잊혀질 권리의 연혁과 남아있는 이슈들

1. 유럽연합에서의 잊혀질 권리에 대한 연혁

유럽연합 전체에 영향력을 미치는 ‘개인정보의 삭제(erasure)에 대한 청구권은 유럽정보보호지침(1995 Data Protection Directive [95/46/EC])의 공표로 그 본격적인 논의가 시작되었다. 해당 지침은 그 부제를 통해 ‘개인정보의 처리와 관련하여 개인을 보호하고 –회원국 간에- 데이터의 자유로운 이동’을 보장한다는 목적을 가지고 있음을 밝혔다.1)

해당 지침과 관련한 중요한 액션 플랜이 이후 스톡홀름 프로그램(The Stockholm Programme, 2009)을 통해 구체화 되었는데, 이 프로그램은 2010부터 2014년도까지의 기간 동안 사법정의, 자유, 그리고 보안 등의 분야에서 유럽연합이 나아가야 할 로드맵을 제시하는 것을 그 목적으로 하고 있다. 특히, 스톡홀름 프로그램은 제2장 ‘권리의 유럽(2. Promo ting Citizens’ Rights: A Europe of Rights)’에 포함된 ‘정보화 사회에서 시민들의 권리 보호(2.5. Protecting Citizen’s Rights in the information society)’를 통해 프라이버시 및 개인정보 보호에 대한 권리가 유럽연합에서 보장하는 근본적 권리의 영역에 속하며, “유럽연합은 유럽연합 내, 그리고 다른 국가와의 관계에서 개인정보를 보호할 수 있는 통합적 전략을 수립해야만 한다.”고 명시함으로써 유럽정보보호지침의 개인정보 보호목적을 구체화할 수 있는 근거를 제시하였다.2)

유럽 위원회(EC, European Commission)는 스톡홀름 프로그램에서 명시한 개인정보 보호 통합전략의 수립을 위해 수회의 공청회와 다자간 대화, 그리고 정책 대안에 대한 영향 분석을 통해 ‘연결된 세계에서의 프라이버시 보호: 21세기를 위한 유럽의 개인정보보호 프레임워크(Safeguarding Privacy in a Connected World: A European Data Protection Framework for the 21st Century)’라는 개인정보 보호 프레임워크 문서를 내놓게 되었으며, 이는 향후 유럽정보보호규정(안)(General Data Protection Regulation)의 기초가 되었다.3)

유럽연합은 2012년 1월 25일에 유럽정보보호규정(안) 초안을 제안서(proposal)의 형태로 확정·공개하였는데, 해당 제안의 제3장 제17조에서는 “잊혀질 권리, 그리고 (데이터) 삭제에의 권리(Right to be forgotten and to erasure)”를, 제18조에서는 “데이터 이동성에 대한 권리(Right to Data Portability)”를 담고 있다. 전자는 정보주체의 개인정보에 삭제의 보장을, 그리고 후자는 기존에 제공된 정보에 대한 철회권을 보장하는 내용을 담고 있다.

유럽연합 의회는 많은 논의를 거쳐 2013년 10월 21일에 유럽정보보호규정(안)의 수정 문안(Compromise Text)을 승인하였는데, 이 과정에서 LIBE(The European Parliament’s Committee on Civil Liberties, Justice and Home Affairs)가 의회의 수많은 위원회를 조율하여 최종 수정 문안을 이끌어 낸 것으로 알려져 있다. 유럽정보보호규정(안)의 구체적인 수정 문안이 공개되지는 않았으나, 여러 경로를 통해 현재까지 확인된 바로는 다음과 같은 수정사항을 담고 있는 것으로 확인된다.4)

– Extended Territorial Scope (지역 적용범위의 확장)
– Clarification of Key Concepts (주요 개념의 명확화)
– Changes to the Legal Bases for Data Processing – Legitimate Interests and Consent (데이터 처리에 대한 법률적 근거의 변화 – 합법적 이해관계와 동의)
– Reinforcement of Data Subjects Rights (정보주체가 갖는 권리의 실행)
– Data Protection Officers (개인정보보호 책임자)
– Breach Notification, Fines and Compensation (침해 통지, 벌금 그리고 보상)
– International Data Transfers (국제 개인정보 전송)
– Right to Erasure (삭제에 대한 권리)
– Miscellaneous (기타)

위와 같은 수정문안이 채택된 가장 큰 원인 가운데 하나는 미국 NSA에 의한 PRISM과 같이 광범위한 국제적 온라인 감시체제로부터 유럽회원국 국민의 정보인권을 보장하기 위한 것으로, 특히 유럽 시민의 개인정보의 보호가 핵심 이슈로 논의된 것으로 알려지고 있다.

유럽정보보호규정(안)의 수정 문안에서는 삭제청구권(Right to Erasure)이 잊혀질 권리(Right to be Forgotten)를 포괄하는 개념으로 소개되고 있다. 잊혀질 권리가 삭제청구권(Right to Erasure)으로 변경되면서 어떤 내용의 변화가 있었는지 살펴보자.

2. 잊혀질 권리(Right to be Forgotten)에서 삭제 청구권(Right to Erasure)으로

유럽정보보호규정(안) 제17조는 정보주체가 다음 각 호의 하나에 해당하는 경우 정보처리자로부터 개인정보의 삭제 및 그 확산을 방지할 것을 요구할 권리가 있다고 규정하고 있다. 구체적으로, (a) 정보가 수집 또는 처리되는 목적에 더 이상 부합하지 않는 경우, (b) 정보주체가 제6조 (1)의 (a)에 따라 이루어지는 처리에 대한 동의를 철회하거나 동의한 보관 기관이 만료한 경우, 그리고 정보 처리에 대한 다른 법률적 근거가 없는 경우 (c) 정보주체가 제19조(반대할 권리, Right to Object)에 따라 개인정보의 처리에 반대하는 경우, (d) 데이터의 처리가 여타 사유로 인하여 유럽정보보호규정을 준수할 수 없을 때 등이 바로 그것이다.

이는 기존 유럽정보보호지침이 지침의 규정을 준수하지 않고 처리한 ‘불완전하거나 불명확한’ 정보의 삭제 또는 차단을 규정한 데 비해 유럽정보보호규정(안)은 광범위한 제한 범위를 둔 것으로 이해된다. 즉, 유럽정보보호규정(안)은 특별히 정보를 보존해야 할 경우를 제외하고는 – 예를 들어 유럽정보보호규정(안) 제83조, 정보의 역사·통계·과학 연구 목적의 개인정보 처리 – 정보주체는 언제든지 자신에 관한 개인정보의 삭제를 요구할 수 있도록 하였다는 점에서 더욱 일반적이고 광범위한 ‘잊혀질 권리 및 삭제권리’를 규정하고 있다고 평가할 수 있다.5)

참고로, 유럽정보보호규정(안)은 삭제청구권에 대한 예외를 두고 있는데 이는 1) 잊혀질 권리 혹은 삭제청구권에 대한 ‘특정예외’와 2) 법의 적용범위에 따른 ‘일반적 적용예외’로 나뉘어져 있다. 전자의 경우 표현의 자유, 공공보건, 역사·통계·과학연구, 법률상 법적 의무, 개인정보 처리제한의 경우 등이 해당하며, 후자의 경우 유럽연합 기관·기구·관청 등에 의한 –개인정보의- 처리 등이 그에 해당한다.6)

유럽연합에서 ‘수정 문안’을 통해 밝힌 바에 따르면, 삭제청구권(Right to erasure)은 기존의 잊혀질 권리를 포괄하는 개념이라고 한다. 또한, LIBE는 “누구라도 그들의 개인정보 삭제를 요청하는 경우 삭제될 수 있도록 하는 권리를 갖게 될 것이며, 이 권리를 강화하기 위해 개인이 정보처리자에게 그의 정보삭제를 요청하는 경우, 해당 기업은 그 요청을 데이터가 복제된 제3자에게도 전달하여야 한다.”고 설명한다.7)

기존 유럽정보보호규정(안)과 비교했을 때, 수정 문안에서는 정보처리자에게 정보의 확산 방지까지 책임질 것을 요구하지 않고, 해당 정보를 복제해 간 제3자에게 정보주체가 개인정보의 삭제를 요청했다는 사실을 전달(forward)하기만 하면 되며, 이를 요청받은 제3자가 해당 정보를 삭제했는지 여부까지 책임을 부담하지는 않는다.

3. 변화의 배경과 남아있는 문제들

올해 승인된 유럽 정보보호규정(안)의 수정안은 기존 정보보호지침의 내용과 비교하여 봤을 때 개인정보의 처리에 대한 규제는 엄격해졌으나, 잊혀질 권리에 한해서는 최초 초안으로 공개된 제안서(proposal)에 비해 한 발 뒤로 물러선 느낌을 받는다.

잊혀질 권리의 적용 범위에 대한 유럽연합의 입장 변화는 초안에서 규정한 잊혀질 권리의 잠재적 문제점에 대한 비판여론을 상당 부분 수용한 것으로 보인다. 유럽연합의 데이터 및 프라이버시 보호 책임자들로 구성된 협의기구인 ‘Article 29 Working Party’는 정보처리자가 제3자에게 정보주체의 삭제 요구를 모두 알린다고 하여도, 미처 확인하지 못한 복제가 발생할 수도 있고, 더욱이 제3자가 정보처리자(data controller)로 분류되지 않는 한 그들이 정보주체의 요구를 따라야 할 법적 의무를 부담하지 않는다는 비판을 통해 잊혀질 권리의 적용에 따른 문제점을 지적했다.8)

또한, 유럽연합 정보보호원(ENISA)의 전문가들은 ‘공유’를 주된 목적으로 하는 데이터의 재생산을 엄격히 제한하는 것이 기술적으로 가능하지 않을 뿐더러, 특정 정보의 삭제로 인해 발생하는 ‘이익(권리)의 충돌’에 대해서도 충분한 논의가 필요하다는 취지의 의견을 밝히기도 하였다. (예: 2인이 들어있는 사진을 일방 당사자의 주장에 의해 삭제하는 경우)9)

뿐만 아니라 구글이나 페이스북, 트위터 등 검색엔진 서비스 사업자 및 소셜 네트워크 서비스 제공자들도 잊혀질 권리가 표현의 자유를 해칠 우려가 있다며 반대 입장을 밝혀왔다. 비록 표현의 자유가 잊혀질 권리의 적용 예외 사유의 하나로 규정되어 있지만, 그러한 예외의 적용이 각 유럽연합 회원국에 의해 결정된다는 점 등을 근거로 잊혀질 권리가 표현의 자유와 충돌하는 지점에 있다는 사실, 그리고 잊혀질 권리의 적용으로 인해 다른 권리가 침해받을 수 있다는 점을 부각하였다.

잊혀질 권리가 기존에 가지고 있었던 기술적 적용상의 문제점, 즉 인터넷과 같은 오픈 시스템에서 형태를 변형하여 복제된(예: 화면을 사진으로 촬영하여 복제하거나, 텍스트를 화면상에서 캡쳐하여 이미지화 하여 복제) 개인정보를 추적하기 어려운 점 등에 대한 해결책이 존재하지 않는다는 점은 앞으로 해결해나가야 할 문제이다.10)

또한 유럽연합에서 개인정보를 ‘정보주체에 관련한 정보의 일체(any information relating to a data subject)’라고 정의하고 있는 한, 필요 이상으로 확대된 정보에 대한 삭제요구권의 보장으로 발생하는 혼란을 예방할 수 없다는 문제점 역시 여전히 남아있게 된다.

잊혀질 권리가 삭제 청구권(Right to Erasure)이라는 구체적 권리로 변신하여 위와 같은 기술적 문제점을 모두 이겨내고 개인정보보호를 위한 근본적 권리의 하나로써 자리매김할 수 있을지 여부는 현 시점에서 예측하기 어렵다. 다만, 유럽연합에서는 소위 ‘쿠키법’을 통해 쿠키의 수집으로 인한 개인정보침해를 예방하겠다고 하여 전면적 동의를 시행하였으나, 기술적 문제를 이겨내지 못하고 영국의 정보보호 기관 등이 쿠키법 준수에 대한 강제를 공공연하게 철회한 사례 등에 비추어봤을 때, 이상과 현실의 조화가 그보다 더 어려운 잊혀질 권리가 ‘권리’로써 자리매김하는 데에는 많은 연구와 논의가 필요해 보인다.11)

 


1) Council Directive 1995/46/EC of October 24, 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of such Data. [본문으로]

2) The Stockholm Programme – An open and secure Europe serving and protecting citizens(2010), Available: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52010XG0504(01):EN:NOT [본문으로]

3) Muge Fazlioglu(2013), Forget me not: the clash of the right to be forgotten and freedom of expression on the Internet, International Data Privacy Law, 2013, Vol. 3, No. 3. [본문으로]

4) LIBE(2013), Civil Liberties MEPs pave the way for stronger data protection in the EU, Available: https://www.huntonprivacyblog.com/wp-content/files/2013/10/EP_Justice-Press-Release.pdf [본문으로]

5) 김혜전, 강달천(2013), 잊혀질 권리의 효율적인 발전방향 연구 – 잊혀질 권리를 둘러싼 논쟁에 대한 검토를 중심으로, 『Internet & Security Focus(KISA)』, 2013. 6월호. [본문으로]

6) 최경진(2012), 잊혀질 권리 – 개인정보 관점에서, 한국정보법학회 제16권제2호. [본문으로]

7) 원문은 “any person would have the right to have their personal data erased if he/she requests it. To strengthen this right, if a person asks a “data controller” (e.g. an Internet company) to erase his/her data, the firm should also forward the request to others where the data are replicated.”임 [본문으로]

8) Article 29 Working Party(2012), Opinion 01/2012 on the data protection reform proposals, Available: http://www.europarl.europa.eu/document/activities/cont/201305/20130508ATT65841/20130508ATT65841EN.pdf [본문으로]

9) ENISA(2011), The right to be forgotten – between expectations and practice, Available: http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten/at_download/fullReport [본문으로]

10) 이에 대해 옥스퍼드대학교 교수이자 해당 대학의 인터넷 연구소 소장인 빅토르 마이어-쇤베르거(Viktor Mayer Schonberger)는 디지털 파일에 기간 만료 메타 태그(expiration meta-tag)를 포함시켜 ‘기억의 유한성(the finiteness of memory)’을 구현할 수 있다고 주장한 바 있다. 그러나, 메타 태그 역시 기술적으로 삭제를 완벽히 보장할 수 없으며, DRM 등의 보조수단의 도움을 받는 경우에도 이를 우회할 수 있다는 것이 그간 역사적으로 증명되었다. [본문으로]

11) 영국 정보보호위원회(ICO, Information Commissioner’s Office)는 2013. 1월 ‘Changes to cookies on our website’라는 공지문을 통해 ICO 웹사이트 방문자에 대한 쿠키 설치에 있어 이용자의 명시적 허용(permission) 대신 쿠키 설치에 대한 이용자의 암묵적 동의(implied consent)가 있는 것 인정하겠다고 밝혀 쿠키법의 적용이 문제가 있다는 점으로 공식적으로 밝혔다. 보다 자세한 내용은 Available: http://www.ico.org.uk/news/current_topics/changes-to-cookies-on-our-website [본문으로]

저자 : 이진규

네이버 개인정보보호 책임자 (CPO, CISO)