기사 공유하기

[divide style=”2″]

개인정보, 무엇을 어떻게 보호할 것인가

  1. AI 시대, 세계 각국의 개인정보 보호제도
  2. 대한민국 발명품 ‘가명정보’, 그것이 문제로다
  3. 개인정보 주체가 더 두텁게 권리를 보호받으려면
  4. 개인정보처리자의 책임성 강화: 아홉 가지 제언
  5. 범죄예방와 개인정보: ‘EU 경찰 디렉티브’를 중심으로
  6. 국가인권기구와 개인정보 감독기관
  7. 개인정보, 무엇을 어떻게 보호할 것인가

[divide style=”2″]

 

세계 각국은 새로운 기술과 서비스 개발에 필요한 개인정보의 안전한 활용을 촉진하면서도 증가하는 개인정보 침해 위협에 대응하기 위한 법제의 개편을 시도하고 있다.

대표적인 것이 유럽연합의 일반개인정보보호규정(GDPR)이다 . 유럽평의회가 1981년 채택한 [개인정보의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약]  (‘108호 협약’)은 개인정보 보호를 위한 구속력 있는 유일한 국제협약이다.

유럽연합(EU) 일반 데이터 보호 규칙(GDPR)
유럽연합(EU) 일반 데이터 보호 규칙(GDPR)

한국 정부 역시 2010년대 초반부터 빅데이터 등 신기술 발전에 대응하여 개인정보 보호 규범의 변화를 도모해왔다. 그러나 그 방향은 주로 빅데이터 산업 활성화를 명분으로 개인정보 보호를 완화하는 것에 맞추어졌다. 소위 ‘데이터 3법’이 2020년 1월 9일 국회를 통과하여 같은 해 8월 5일 시행되었다. 데이터 3법의 주요 내용은 크게 두 가지이다.

  1. 첫째는 정보주체의 동의 없이 과학적 연구 통계작성 공익적 기록보존 등의 목적으로 가명정보를 이용할 수 있는 근거를 마련하는 것이고,
  2. 둘째는 개인정보의 오용남용 및 유출 등을 감독할 감독기구는 개인정보보호위원회로, 관련 법률의 유사 중복 규정은 개인정보보호법으로 일원화하는 방향으로 법제를 체계적으로 정비하는 것이다.

데이터3법

본 연구는 빅데이터와 인공지능 등 신기술 환경에서 개인정보 자기결정권을 보호하기 위한 국내 법제도 개선 방안의 도출을 목적으로 한다. GDPR, 108 협약, OECD 및 유엔 가이드라인 등 개인정보 보호 국제 규범에 대한 면밀한 검토와 국내 법제와의 비교 분석을 통해 국내 법제에서 도입이 필요한 이슈들을 도출하고 국내 환경에서 어떻게 도입하면 좋을지 적절한 방안을 권고하고자 한다.

개인정보 보호위원회와 국가인권위원회 사이의 역할 정립도 필요하다. 특히 인공지능이 인권에 미치는 영향은 비단 개인정보 문제에 국한하지 않고 표현의 자유 차별 등 인권 전반에 폭넓게 미치는 만큼 국가인권위원회가 해야 할 역할이 크다.

[dropcap font=”arial” fontsize=”33″]본 연구의 내용 및 범위[/dropcap]를 개괄하면 다음과 같다.

  1. 세계 각국의 개인정보 보호제도: 빅데이터 인공지능 등 신기술의 발전에 대응하여 OECD, 유럽연합 미국 및 일본 등 세계 각국의 개인정보 규범이 최근 몇 년 동안 어떻게 변화하였는지를 중심으로 살펴보았다.
  2. 국내 개인정보 보호법제의 과제: 국내 개인정보 보호 법제의 최근 과제를 다루었다. 데이터 3법을 둘러싼 논란을 검토하고, 향후 개인정보 보호 법제를 어떻게 개선해야 하는지 큰 방향을 제시하고자 하였다. 이와 같은 국내외 현황 분석과 개선 방향을 토대로 중요한 이슈별로 구체적인 개선방안을 검토하였다(3편~6편).
  3. 정보주체의 권리보호 강화 방안: 열람권 등 기존 정보주체의 권리들을 GDPR 및 미국 캘리포니아 소비자 프라이버시 보호법(CCPA) 등의 내용과 비교하면서 개선방안을 제시하였다. 또한, 국내에서도 실효성 논란이 제기되고 있는 동의 제도가 어떻게 개선되어야 하는지 살펴보았다.
  4. 개인정보처리자의 책임성 강화 방안: 해외 규범을 참고하여 개인정보 영향평가 설계 및 기본설정에 의한 개인정보 보호 등 개인정보처리자의 책임성을 강화하기 위한 다양한 제도를 분석하였다.
  5. 범죄예방 및 수사 등 분야에서 개인정보 보호 방안: 범죄예방과 수사 등 분야에서 개인정보 보호 이슈를 다루었는데 유럽연합의 경찰 디렉티브의 주요 내용을 검토하고 국내 법제의 개선방안에 대해 제안하였다.
  6. 국가 인권기구와 개인정보 감독기관: 개인정보 보호 분야에서 국가인권기구와 개인정보 감독기관의 역할을 분석하고 상호 역할 분담 및 협력하는 국내외 사례를 검토하면서 향후 국가인권기구가 해야 할 역할을 제안하였다.
  7. 개인정보, 무엇을 어떻게 보호할 것인가: 이 연구의 결론과 함께 향후 구체적인 정책 및 입법이 되어야 할 사항들을 정책권고로 제안하였다.

 

[divide style=”2″]

AI 시대, 세계 각국의 개인정보 보호제도

 

빅데이터 인공지능 등 신기술의 발전에 대응하여 OECD, 유럽연합 미국 및 일본 등 세계 각국의 개인정보 규범이 최근 몇 년 동안 어떻게 변화했는지를 살펴보자.

OECD와 유엔 등의 개인정보보호 규범

각국의 개인정보 보호 법제의 형성에 지대한 영향을 미친 최초의 국제 규범으로 1980년에 경제협력개발기구(OECD)가 작성한 [프라이버시 보호와 개인정보의 국제유통에 대한 가이드라인] (일명 ‘OECD 프라이버시 가이드라인’)도 자동화된 개인정보처리의 발전과 방대한 개인정보들의 국경을 넘는 유통을 배경으로 한다.

그 이후 빅데이터, 사물인터넷, 인공지능 등 신기술이 급속하게 발전하고 있으며, 인터넷과 모바일 기기의 확산으로 전 세계 이용자를 대상으로 한 상품과 서비스의 세계적인 유통이 활성화되면서 개인정보를 수집, 처리하는 방식도 국경을 넘어 계속 달라지고 있다. 개인정보 보호 규범도 이러한 기술, 사회, 경제적 환경의 변화에 대응하여 발전하고 있으며, 각 국의 서로 다른 규범이 통일화되는 경향도 강화되고 있다.

OECD의 2013년 가이드라인은 기존의 가이드라인에 비하여 위험 관리에 기반한 접근을 통한 프라이버시 보호의 실질적인 이행, 상호운용성 증진을 통한 국제적인 차원의 프라이버시 대응 노력의 필요성이 보강되었는데 특히 개인정보처리자의 ‘책무성 이행’이 새롭게 추가되었다.

OECD는 2013년 프라이버시 가이드라인을 개정했다.
OECD는 2013년 프라이버시 가이드라인을 개정했다.

유엔은 특히 2013년 에드워드 스노든이 정보기관에 의한 인터넷 대량 감시를 폭로한 이후, 총회 및 인권이사회의 반복적인 결의안을 통해 독립적인 감독을 비롯하여 디지털 시대 프라이버시 보호를 위한 적절한 조치를 취할 것을 각국 정부에 촉구하고 있다. 2015년 3월 26일 유엔 인권이사회는 프라이버시 특별보고관을 신설(2015)하였으며, 첫번째 특별보고관으로 임명된 조셉 카나타치는 2019년 7월 한국을 공식 방문하여 프라이버시 보호 실태를 조사하였다.

에드워드 스노든은 NSA가 거대 인터넷 기업들을 통해 전 세계를 감시하고 있음을 2013년 가디언을 통해 폭로했다.
에드워드 스노든은 NSA가 거대 인터넷 기업들을 통해 전 세계를 감시하고 있음을 2013년 가디언을 통해 폭로했다.

1981년에 유럽평의회가 체결한 [개인정보의 자동화된 처리에 관한 개인의 보호를 위한 협약] (일명 ‘108호 협약’)은 개인정보 분야에서 유일하게 법적으로 구속력 있는 국제협약으로 남아있다. 2001년에는 108호 협약의 추가 의정서가 채택이 되었는데, 비회원국인 제3국으로의 개인정보 이전 문제, 국가 개인정보 감독기관의 의무적 설립 문제를 다루고 있다. 이후 추진된 108호 현대화 협약은 추가 의정서의 규정들을 흡수하고, 새로운 정보통신기술의 활용에 따른 문제들에 대응하는 한편으로 협약의 효과적인 이행을 강화하는 데 그 목표를 두었다.

유럽연합의 개인정보 보호법제

유럽연합의 주요 개인정보 보호법제로는 우선 1995년 10월 채택된 개인정보보호 디렉티브(95/46/EC)가 기존 각 국의 법률과 유럽평의회 108호 협약을 기본으로 하면서, 이를 확대하였다. 특히 개인정보 보호 규범에 대한 준수를 강화하기 위해 독립적인 감독기관을 도입했는데, 이는 2001년에 108호 협약 추가 의정서 채택에 영향을 주었다. 이처럼 유럽연합과 유럽평의회의 규범들은 상호 작용을 하면서 긍정적인 영향을 미치고 있다.

  • 디렉티브(Directive): EU 회원국이 자국법을 검토해 자국 상황에 맞게 반영(교체)할 수 있도록 한 지침.

그러나 유럽연합의 지침은 직접적인 효력(×)을 가지는 것이 아니라 회원국의 국내법에 반영되어야(0)한다. 이에 따라 개인정보보호 디렉티브가 회원국 간의 법제 조화를 목표로 했음에도 불구하고, 실제로는 회원국 사이에 서로 다른 방식으로 법제화되었다. 집행이나 제재의 수준도 나라마다 편차가 있었다.

한편, 90년대 중반 이후 정보통신기술은 상당한 발전을 이루었고 개인정보 보호 규범에도 이러한 변화를 반영할 필요성이 제기되었다. 이러한 개혁의 요구들이 2016년 4월 일반개인정보보호규정(GDPR; General Data Protection Regulation)의 채택으로 이어졌다. GDPR은 2년 동안의 준비 기간을 거쳐 2018년 5월 25일 발효 되었다.

유럽연합의 개인정보보호법(GDPR)은 프라이버시 보호를 기본에 두고 설계됐습니다.
2016년 4월 채택된 유럽연합의 일반개인정보보호법(GDPR: General Data Protection Regulation)은 2018년 5월 25일 발효됐다.

또한, 유럽연합의 개인정보보호 디렉티브가 경찰 및 형사사법분야에 적용되지 않았던 문제를 개선하여 2016년에 ‘경찰 및 형사사법당국을 위한 디렉티브(Directive 2016/680)’(일명 ‘경찰 디렉티브’)가 의결되어 2018년 5월 GDPR과 함께 발효 되었다.

한편 유럽연합은 전자통신분야에 특화된 디렉티브로 2002년 채택된 ‘프라이버시 및 전자통신에 관한 지(혹은 e-Privacy 디렉티브)’을 가지고 있다(Directive 2002/58/EC). 2017년 1월, 유럽연합 집행위원회는 e-Privacy 디렉티브를 대체하는 새로운 e-Privacy 규정안을 채택하였다.

GDPR이 유럽연합 기본권 헌장 제8조(개인정보보호)를 주로 규율한다면, e-Privacy 규정은 기본권 헌장 제7조(사생활존중권)를 유럽연합 법체계에 통합하려는 것이다. 이 규정은 이전 지침의 규정을 신기술 및 시장 현실에 적용하고 포괄적이며 GDPR과 일관된 체계를 수립하고자 한다.

일반개인정보보호규정(GDPR)의 주요 특징 

개인정보보호 디렉티브와 달리 GDPR은 회원국의 국내법을 통하지 않고 직접적으로 적용(0)된다. 물론 GDPR 채택 이후 유럽연합 각국은 자국의 개인정보 보호법을 개정하였는데, 이는 한편으로는 GDPR과의 일관성을 유지하면서도 다른 한편으로는 GDPR에서 허용하고 있는 범위 내에서 각국의 재량에 따른 규범을 도입하기 위한 것이다. GDPR이 기존의 규범과 달라지는 주요 특징들은 다음과 같다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, GDPR의 제정 목적 중의 하나가 ‘디지털 단일시장에 적합한 통일되고 단순화된 프레임워크’를 구축하고자 한 것인데, 이를 위해 원스탑샵 메커니즘(One-Stop-Shop mechanism)을 도입하였다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, GDPR은 정보주체의 권리를 강화하였다. 개인정보의 정의는 기존 디렉티브와 크게 달라지지 않았지만, IP 주소와 같은 온라인 식별자(online identifier)를 개인정보 정의 규정에 명시하였고, 생체인식정보와 유전정보를 민감정보에 포함하였다. 자유롭게 주어지고, 특정되며, 정보에 기반(freely given, specific and informed)하도록 한 기존 동의의 정의에 모호하지 않아야 한다(unambigous)는 조건이 추가되었고, 제7조에서 유효한 동의의 요건, 제8조에서는 정보사회 서비스와 관련하여 아동의 동의가 유효하기 위한 조건을 상세하게 규정하였다. 이전 지침에서 규정되어 있었던 정보주체의 권리로서 삭제권과 열람권도 보다 세부적으로 규정되었으며, 새로운 정보주체의 권리로서 개인정보 이동권(right to data portability)이 추가되었다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 컨트롤러의 책임성을 강화하기 위하여 새롭게 강화된 조치들이 도입되었다. 우선 개인정보 보호와 관련하여 컨트롤러를 자문하고 감독하는 지위를 가진 DPO(Data Protection Officer)를 도입하였고, 컨트롤러에게 침해 위험이 큰 처리 활동에 대해서 개인정보 영향평가를 수행하도록 하고, 설계 및 기본설정에 의한 개인정보 보호를 일반 의무로 부여하는 한편, 개인정보 처리활동에 대한 기록을 유지하도록 하였다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 위험성이 큰 개인정보 침해사고가 발생한 경우, 감독기관 및 정보주체에게 통지하도록 하는 개인정보 침해통지 제도도 확대하였고, 규범 위반에 대한 제재도 강화하였다. 기존 디렉티브와 달리 GDPR에서 정보주체는 컨트롤러 뿐만 아니라 프로세서에게도 보상을 요구할 수 있다. 또한, 디렉티브와 달리 GDPR은 권리 침해에 대한 사법적 구제를 정보주체의 ‘권리’로 규정하고 있다. 개인정보 감독기관의 위상과 권한도 기존 디렉티브에 비해 더욱 상세하게 규정하고 있다.

[dropcap font=”arial” fontsize=”27″][/dropcap]섯째, GDPR은 사실상 전 세계에 영향을 미치는 국제규범이 되고 있다. 유럽연합 시민의 개인정보를 처리하는 전 세계 기업 및 기관도 GDPR을 준수해야 하고, 유럽연합 시민의 개인정보가 역외의 제3국으로 이전될 경우 적정성 결정 등 다양한 제도를 적용받기 때문이다.

일반개인정보보호규정(GDPR)
일반개인정보보호규정(GDPR)

GDPR 시행 2년의 평가

2020년 유럽연합 집행위원회는 GDPR에 관한 첫 번째 평가를 수행하고 그 보고서를 공개하였다. 집행위원회는 우선 GDPR이 디지털 전환과 그린 뉴딜을 위한 여러 사업들의 기반이라는 점을 강조하고 있다. 신기술 환경에서 개인정보 보호 규범에 대한 정립과 신뢰가 없다면 디지털 경제의 발전도 불가능하기 때문이다. GDPR 시행과 관련해서는 2년의 기간은 아직 어떤 확고한 결론을 내리기에는 이른 시점이지만, 개선이 필요한 점이 있음에도 불구하고 GDPR 제정 목적을 달성했다는 것이 대체적인 견해라고 평가했다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 우선 GDPR 집행 측면에서는 감독기관들이 경고, 질책(reprimand), 과징금(fines), 임시적·최종적 처리 제한 등 강화된 자신의 권한을 균형있게 사용해왔다고 평가했다. 침해의 정도에 따라 과징금의 경우 수천 유로에서 수백만 유로가 부과되기도 했다. 반면 시민단체 엑세스 나우는 2019년 GDPR 집행 활동이 급증하기는 했지만, 진정 건수에 비해 낮은 수준의 과징금 부과 건수 등 시장과 이용자가 그 영향력을 느끼기에는 아직 부족하다고 평가했다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 협력 및 일관성 메커니즘 측면에서는 감독기관들이 주로 거대 기술기업과 관련된 다국적인 문제에서 원스탑샵 메커니즘(60조) 및 상호 지원(61조)을 통해 협력을 발전시켜왔다고 긍정적으로 평가하였다. 그러나 국경간 분쟁의 효과적인 처리를 위한 절차나 관행의 차이 해소 등 개선이 필요하다는 평가이다.

GDPR의 일관된 적용(일관성 메커니즘)을 위해서는 유럽개인정보보호이사회(EDPB)의 역할이 중요하다. 2019년 12월까지 유럽개인정보보호이사회(EDPB)는 제64(1)조에 따른 의견서를 36개, 제64(2)조에 따른 의견서(한 개 이상의 회원국에서 적용되는 문제에 대한 EDPB의 의견서)를 6개 채택하였는 바, 유럽개인정보보호이사회(EDPB)의 의견이 GDPR의 일관된 해석에 도움이 되어 왔다고 평가하였다.

그러나 시민단체인 엑세스 나우는 원스탑샵 시스템이 국경간 분쟁을 효과적으로 해결하고 기관간 협력을 요하는 사건을 원활히 처리할 수 있을지 의문을 제기하며 특정 국가 감독기관보다 유럽개인정보보호이사회(EDPB)의 역할이 핵심적이라고 지적하였다.

시민단체 나우는 EDPB의 역할을 강조했다.
시민단체 엑세스 나우는 국경간 분쟁의 해결과 기관간 협력을 요하는 사건에서 유럽개인정보보호이사회(EDPB)의 역할을 강조했다.

감독기관의 자원 측면에서는 전반적으로 인적, 재정적으로 부족한 상태이며, 회원국 간에도 불균등하다는 것이 집행위원회, 유럽개인정보보호이사회(EDPB), 엑세스 나우 등의 공통된 평가이다. 특히 엑세스 나우는 감독기관이 자원이 부족할 경우, 법 집행이 안되고 법이 무시되는 상황이 벌어질 수 있다고 경고하며, 자원이 풍부한 거대 기술기업과 소송이 벌어졌을 때 장기간의 소송 보다 기업에 유리한 합의를 할 가능성을 우려하였다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 개인정보 규범의 조화 측면에서 보았을 때, 유럽연합 역내에서 통일적인 단일 규범을 적용하려는 GDPR 주요 제정 목적에도 불구하고 정보사회 서비스에 동의할 수 있는 아동의 연령 등 일정한 분절(fragmentation)이 여전히 남아있다. 또 하나의 문제는 개인정보 보호와 표현의 자유 사이의 조화 문제로서, 엑세스 나우도 많은 공공기관들이 언론의 자유나 시민사회 활동을 제약하기 위해 GDPR을 남용하고 있다고 비판하였다. 한편, 집행위원회와 유럽개인정보보호이사회(EDPB)는 건강 및 연구 목적의 민감정보 처리 금지 예외의 경우나 과학적 연구를 위한 개인정보 처리와 관련한 통일된 규범 수립을 위해 노력하고 있다.

[dropcap font=”arial” fontsize=”27″][/dropcap]째, 정보주체의 자기정보 통제권의 강화 측면에서 집행위원회는 개인들이 자신의 권리를 점차 인지해가고 있으며, GDPR은 절차적인 권리도 강화했는데 대표소송에 관한 디렉티브(Directive on representative actions)가 채택되면 각 회원국에서 집단 소송을 활성화하고 국경간 소송 비용을 낮출 수 있을 것으로 전망했다. 또한 개인정보 이동권의 잠재력을 발전시키는 것이 집행위원회의 우선순위가 될 것이라고 한다.

[dropcap font=”arial” fontsize=”27″][/dropcap]섯째, GDPR의 적용이 특히 중소기업에게 위협이 된다는 지적에 대하여 집행위원회는 기업 규모에 따라 예외를 적용하는 것은 부적절하다고 보았다. 다만, 감독기관들이 개인정보 침해 위험이 적은 중소기업들의 GDPR 이용을 도울 수 있다.

[dropcap font=”arial” fontsize=”27″][/dropcap]섯째, GDPR의 원칙을 인공지능, 블록체인, 사물인터넷, 얼굴인식 등 특정 기술에 어떻게 적용할지 명확히 할 필요가 있고 계속적인 모니터링이 필요하다.

[dropcap font=”arial” fontsize=”27″][/dropcap]곱째, GDPR은 개인정보의 국제적인 이전을 위하여 적정성 결정 등 여러가지 도구들을 제공하고 있다. 유럽연합은 2019년 2월 일본과 적정성 결정을 체결하였으며, 한국과는 진전된 단계(advanced stae)이며 아시아 및 남미 국가들과 모색을 위한 대화(exploratory talk)를 진행 중이다.

유럽개인정보보호이사회(EDPB)는 일본의 사례와 같은 추가적인 규칙에 의존하는 적정성 구조가 지속가능하고 신뢰할 수 있는 시스템인지 보장할 필요가 있다고 촉구하였다.

[dropcap font=”arial” fontsize=”27″][/dropcap]덟째, 개인정보 분야의 수렴(convergence) 및 국제 협력의 증진 측면에서, 집행위원회는 GDPR을 모델로 하여 전 세계의 개인정보 보호 법제가 수렴되는 현상을 바람직한 것으로 평가하며, 그러한 방향에서 글로벌한 대화를 강화하겠다고 밝혔다. 다만 유럽개인정보보호이사회(EDPB)는 집행위원회가 국제 무역협상에서 데이터의 자유로운 흐름에 대한 논의 이전에 GDPR이나 적정성 결정에 따른 강력한 개인정보 보호를 제공할 필요가 있다고 지적하였다.

유럽사법재판소의 개인정보 관련 주요 결정

2015년 유럽사법재판소는 세이프 하버 협정 무효(2015)라고 판결하였다(이른바 ‘슈렘스 Ⅰ 판결’). 세이프 하버 협정을 수립한 EC 결정 2000/520은 미국이 자국 법이나 국제조약을 통해 사실상 동등한 보호 수준을 보장할 것을 언급하지 않았으며 따라서 세이프 하버 원칙의 내용을 살펴볼 것도 없이, EC 결정 2000/520의 1조가 개인정보보호지침 25(6)조에서 명시한 요구조건을 준수하지 못했으므로 무효이다.

  • 세이프 하버 협정: 2000년에도 EU와 미국은 1995년 EU디렉티브가 미국 정보처리자의 EU인에 대한 개인정보처리 저해를 막기 위해 세이프하버 협정을 체결한 바 있는데 ‘일반적으로 공개된 정보’는 EU디렉티브 적용 대상이 아니라고 합의한 바 있다. (관련 링크)

더불어 EC 결정 2000/520의 3(1)조는 국가 감독기관의 권한을 규정하고 있는데, 국가 감독기관이 매우 제한적인 조건에서만 개입할 수 있도록 하고 있다. 이는 국가 감독기관의 권한을 부인하는 것으로 3(1)조의 채택은 집행위원회의 권한을 넘어서는 것으로서 무효이다.

유럽사법재판소는 제3국의 개인정보 보호 수준이 실질적으로 유럽연합의 보호 수준과 동등해야 한다고 보고 있으며, 정보수사기관 등이 개인정보에 접근할 때에도 필요성과 비례성의 원칙을 준수하고 정보주체에게 적절한 구제수단을 제공해야 함을 중요하게 판단하고 있다는 점, 그리고 집행위원회에 의해 적정성 결정이 체결되더라도 향후에 개별 국가의 감독기구에 의해 다른 판단이 내려질 수도 있다는 점은 현재 유럽연합과 적정성 결정을 추진하고 있는 한국 입장에서도 심각하게 고려해야할 내용이다.

세이프 하버(피난항; 여기선 '저작권 침해 면책'의 의미)
세이프 하버(피난항; 여기선 ‘저작권 침해 면책’의 의미)

 

유럽사법재판소 판결 이후, EU 집행위원회와 미국 정부는 세이프 하버 협정을 대체할 새로운 체제를 협의하였고, 2016년 7월 12일 프라이버시 쉴드 협정을 체결하였다(2016/1250 결정). 유럽사법재판소는 2020년 7월 16일 내린 C-311/18 판결에서, 프라이버시 쉴드 협정 역시 미국의 국가안보, 공익, 법집행 요구 조건을 우선시 하여 미국으로 이전된 개인정보 주체의 기본권이 침해되고 있다고 보고 무효로 판결하였다(이른바 ‘슈렘스 Ⅱ 판결’).

유럽사법재판소는 국가안보를 목적으로 미 당국의 개인정보 접근을 가능하게 하는 법률의 제도적 보호조치 및 정보 접근과 관련하여 정보주체에게 명확한 정보 제공 등의 권리 보장이 필요한데, 미 당국의 정보접근 및 감시 프로그램을 감독하는 옴부즈만 제도가 GDPR 58(2)조에 비례한 독립성을 보장하고 있지 못하며, 미 당국을 대상으로 유럽연합의 정보주체가 제기할 수 있는 권리 이행 방안이나 법적 구제 방안이 미흡하다고 판결하였다.

2016년 10월 19일, 유럽사법재판소는 C-582/14 판결에서 IP주소, 특히 인터넷에 연결할 때마다 매번 변화하는 유동 IP 주소가 개인정보라고 판결하였다. 유럽사법재판소는 어떤 정보가 개인정보가 되기 위해서 “정보주체의 식별을 위한 모든 정보가 한 사람의 손에 있어야 하는 것은 아니”라며, ISP에서 이용자를 식별할 수 있는 추가정보를 보유하고 있는 한 유동 IP주소의 이용자는 형사절차 과정 등에서 식별될 수 있다는 것이다.

2014년 5월 13일, 유럽사법재판소는 C-131/12 판결에서 구글이 검색 결과 목록에서 한 이용자의 경제적 어려움에 대한 오래된 정보를 삭제할 의무가 있는지에 대한 판결에서 그러한 의무를 인정하였다(이른바 ‘잊힐 권리’ 판결). 이 판결에서 유럽사법재판소는 구글이 정보를 찾아 웹을 검색(크롤링)하고 검색 결과 제공을 위해 콘텐츠를 인덱싱할 때, 유럽연합 법 하에서 책임과 의무를 가진 컨트롤러가 된다고 보았다.

잊힐 권리
잊힐 권리

다음으로 검색엔진 운영자의 활동도 개인정보의 ‘처리’라고 보았다. 유럽사법재판소는 인터넷 검색 엔진 및 개인정보를 제공하는 검색 결과가 개인에 대한 상세한 프로파일을 구축한다고 보았으며, 그 개인정보 처리가 더 이상 필요하지 않거나 시기가 지난 것(outdated)일 때 검색엔진에도 정보주체의 삭제권이 적용된다.

‘잊힐 권리’에 대한 유럽사법재판소의 판결은 개인정보 보호와 표현의 자유를 둘러싼 전 세계적인 논란을 촉발시켰다. 유럽사법재판소는 2019년 잊힐 권리와 관련된 후속 판결 두 개로 이 문제에 대한 좀 더 진전된 기준을 제시하였다.

2019년 9월 24일 C-136/17 판결에서 유럽사법재판소는 구글 스페인 판결에서와 마찬가지로, 검색 엔진 역시 컨트롤러로서 민감 정보의 처리에 대해 책임을 진다고 보았다. 그런데 검색 엔진은 정보주체의 기본권과 일반 대중의 정보 자유의 균형을 맞추어야 한다. 이 때 문제가 되는 정보의 성격이나 정보주체의 사생활에 미치는 민감성과 정보에 접근할 일반 대중의 이익을 고려해야 하는데, 이는 공적 영역에서 정보주체의 지위에 따라 달라질 것이다. 또 C-507/17 판결에서는 잊힐 권리가 모든 유럽의 도메인 영역에 적용된다고 판결하였다.

특히 유럽사법재판소는 여러 판결을 통해 개인정보 감독기관의 ‘완전한 독립성’의 의미를 구체화하였다. 특히 독일 개인정보 감독기관에 대한 C-518/07 판결에서 개인정보 감독기관들이 지침에서 보장된 개인정보 처리와 관련된 권리의 ‘수호자’이며, 완전히 독립적인 감독기관의 설치는 “개인정보의 처리와 관련하여 개인을 보호하기 위한 필수적인 구성요소”라고 강조하였다.

 

유럽사법재판소(Court of Justice of the European Union, CJEU)
유럽사법재판소(Court of Justice of the European Union, CJEU)

개인정보 감독기관이 ‘완전한 독립성’을 가지고 기능하는 것에 대한 법적 요건은 피감독 기관들로부터의 영향만이 아니라 국가나 주의 직접 또는 간접적인 영향을 포함하여, 어떠한 외부의 영향력으로부터도 자유로운 의사결정 권한을 의미한다.

C-614/10 판결에서는 오스트리아의 개인정보 보호 감독기관의 상임위원 및 사무처의 직제에 있어서 완전히 독립적이지 않다고 보았고, C-288/12 판결에서는 헝가리의 개인정보 보호 감독기관의 재직기간이 전 임기를 보장하고 있지 않다는 점에서 완전히 독립적이지 않다고 보았다.

미국

미국은 유럽연합 등 다른 나라에 비해 상대적으로 빅데이터의 활용에 유리한 법적 환경을 가지고 있는 것으로 통상적으로 평가받고 있지만, 2010년 3월 미 연방거래위원회(FTC)는 인터넷 사용자들의 프라이버시 보호를 위해 [급속한 변화의 시대의 소비자 개인정보 보호] 보고서를 발간하는 등 오바마 정부 하에서 미국 역시 빅데이터 등 변화하는 정보통신환경에 대응하여 개인정보 보호를 강화하는 움직임을 보여 왔다. 이러한 오바마 행정부의 개인정보 보호 강화 정책은 트럼프 행정부 내에서 이어지지 못했다.

2018년 6월 28일 캘리포니아 주에서 ‘캘리포니아주 소비자 프라이버시 보호법(The California Consumer Privacy Act of 2018, CCPA)’이 채택되었다. CCPA는 GDPR과 흡사하게 개인정보 보호에 대한 광범위한 내용을 규정하고 있으며, 캘리포니아 주에서 사업을 하는 일정 조건의 영리 기업에게만 적용된다는 한계가 있지만, 소비자 프라이버시 보호라는 관점에서 제정된 개인정보 보호법제라는 점, 주민의 제안에서 발의가 시작되었다는 점에서 큰 의의를 지닌다.

CCPA 통과 이후, 네바다 주의 ‘인터넷 프라이버시법’ 등 다수의 다른 주에서도 포괄적인 개인정보 보호법이 제안되었으며, 연방 차원에서도 포괄적인 프라이버시법이 제안되고 있다.

캘리포니아

일본

일본의 개인정보보호법은 2003년 5월에 제정된 후, 기술 환경의 변화에 대응하가 위해 2015년에 개정되었다. 개정 개인정보 보호법은 개인정보의 정의 명확화, 익명가공정보 개념 도입, 요(要)배려 개인정보 보호 강화, 추적가능성 조항, 명부업자에 대한 규제 강화, 개인정보 감독기관으로서 개인정보 보호위원회 설립 등의 내용을 담고 있다.

한편, 2019년 1월 23일 일본 개인정보 보호위원회와 유럽집행위원회는 양국의 개인정보 보호체계가 동등한 수준이라고 인정하는 상호 적정성 평가를 최종적으로 승인하였다. 이를 위해 일본 정부는 유럽연합에서 이전되는 개인정보에 대해서만 적용되는 보조규칙을 마련했다.

이는 일본의 개정 개인정보 보호법이 GDPR에 비추어 미흡한 부분이 있었기 때문인데, 보조규칙을 통해 GDPR과 동등한 수준을 확보하고자 한 것이다. 우리나라도 현재 유럽연합의 적정성 결정을 추진 중인데, 추가적인 보조규칙을 두기보다는 GDPR 수준으로 개인정보 보호법을 개정하는 것이 바람직하다.

 

[divide style=”2″]

[box type=”note”]

이 글은 2020년도 국가인권위원회 일반과제 실태조사 연구용역 최종보고서 [유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보보호 법제도 개선 방안 연구](2020. 11. 16.)의 요약문입니다. 보고서의 작성 주체는 사단법인 정보인권연구소이고, 연구 책임자는 이호중 이사장, 공동 연구원은 이은우 이사, 오병일 연구위원, 장여경 이사와 김재완 법학박사입니다. 더불어 보조연구원으로 정선화 진보네트워크센터 활동가가 참여했습니다. (편집자)

[/box]

관련 글