​변호사가 직접 작성한 지식글만 게재합니다.

레딩의 ‘잊혀질 권리’와 오바마의 ‘DO NOT TRACK’

최종 수정일: 8월 13일


10억명 정도의 이용자를 확보한 것으로 알려진 페이스북(Facebook)의 창업자 주커버그(Zuckerberg)는 프라이버시 시대의 종결을 언급했고, 최근 구글(Google)사는 편리한 맞춤형 서비스 제공을 위하여 2012년 3월 1일부터 유투브(Youtube), 지메일(Gmail) 등 60개 서비스에서 분산 관리했던 개인정보를 하나로 통합해 관리할 것이라고 밝혔다.

이런 상황과 대조적으로 EU와 미국의 각 행정부는 강력한 개인정보보호 의지를 밝히고 있다. 지난 2012년 1월 25일, EU 집행부 EC(European Commission)의 레딩 부위원장은 95년의 개인정보보호지침(Directive 95/46/EC, Directive는 Regulation과 달리 회원국의 상황에 따라 자국법의 교체가 가능함)을 개정한 강력한 개인정보보호법규(General Data Protection Regulation)를 제안하였다.

그로부터 한 달이 지난 2012년 2월 23일에는 미국의 오바마 행정부가 2010년 발표된 상무성 소속 인터넷정책 TF의 그린페이퍼(Green Paper)에 기초하여, 세계 디지털 경제의 성장과 변화를 꾀하면서도 동시에 소비자의 프라이버시 보호를 개선시킬 수 있는 전면적 청사진으로서 ‘온라인 프라이버시의 프레임워크(Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy)’을 발표하였다.

레딩 부위원장은 고도의 기술발전, 글로벌화 환경, SNS이나 클라우드 등의 디지털 환경 변화로 인하여 유아기 시대의 인터넷 환경에서 발표된 개인정보보호지침(Directive 95/46/EC)에 대한 개혁이 불가피하게 되었으며, 기업의 과도한 개인정보 수집 및 개인 자신의 개인정보에 대한 통제권 약화로 인하여 기업에 대한 개인의 신뢰가 하락되어 있기 때문에 안정된 디지털 경제의 성장을 위하여 개혁이 필요하다고 밝혔다.

레딩 부위원장의 제안은 개인정보 주체의 통제권 강화, EU 전지역에 있어 높은 수준의 정보보호정책 실현, 적절한 법집행, 글로벌 기준의 설정 등으로 요약할 수 있으며, 구체적으로는 △잊혀질 권리(Right to be forgotten)의 신설 △EU 지역의 회사가 아니더라도 EU 시민의 개인정보를 처리하는 회사에 대한 EU 법령 적용 △개인정보 처리에 있어 주체의 명시적 동의 요구 △EU 전 국가에 하나의 법령 적용 △개인정보 유출시 24시간 내 보고의무 △인터넷 서비스 제공업체 변경시 개인정보 이동권의 보장 △기업의 책임 및 법집행의 강화 등을 내용으로 한다.

이 중에서 특히 주목을 끌고 있는 것이 바로 ‘잊혀질 권리’이다. 사진, 구매정보, 거래정보, 개인의 성향 등 개인정보의 이전이 용이한 온라인 환경에서 개인의 자기정보 소유권 강화 및 개인정보보호를 위하여 온라인 기업·SNS 등 개인의 동의하에 제공된 개인정보 등에 대한 삭제를 요구할 수 있는 권리로서 검색당하지 않을 권리, 정보의 소멸시효 또는 인터넷 지우개라고 불리는 이 권리는 레딩 부위원장의 개인정보보호 개혁의 핵심을 이루고 있다.

한편 대서양 건너의 오바마 대통령은 2012년의 새로운 온라인 프라이버시에 대한 프레임워크을 발표하면서 그 발표배경을 “미국 소비자들은 그들의 개인정보가 안전하다는 확신을 줄 수 있는 명확한 룰을 더 이상 기다릴 수 없는 실정이고, 더불어 인터넷이 발전함에 따라, 소비자의 개인정보관리에 대한 신뢰는 디지털 경제의 지속적인 성장에 필수적이라 할 것”이라고 설명하였다.

위 프레임워크는 네가지 요소로 이루어졌는데 △소비자를 위한 온라인 프라이버시 권리장전의 제정 △인터넷업체 그룹, 소비자 그룹 등의 다양한 이해관계인의 합의를 바탕으로 한 온라인 프라이버시 권리장전에 부합하는 실효적인 법규의 제정 △미국 FTC(Federal Trade Commission)의 법집행 강화 △정보장벽을 낮추기 위한 세계 여러 나라와의 프라이버시 기준의 상호운용성 고려가 그것이며, 이 중의 핵심은 ‘온라인 프라이버시 권리장전’이다.

오바마의 포괄적이고 글로벌한 2012년 소비자를 위한 온라인 프라이버시 권리장전(오바마의 세 번째 Fair Information Practice Priciples, FIPP란 개인정보의 수집과 통제 등 개인정보 프라이버시 권리에 대한 기본정책방향 또는 원칙을 의미하며, 구속력이 없으므로 나중에 이를 기초로 프라이버시에 관한 개별적인 법조항이 구체화됨)은 수집 및 이용 과정에서 정보주체의 개인정보통제(Individual Control), 프라이버시 및 보안 정책의 공개(Transparency), 개인정보 제공 목적에 부합하는 수집·이용·공개(Respect for Context), 개인정보의 적절한 관리(Security), 개인정보의 접근가능 및 정확성 확보(Access and Accuracy), 수집 목적 외 사용금지(Focused Collection), 수집기관의 FIPP 준수 의무(Accountability)의 7가지 원칙으로 이루어져 있다. 그 핵심은 개인정보에 대한 통제권과 투명성 제고이며, 오마바 행정부는 입법부를 상대로 위 ‘온라인 프라이버시 권리장전’를 근거로 한 실효적인 법제의 입법을 촉구하였다.

오바마의 발표에 발맞추어 미국의 온라인 광고업계는 이번 FIPP에 따라 웹브라우저상에 ‘DO NOT TRACK(추적 금지, 현재 웹브라우저 Firefox에는 장착되어 있음)’라는 버튼을 만들어 이를 클릭하면 극히 간단하게 이용자가 기업의 개인정보수집을 차단할 수 있게끔 하겠다고 발표하였다. 실제로 온라인광고업계 단체인 디지털광고연합(DAA)은 구글, 야후, 마이크로소프트, AOL 등 회원사들과 함께 향후 9개월 내에 ‘DO NOT TRACK’ 버튼을 도입한다는 방침이다.

레딩 부위원장과 오바마 대통령의 개인정보보호에 대한 개혁은 엄격한 개인정보보호정책에 근거한 개인의 그 개인정보에 대한 통제권 강화를 공통점으로 하고 있으며, 이러한 정책방향에 근거하여 레딩 부위원장은 ‘잊혀질 권리’의 입법을 예고했고, 오바마 대통령은 ‘DO NOT TRACK'이라는 개인정보 추적장치의 도입을 실현시켰다.

위 레딩과 오바마의 개혁 및 엄격한 개인정보보호정책에 대한 우려도 만만치 않다. 기업들은 엄격한 기준이 인터넷 기술 발전과 유럽 경제에 악영향을 줄 것이라고 반발하고 있으며, 영국의 에드바이지 문화부 차관은 쉬운 데이터 복사 및 빠른 데이터 확산의 상황에서 어떻게 ‘잊혀질 권리’를 실현할 수 있을지 실효성에 의문을 제기했고, 미국의 소비자측인 CDD, Center of Digital Democracy는 인터넷기업과의 협상과정에서 합의점을 찾아내기에 쉽지 않을 것이라 전망하면서, 오바마의 권리장전이 미국보다 엄격한 프라이버시 기준을 가지고 있는 EU에의 기업진출을 돕는 숨은 의도가 있는 것은 아닌지 의심을 놓치지 않고 있다.

급변하는 EU와 미국의 인터넷 환경 및 개인정보정책의 변화는 선진국의 도상에 있는 우리나라에게도 시사하는 바도 적지 않는바, 결론으로서 몇 가지 적어보고자 한다.

첫째, 프라이버시의 역사는 짧지만 그 깊이는 결코 얕지 않다. 프라이버시나 개인정보보호의 문제는 인간에 대한 진지한 고민이나 철학적 기반이 없이는 속 시원한 해결방법이 나올 수 없는 분야이다. 단순히 개인정보를 잘 보호하자는 논의는 무의미할 것인바, 인간행위 및 사고에 대한 철저한 분석을 통하여 철학적인 접근을 수반함과 동시에 근원적이고 체계적인 이론과 실무를 정립해 나가는 것이 필요하다.

둘째, 표현의 자유 및 정보의 자유와의 충돌 문제이다. EU에서는 개인정보통제권이나 표현의 자유나 모두 인권헌장에 기초한 권리이나 미국에서는 개인정보통제권이 판례상 인정되는 권리인 반면 표현의 자유는 헌법상 권리이기 때문에 충돌에 대한 해결방법에 있어 차이점을 보이고 있다. 우리나라의 경우 표현의 자유나 개인정보통제권 모두 헌법상 근거를 찾을 수 있지만, EU 인권헌장과 달리 명시적으로 개인정보통제권에 대한 근거는 없는 상황이다.

이러한 헌법적 상황을 고려해서 법체계적인 개인정보보호에 대한 정책을 수립하여야 할 것이며, 또한 권리범위의 합리적 설정이나 엄정한 정책운영을 하지 않게 되면 어떤 법적 상황이든지 단편적이고 사려 깊지 않은 개인정보보호는 표현의 자유에 있어 큰 제약을 가져올 수밖에 없고, 특히 개인정보보호수단으로 큰 기여를 할 것으로 보이는 ‘잊혀질 권리’는 자칫 표현의 자유나 정보의 자유의 제약수단으로 악용될 수 있으며, 기득권의 유지수단이나 선전수단으로서 활용될 가능성이 없지 않다는 점도 반드시 고려해야 할 것이다.

셋째, 기업의 자유와의 균형 문제이다. 개인정보보호의 측면만을 극단적으로 강조하게 되면 도리어 이용자의 편이, 기업의 성장, 기술의 혁신이 멀어지게 된다. 기술의 발전이나 이용자의 요구, 기업의 비즈니스 모델 등도 종합적으로 고려하여야 할 것이다. 다만 개인정보에 대한 주도권은 개인정보의 취급자가 아니라 제공자 즉 주체에 있어야 한다는 점과 개인정보관리자에 대한 신뢰야 말로 디지털경제 발전에 있어 근본이자 초석이 될 수 있다는 점은 절대 잊어서는 아니 될 것이다.

넷째, 국제적 기준의 문제이다. 개인정보보호는 국제적 흐름이기는 하나, 이미 언급한 대로 그 보호 정도는 법적 상황, 지역이나 문화에 따라 상이하다는 점을 주목할 필요가 있다. 국내의 지나치게 엄격한 개인정보보호정책은 해외자본의 유입에 저해가 될 수 있으며, 반대로 느슨한 개인정보보호정책은 오히려 기업의 해외 진출에 부담이 될 수 있다. ‘프라이버시 라운드’라는 말에서 파악할 수 있듯이 세계적인 흐름을 읽으면서 개인정보보호정책을 수립하여야 할 것이며, 특히 국제적 흐름을 법령에 잘 반영함으로써 국내 기업의 글로벌 자생력을 키울 수 있게끔 하는 것도 바람직하다고 본다.

현실적으로 인터넷통신기술의 발전이나 표현수단의 다양화로 우리가 과거보다 개인정보 노출이 심한 세상에 살고 있기는 하지만, 그럴수록 프라이버시의 보호라는 당위는 더욱 더 큰 빛을 발해야 한다. 왜냐하면 프라이버시 권리의 근간은 인격권이며 인격은 인간의 중심이기 때문이다. 더불어 합리적인 프라이버시 정책이나 개인정보보호 정책은 궁극적으로 개인의 표현의 자유·정보의 자유나 소비자의 정부나 기업에 대한 신뢰를 고양하는 데 크게 기여할 것이기 때문이다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 3. 12.) 기고.

Today's Pick