유럽의 개인정보보호 법제

서론

유럽은 나치주의, 스탈린주의 등의 거대한 감시와 통제사회의 역사적 배경하에 전세계 다른 어떤 지역보다 가장 광범위한 정보보호법제를 구현하고 있다.1) 제2차 세계대전 후 세계인권선언의 채택으로 제고된 인권보호에 대한 인식이 개인정보보호법제에 반영되어 있으며, 정보보호침해에 대한 처벌과 개인의 시정요구가 반영되는 방향으로 입법화 되어왔다.

그러나 유럽 역시 정보의 네트워크화가 제기한 기존 법 체제에 대한 새로운 도전의 예외일 순 없다. 디지털 기술의 발달로 인한 개인정보의 수집, 처리 및 저장 능력은 아날로그시대에 상상할 수 없는 수준에 달하게 되었다. 특히, 데이터 마이닝(data mining)에 따른 정보조합 및 프로파일링(profiling)을 통한 정보의 통합, 영구에 가까운 기록의 저장은 개인의 사생활에 가공할만한 위협을 가할 수 있게 되었다. 각국 정부는 전자정부를 통한 행정을 추구하고 있으며, e-비즈니스의 발전으로 고객에 대한 점점 많은 정보를 기업이 소유하게 되었으며, Web 2.0 기술을 통해 자발적으로 개인정보를 제공하는 새로운 인터넷 문화가 양산되고 있다. 이와 같은 디지털 기술의 발전은 개인정보의 데이터화의 경향을 낳게 되었으며, 익명성 구현의 어려움과 같은 새로운 이슈를 제기하게 되었다.

본 글은 유럽연합 개인정보보호법의 주요내용과 독일과 영국 2개국의 개인정보보호법의 주요내용 및 이슈를 살펴봄으로써 현대기술에 의한 개인정보침해 위협에 유럽의 국가가 어떻게 대응하는지 알아본다.

1. 유럽연합의 개인정보보호법

개별국가 차원에서 진행되던 유럽국가의 개인정보보호법제는 1980년대 국제적인 차원의 논의로 발전하게 된다. 유럽이사회는 OECD의 “사생활보호와 개인정보의 국제적 유통에 관한 지침(Guidelines on the Protection of Privacy and Transboarder Flows of Personal Data)”과 유사한 기본원칙을 담고 있는 “개인정보의 자동처리에 관계되는 개인의 보호에 관한 조약(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)”을 1981년 채택하였다. 유럽각국은 입법수준이 각기 다른 국내법으로 개인정보보호를 시행해왔으나, 국제무역 활성화의 요구에 따라 유럽이사회는 지역 내 개인정보의 원활한 유통을 위해 1995년 10월 유럽의회 (European Parliament)와 각료회의(European Council)는 ‘개인정보처리관련 개인의 보호 및 정보의 자유이동에 관한 지침’(Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(이하, EC 지침)을 채택, 1998년 10월부터 시행하였다.

자율규제를 중심으로 개별 법안 및 판례를 통해 개인정보보호법을 보완해가는 미국과 달리, 유럽은 법과 제도를 중심으로 강력한 보호정책의 전통을 유지하고 있으며, 개인의 권익을 정보보호의 가장 중요한 점으로 삼고 있다.2)

1) EC 지침

(1) 주요내용

– 목적 : EC 지침 제1조에서는 개인정보의 처리는 사생활보호라는 중요한 가치를 실현하는 차원에서 철저한 보호를 보장과 EU 회원국간의 자유로운 정보교환을 함께 실현할 것을 목적으로 하고 있다.

– 정보보호의 원칙 : 제6조에서는 (i)정보 주체의 자신의 정보에 대한 접근권을 보장하고, (ii)정보를 공정하고 합법적인 절차에 따라 처리, (iii)필요한 정보만을 수집하며 필요이상의 지나친 정보수집을 금지하고, (iv) 개인 정보의 최신 정보로의 갱신 및 (v) 필요이상기간동안 저장 금지를 밝히고 있다. 제7조에서는 개인정보 처리를 위해서는 충족해야 할조건을 밝히고 있으며,3) 제8조에서는 인종, 정치적 견해, 종교 및 철학적 믿음, 노동조합 가입여부, 건강 및 성생활 등과 같은 민감한 정보 처리를 금지하고 있다. 민감한 정보의 처리를 위해서는 반드시 정보주체로부터 확실한(explicit) 승인을 받도록 하고 있다.

– 비회원국으로의 정보전송 : 개인정보를 비회원국으로 전송할 경우에는 개인정보를 제공받는 제3국의 개인정보보호의 수준이 적정한 경우에 한한다. 예를 들어, 미국과는 세이프하버(safe harbor)원칙에 따라 이 원칙에 준수한 인증을 받은 기업에게 적정성을 인정함으로써 개인정보이전을 시행하고 있다.

(2) 관련 이슈

– 개인정보 보호와 감시의 균형 : 유럽 지역 내 개인정보보호법의 통일화를 통해 원활한 개인정보교환을 목적으로 제정된 점을 고려할 때, 자유무역, 경제성장, 과학기술발전 등과 같은 초미의 관심사 앞에 개인의 정보보호가 얼마나 우선시될지에 대한 의문이 제기되기도 하였다.4) 특히, 많은 개인정보침해관련 사고가 정부기관에서 발생하고 있는 점, 정보처리의 감시와 개인의 자유보장이라는 두 가지 상반되는 목적을 동시에 수행해야 하는 딜레마 앞에서 정부가 개인의 자유보장에 얼마나 우선순위를 둘지 역시 의문이 제기되기도 하였다.5) 이와 같은 상충되는 이해관계로 인해 유럽 각국은 정보주체, 정보 처리자, 보호대상에 대해 상이한 정의를 내리고 있으며, 이는 EC지침이 추구하는 개인정보보호법의 조화에 장애로 작용되고 있다.6)

– 익명화의 어려움 : 정보처리 시 정보주체의 승인 의무화는 EC지침에서 가장 중요한 항목 중 하나이다. 이 승인은 정보주체가 자신의 정보가 어떤 목적으로 어떻게 처리되고 공개되는지에 대해 충분히 인지한 승인이어야 하지만, 디지털환경에서 이러한 승인은 점점 어려운 문제를 제기한다. 예를 들어, 많은 인터넷 이용자는 쿠키 등으로 자신의 인터넷 활동의 궤적이 남게되며, 별개로서는 전혀 의미없는 정보는 프로파일링을 통해 신분이 드러나는 재식별(re-identification)의 문제를 낳고 있다. 블로그나 트위터, 페이스북 등을 통해 정보주체가 스스로 개인 정보를 공개하는 새로운 문화가 양산되면서 개인정보의 익명화는 거의 불가능할 뿐만 아니라 기존 개념의 익명화로 개인정보가 보호될 것이라는 의식자체에 문제가 제기되기도 하였다.7)

– 정보의 해외전송 : 디지털기술의 국경을 뛰어넘는 속성에 따라 정보의 해외전송 요구가 높아지고 있다. EC지침의 정보 해외전송에 관한 엄격한 방침은 국제적인 차원의 조화를 이루는 기초가 될 것이라는 낙관과 함께,8) 개인의 시정요청관련 조항 및 시행방안의 미흡함이 문제가 되고 있기도 하다.9)

2. 독일의 개인정보보호법

독일은 전체주의 정권하에 개인정보의 남용을 경험한 국가인만큼 개인정보처리의 제한을 목적으로 하는 개인정보보호법 체계를 갖추고 있다. 1970년대 헤센주가 세계 최초의 개인정보보호법을 입법화한데 이어, 1977년 연방개인정보보호법 (BDSG, Bundesdatenschutzgesetz)가 제정되었다. 이 법은 공공부문과 민간부문을 구분하지 않고 동일한 법체계에서 보호하고 있으며, 이를 기초로 한 각주의 개인정보보호법이 제정되었다. 또한 연방 및 각주에 개인정보보호관과 개인정보보호기구설립으로 이원화된 법 시행 체계를 갖추고 있다. 이 법은 연방헌법재판소의 인구조사판결, 정보통신기술의 발달에 따른 개인정보침해에의 위험에 기존의 법이 효과적으로 대응하지 못한다는 비판에 따라 1991년 개정되었으며, 1995년 EU 개인정보보호준칙의 반영을 위해 2001년 다시 개정하여 개인정보보호법의 현대화를 도모하였다.

1) 연방개인정보보호법(BDSG)

(1) 주요 내용

– 주요 목적 : (i) 권리침해 당사자의 방어 및 법적 보호와 자신에 관한 정보처리의 우선권을 정보주체가 가질 것, (ii) 자유롭고 민주적인 의사소통의 기초를 제공한다.

– 개인정보보호 대상 : 개인정보보호 개인관련 정보의 수집, 처리, 이용에만 보장하며, 다른 유럽국가와 달리 법인의 정보는 보호의 대상에 포함되지 않는다.

– 개인정보처리의 허용 요건: 원칙적으로 모든 개인정보의 처리를 금지하되, 정보주체가 동의한 경우, 정보처리를 허락하는 협정이 존재하는 경우, 정보처리를 정당화하는 법률규정이 있는 경우 허용하며, 특정형태(자필 서명이나 법적으로 유효한 전자서명) 의 서명을 통한 승인을 받아야한다.

– 연방개인정보보호관은 연방의 공적 부문 관련 개인정보보호법과 기타 관련 법규의 준수 여부를 통제하는 역할을 담당하며, 개인정보보호담당자는 연방개인정보보호법과 기타 관련 법규의 준수를 위한 역할을, 감독관청은 연방개인정보보호법과 기타 관련법규의 시행을 감독한다.

(2) 특징

– 강력한 법체계에 의한 정부의 감시 제한 : 나치주의, 공산주의 및 억압적인 정부를 경험한 독일은 일찍이 개인의 자율성을 보장하기 위해 정부 권력을 제한하는 노력을 기울여왔다. 유럽 민법(civil law)의 전통의 영향을 받아 강력한 법 지배를 추구하며, 이에 따라 구체적인 법 제정을 통해 정부의 감시를 제한함으로써 시민의 자율성을 보호하는 법체계를 갖추고 있다. 특히 이원화된 통제감독기관은 법 집행의 효율성을 증진시킨다고 평가되고 있으나, 지나치게 법 시행에 중점을 둠으로써 대체적인 개인정보보호 방법을 간과한다는 비판도 있다. 따라서 빠르게 변모·발전하는 디지털 기술에 효과적이고 시의 적절한 대응을 위해서는 기술 및 조직운영의 변화를 통한 개인정보보호가 보완되어야 한다는 지적이 있다. 예를 들어, 정보주체 스스로 개인의 정보를 보호하는 기술적 보호방식 및 자발적 정보보호 감독시스템 방식을 도입하는 시장경제적 도구의 이용방식은 기술의 진보에 따라가지 못하는 입법을 통한 정보보호의 부족함을 채우기 위한 방편으로 고려되고 있다.10)

– 정보의 자기결정권 : 독일에서는 자기의 정체성 및 인격의 완전성의 확보를 위해서는 독자적인 자신만의 고유영역을 확보할 수 있도록 하는 것이 민주적 삶을 영위하는 핵심이라 보는 ‘정보의 자기결정권’을 개인정보관련 헌법조항의 기초로 삼고 있다. 이는 독일의 사회학자 니클라스 루만(Niklas Luhmann)이 주창한 것으로서, 1983년 독일 연방 헌법재판소가 인구조사과정에서 개인관련정보에 대한 질문에 답할 의무를 부과하는 인구조사법에서 내린 위헌결정으로 개인정보보호법의 법적 근거가 되었다.11) 자신에 관한 신분을 결정할 수 있는 능력은 자유롭고 민주적인 사회질서의 기본 조건이라는 전제에서 출발한 정보의 자기 결정권은 인격의 자유로운 발현을 위해서는 어떤 정보처리에도 개인정보의 무제한적인 수집, 저장, 사용 및 제공으로부터 개인을 보호해야 함을 보장한다. 이에 따라 독일에서는 개인의 존엄을 보호하는 차원에서 개인의 신분과 관련된 고유식별이 가능한 시스템을 금지하는 것을 원칙으로 하고 있다.12)

3. 영국의 개인정보보호제도

1995년 EC 개인정보보호지침의 제정에 따라 기존의 1984년 자료보호법(Data Protection Act 1984)를 개정한 1988년 자료보호법(The Data Protection Act 1998)을 마련하고, 2000년 3월부터 시행하였다.

1) 1998년 자료보호법

1998년 자료보호법은 영국의 개인정보보호에 관한 기본법으로서, 2003년 디지털기술에 따른 문제 해결을 위해 마련된 유럽연합의 전기통신사생활법 (PECR, Privacy and Electronic Communications Regulations)의 내국법인 전기통신사생활법(PECD, Privacy and Electronic Communications)으로 확대되었다.

(1) 주요내용

– 개인정보 수집 및 처리의 원칙: 공정하고 적법하게 처리하고, 정보주체의 승인을 받도록 하며, 특히 민감한 정보의 경우 목적에 부합한 경우에만 개인정보를 처리하도록 한다. 정보주체는 자신의 개인정보를 수집하는 정보 처리자로부터 해당 내용을 고지 받을 권리를 갖는다. 목적과의 적절한 관련성을 가진 개인정보만을 처리하고, 과도한 개인정보 수집 및 처리는 금지한다. 또한 개인정보의 정확성 확보 및 필요한 경우 최신성을 확보해야 하며, 수집목적 달성을 위한 필요한도 내에서만 정보를 보유하고, 정보의 처리는 정보주체의 권리를 존중하는 방식을 따르도록 한다.

– 기술적·관리적 조치의무: 정보처리자는 데이터가 개인정보로 재구성되지 않도록 보장하기 위하여, 기술의 발전 및 보호수단의 비용에 관계없이 적정한 수준의 안전성을 확보하도록 하고 있다.

– 개인정보의 처리 : 정보 위원회(Information Commissioner)에게 통보하고, 등록하지 않은 개인정보는 처리할 수 없도록 하며, 유럽연합 이외의 국가에 이전할 경우 반드시 적정한 수준을 보장한 경우에만 이전이 가능하다.

(2) 관련 이슈

영국의 개인정보보호는 9·11 테러를 발단으로 기존 정부의 보안과 사생활보호의 근본적 가치라는 두 가지 중요한 쟁점 사이의 균형이 점점 정부의 보안 쪽으로 기울고 있다는 비판이 있어왔다.13) 다수가 중복 접근할 수 있는 대규모의 데이터베이스구축을 통해 모든 문제를 해결하고자 토니 블레어 정부가 수립한 정보보호문화는 엄청난 비용이 들 뿐 아니라 안전하지 못하고 효율성도 떨어진다는 지적을 받아왔다.14) 특히 2007년 영국 국세청(HMRC, Her Majesty’s Revenue and Customs)은 영국인구의 반에 가까운 2천5백만 명의 개인신상정보를 담은 두 개의 디스크를 분실한 사건과 2008년 국방부 소유의 노트북 400개가 유실된 사건은 거대한 정보구축시스템의 문제점을 부각시킨바 있다.

이에 따라 개인정보보호와 관련된 문제를 모두 법으로 해결하려고 하기 보다는 코드의 변경을 통한 ‘사생활보호의 설계(privacy by design)’의 개념이 주목을 받고 있다.15) 이는 추후에 법적으로 해결하기 보다는 시스템 설계 초기단계에 사생활보호를 포함시키자는 것으로서, 정보의 최소화를 꾀하고, 익명성 보장을 법적인 원칙으로 삼는 것을 모델로 한다.

결론

유럽의 개인정보보호법은 전세계에서 가장 광범위한 개인정보보호법체계를 갖추고 있으며, 효과적인 시행의 모델이 되고 있다. 그러나 전례 없이 빠르게 발전하는 현대 기술과 부차적인 사회현상의 변화에 따라 광범한 법체계와 강력한 법 시행으로도 개인정보를 효과적으로 보호하는 일은 점점 어려워지고 있다. 보안에 대한 경각심에 의한 신원자료의 확보를 통한 정보보호는 오히려 정보의 집중화로 개인정보보호를 더욱 취약하게 하는 위험을 안고 있다.16) 강력한 법체계를 통해 개인정보침해의 위험이 없는 사회를 만들 수 있다는 기대자체가 문제라는 일부 학자의 지적과 같이,17) 정보 네트워크사회에서 ‘혼자 있을 권리’18)를 보장하기 위해서는 개인정보보호에 대한 인식의 전환과 법체계 이외의 다양한 방식을 통한 다각적인 접근이 병행되어야 할 것으로 보인다.


1) Lilian Edwards, “Privacy and Data Protection Online: The Laws Don’t Work,” in Law and the Internet, ed. Lilian Edwards and Charlotte Waelde (Hart Publishing (UK), 2009), 453. [본문으로]

2) Diane Rowland, Information Technology Law, 4th ed. (Abingdon, Oxon; New York: Routledge, 2012). [본문으로]

3) 정보주체가 당사자인 계약의 이행에 필요한 경우, 법적 의무를 준수하기 위한 경우, 정보주체의 핵심적 이익을 보호하기 위한 경우, 공공이익에 필요한 경우, 정보관리자의 정당한 이익을 충족하기 위한 경우 [본문으로]

4) F. H. Cate, Privacy in the Information Age (Brookings Inst Pr, 1997) [본문으로]

5) D. H. Flaherty, Protecting Privacy in Surveillance Societies: The Federal Republic of Germany, Sweden, France, Canada, and the United States (The University of North Carolina Press, 1992) [본문으로]

6) LRDP KA_TOR Ltd and Centre for Public Reform, Comparative Study on Different Approaches to New Privacy Challenges, in Particular to the Light of Technological Developments, January 2010, <http://ec.europa.eu/justice/policies/privacy/studies/index_en.htm.> [본문으로]

7) Paul Ohm, “Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization,” UCLA Law Review 57 (2010): 1701. [본문으로]

8) Viktor Mayer-Sch nberger, “Generational Development of Data Protection in Europe,” in Technology and Privacy: The New Landscape, ed. PE Agre and Marc Rotenberg (MIT Press, 1997). [본문으로]

9) Rowland, Information Technology Law, 165. [본문으로]

10) Alexander Roßnagel, “독일의 개인정보 보호법”, 2004, <http://www.fes-korea.org/media/Publications-kor/Achieves/Rossnagel_PSPD2004-kor.pdf.> [본문으로]

11) 이인호, “정보사회와 개인정보자기결정권”, 중앙법학 제1권, 1999. [본문으로]

12) G. Hornung and C. Schnabel, “Data Protection in Germany I: The Population Census Decision and the Right to Informational Self-determination,” Computer Law & Security Report 25, no. 1 (2009): 84~88. [본문으로]

13) Judith Rauhofer, “Privacy and Surveillance: Legal and Socieoeconomic Aspects of State Intrusion into Electornic Communications,” in Law and the Internet, ed. Lilian Edwards and Charlotte Waelde (Hart Publishing (UK), 2009). [본문으로]

14) Nick Clark and Robert Verkaik, “Internet Privacy: Britain in the Dock,” The Independent, April 15, 2009, <http://www.independent.co.uk/news/uk/home-news/internet-privacy-britain-in-the-dock-1668844.html.> [본문으로]

15) A. Cavoukian, “Privacy by Design,” Take the Challenge. Information and Privacy Commissioner of Ontario, Canada (2009), <http://www.ipc.on.ca/images/Resources/2009-06-23-TrustEconomics.pdf.> [본문으로]

16) B. Schneier, Beyond Fear: Thinking Sensibly About Security in an Uncertain World (Springer, 2003) [본문으로]

17) J. Rauhofer, “Privacy Is Dead, Get over It! 1 Information Privacy and the Dream of a Risk-free Society,” Information & Communications Technology Law 17, no. 3 (2008): 185~197. [본문으로]

18) S. D. Warren and L. D. Brandeis, “The Right to Privacy,” Harvard Law Review 4, no. 5 (1890): 193~220. [본문으로]

저자 : 선효정

에딘버러대학교 과학기술혁신학 박사과정