개인정보소유권 이야기하지말고 프라이버시를 이야기하자

방송통신위원회가 최근 유럽사법재판소 결정에 따라 ‘잊혀질 권리’ 도입을 검토하고 있다는 데 주의해야 한다. “개인이 자신에 대한 정보에 대해 통제권을 가져야 한다”는 것은 말은 듣기 좋아 보이지만, 타인의 사상의 자유, 표현의 자유를 존중한다면 성립불가능하다. “박경신은 교수이다”와 같은 정보도 나 박경신이 그 유통을 통제할 수 있다는 것은 민주사회에서 불가능한 일일 것이다. 합법적으로 남들의 머릿속에 들어가 있는 정보가 나에 대한 명예훼손도 아니고 프라이버시침해도 아닌데 내가 또 무슨 이유로 통제할 수 있다는 것인가?

그렇다면, ‘자신에 대한 정보를 통제할 수 있다’는 환상을 갖도록 해준 ‘개인정보자기결정권’의 원천은 무엇이고 왜 실제로 세계의 많은 개인정보보호법들이 개인에 대한 “모든” 정보를 개인정보로 정의하여 개인정보처리자에게 여러 의무를 부과하는 것처럼 보이는 것일까?

원천은 바로 ‘정보감시’ 때문인데 1967년 알란 웨스틴이 <프라이버시와 자유>에서 처음 쓴 말이다. 정보감시란, 사람이 살아가면서 자신에 대한 여러 정보를 정부기관이나 업체에 제공할 때, 이 정보가 원래의 제공목적과 달리 이용되거나 원래 수집기관이나 업체 밖으로 유출되어 자신에 대한 다른 정보와 합쳐지는 것을 말한다. 이렇게 될 경우 정보보유자는 정보제공자에 대해 제공받은 정보 이상의 그 무엇을 알게 될 것이다. 이를테면 정보제공자의 다음 행동을 예측할 수도 있을 것이다. ‘감시’란 물론 도청, 압수수색, 미행과 같이 개인이 자발적으로 제공하지 않은 정보를 취득하는 것을 말하지만, 개인이 자발적으로 타인에게 제공한 정보가 축적되는 것만으로도 ‘감시’와 비슷한 결과가 나타나는 현상을 ‘정보감시’라고 부른 것이다.

이에 따라 웨스틴은 정보감시를 막기 위한 방편으로, 정보주체에게 자신에 대한 정보에 대해 일종의 소유권을 주어, 대규모개인정보처리자는 개인정보를 수집할 때는 정보제공자에게 정보의 이용목적과 범위를 사전에 통보하고 이를 준수할 것을 주장하였다. 이렇게 되면 자신이 제공한 모든 정보의 축적과 이용은 자신이 동의한 범위 내에서만 이루어지므로 더 이상 ‘감시’라고 볼 수 없기 때문이다. 알란 웨스틴의 제안은 그 후 전세계적으로 확산되어 지금의 개인정보보호법이 되었고 이러한 법률들이 보호하는 법익을 우리는 “개인정보자기결정권”이라고 부르게 된 것이다.

결국 “개인정보자기결정권”은 문언 그대로 해석될 것이 아니라 자신에 대한 정보를 “타인에게 제공할 때” 그 정보가 이용되는 범위와 목적을 통제할 권리를 의미하는 것이며 “결정권”은 바로 자신만 가지고 있던 정보가 외부로 나갈 때 행사되는 것이다. 즉 자신이 자발적으로 조건 없이 일반에게 공개하여 이미 모두가 가지고 있는 정보 등에는 적용되지 않는 것이 당연하다. ‘박경신은 교수이다’는 그런 정보에 포함될 것이다. 또는 자신이 자발적으로 공개하진 않았더라도 합법적으로 공개가 강제된 정보(예를 들어, 자신의 소유회사의 공시정보) 등도 여기에 포함되어야 할 것이다. 모두가 아는 정보를 나 한사람이 더 취득하는 것은 감시가 아니기 때문이다.

현행 개인정보보호법을 잘 살펴보면 실제 이미 이렇게 되어 있다. 호주, 캐나다, 싱가포르, 인도, 벨기에 등에서는 아예 명시적으로 ‘일반적으로 공개된 정보’에 대해서는 개인정보보호법의 적용을 배제하고 있다. 2004년 APEC도 ‘일반적으로 공개된 정보’에 대한 정보주체의 선택권을 제한할 수 있다고 하였다. 2000년에도 EU와 미국은 1995년 EU디렉티브가 미국정보처리자의 EU인들의 개인정보처리가 저해되는 것을 막기 위해 세이프하버 협정을 체결한 바 있는데 ‘일반적으로 공개된 정보’는 EU디렉티브 적용대상이 아니라고 합의한 바 있다. 1980 OECD가이드라인이 ‘프라이버시 침해 위험이 없는 정보’에는 적용되지 아니한다고 명시하였다.

사실 개인정보보호규범의 가장 급진적 형태인 1995년 EU디렉티브 역시 “언론 목적”의 개인정보처리는 규제대상이 아님을 명시하고 있는데 여기에서의 “언론”이란 반드시 신문, 방송 등의 전통적인 언론사에 의한 보도만을 의미하는 것이 아니라 “일반대중에게 정보를 공개하는” 모든 행위를 말하는 것이다. 모두가 알게 될 정보의 취득은 더 이상 상대에 대한 ‘정보감시’로서 기능을 할 수 없음을 생각하면 당연한 귀결이다. 물론 필리핀, 타이완 및 역시 EU디렉티브처럼 “언론 목적”의 정보처리는 개인정보보호법의 적용이 배제된다. 단, 일본과 우리나라의 경우 EU디렉티브의 원래 취지와는 달리 언론을 업으로 하는 자에게만 적용되는 것으로 명시되어 있어 정보접근권에 대한 과도한 제약이 예상된다.

‘일반적으로 공개된 정보’까지 정보주체의 통제대상이 된다면, 감시를 막기 위해 도입된 개인정보보호법이 우리 동료들에 대한 사상통제로 기능하는 우를 범하게 될 것이다. 결국은 우리 동료들이 무슨 정보를 취득하는지 감시하는 것이 개인정보보호법의 결과가 되어 버린다. 개인정보보호규범으로 보호하려고 했던 것은 프라이버시다. 정보의 소유권을 이야기하지 말고 프라이버시를 이야기하자.

 

박경신(오픈넷 이사/고려대 법학전문대학원 교수)

 

* 위 글은 경향신문(2014년 06월 26일자)에도 기고하였습니다.