기사 공유하기

[divide style=”2″]

개인정보, 무엇을 어떻게 보호할 것인가

  1. AI 시대, 세계 각국의 개인정보 보호제도
  2. 대한민국 발명품 ‘가명정보’, 그것이 문제로다
  3. 개인정보 주체가 더 두텁게 권리를 보호받으려면
  4. 개인정보처리자의 책임성 강화: 아홉 가지 제언
  5. 범죄예방와 개인정보: ‘EU 경찰 디렉티브’를 중심으로
  6. 국가인권기구와 개인정보 감독기관
  7. 개인정보, 무엇을 어떻게 보호할 것인가

[divide style=”2″]

개인정보 보호라는 가치와 범죄수사  등 공공의 안전을 지켜야 하는 가치가 충돌할 때 어떤 기준으로 개인정보를 보호해야 할까. 혹은 어떤 기준으로 개인정보 보호 기준을 완화해야 할까. 이에 관해 유럽연합의 개인정보 보호법이라고 할 수 있는 ‘GDPR’(일반개인정보정보보호규정)을 기준 삼아서 찬찬히 살펴보도록 하자.

GDPR의 적용 예외로서 ‘범죄수사 등’

GDPR은 “범죄의 예방, 수사, 적발 또는 기소, 형사제재의 집행 그리고 공공의 안전에 대한 위협의 방지 및 그 위협으로부터 공공의 안전의 보호를 목적으로 관할기관에 의해 이루어지는 개인정보의 처리”에는 적용되지 않는다. 그 대신 유럽연합은 GDPR 제정과 같은 날 ‘범죄수사 등’의 영역에서 개인정보 보호를 위하여 회원국들이 적용해야 할 지침으로 일명 ‘경찰 디렉티브’(DIRECTIVE (EU) 2016/680)를 제정하였다. GDPR과는 달리 디렉티브는 법적 강제력은 없지만, EU 회원국은 범죄수사 등의 영역에 적용되는 국내입법에서 디렉티브에 규정된 내용을 반영해야 한다.

여기에서 디렉티브의 적용 대상이 되는 ‘관할기관’이란 범죄의 예방, 수사, 적발 또는 기소, 형사제재의 집행 그리고 공공의 안전에 대한 위협의 방지 및 그 위협으로부터 공공의 안전의 보호에 권한이 있는 모든 공공기관뿐만 아니라, 그러한 목적을 위해 공적 권한을 행사할 수 있도록 회원국 법이 권한을 부여한 그 밖의 기구나 기관을 포함한다.

유럽연합의 경우, 범죄 예방 및 수사 등 공공의 안전을 위한 경우, GDPR의 적용이 배제되고, 그 대신 '경찰 디렉티브'가 개인정보 보호의 지침이 된다.
유럽연합의 경우, 범죄 예방 및 수사 등 공공의 안전을 위한 경우, GDPR의 적용이 배제되고, 그 대신 ‘경찰 디렉티브’가 개인정보 보호의 지침이 된다.

디렉티브의 주된 적용 대상은 경찰일 것이다. 범죄의 예방이나 수사를 위한 경찰의 활동은 어떤 사건이 형사범죄인지 여부가 아직 불확실한 단계에서 관련 개인정보를 수집하는 경우도 포함한다. 여기에는 형사소송법이나 경찰 직무에 관한 법령에 규정된 바에 따라 강제조치 권한을 행사하는 것도 당연히 포함된다.

그리고 수사 외에 범죄의 예방이라든가 공공의 안전에 대한 위협에 대응하기 위한 경찰 활동도 포함된다. 회원국의 법 체계에서 경찰 등 법집행기관에 범죄수사 등의 목적에 필수적이지 않은 다른 업무권한을 부여한 결과 그와 같은 업무의 수행을 위하여 개인정보를 처리하는 경우가 있을 수 있는데, 이때는 GDPR의 적용을 받는다.

GDPR과 ‘경찰 디렉티브’의 차이점 

[개인정보 처리원칙] 

1. 투명성 원칙의 적용 제한(디렉티브 제4조)

GDPR(제5조(1)(a))는 개인정보 처리의 원칙으로 적법성, 공정성과 투명성을 규정하고 있는 반면에, 디렉티브 제4조(1)(a)는 적법성과 공정성을 규정하면서 투명성 원칙은 명시적으로 규정하지 않는다. 범죄수사 등을 위해서는 비밀수사라든가 비디오감시와 같이 비밀리에 개인정보를 수집하는 활동이 허용될 수 있어야 한다는 이유에서이다. 물론 그처럼 비밀리에 수행되는 개인정보 수집활동도 적법성의 원칙에 따라 명확한 법적 근거를 갖추어야 하고, 필요최소한도의 수집에 그쳐야 한다.

2. 정보의 삭제 또는 보관의 기한 제한(디렉티브 제5조)

디렉티브의 적용영역에서 정보주체의 삭제요청권과 컨트롤러의 삭제의무는 GDPR보다 제한적이다. 개인정보의 처리가 디렉티브 제4, 8, 10조에 따른 회원국의 법규정을 침해하거나, 컨트롤러의 법적 의무를 이행하기 위하여 개인정보가 삭제되어야 하는 경우에 한하여 정보주체의 삭제권(그리고 컨트롤러의 삭제의무)이 인정된다(디렉티브 제16조(2)).

3. 범죄와 관련하여 정보주체의 범주의 구별(디렉티브 제6조)

범죄의 예방이나 수사, 기소, 형집행 등의 영역에서는 피의자나 피해자 등 정보주체의 범주를 분명하게 구별하여 개인정보를 처리하는 것이 매우 중요하다. 이에 따라 디렉티브의 적용영역에서 회원국은 컨트롤러에게 가능한 한 정보주체의 범주를 (a) 범죄를 저질렀거나 저지르려 한다고 믿을 만한 상당한 이유가 있는 사람, (b) 유죄판결이 확정된 사람, (c) 범죄피해자 또는 일정한 사실로 볼 때 범죄피해자라고 믿을 만한 근거가 있다고 인정되는 사람, (d) 그 밖의 사람들, 예를 들어, 수사절차나 이후의 형사절차에서 진술을 위하여 소환될 가능성이 있는 사람, 범죄에 관한 정보를 제공할 수 있는 사람, (a)와 (b)에 해당하는 사람의 지인이나 동료 등으로 명확하게 구별하여 개인정보를 처리해야 한다.

4. 정보의 정확성 (디렉티브 제7조)

사실에 근거한 개인정보와 평가적 의견에 기초한 개인정보의 구별 (디렉티브 제7조): 형사절차에서는 개인정보를 포함하는 진술들은 대개 진술자의 주관적인 인식에 기초한 것이라는 점에서 객관적인 사실증명이 항상 가능한 것은 아니라는 특수성을 고려해야 한다. 디렉티브는 사실에 근거한 개인정보와 평가적 의견에 기초한 개인정보를 명확하게 구별할 것을 요구한다(제7조(1)).

5. 개인정보 처리의 적법성(디렉티브 제8조)

디렉티브 제8조(1)에 따르면, 회원국은 EU법이나 회원국 법에 근거가 있고, 범죄수사 등 디렉티브 제1조 (1)에 규정된 목적을 위하여 관할기관이 수행하는 직무집행에 필요한 범위에 한해서만 개인정보의 처리가 적법하도록 규정해야 한다. 그리고 디렉티브의 범위에 속하는 개인정보의 처리에 관한 회원국 법은 최소한 개인정보 처리의 목적과 처리되는 개인정보의 범위를 구체적으로 규정해야 한다(제8조(2)).

경찰·검찰 등 법집행기관은 범죄의 예방·수사·기소 등의 직무를 수행하는데 필요한 개인정보를 제공하도록 개인에게 요구하거나 명령할 권한을 가진다. 그러한 경우에 정보주체의 동의는 개인정보 처리의 법적 근거가 될 수 없다.

6. 특수 범주의 개인정보의 처리(디렉티브 제10조)

디렉티브 제10조는 범죄수사 목적의 민감정보 처리에 관하여 GDPR보다 비교적 완화된 요건 하에 폭넓게 용인하는 태도를 취한다. (a) EU법이나 회원국 법이 허용하는 경우; (b) 정보주체나 타인의 생명을 보호하기 위한 경우; 또는 (c) 개인정보의 처리가 정보주체가 명백하게 공개한 개인정보와 관련된 경우로서, ‘엄격하게 필요한 경우에 한해서’ 그리고 정보주체의 권리와 자유에 대한 적절한 보호조치가 보장되어야 한다는 조건에서 회원국은 범죄수사의 목적을 위한 민감정보의 처리를 허용할 수 있다. 민감정보의 처리에 대하여 정보주체의 명시적인 동의가 있는 경우에는 민감정보의 처리가 가능하도록 법규정을 두어야 하지만, 정보주체의 동의 그 자체만으로는 범죄수사 목적의 민감정보의 처리가 정당화될 수 없다(전문 37).

7. 자동화된 개별 의사결정(디렉티브 제11조)

위와 같은 디렉티브 제11조(1)과 (2)의 내용을 자동화된 의사결정의 적용을 받지 않을 권리를 정보주체의 권리로 규정하고 있는 GDPR 제22조와 비교해 보면, 몇 가지 차이가 발견된다.

  1. 디렉티브 제11조에서 원칙적으로 금지되는 자동화된 의사결정은 ‘불리한’ 법적 효력 또는 중대한 효과를 미치는 경우에 한정된다. GDPR 제22조에는 ‘불리한’이라는 문구가 없다.
  2. 자동화된 의사결정이 허용되는 예외사유는 EU법이나 회원국 법에 법적 근거가 있을 것과 EU법이나 회원국 법이 정보주체의 권리와 자유를 위한 적절한 보호조치를 제공할 것을 요건으로 하는데, 이는 GDPR 제22조(2)(b)와 유사하긴 하나 ‘정보주체의 정당한 이익’을 위한 보호조치는 제외되어 있다는 점에서 다소 완화되어 있다.
  3. 민감정보에 근거한 자동화된 의사결정에 대해서도 디렉티브는 GDPR 제22조(4)보다 완화된 요건 하에 폭넓게 허용하는 태도를 취하고 있다. 한편, 프로파일링이 디렉티브 제10조에 규정된 민감정보를 근거로 하여 개인에 대한 차별의 결과를 낳는다면 이는 EU법에 따라 금지되어야 한다(제11조(3)).
출처: INFORM Project
출처: INFORM Project

[정보주체의 권리 보장] 

1. 정보주체의 권리행사를 위한 통지(디렉티브 제12조)

범죄수사 등 목적의 개인정보 처리에 적용되는 디렉티브는 GDPR보다 투명성 원칙을 제한적으로 적용하는 경향을 보이고 있는바, 이에 따라 디렉티브 제12조(1)에서는 “투명한 방식의 제공”이라는 문구가 제외되어 있다. 그리고 정보주체가 그 권리에 입각해서 컨트롤러에게 일정한 요청을 하는 경우에 GDPR은 ‘부당한 지체 없이, 요청을 접수한 후 1개월 이내에’ 그 요청에 따라 취해진 조치에 관한 정보를 정보주체에게 제공하도록 규정하고 있는 반면에, 디렉티브는 ‘요청을 접수한 후 1개월 이내’라는 엄격한 제한을 두지 않는다는 점에서 차이가 있다(디렉티브 제12조(3)).

또한,  GDPR 제12조(4)는 컨트롤러가 정보주체의 요청에 대응한 조치를 취하지 않은 경우에 그 이유와 불복할 권리에 대해 정보주체에게 고지해야 할 의무를 규정하고 있는데, 디렉티브에는 이에 상응한 컨트롤러의 고지의무에 관한 일반 규정이 존재하지 않는다. 디렉티브 제13∼16조가 정보주체의 권리에 대한 제한조치를 허용하고 있음을 감안하여 디렉티브는 GDPR 제12조(4)과 같은 일반적인 고지의무를 규정하지 않는 대신에, 개별적인 경우에 불복할 권리에 관한 고지의무를 별도로 규정하는 방식을 채택하고 있다.

2. 컨트롤러의 개인정보 수집시 정보제공(디렉티브 제13조)

디렉티브에서는 제13조가 GDPR 제13조, 제14조에 상응하는 규정인데, 몇 가지 중요한 차이점이 있다.

  1. 디렉티브 제13조는 컨트롤러가 개인정보를 수집한 원천이 정보주체 본인인지 아닌지에 따른 구별을 두지 않는다.
  2. 디렉티브 제13조 제1항과 제2항은 컨트롤러가 정보주체에게 제공해야 할 정보의 내용과 범위를 열거하고 있는데, GDPR에서 컨트롤러의 제공의무로 규정된 것보다 약간 축소되어 있다.
  3. 디렉티브는 회원국이 아래와 같은 사유를 근거로 하는 경우에 관련 개인의 기본권과 정당한 이익을 적절하게 고려하면서 민주사회에서 필요한 적절한 한도에서 제13조 제2항에 따른 정보의 제공을 연기·제한·생략하는 입법조치를 취할 수 있다고 규정한다(제13조(3)): (a) 공식적 또는 법적 탐문, 수사나 절차에 대한 장애의 방지, (b) 범죄의 예방, 탐지, 수사, 소추, 또는 형사제재의 집행에 대한 장애의 방지, (c) 공공의 안전의 보호, (d) 국가의 안전의 보호, (e) 다른 사람들의 권리와 자유의 보호.

3. 정보주체의 접근권의 보장과 제한(디렉티브 제14, 15조)

접근할 수 있는 정보의 범위에서 미세한 차이가 있기는 하지만, 범죄수사 등의 목적으로 이루어지는 개인정보 처리에 대해서도 정보주체의 접근권을 보장해야 한다는 점은 GDPR 제15조와 동일하다. 그런데 GDPR에서 정보주체의 접근 요구가 있는 경우에 처리가 진행 중인 개인정보의 사본을 제공하도록 규정하고 있는 것과는 다르게, 디렉티브에는 그러한 규정이 없다.

디렉티브 전문에 의하면, 정보주체가 디렉티브에 의하여 부여되는 권리를 행사할 수 있도록 처리가 진행 중인 개인정보에 대한 ‘전체 요약(full summary)’을 제공해도 충분하다고 한다(전문 43). 무엇보다 큰 차이는 접근권에 대한 제한조치가 넓게 허용된다는 점이다. 디렉티브 제15조는 회원국의 법체계에서 관할기관이 범죄수사 등의 목적으로 개인정보를 처리하는 경우에 정보주체의 접근권을 제한할 수 있도록 허용한다.

4. 정정·삭제·처리제한권의 보장과 제한(디렉티브 제16조)

GDPR이 정보주체의 권리로 규정한 정정권(GDPR 제16조), 삭제권(제17조), 처리제한권(제18조)는 원칙적으로 범죄수사 등 목적의 개인정보 처리에서도 적용되어야 한다(디렉티브 제16조). 다만, 범죄수사 등의 목적으로 관할기관이 개인정보를 처리하는 경우에는 정보주체의 동의에 의한 수집은 원칙적으로 의미가 없으며 투명성원칙의 적용이 제한적일 수밖에 없다는 점에서, 디렉티브에서 규정한 삭제권과 처리제한권의 근거사유에 관한 규정은 GDPR과는 다소 차이가 있다(디렉티브 제16조(2), (3)).

특히 개인정보의 삭제권은 사실상 회원국의 법령이 디렉티브에 따라 개인정보 처리의 합법성의 기준으로 규정한 것을 위반한 경우 또는 개인정보를 삭제할 의무를 부과하고 있는 경우에만 인정된다는 점에서 GDPR이 규정한 삭제권보다 훨씬 제한적이다. 또한 디렉티브는 정보의 정확성에 대한 이의가 제기되었고 그 정확성 여부가 확정되지 않은 경우와 증거사용을 목적으로 개인정보를 보존할 필요가 있는 경우에는 컨트롤러로 하여금 삭제 대신에 처리제한을 하도록 규정한다(제16조(3)(b)).

5. 감독기구를 통한 권리 행사(디렉티브 제17조)

회원국은 하나 이상의 감독기관을 두고 경찰 디렉티브의 준수를 자문 및 감독하여야 하며, 감독기관들은 국내외적으로 다른 감독기관들과 상호 협력 및 지원할 수 있어야 한다. GDPR에 따라 회원국에 이미 설립된 감독기관이 있다면 이 디렉티브에 따라 설립될 감독기관이 수행해야 할 업무에 대해 소관하도록 맡길 수 있다(전문 76; 제41조제3항).

경찰 디렉티브의 감독기관은 GDPR과 그 독립성, 구성, 설립, 주무 권한에 대한 규정이 대체로 유사하다. 다만 경찰 디렉티브 감독기관의 권한은 전반적으로 GDPR에 비하여 축소하여 규정되었다. 우선 조사권과 관련하여서 감독기관의 자료 접근권(power to obtain access)만을 남기고 자료제출 명령권(power to order)을 규정하지 않았으며, 개인정보 보호 감사의 형태로 조사를 수행할 권한, 정보 관리자나 처리자에게 규정 위반 혐의를 통지할 권한, 정보 처리 장비 및 수단에 대한 접근권을 포함하는 부지 접근권 등이 삭제되어 있다.

또 시정조치와 관련해서 정보 관리자나 처리자에게 견책 처분을 내릴 권한, 정보주체의 권리행사 요청에 응할 것을 명령할 권한, 개인정보 침해사실을 정보 주체에게 알리도록 명령할 권한, 개인정보 정정 또는 삭제나 처리 제한을 명령하고 개인정보를 공개받은 수령자에 대한 조치 통지를 명령할 권한, 제3국이나 국제기구의 수령자에 대한 정보 흐름 중단을 명령할 권한 등이 규정되어 있지 않다. 자문권과 관련하여서는 공익을 위한 정보 관리자 업무 수행에 대한 사전 허가 권한이 삭제되었다. 경찰 디렉티브는 외부적인 감독을 제한하는 한편으로 소관 기관 내부적으로 디렉티브 침해에 대한 기밀 보고를 장려하기 위한 체계를 갖추도록 규정하였다(제48조).

출처: INFORM Project
출처: INFORM Project

그렇다면 우리는? 

유럽연합 경찰 디렉티브GDPR에 비해 일부 규정이 완화되어 있지만, 경찰 등 법집행 기관에 대해서도 원칙적으로 개인정보 보호 원칙 및 독립적인 감독을 적용하도록 하였다.

이러한 유럽의 규범과 비교하여 보았을 때 우리나라 현행 개인정보 보호법은 범죄수사 및 형집행과 관련한 개인정보 처리에 대해서 많은 예외 규정을 두고 있으며, 이에 수반하는 감독도 미흡하게 이루어지고 있다.

[dropcap font=”arial” fontsize=”27″]첫째,[/dropcap]현행 개인정보 보호법은 공공기관이 보유한 개인정보에 대하여 수사기관이 범죄수사를 위해서 필요로 하는 경우 특별한 요건이나 절차 없이도 목적 외로 제공하도록 하였다. 원칙적으로 개인정보처리자는 개인정보를 적법한 수집목적에 따른 범위를 초과하여 이용하거나 제3자에게 제공하여서는 아니 된다(개인정보 보호법 제18조 제1항).

그럼에도 개인정보처리자가 보유하고 있는 개인정보를 수집·이용 목적 이외의 용도로 제공하기 위해서는 정보주체의 별도 동의나 다른 법률의 특별한 규정을 요구하는 등 개인정보 보호법에서 열거하는 예외에 해당해야 한다(동법 제18조 제2항). 그런데 이 조항은 공공기관이 보유한 개인정보에 대하여 목적 외 이용·제공의 광범위한 예외를 인정하고 있다.

특히 범죄수사 등을 위하여 필요한 경우 공공기관이 제공하는 개인정보에는 특별히 보호해야 할 민감정보가 포함되어 있다. 헌법재판소는 2018년 건강보험 요양급여내역 제공 사건에서 서울용산경찰서장이 파업 중인 전국철도노동조합의 청구인들을 검거하기 위하여 청구인들의 약 2년 또는 3년에 걸친 장기간의 요양급여내역을 제공받은 행위가 불가피하였다고 보기 어려워 위헌이라고 결정하였다(헌재 2018. 8. 30. 결정 2014헌마368).

다만 헌법재판소는 수사기관이 범죄의 수사를 위하여 불가피한 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 영장주의가 적용되지 않는 임의수사에 의하여 민감정보를 제공받을 수 있다고 보았다.

2019년 국정감사에 따르면 이 결정 이후로도 국민건강보험공단이 수사기관인 경찰, 검찰, 국정원, 법원에 제공하는 개인 의료정보가 계속 증가하고 있다. 공단은 헌재 결정 이후 상병명, 의사소견서, 장기요양등급의 경우 영장에 의해서만 제공하도록 지침과 관행을 개선하였다고 설명하였지만, 영장 통계는 관리하고 있지 않았으며 요양기관번호와 전화번호는 제한 없이 제공하고 있어 정보주체의 건강상태에 대한 민감정보 노출에 대한 대책이 없었다.

[dropcap font=”arial” fontsize=”27″]둘째,[/dropcap] “범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일”의 경우 공공기관에게 의무인 개인정보파일의 등록 및 공개, 개인정보 처리방침의 수립 및 공개에서 제외하고 있다. 이로 인하여 공개된 개인정보파일에 대해 행사할 수 있는 정보주체의 열람권 및 그에 동반하는 정정삭제권과 정보주체의 처리정지권 및 고지의 권리도 제한하고 있다.

정보주체는 자신의 개인정보에 대하여 열람(법 제35조), 정정·삭제(법 제36조), 처리정지(법 제37조)에 대한 권리를 행사할 수 있으며, 자신 이외로부터 수집한 개인정보의 수집 출처 등에 대하여 개인정보처리자로부터 고지받을 권리(법 제20조) 또한 보유하고 있다. 그러나 범죄수사 및 형집행 등에 관련된 개인정보파일의 경우 이러한 정보주체의 권리 행사가 제한되고 있다. 우선 정보주체가 공공기관에 대하여 열람을 요구할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 요구할 수 있다(법 35조 제2항).

그런데 실무상 공공기관에 대한 개인정보 열람 요구는 국가 개인정보보호 포털(https://www. privacy.go.kr/)에서 신청하도록 하고 있는데, 이 열람은 공개되어 있는 개인정보파일 목록 가운데 대상 개인정보파일을 지정해야만 가능하다. 결국 정보주체가 열람할 수 있는 공공기관의 개인정보파일은 법32조에 의해 등록 및 공개된 개인정보파일 목록에 한정되어 있으며, 동조 제2항 제2호에 의해 그 등록과 공개가 제외되어 있는 범죄수사 및 형집행 등에 관련된 개인정보파일은 정보주체의 열람권 행사가 어려운 것이다.

이처럼 현행 개인정보 보호법과 관련 공공기관 실무에서는 범죄의 수사 및 형 집행 등과 관련하여 보유하고 있는 개인정보파일에 대한 정보주체의 열람권 행사를 광범위하게 제한하고 있다. 정보주체의 열람 요구가 범죄수사 및 형집행 등에 중대한 지장을 초래하는지를 개별적으로 살피지 않고 포괄적으로 제한하는 것은 정보주체가 자신의 권리에 대한 침해를 발견하고 구제를 받을 수 있는 가능성을 부당하게 가로막는다.

나아가 개인정보의 정정·삭제권은 자신의 개인정보를 열람한 정보주체가 행사할 수 있으므로(법 제36조) 자신의 개인정보를 열람하지 못한 정보주체는 그에 동반하는 정정·삭제 요구권도 제한받고 있다. 또 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있지만(법 제37조), 공공기관의 경우에는 등록 대상이 된 개인정보파일 중에 포함된 자신의 개인정보에 대해서만 처리정지를 요구할 수 있고(법 제37조제1항), 그 등록과 공개가 제외되어 있는 범죄수사 및 형집행 등에 관련된 개인정보파일에 대해서는 처리정지권을 행사할 수 없다.

[dropcap font=”arial” fontsize=”27″]셋째,[/dropcap] 경찰은 특별한 법령적 근거에 의하지 않고 여러 종의 정보통신시스템을 구축·운영하며 범죄수사와 관련한 개인정보파일을 상당히 방대하게 처리해 왔다. 이재정 의원의 국정감사에 따르면 2017년 현재 경찰청이 구축·운영 중인 개인정보처리시스템은 50개로서 보유하고 있는 개인정보는 36억여 건에 달한다.

2017년 기준 경찰청이 보유 중인 개인정보는 36억 개에 달한다.
2017년 기준 경찰청이 보유 중인 개인정보는 36억 건에 달한다.

경찰정보시스템이 사전적으로나 사후적으로나 아무런 통제를 받고 있지 않은 상황은 일차적으로 입법적으로 해결되어야 마땅하다. 정보시스템과 이를 통한 자동화된 처리에 대해서는 그 각각의 목적, 대상, 범위 및 통제에 대하여 법률적으로 구체적인 규정을 두어 규율하는 것이 바람직하다.

참고로 유럽인권재판소는 2000년 로타루 대 로마니아(Rotaru v. Romania) 사건에서 국가 감시 조치의 대상이 되는 정보의 유형, 감시 대상이 되는 사람들의 범주, 감시 조치가 취해질 수 있는 상황 또는 절차를 규정하지 않은 것이 유럽인권협약 제8조 위반이라고 결정하였다. 경찰개혁위원회 또한 2018년 경찰 정보시스템 구축과 운영에 대해서는 그 근거, 절차와 방식 및 통제에 관한 별도의 구체적인 법률상 근거를 마련하고, 경찰 내외부에 공개하지 않는 정보시스템의 구축운영 금지 등을 권고하였다.

 

[divide style=”2″]

[box type=”note”]

이 글은 2020년도 국가인권위원회 일반과제 실태조사 연구용역 최종보고서 [유럽연합「개인정보보호 규정」(GDPR) 등 국제인권기준에 따른 개인정보보호 법제도 개선 방안 연구](2020. 11. 16.)의 요약문을 슬로우뉴스 원칙에 맞게 편집한 글입니다.

보고서의 작성 주체는 사단법인 정보인권연구소이고, 연구 책임자는 이호중 이사장, 공동 연구원은 이은우 이사, 오병일 연구위원, 장여경 이사와 김재완 법학박사입니다. 더불어 보조연구원으로 정선화 진보네트워크센터 활동가가 참여했습니다. (편집자)

[/box]

디지털 시대, 감시를 돌파하는 진보네트워크센터 → 진보넷

관련 글