개인정보 자기결정권, 과하면 독(毒)이 된다

by | Jul 24, 2014 | 오픈블로그, 프라이버시 | 0 comments

개인정보 자기결정권, 과하면 독(毒)이 된다

글 | 박경신(오픈넷 이사/고려대 법학전문대학원 교수)

 

타인이 작성해서 인터넷에 올라온 ‘나’에 관한 합법 정보. 나에게 그 정보를 통제(결정)할 권리가 있을까?

정보 개인정보 프라이버시

Intersection Consulting, CC BY NC

 

자기 정보이니 통제할 수 있다는 건 ‘환상’

방송통신위원회는 2014년 6월 16, 17일 양일에 걸쳐 ‘온라인 개인정보보호 컨퍼런스’를 개최했다. 컨퍼런스는 2014년 5월에 있었던 ‘잊혀질 권리’에 관한 유럽사법재판소 결정에 따라 ‘잊혀질 권리’ 도입 검토를 위한 것이었다. “개인이 자신에 대한 정보에 대해 통제권을 가져야 한다”는 명제는 듣기는 좋아 보인다. 하지만 타인의 사상의 자유, 표현의 자유를 존중한다면 이는 성립하기 어렵다.

왜 그런가? “박경신은 교수다”와 같이 이미 일반적으로 알려진 정보를 내가 박경신이기 때문에, 즉 그 정보가 내 개인정보이기 때문에 통제할 수 있다는 것은 민주사회에서 불가능한 일이기 때문이다. 합법적으로 남들의 머릿속에 들어가 있는 정보가 나에 대한 명예훼손도 아니고 프라이버시 침해도 아닌데 내가 또 무슨 이유로 통제할 수 있다는 것인가?

개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”

– 개인정보 보호법 제2조 (정의) 중 제1호 “개인정보”

그렇다면, ‘자신에 관한 정보를 통제할 수 있다’는 환상을 갖도록 해준 ‘개인정보 자기결정권’의 원천은 무엇일까? 왜 실제로 세계의 많은 개인정보 보호법들이 개인에 대한 “모든” 정보를 개인정보로 정의하여 개인정보 처리자에게 여러 의무를 부과하는 것처럼 보이는 것일까?

 

‘개인정보 자기결정권’의 원천 ‘정보 감시’

개인정보 자기결정권의 원천은 바로 ‘정보감시’다. ‘정보감시’는 1967년 알란 웨스틴(Alan Westin)이 [프라이버시와 자유]에서 처음 쓴 말로, 사람이 살아가면서 자신에 대한 여러 정보를 정부기관이나 업체에 제공할 때, 이 정보가 원래의 제공목적과 달리 이용되거나 원래 수집기관이나 업체 밖으로 유출되어 자신에 대한 다른 정보와 합쳐지는 것을 말한다.

이렇게 될 경우 정보 보유자는 정보 제공자에 관해 제공받은 정보 이상의 그 무엇을 알 수 있다. 이를테면 정보 제공자의 다음 행동을 예측할 수도 있을 것이다. ‘감시’란 물론 도청, 압수수색, 미행과 같이 개인이 자발적으로 제공하지 않은 정보를 취득하는 것을 말하지만, 개인이 자발적으로 타인에게 제공한 정보가 축적되는 것만으로도 ‘감시’와 비슷한 결과가 나타나는 현상을 웨스틴은 ‘정보감시’라고 부른 것이다.

 

웨스틴, 정보감시 막기 위해 정보 ‘재산권’ 제안

이에 따라 웨스틴은 정보감시를 막으려는 방편으로, 정보 주체에게 자신에 대한 정보에 대해 일종의 ‘재산권’을 줄 것을 제안하였다. 이에 따라 대규모 개인정보 처리자는 개인정보를 수집할 때는 정보제공자에게 정보의 이용목적과 범위를 사전에 통보하고 이를 준수할 것을 주장하였다. 이렇게 되면 정보주체가 제공한 모든 정보의 축적과 이용은 자신이 동의한 범위 내에서만 이루어지므로 더 이상 ‘감시’라고 볼 수 없게 된다.

알란 웨스틴의 제안은 그 후 전 세계로 확산해 지금의 개인정보보호법이 되었고, 이러한 법률들이 보호하는 법익을 우리는 “개인정보 자기결정권”이라고 부르게 된 것이다.

알란 웨스틴

‘프라이버시의 아버지’ 알란 웨스틴 (출처: patientprivacyrights.org)

 

자기정보 ‘결정권'(통제권)을 행사할 수 있는 조건

결국 “개인정보 자기결정권”은 문언 그대로 해석할 것이 아니라 자신에 대한 정보를 “타인에게 제공할 때” 그 정보가 이용되는 범위와 목적을 통제할 권리를 의미하는 것이다. 즉, “결정권”은 바로 자신만 가지고 있던 정보가 외부로 나갈 때 행사할 수 있다. 따라서 자신이 자발적으로 조건 없이 일반에게 공개하여 이미 모두가 가지고 있는 정보 등에는 적용되지 않는 것이 당연하다.

‘박경신은 교수다’는 그런 정보에 포함될 것이다. 또는 자신이 자발적으로 공개하진 않았더라도 합법적으로 공개가 강제된 정보(예를 들어, 자신의 소유회사의 공시정보) 등도 여기에 포함되어야 할 것이다. 모두가 아는 정보를 취득하는 것은 감시가 아니다.

 

일반적으로 공개된 정보는 정보 통제 대상 아니다

현행 개인정보보호법을 잘 살펴보면 실제 이미 이렇게 되어 있다. 호주캐나다, 싱가포르, 인도, 벨기에 등에서는 아예 명시적으로 ‘일반적으로 공개된 정보’에 대해서는 개인정보보호법의 적용을 배제하고 있다. 2004년 APEC도 ‘일반적으로 공개된 정보’에 대한 정보주체의 선택권을 제한할 수 있다고 하였다. (관련 링크)

2000년에도 EU와 미국은 1995년 EU디렉티브가 미국 정보처리자의 EU인에 대한 개인정보처리 저해를 막기 위해 세이프하버 협정을 체결한 바 있는데 ‘일반적으로 공개된 정보’는 EU디렉티브 적용대상이 아니라고 합의한 바 있다. (관련 링크) 1980 OECD 가이드라인이 ‘프라이버시 침해 위험이 없는 정보’에는 적용되지 아니한다고 명시한 것은 위에서 살펴본 바와 같다.

  • 디렉티브(Directive): EU 회원국이 자국법을 검토해 자국 상황에 맞게 반영(교체)할 수 있도록 한 지침.

 

개인정보 보호법 규제대상 아닌 ‘언론’

사실 1995년 EU디렉티브 역시 “언론 목적”의 개인정보처리는 규제대상이 아님을 명시하고 있는데 여기에서의 “언론”이란 반드시 신문, 방송 등의 전통적인 언론사에 의한 보도 만을 의미하는 것이 아니라 “일반대중에게 공개하는” 행위를 말하는 것이다. (관련 링크) 모두가 알게 될 정보의 취득은 더 이상 상대에 대한 ‘정보감시’로서 기능을 할 수 없음을 생각하면 당연한 귀결이다.

물론 일본, 필리핀, 타이완 및 우리나라 역시 EU디렉티브처럼 “언론 목적”의 정보처리는 개인정보보호법의 적용이 배제된다. 단, 일본과 우리나라의 경우 EU디렉티브의 원래 취지와는 달리 언론을 업으로 하는 자에게만 적용되는 것으로 한정되어 있어 정보접근권에 대한 과도한 제약이 예상된다.

개인정보 보호법 제58조 (적용의 일부 제외)
① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집·이용하는 개인정보

– 개인정보 보호법 제58조 중 제1항

 

정보 통제권 지나친 강조는 ‘사상 통제’로 변질할 수 있다

‘일반적으로 공개된 정보’까지 정보주체의 통제대상이 된다면, 감시를 막기 위해 도입된 개인정보보호법이 우리 동료들에 대한 사상통제로 기능하는 우를 범하게 될 것이다. 개인정보 보호법으로 보호하려고 했던 것은 프라이버시다. 그런데 일반적으로 공개된 정보에까지 적용하려 하다 보면 우리 동료들이 무슨 정보를 취득하는지 감시하는 것이 개인정보 보호법의 결과가 되어 버린다.

정보의 소유권을 이야기하지 말고 프라이버시를 이야기하자.

프라이버시

Boring Lovechild, CC BY NC SA

‘프라이버시(권)’?

대한민국 헌법 17조는 “모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다”고 규정한다. 이 권리는 미국의 프라이버시권에서 유래했다. 프라이버시권을 어떻게 개념 규정(의의)할지에 관해서는 크게 세 가지 학설이 갈린다.

  • 1설(소극설): 사생활의 평온을 침해받지 아니하고 사생활의 비밀을 함부로 공개당하지 아니할 권리. 전통적이고 소극적인 프라이버시 개념.
  • 2설(절충설): 프라이버시권을 소극적으로는 ‘사생활을 함부로 공개당하지 아니하고 사생활의 평온과 비밀을 요구할 수 있는 법적 보장’으로 이해하지만, 적극적으로는 ‘자신에 관한 정보를 관리, 통제할 수 있는 법적 능력’으로 이해한다. 우리나라 다수설.
  • 3설(적극설): 프라이버시권을 개인의 행동의 자유영역까지 확장해 1) 결사 2) 신체의 불가침 3) 도청당하지 않을 권리 4) 자기정보통제권 5) 결혼과 출산 그리고 자녀 양육에서의 프라이버시 등을 인정한다. 미국 판례 입장.

즉, 우리나라는 자기정보 통제권을 사생활의 비밀과 자유에 포함할지에 따라 학설이 대립하고 있다고 볼 수 있다.

– 연제혁, 헌법 제17조 사생활의 비밀과 자유에 대한 소고, 경희대학교: 2009. 에서 발췌

 

참고 문헌

Graham Greenleaf, “Private sector uses of ‘public domain’ personal data in Asia: What’s public may still be private” (2014) 127 Privacy Laws & Business International Report, 13-15
: 싱가포르, 인도, 필리핀, 타이완의 개인정보 보호법에 관한 규정을 확인하기 위해 참고.

* 위 글은 슬로우뉴스에도 게재하고 있습니다.

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글