 공적 성격의 정보는 순수한 사적 성격의 정보보다는 그 보호의 정도가 약하다고 할 수 있을 것이다. 39) 개인에 관한 정보(information concerning a person) v. 개인정보(personal information) 간의 구분도 가능하다. 전자는 개인에 대한 묘사, 서술, 평가, 의견, 언론보도 등을 의미하는 것으로서 사회적 인격상에 관한 자기결정권의 보호대상이지만 40), 후자는 전형 적인 개인정보자기결정권의 보호대상이라는 점에서, 그 보호의 방향성이나 방법, 정도가 차별 화될 수 있는 여지가 존재한다. 즉 개인에 관한 정보의 경우에는 표현의 자유, 언론의 자유, 예술의 자유에 따른 그 활용 및 이용이 가능할 수 있다는 점에서, 전형적인 개인정보와 비교 해 볼 때, 그 보호의 방향성이나 방법, 정도가 차별화될 수 있다. 마지막으로 현행 개인정보보호법이 예정하고 있는 개인정보 유형별 구분에 따른 보호 정도 의 차별화도 고려할 수 있다. 예컨대 현행 개인정보보호법 제24조 및 동법 시행령 제19조는 고유식별정보 라는 범주를 인정하고 있는데, 여기서 고유식별정보란 법령에 따라 개인을 고유 하게 구별하기 위하여 부여된 식별정보 를 의미하고, 이러한 고유식별정보에 해당하는 것으로 는 주민등록법 제7조제3항에 따른 주민등록번호, 여권법 제7조제1항제1호에 따른 여권번호, 도로교통법 제80조에 따른 운전면허의 면허번호, 출입국관리법 제31조제4항에 따른 외국인 등록번호를 들 수 있다. 41) 현행 개인정보보호법 제24조는 이러한 고유식별정보에 대해서도 의료정보는 아니다. 그러나 누가, 언제, 어디서 진료를 받고 얼마를 지불했는가라는 사실은 그 자체만으로도 보호되어야 할 사생활의 비밀일 뿐 아니라, 이러한 정보를 통합하면 구체적인 신체적ㆍ정신적 결함이나 진료의 내용까지도 유추할 수 있게 되므로, 개인정보자기결정권에 의하여 보호되어야 할 의료정보라고 아니할 수 없 다. (헌재 2008. 10. 30. 2006헌마1401등(병합), 소득세법 제165조 제1항 등 위헌확인 등)(밑줄 필자 강조). 36) 개인을 식별하는 정보로서 그 자체로는 아무런 가치판단을 일으키지 않는 것. 성명, 주민등록번호, 운전면허번 호, 여권번호, 외국인등록번호, 전화번호, 지문, 동공, 이메일 등. 37) 개인의 성향을 파악할 수 있는 개인정보. 전과기록, 구매기록, 방문기록, 검색기록, 위치정보 등. 38) 예컨대 문재완, 앞의 글, 14-16면. 39) 한편 개인정보보호법이나 정보통신망법이 보호하고자 하는 개인정보는 개인의 사생활비밀 등에 관련한 정보를 의미하고 사회적 소통의 수단으로서 그 공개성이 전제되어 있는 연락정보(이름, 전화번호)는 특별한 사유가 없 는 한, 이들 법의 보호대상인 개인정보에 해당하지 않는다는 견해가 존재한다. 정준현, 개인정보의 이전형태에 따른 정보통신망법 등의 적용과 한계에 관한 검토, 법학논총 제36권 제1호, 단국대학교 법학연구소, 2012. 6, 49면; 이승길, 정보화 사회에서의 개인정보권의 침해와 그 구제, 중앙법학 제11집 제1호, 중 앙법학회, 2009. 4, 54면. 40) 현행 개인정보보호법상의 개인정보 개념정의가 이러한 개인에 관한 정보(information concerning a person)까지 포괄하는 경우에는, 민주주의에서의 표현의 자유가 갖는 비판 감시기능이 제대로 작동될 수 없 게 되는 위험성이 발생한다는 점에서, 현행 개인정보보호법상의 개인정보 개념범위의 확장을 비판하는 견해가 존재한다. 박경신, 사생활의 비밀의 절차적 보호규범으로서의 개인정보보호법리 - 개인정보보호법 및 위치정 보보호법의 해석 및 적용의 헌법적 한계, 공법연구 제40집 제1호, 한국공법학회, 2011. 10, 130-133 면. - 19 -
민감정보와 마찬가지로 원칙적 처리 금지, 예외적 처리 허용 이라는 정책을 적용하고 있다. 따 라서 고유식별정보와 민감정보에 대해서는 동일한 정도의 보호수준을 적용하고 있는 것이다. 반면에 현행 개인정보보호법 제2조 제1호가 내리고 있는 개인정보의 개념정의에 따르면, 그 내용상 개인식별정보 (개인정보보호법 제2조 제1호의 개인정보 중 개인을 알아볼 수 있는 정 보 )와 개인식별가능정보 (개인정보보호법 제2조 제1호의 개인정보 중 해당 정보만으로는 특 정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것. 즉 단편 정보 혹은 모자이크 정보) 42) 간의 구분 43) 이 가능하다. 44) 그런데 개인정보보호법상 개인정보 개념 정의의 핵심지표가 개인의 동일성의 식별가능성 이라는 점을 염두에 둔다면, 이러한 개인의 동 일성의 식별가능성을 담보해 낼 수 있는 정도 에 있어서는 개인식별정보와 개인식별가능정보 간에는 분명한 차이가 존재한다고 할 수 있다. 이러한 차원에서 개인식별정보와 개인식별가능 정보 간의 보호 정도의 차별화는 어느 정도 가능할 것으로 판단된다. 3. 충돌되는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화 개인정보 보호와 다른 헌법적 가치의 조화의 방향성 및 기준을 제시하기 위해서는, 위에서 언급한 개인정보간의 차별화 혹은 개인정보별 보호 정도의 차별화뿐만 아니라, 개인정보 보호 와 충돌되는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화도 고려될 필요가 있다. 즉 개 인정보의 종류 및 성격, 수집목적, 이용형태, 정보처리방식 등에 따라 개인정보자기결정권의 제한이 인격권 또는 사생활의 자유에 미치는 영향이나 침해의 정도는 달라지므로, 개인정보자 기결정권의 제한이 정당한지 여부를 판단함에 있어서는 위와 같은 요소들과 동시에 추구하는 공익의 중요성도 고려해야 한다. 45) 그런데 개인정보자기결정권의 제한을 통해서 추구하는 공익은, 우리 헌법재판소의 판례상 에서 나타난 바와 같이, 범죄수사 목적, 민원인의 편의 도모, 행정의 효율성 및 투명성의 제 고, 공적 급여의 수급자격 및 급여액의 객관성과 공정성 확보, 조세행정의 효율성 확보 및 조세정의 및 형평의 실현, 의료이용자의 의료급여 수급자 해당 여부 및 의료급여의 범위 등 의 정확성, 채무이행의 간접강제 및 거래의 안전 도모, 법적 분쟁의 공정한 해결 등과 같은 객관적 공익일 수도 있다. 하지만 타인의 표현의 자유나 언론의 자유, 예술의 자유, 혹은 타인 41) 고유식별정보는 법령에 의해서 개인에게 부여된 것이므로, 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학 번 등은 고유식별정보가 아니며, 또한 법인이나 사업자에게 부여되는 법인등록번호, 사업자등록번호 등도 고유 식별정보가 될 수 없다. 김재광, 개인정보보호법에 관한 새로운 법적 문제, 강원법학 제36권, 강원대학교 비교법학연구소, 2012. 6, 108-109면. 42) 예컨대 인터넷 이용자가 인터넷 검색창에 검색어를 입력하는 경우, 이러한 검색어가 여기서 말하는 개인식별가 능정보에 해당한다고 이해된다. 왜냐하면 검색어는 그 자체만으로는 특정한 개인을 알아볼 수 없지만, 예컨대 IP주소나 쿠키 등과 같은 다른 정보와 쉽게 결합하여 특정한 개인을 알아볼 수 있는 정보이기 때문이다. 허순 철, 인터넷 검색과 개인정보자기결정권, 공법학연구 제10권 제2호, 한국비교공법학회, 2009. 5, 168-169면. 한편 개인정보를 암호화한 정보가 개인정보에 해당하느냐와 관련하여, 당해 암호의 발신자 및 수 신자에 있어서는 용이하게 해당정보를 개인을 식별하는 정보로 복원할 수 있다면 개인정보에 해당하지만, 일반 적으로 그 암호에 접근한 제3자에 의하여 당해 정보로부터 특정 개인을 식별할 수 없기 때문에 개인정보에 해 당하지 않는다는 견해가 있다. 김주영 손형섭, 개인정보 보호법의 이해 - 이론 판례와 해설 -, 법문사, 2012, 162면. 43) 직접 식별 개인정보 와 간접 식별 개인정보 의 구분으로 불리기도 한다. 이기혁 이강신 박진식 최일훈, 알기 쉬운 개인정보보호의 이해와 활용, 인포더북스, 2011, 19-20면. 44) 한편 현행 개인정보보호법 및 정보통신망법상의 개인정보 범위의 포괄성에 대해서는, 특정 개인과의 결합성이 일시적으로 결여되어 있거나 약한 단편(모자이크) 정보가 다른 특정성이 있는 정보와 융합(결합)될 가능성으로 인한 침해 위험의 증대를 방지하기 위해서 타당한 입법이라는 견해가 존재한다. 임규철, 개인정보의 보호범 위, 한독법학 제17호, 한독법률학회, 2012. 2, 225면. 45) 헌재 2005. 7. 21. 2003헌마282, 개인정보수집 등 위헌확인. - 20 -
의 영업의 자유도 개인정보자기결정권의 제한을 정당화할 수 있는 헌법적 가치가 될 수 있다. 따라서 개인정보 보호와 표현의 자유나 언론의 자유, 예술의 자유, 영업의 자유가 충돌하는 상 황이 발생하는 경우에, 그 조화의 방향성 및 기준을 제시하기 위한 방법 중의 하나로, 개인정 보 보호와 충돌하는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화도 하나의 중요한 고려 요소로서 기능할 수 있다. 일반적으로 표현의 자유 내지 언론의 자유는 개인이 표현 내지 언론 활동을 통하여 자기의 인격을 형성하는 개인적 가치인 자기실현의 수단임과 동시에 사회 구성원으로서 정치적 의사 결정에 참여하는 사회적 가치인 자기통치(self-government)를 실현하는 수단이다. 특히 다 른 기본권과의 관계에서 표현의 자유 내지 언론의 자유가 가지는 우월적 지위를 고려할 때 46), 개인정보자기결정권과 표현의 자유 내지 언론의 자유가 충돌하는 경우에는, 사안마다 구체적인 조화 및 형량은 다를 수 있겠지만, 원칙적으로 표현의 자유 내지 언론의 자유가 우 선되어야 한다. 예술의 자유도 표현의 자유 내지 언론의 자유와 마찬가지로 정신적 기본권의 범주에 해당한다는 점에서 마찬가지이다. 예컨대 2012. 1. 25 발표된 EU의 일반정보보호규정(General Data Protection Regulation)안 47) 제17조는 잊혀질 권리 및 삭제할 권리(right to be forgotten and to erasure) 라는 제목하에 개인정보의 삭제 및 배포중지에 관한 사항을 규정하고 있다. 그 런데 제17조 제3호는 개인정보의 삭제 및 배포중지에 관한 정보주체의 권리의 예외를 규정하 고 있다. 우선 동조 제3(a)호는 개인정보의 보유가 제80조에 따라 표현의 자유에 관한 권리를 행사 하기 위해 필요한 경우에는 삭제의 예외를 인정하고 있다. 그런데 보다 구체적으로 잊혀질 권 리가 표현의 자유와 충돌하는 경우 어떻게 조화시킬 것인가에 대한 기준과 관련하여서는, 동 규정 제80조가 규정하고 있다. 동 규정 제80조는 개인정보의 처리 및 표현의 자 유 (processing of personal data and freedom of expression)라는 제목하에 회원국 으로 하여금 순전히 보도 목적(journalistic purposes)이나 예술 또는 문학적 표현의 목적 만을 위하여 개인정보가 처리되는 경우에는 동 규정이 제시하고 있는 개인정보 보호에 관한 일반원칙, 정보주체의 권리, 개인정보관리자 및 처리자에 관한 사항, 개인정보의 이전 등에 관 한 사항의 예외로 설정해야 한다고 규정하고 있다. 따라서 정치 경제 사회 문화 시사 등에 관 한 보도 논평 여론 및 정보 등을 전파할 목적으로 취재 편집 집필한 기사 등과 같이 언론이나 보도 기능을 수행하기 위한 표현이나 예술 또는 문학을 위한 표현의 경우에는 그 중에 개인정 보가 포함된다고 하더라도 잊혀질 권리가 제한된다고 이해된다. 문제는 언론보도, 예술, 문학 의 범주에 속하지 않는 표현에 대한 권리와 잊혀질 권리가 충돌하는 경우, 위 예외의 범주에 포함시키거나 유추적용할 수 있을 것인가가 논란이 될 수 있는데, 법에 명시적으로 규정되어 있지 않은 이상 확대하는 것은 어렵다는 지적이 있다. 48) 우리나라의 개인정보보호법도 제58조에서 적용의 일부 제외 라는 제목하에 네 가지 종류의 개인정보에 대해서는 동법 제3장부터 제7장까지를 적용하지 아니한다고 규정함으로써(동조 제1항), 이들 개인정보에 대해서는 일괄적 전부배제방식 을 적용하고 있다. 그러한 개인정보 46) 헌재 1998. 4. 30. 95헌가16, 출판사및인쇄소의등록에관한법률 제5조의2 제5호 등 위헌제청. 47) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). 48) 최경진, 잊혀질 권리 - 개인정보 관점에서, 정보법학 제16권 제2호, 한국정보법학회, 2012. 8, 108면. - 21 -
로는 공공기관이 처리하는 개인정보 중 통계법 에 따라 수집되는 개인정보(제1호), 국가안전 보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보(제2호), 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보(제3호), 언론, 종교단체, 정당이 각각 취재 보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집 이용하는 개인정보(제4호)가 그것이다. 그리고 제58조 제3항에서는 개인정보처 리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경 우에는 개인정보 수집 이용조항(제15조), 개인정보 처리방침의 수립 및 공개조항(제30조), 개인정보 보호책임자의 지정조항(제31조)을 적용하지 아니한다고 규정함으로써, 개별적 일부 배제방식 도 또한 도입하고 있다. 한편 개인정보보호법 제58조 제1항 제4호가 규정하고 있는 언론의 취재 보도에서 언론 의 범위가 어디까지인가가 문제될 수 있다. 이에 대한 단서가 될 수 있는 것이 바로 언론중재 및 피해구제 등에 관한 법률 (이하 언론중재법 이라 함) 제2조 제1호가 규정하고 있는 언론 의 개념정의이다. 언론중재법 제2조 제1호는 언론을 방송, 신문, 잡지 등 정기간행물, 뉴스통 신 및 인터넷신문 이라고 개념정의내리고 있다. 하지만 개인정보보호법 제58조 제1항 제4호 가 규정하고 있는 언론의 범위는 방송, 신문, 잡지 등 정기간행물, 뉴스통신 및 인터넷신문 에 국한되지 않고, 공직선거법 제8조의5 제1항이 규정하고 있는 인터넷언론 49) 까지 포괄하고 있는 것으로 해석되고 있다. 50) 개인정보자기결정권과 언론의 자유가 충돌하는 경우에, 원칙적 으로 언론의 자유가 우선되어야 한다는 관점에서 본다면, 일괄적 전부배제의 대상에 전통적인 의미에서의 언론뿐만 아니라 새로운 형태의 언론인 인터넷언론까지 포함시키는 것은 바람직하 다고 할 수 있다. 다만 여기서 비상업적 표현 v. 상업적 표현의 구분도 고려되어야 하는지가 문제될 수 있다. 특히 광고와 같은 상업적 표현의 자유 혹은 광고표현의 자유와 개인정보자기결정권이 충돌하 는 경우에 어떻게 조화시키고 형량할 것인가가 문제될 수 있는 것이다. 일반적으로 광고가 단 순히 상업적인 상품이나 서비스에 관한 사실을 알리는 경우에도 그 내용이 공익을 포함하는 때에는 헌법 제21조의 표현의 자유에 의하여 보호된다는 것이 우리 헌법재판소의 입장이 다. 51) 그런데 상업광고는 표현의 자유의 보호영역에 속하지만 사상이나 지식에 관한 정치적, 시민적 표현행위와는 차이가 있기 때문에, 그 보호 정도에 있어서는 사상이나 지식에 관한 정 치적, 시민적 표현행위보다 완화될 수 있다. 52) 이러한 측면에서 본다면, 광고표현의 자유와 개인정보자기결정권이 충돌하는 경우에는 개인정보자기결정권이 우월하거나 혹은 두 가지 기 본권이 동일한 가치를 지닌다는 일응의 기준이 가능할 수 있다. 한편 상업광고는 직업수행의 자유 내지 영업의 자유의 보호영역에 속하기도 하므로 53), 영업의 자유와 개인정보자기결정권 의 충돌시 그 조화의 방향성 내지 기준에 의해서 해결될 여지도 존재한다. 한편 개인정보자기결정권과 영업의 자유가 충돌하는 경우에, 영업의 자유가 특히 표현의 자유와 비교해 보았을 때 갖는 중요도 및 보호정도를 고려한다면, 개인정보자기결정권이 우월 하거나 혹은 개인정보자기결정권과 영업의 자유라는 두 가지 기본권이 동일한 가치를 지닌다 49) 공직선거법 제8조의5 제1항상의 인터넷언론 개념은 신문법상의 인터넷신문, 정치 경제 사회 문화 시사 등에 관한 보도 논평 여론 및 정보 등을 전파할 목적으로 취재 편집 집필한 기사를 인터넷을 통하여 보도 제공하거 나 매개하는 인터넷 홈페이지, 이와 유사한 언론의 기능을 행하는 인터넷 홈페이지 로 정의된다. 50) 행정안전부, 개인정보 보호법령 및 지침 고시 해설, 2011. 12, 353-354면. 51) 헌재 2002. 12. 18. 2000헌마764, 옥외광고물등관리법 제3조 제1항 제6호 등 위헌확인. 52) 헌재 2005. 10. 27. 2003헌가3, 의료법 제69조 등 위헌제청. 53) 헌재 2000. 3. 30. 97헌마108, 식품위생법 제11조 위헌확인. - 22 -
는 기준이 가능할 수 있다. 따라서 표현의 자유 내지 언론의 자유, 예술의 자유의 경우와는 달 리 그 조화의 방향성 및 기준이 달라질 수 있다. 이와 같은 일반론적인 관점에서 본다면, EU의 일반정보보호규정(General Data Protection Regulation) 제80조의 규정 중에서, 언론보도, 예술, 문학의 범주에 속하지 않 는 표현, 예컨대 광고와 같은 상업적 표현의 자유와 같이 상대적으로 보호의 가치가 낮은 표 현의 자유에 대하여는 잊혀질 권리가 우선하여 적용된다는 논리가 가능하게 된다. 그리고 우 리 개인정보보호법도 제58조 제1항 제4호에서 언론, 종교단체, 정당이 각각 취재 보도, 선 교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집 이용하는 개인정보를 일괄적 전 부배제방식의 대상으로 삼고 있는 점에 비추어 볼 때, 언론의 자유, 종교의 자유, 정당의 자유 보다는 영업의 자유의 보호정도를 완화시키는 것을 전제하고 있다고 해석할 수 있다. 물론 일 반론적인 차원에서 영업의 자유의 보호정도가 언론의 자유, 예술의 자유, 종교의 자유, 정당의 자유보다 완화된다고 하더라도, 영업의 자유도 엄연한 헌법상의 권리이자 자유이므로, 영업의 자유를 형해화시킬 정도로 개인정보 보호를 강화할 수는 없을 것이다. 이러한 관점에서, 개인 정보보호법에 삭제요구권이 포함된 것은 정보주체의 개인정보자기결정권을 두텁게 보호한다는 면에서 바람직하지만, 그로 인하여 정보처리자의 영업의 자유 등 다른 헌법적 가치가 훼손될 수 있기 때문에 신중하게 접근하였어야 할 과제였고, 개인정보자기결정권과 충돌되는 다른 헌 법적 가치와의 비교형량이 충분히 이루어졌는지에 대해서는 의문을 제기하는 견해도 존재한 다. 54) 따라서 개인정보자기결정권과 영업의 자유가 충돌하는 경우에는, 위에서 언급한 개인정 보의 종류에 따른 개인정보별 보호 정도의 차별화원리를 적용하여 그 조화의 방향성과 기준을 다시 차별화하는 것도 고려할 수 있다. 4. 개인정보 보호와 표현 자유 및 영업 자유와의 조화의 방향성 및 기준 지금까지 필자는 개인정보 보호와 다른 헌법적 가치 간의 조화를 위한 방향성 및 기준을 모색함에 있어서는 개인정보별 보호 정도의 차별화가 가능한지에 대한 검토, 개인정보 보호와 충돌되는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화가 가능한지에 대한 검토를 원론 적이고 추상적인 관점에서 행하였다. 지금까지의 원론적이고 추상적인 검토에 따르면, 개인정보 보호와 다른 헌법적 가치가 충 돌하는 경우에 다음과 같은 방향성 및 추상적인 기준이 일응 도출될 수 있음을 알 수 있다. 개인정보 유형 기본권의 종류 민감정보 (고유식별정보 포함) 비민감정보 개인식별정보 개인식별가능 정보 언론보도의 자유 개인정보 보호가 우월 언론보도의 자유가 우월 언론보도의 자유가 우월 표현의 자유 사적 표현 및 광고표현의 자유 개인정보 보호가 우월 사안에 따라 유동적 사적 표현 및 광고표현의 자유가 우월 영업의 자유 개인정보 보호가 우월 사안에 따라 유동적 영업의 자유가 우월 54) 문재완, 프라이버시 보호를 목적으로 하는 인터넷 규제의 의의와 한계 - 잊혀질 권리 논의를 중심으로 -, 언론과 법 제10권 제2호, 한국언론법학회, 2011. 12, 23면. - 23 -
위의 도표를 설명하면 다음과 같다. 우선 개인정보별 보호 정도의 차별화가 가능하다는 것을 전제로 하여, 민감정보와 비민감 정보의 구분이 가능할 것이다. 위의 도표에서의 민감정보란 현행 사상 신념, 노동조합 정당의 가입 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전 정보, 범죄경력자료에 해당하는 정보 (개인정보보호법 제23조 및 동법 시행령 제18조)와 고 유식별정보(개인정보보호법 제24조 및 동법 시행령 제19조)를 의미한다. 즉 현행 개인정보보 호법상의 민감정보와 고유식별정보를 포괄하는 것을 의미한다. 이러한 민감정보에 대해서는 현행 개인정보보호법상 원칙적 처리 금지, 예외적 처리 허용 이라는 정책을 적용하고 있을 뿐 만 아니라, 그 활용 내지 이용시 인간의 존엄성, 인격권 또는 사생활의 자유에 미치는 영향이 나 침해의 정도가 크다는 점에서, 그 보호가 표현의 자유 혹은 영업의 자유보다 원칙적으로 우월하다고 보아야 할 것이다. 물론 구체적인 사안에 따라서는 민감정보의 활용 내지 이용이 헌법적으로 정당화되는 경우가 존재할 수 있다는 점은, 이미 위에서 헌법재판소의 판례를 통 해서 확인한 바 있다. 한편 위의 도표에서 비민감정보란 민감정보를 제외한 모든 개인정보 라고 할 수 있다. 그런 데 이러한 비민감정보는 개인의 동일성의 식별가능성 이라는 관점에서 개인식별정보 (개인정보 보호법 제2조 제1호의 개인정보 중 개인을 알아볼 수 있는 정보 )와 개인식별가능정보 (개인 정보 보호법 제2조 제1호의 개인정보 중 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것. 즉 단편 정보 혹은 모자이크 정보)로 구분이 가능하다. 개인식별정보의 경우에는, 개인정보 보호와 표현의 자유 혹은 영업의 자유가 충돌할 때, 언 론보도의 자유를 제외하고는, 사안에 따라 그 조화 및 형량의 결과는 달라질 수 있다. 즉 이러 한 경우에는 당해 개인정보의 구체적인 종류 및 성격, 수집목적, 이용형태, 정보처리방식, 사 적 표현 및 광고표현의 자유, 영업의 자유 등에 미치는 영향 등을 종합적으로 고려해서 판단 해야 할 것이다. 하지만 개인식별가능정보의 경우에는, 그 자체만으로는 특정 개인을 알아볼 수 없는 정보 이므로, 이러한 정보에 대한 보호와 표현의 자유 혹은 영업의 자유가 충돌하는 경우에는, 원칙 적으로 표현의 자유 혹은 영업의 자유가 우선되어야 한다고 본다. 이러한 관점에서 본다면, 현 행 개인정보보호법이 개인식별가능정보도 개인정보의 개념범위에 포섭시켜서 개인식별정보와 동일한 정도의 보호를 적용하는 것은 문제가 될 수 있다. 즉 개인식별가능정보의 경우에는, 개 인정보자기결정권과 표현의 자유 혹은 영업의 자유 간의 충돌에 있어서 개인정보자기결정권을 지나치게 보호할 가능성이 높은 것이다. 결론적으로 지금까지의 논의를 입법론적으로 적용한다고 할 때, 개인식별정보와 개인식별 가능정보를 구분해서, 그 보호 정도 및 방법의 차별화를 도모할 필요가 있다. 구체적인 입법방 향과 관련하여서는 다음과 같은 두 가지 방안이 가능할 것이다. 첫째, 처음부터 개인정보에 관한 개념정의에서 개인식별가능정보를 배제하는 방법이다. 이 방법의 장점은 우선 입법기술적으나 입법경제적으로 제일 수월하거나 효율적일 수 있다는 점 이다. 왜냐하면 현행 개인정보보호법상의 개인정보의 개념정의에서 괄호 안의 내용을 삭제하 면 되기 때문이다. 55) 그리고 현재의 개인정보보호법이 지나치게 개인정보의 보호 에 치우쳐 55) 이 방법을 채택하는 경우에는 현행 개인정보보호법상의 개인정보의 개념정의는 살아 있는 개인에 관한 정보로 서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 로 재구성될 수 있을 것이다. - 24 -
있다는 비판을 상당 정도 불식시킬 수 있다는 점도 장점으로 지적될 수 있다. 왜냐하면 애초 부터 보호의 대상이 되는 개인정보의 범위를 제한할 수 있고, 따라서 표현의 자유 혹은 영업 의 자유와 충돌될 수 있는 경우의 수가 줄어들 수 있기 때문이다. 하지만 우리 헌법재판소가 개인정보의 개념정의 및 범위의 외연을 광범위하게 설정하고 있다는 점, 헌법상 명문으로 규 정되어 있지 않은 개인정보자기결정권이라는 기본권의 보호범위를 설정하는 것은 궁극적으로 헌법재판소의 역할이라는 점, 개인정보의 개념정의 및 범위의 외연에 관한 헌법재판소의 해석 이 최종적인 유권해석이라는 점, 하위 입법인 법률에서 헌법재판소가 제시한 개인정보의 외연 을 축소하기가 쉽지 않다는 점 등을 고려할 때, 채택되기 쉽지 않을 것으로 판단된다. 둘째, 현행과 같이 개인정보에 관한 개념정의에 개인식별가능정보를 포함시키되, 개인정보 의 수집, 처리, 보관과 관련된 각종 규제장치나 규제방식, 기타 개인정보 보호관련 시스템을 개인식별가능정보에 대해서는 차별적으로 완화해서 적용하거나 아니면 아예 면제하는 방법이 다. 이 방법은 헌법재판소가 제시한 개인정보의 개념정의 및 범위의 외연을 그대로 유지할 수 있다는 점에서 장점을 갖고 있다. 뿐만 아니라 이 방법도 위의 첫 번째 방법과 마찬가지로 현 재의 개인정보보호법이 지나치게 개인정보의 보호 에 치우쳐 있다는 비판을 상당 정도 불식시 킬 수 있다는 점에서 장점을 갖고 있다고 볼 수 있다. 다만 이 방법이 현실성을 담보하고 개 인정보의 보호와 활용 사이에서 균형을 유지하는 방법이 되기 위해서는, 개인정보의 수집, 처 리, 보관과 관련된 각종 규제장치나 규제방식, 기타 개인정보 보호관련 시스템을 어떻게 구체 적으로 유형화하고 차별화할 것인가가 제시되어야 한다. 이와 관련하여 현행 개인정보보호법 제58조 제3항에서 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 개인정보 수집 이용조항(제15조), 개인정보 처리방침 의 수립 및 공개조항(제30조), 개인정보 보호책임자의 지정조항(제31조)을 적용하지 아니한 다고 규정함으로써, 이미 개별적 일부배제방식 을 채택하고 있는 것에 비추어 볼 때, 개인정보 보호관련 시스템 적용의 차별화가 입법론적으로 불가능한 것으로 보이지는 않는다. Ⅳ. 나오는 말 지금까지 필자는 일반적으로 개인정보 보호와 기타 헌법적 가치 간의 충돌을 조화시키기 위한 법익형량에 있어서, 개인정보 보호와 다른 헌법적 가치 간의 조화를 위한 방향성 및 추 상적인 기준을 제시하였다. 개인정보 보호와 다른 헌법적 가치 간의 조화를 위한 방향성 및 추상적인 기준을 모색함에 있어서는 다음과 같은 사항들을 고려하였다. 첫째, 개인정보별 보호 정도의 차별화가 가능한지에 대한 검토가 필요하다는 점이다. 둘째, 개인정보 보호와 충돌되는 다른 헌법적 가치의 중요도 및 보호 정도의 차별화가 가능한 지에 대한 검토가 필요하다는 점이다. 위와 같은 두 가지 고려요소들을 전제로 하여, 필자는 개인정보 보호와 표현 자유 및 영업 의 자유와의 조화의 방향성 및 기준을 추상적인 수준에서 제시하였다. 궁극적으로 이러한 작업이 의미있는 이유는, 개인정보 보호 v. 개인정보 활용 간의 구도에 있어서 어떻게 균형을 유지하고, 상호 대립되는 목표를 어떻게 조화시킬 것인가의 문제를 해 결하기 위한 기본전제이기도 하고, 더 나아가서 보다 구체적인 법제도 및 정책을 설계하는데 있어서 주요한 지침이 될 수 있기 때문이다. 개인정보자기결정권과 표현의 자유 및 영업의 자유 간의 충돌에 있어서 헌법적 균형 을 유 지하는 것이 필요하고, 더 나아가서 입법적 사법적 균형 도 유지될 필요가 있을 것이다. 이러 - 25 -
한 맥락에서 이 글에서 제시하고 있는 방향성 및 기준이, 비록 원론적이고 추상적인 수준이지 만, 그러한 균형을 유지하기 위한 하나의 방향타 내지 지침으로서 기능할 수 있기를 기원하면 서 이 글을 마친다. - 26 -
개인정보보호의 법, 경제, 및 이노베이션 서울대학교 법학전문대학원 교수 고학수 1. 들어가는 말 개인정보의 활용은 이노베이션을 촉진시키는 중요한 기능을 하고, 이를 통해 사회와 경제 에 도움이 되는 다른 많은 기능 또한 제공될 수 있다. 따라서 개인정보의 수집과 이용에 대한 규제를 고려함에 있어, 개별 규제가 이노베이션 활동을 포함하여 사회와 경제에 미치는 영향 에 대한 엄밀하고 상세한 분석을 할 필요가 있다. 이를 통해, 개인정보의 할용을 통해 발생할 수 있는 역기능은 최대한 억제하고, 반면에 순기능을 장려하는 방향의 정책설계를 할 필요가 있다. 규제나 정책에 관해 논의함에 있어, 개인정보의 수집과 이용은 일반적으로 문제를 발생시 킬 가능성이 높을 것이라는 막연하고 피상적인 전제하에 정책을 수립하는 것은 매우 위험한 발상일 수 있다. 특히, 개인정보의 보호와 개인정보의 수집 및 이용 사이에는 항상 상충관계 (trade-off)가 있어서, 개인정보의 보호수준을 높이기 위해서는 개인정보의 수집과 이용을 제 한하는 것이 필수적이라고 전제하는 것은, 논리적으로나 실증적으로나 근거가 매우 미약한 것 이고, 따라서 이에 기초하여 논의를 진행하는 것은 잘못된 결론을 도출하게 될 가능성이 높다. 실제로는 개인정보의 수집과 이용이 개인정보의 적절한 보호에 문제를 발생시키는 상황도 있 고, 그렇지 않은 상황도 있을 것이다. 정책결정은, 문제가 될 수 있는 시장의 실패 (market failure) 상황이나 기타 구체적인 문제상황에 대한 과학적이고 실증적인 분석을 진행한 뒤에 그에 근거하여 이루어져야 한다. 그리고 그러한 문제의 가능성이나 크기가 확인되지 않는 상 황에 대해서는 시장의 기능이 충분히 발휘되어 새로운 기술이 계속 개발되고 시장에 도입되어 활용될 수 있는 방향으로 규제의 틀을 정립해야 할 필요가 있다. 다른 한편, 개인정보는 그 속성상 매우 쉽게 국경을 넘나들 수 있을 것인데, 규제기관은 국 내기업이 해외에서 영업활동을 함에 있어 불이익을 받지 않도록 배려하고 이를 위해 필요한 조치를 해야 할 필요가 있다. 개인정보보호의 맥락에서는, 그 중에서도 해외정보의 국내이전이 중요한 이슈가 될 것인데, 이에 관해 규제기관이 어떠한 역할을 할 필요가 있을 것인지 적극 적으로 생각해 보아야 한다. 이 글은 개인정보의 보호에 관하여 규제기관이 어떠한 원칙 하에서 규제의 틀을 마련해야 할 것인지에 대해 근본적인 차원의 문제제기를 하고, 그에 대해 몇 가지 해답이나 방향을 제 시하고자 하는 글이다. 이하에서는 개인정보보호에 관한 규제에 있어 생각해야 하는 대원칙에 관해 우선 생각해 본다. 그리고, 개인정보보호의 법제가 이노베이션이나 기타 정보의 수집 및 활용 등을 함에 있어 미치는 영향이 어떠한지 또 그러한 영향에 관한 판단을 하기에 앞서 사 전적으로 이루어져야 하는 분석은 어떤 것인지에 관해 살펴보도록 한다. 구체적으로는 규제가 온라인 광고 시장에서의 이노베이션에 미치는 영향에 관한 분석, 이용자들의 실제 행태에 기 초한 정보보호의 필요성에 관한 분석, 정보의 수집과 이용 등에 대하여 이용자들로부터 동의 를 구하는 것에 관한 분석 등으로부터 시사점을 얻도록 한다. 시사점을 제시하는 분석들은 모 두 국내가 아닌 외국의 통계나 사례에 기초한 것인데, 이는 지금까지 국내의 통계나 국내 상 황에 기초한 엄밀한 분석이 거의 이루어지지 않은 현실을 반영하는 것이기도 하고, 다른 한편 - 27 -
앞으로 국내 데이터에 기초한 과학적인 분석이 절실하게 필요하다는 것을 보여주는 것이기도 하다. 마지막으로 국내기업이 외국에서 영업활동을 하면서 외국에 있는 정보를 국내로 이전하 는 것이 필요한 상황에 관해 살펴보고, 규제당국이 해야 할 역할에 대해 생각해 본다. 2. 개인정보보호의 법과 규제 개인정보의 수집과 이용에 대한 규제를 논의함에 있어 종종 발견되는 오류 중의 하나는, 개인정보를 이용하고자 하는 기업의 이익과 이용자의 이익이 일반적으로 서로 배치될 것이라 고 전제하고 논의를 하는 것이다. 예를 들면, 정보의 광범위한 수집을 허용하면 이는 당연히 이용자의 이익에 반하는 결과가 초래될 것이라고 전제하는 것이다. 그런데 이러한 전제가 실제의 상황에 부합되는 것인지에 대해서는 명확한 근거가 없다. 오 히려 이러한 전제와는 달리, 개인정보와 관련된 사항에 있어서도 다른 많은 경제활동의 경우 와 마찬가지로 기업활동이 이용자의 이익에 부합되는 상황도 있고, 그 반대로 이용자의 이익 에 저해되는 상황도 있을 것이다. 일반적으로 규제의 목적은, 기업활동이 이용자의 이익을 저 해하는 경우를 정확히 파악하여, 그러한 상황이 발생하는 것을 방지하고 억제하는 것에 있는 것이지, 기업활동이 전반적으로 부정적인 효과를 가질 것이라고 전제하고 기업활동을 전반적 으로 제약하는 것에 있지 않다. 새로운 기술이 시장에 도입될 때, 그로 인해 발생될 수 있는 문제점에 특히 주목하여 강력 한 규제를 주장하는 경우를 종종 볼 수 있다. 하지만 문제를 정확히 파악하여 최적(optimal) 의 규제를 하는 것이 중요한 것이고, 지나치게 광범위하거나 과다한 규제를 하는 것은 역효과 를 가져올 수 있다. 개인정보보호와 관련된 맥락에서는, 개인정보의 수집과 이용 등에 있어 발 생될 수 있는 문제가 어떤 것인지 명확하게 파악하고 체계화하여, 구체적으로 발생가능하고 중대한 문제에 대해 체계적인 해결책을 모색하는 정책적인 태도가 필요하다. 즉, 정책에 대한 논의에 앞서, 구체적으로 인터넷 등의 이용에 있어 개별 이용자에게 발생할 수 있는 개인정보 관련 문제가 어떤 것인지에 관해 실제 데이터에 기초한 정확한 파악과 분석이 선행되어야 한 다. 3. 개인정보의 활용에 대한 규제가 이노베이션에 미치는 영향 아래에서는 몇 가지 사례 및 연구결과를 통해 규제가 이노베이션에 미치는 영향에 대해 검 토해 보고, 개인정보보호 법제에 관한 논의를 함에 있어 특히 유의해야 할 시사점에 대해 생 각해 본다. 우선, 개인정보의 활용에 대한 규제가 이노베이션에 영향을 미치는 상황에 대한 실증분석 의 한 예로, 유럽에서의 온라인상거래에 대한 규제강화가 광고의 효과에 미친 영향에 대하여 분석한 연구사례를 들 수 있다. 1) 이 연구는 유럽에서 e-privacy Directive의 도입을 통한 규제의 강화가 광고의 효과를 65%나 저하시키는 결과를 초래하였음을 보여주었다. 2) 규제강화는 광고의 효과를 이처럼 매우 크게 떨어뜨리는 결과를 가져왔는데, 그와 동시에 웹사이트의 유형이나 광고의 성격 등에 따라서 그 영향에 있어 커다란 차이가 있다는 것 또한 1) A. Goldfarb and C. Tucker (2011), "Privacy Regulation and Online Advertising", Management Science, 57(1), 57-71. 2) 통상 e-privacy Directive라 지칭되는 이 지침(Directive 2002/58/EC)은 2002년에 제정된 것으로 공식 적인 이름은 Directive concerning the processing of personal data and the protection of privacy in the electronic communications sector 이다. - 28 -