​변호사가 직접 작성한 지식글만 게재합니다.

FIPP과 오바마의 온라인 프라이버시 권리장전

최종 수정일: 7월 13일


최근 구글(Google)사는 편리한 맞춤형 서비스 제공을 위하여 2012년 3월 1일부터 유투브(Youtube), 지메일(Gmail) 등 60개 서비스에서 분산 관리했던 개인정보를 하나로 통합해 관리할 것이라고 밝혔지만, EU는 구글에게 불법의 소지가 있다고 지적하고 있고, 우리나라의 방송통신위원회는 개인정보 활용 목적을 이용자에게 충분히 알리고 동의를 얻으라고 구글에 권고까지 했지만 받아들여지지 않았으며, 한국개인정보보호협의회는 구글에게 전면 철회를 요구하는 성명서를 발표하기도 했다.

이런 상황에서 ‘잊혀질 권리’ 등을 내용으로 하는 EU의 강력한 개인정보보호법규의 제안이 있었고, 미국에서는 오바마 대통령이 2012년 2월 23일, 2010년 발표된 상무성 소속 인터넷정책 TF의 그린페이퍼(Green Paper)에 기초하여, 세계 디지털 경제의 성장과 변화를 꾀하면서도 동시에 소비자의 프라이버시 보호를 개선시킬 수 있는 전면적 청사진으로서 ‘온라인 프라이버시의 프레임워크(Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy(이하 ‘프레임워크’라 함))’을 발표하였다.

오바마 대통령은 위 프레임워크의 발표배경을 “미국 소비자들은 그들의 개인정보가 안전하다는 확신을 줄 수 있는 명확한 룰을 더 이상 기다릴 수 없는 실정이고, 더불어 인터넷이 발전함에 따라, 소비자의 개인정보관리에 대한 신뢰는 디지털 경제의 지속적인 성장에 필수적이라 할 것이다.”라고 설명하였다.

위 프레임워크는 네가지 요소로 이루어졌는데, 1) 소비자를 위한 온라인 프라이버시 권리장전의 제정, 2) 인터넷업체 그룹, 소비자 그룹 등의 다양한 이해관계인의 합의로 온라인 프라이버시 권리장전을 근거로 하여 한 실효적인 법규의 제정, 3) 미국 FTC(Federal Trade Commission)의 법집행 강화, 4) 정보장벽을 낮추기 위한 세계 여러 나라와의 프라이버시 기준의 상호운용성 고려가 그것이며, 이 중의 핵심은 ‘온라인 프라이버시 권리장전’ 및 ‘여러 이해관계인의 자발적 합의에 의한 실효적 법규 제정’이다.

그러나 오마바의 ‘온라인 프라이버시 권리장전’은 가이드라인 또는 원칙에 불과하므로 법적인 강제력은 없다. 다만 여러 이해관계자의 합의에 의한 실효적인 법규가 만들어진 이후에는 이를 어긴 기업에 대하여 FTC가 강력한 법적인 제재를 할 수 있다. 이전에도 ‘온라인 프라이버시 권리장전’와 같은 FIPP(Fair Information Practice Priciples)은 다수가 제정된 적이 있었는바, 우선 과거의 FIPP에 대하여 살펴보고, 이를 기초로 오바마의 ‘온라인 프라이버시 권리장전’의 내용 및 우리에게 주는 시사점을 짚어 보기로 하겠다.

FIPP란 개인정보의 수집과 통제 등 개인정보 프라이버시 권리에 대한 기본정책방향 또는 원칙을 의미하며, 나중에 이를 기초로 프라이버시에 관한 개별적인 법조항이 구체화된다. 오마바 행정부 역시 입법부를 상대로 위 ‘온라인 프라이버시 권리장전’를 근거로 한 실효적인 법제의 입법을 촉구하였다.

최초의 FIPP는 워터게이트 사건을 계기로 1973년의 미국 보건교육후생부의 자문위원회에서 제정한 ‘Records, Computers and the Rights of Citizens’이다. 줄여서 ‘HEW 원칙’이라고도 하는데, 개인정보수집과정의 투명성ㆍ개인정보에 대한 접근참여 가능ㆍ개인정보의 그 수집목적 외의 사용금지ㆍ개인정보정정가능ㆍ개인정보의 무결성 유지의 5가지로 이루어져 있다. 이러한 원칙하에 1974년 미국의 프라이버시법(Privacy Act, 5 USC sect;552a)이 제정되었다.

이후 1977년 PPSC(Privacy Protection Study Commission) 역시 FIPP 정립에 기여하게 되는데, HEW의 5가지 원칙이 개인정보수집과정 및 보호정책의 투명원칙ㆍ수집된 정보에 대한 개인의 접근참여가능 원칙, 수집된 정보에 대한 개인의 정정가능 원칙, 수집제한의 원칙, 사용제한의 원칙, 공개제한의 원칙, 수집기관의 신뢰성 있는 개인정보 관리 원칙, 수집기관 책임의 원칙의 8가지(밑줄이 추가된 원칙)로 늘어나게 된다. 위 FIPP들을 근거로 1970년 공공신용정보법(Fair Credit Reporting Act), 1978년 금융프라이버시법(Right to Financial Privacy Act), 1986년 전자통신프라이버시법(Electronic Communications Privacy Act), 1988년 비디오프라이버시법(Video Privacy Protection Act), 같은 해 어린이온라인프라이버시법(Children’s Online Privacy Protection Act)의 개별법이 차례차례 제정되었다.

이러한 추세는 유럽으로 전파되어 독일이나 프랑스에도 영향을 미쳤으며, 1980년에는 OECD(Organization for Economic Cooperation and Development) 역시 유사한 8가지의 원칙을 기초로 한 프라이버시 가이드라인(Privacy Guideline)을 발표하게 된다. 8가지 원칙으로는 수집제한의 원칙, 무결성 원칙, 목적특정의 원칙, 이용제한의 원칙, 보안관리의 원칙, 개인정보정책 등의 공개원칙, 정보주체의 참여 원칙, 수집기관 책임의 원칙이 있다. 계속하여 이러한 추세는 유지되어 유럽연합은 1995년 개인정보처리기본규칙(General Rules on the lawfulness of the processing of personael data)을 발표했고, 2004년 APEC(Asia-Pacific Economic Cooperation) 역시 유사한 원칙을 발표하기도 하였다. 이러한 FIPP은 각국의 프라이버시 개별입법에 영향을 주었음을 두말할 필요가 없다.

다시 미국으로 돌아와서, 2000년 FTC는 일반적인 FIPP의 5원칙을 정리하는데, (1) Notice/Awareness(고지와 인식), (2) Choice/Consent(선택과 동의), (3) Access/Participation(접근과 참여), (4) Integrity/Security(무결성과 보안), 및 (5) Enforcement/Redress(법집행과 시정)가 그 내용이다. 2008년 DHS(Privacy Office at the Department of Homeland Security)는 기존의 FIPP들보다는 볼 수 없는 최소수집의 원칙, 정당한 수집이 아닌 적법한 수집의 내용을 담고 있는 FIPP을 발표하였다. 위 FIPP의 원칙은 국토안보법(Homeland Security Act)에 구체화되었다.

오바마 행정부는 개인정보보호에 큰 관심을 보이면서 2011년 National Strategy for Trusted Identities in Cyberspace(NSTIC)을 발표하고, 여기에 FIPP을 담으면서 기존의 FIPP와 달리 정부뿐만 아니라 기업에 의한 개인정보수집에 비중을 두었으나, 이를 구체화할만한 입법에는 성공하지 못하였다.

이런 상황에서 2012년 2월 23일, 오바마는 다시 한 번 FIPP(정확하게는 오바마 행정부의 세 번째 FIPP임)를 발표하게 되었다. 10억명 정도의 이용자를 확보한 것으로 알려진 페이스북(Facebook)의 창업자 주커버그(Zuckerburg)는 프라이버시 시대의 종결을 언급했고, 세계 최대의 검색엔진인 구글은 개인정보관리의 통합을 시도하고 있는 상황에서, 오마바는 역대 대통령 중 가장 강하게 개인정보보호를 외치고 있다.

오바마의 포괄적이고 글로벌한 2012년 FIPP(소비자를 위한 온라인 프라이버시 권리장전)는 수집 및 이용 과정에서 정보주체의 개인정보통제(Individual Control), 프라이버시 및 보안 정책의 공개(Transparency), 개인정보 제공 목적에 부합하는 수집ㆍ이용ㆍ공개(Respect for Context), 개인정보의 적절한 관리(Security), 개인정보의 접근가능 및 정확성 확보(Access and Accuracy), 수집 목적 외 사용금지(Focused Collection), 수집기관의 FIPP 준수 의무(Accountability)의 7가지 원칙으로 이루어져 있다. 핵심은 개인정보에 대한 통제권과 투명성 제고이나, 기존의 FIPP과 비교하여 내용적으로는 새로운 것은 없다.

위 FIPP에 대하여 기업측(DAA, Digital Advertising Alliance)뿐만 아니라 소비자측(CDD, Center of Digital Democracy) 모두 디지털 시대의 소비자 보호에 있어 중요한 발전이라고 환영하고 있다. 다만 CDD는 인터넷기업과의 협상과정에서 합의점을 찾아내기에 쉽지 않을 것이라 전망하면서, 오바마의 권리장전이 미국보다 엄격한 프라이버시 기준을 가지고 있는 EU에의 기업진출을 돕는 숨은 의도가 있는 것은 아닌지 의심을 놓치지 않고 있다. 또한 개인정보전문가 Robert Gellman 박사는 개인정보를 개인정보 주체로부터가 아닌 다른 방법으로 수집하는 것에 대한 규제가 없고, 개인정보 이용시 제공목적에 부합하는 범위를 넓힌 것이 문제라고 지적하였다.

오바마의 발표에 발맞추어 미국의 온라인 광고업계는 이번 FIPP에 따라 웹브라우저상에 ‘DO NOT TRACK(추적 금지, 현재 웹브라우저 Firefox에는 ‘방문자추적중지요청’으로 장착되어 있음)’라는 버튼을 만들어 이를 클릭하면 극히 간단하게 이용자가 기업의 개인정보수집을 차단할 수 있게끔 하겠다고 발표하였다. 실제로 온라인광고업계 단체인 디지털광고연합(DAA)은 구글, 야후, 마이크로소프트, AOL 등 회원사들과 함께 향후 9개월 내에 ‘DO NOT TRACK’ 버튼을 도입한다는 방침이다.

차후에 위 FIPP를 근거로 어떠한 합의가 있을지, 그에 따라서 어떠한 구체적인 법이 들어설지, 그 내용이 어떠할지 계속 주목을 해야 할 것이며, 이제는 우리나라로 눈을 돌려보자. 우리나라의 경우 2011년 9월 30일부터 공공·민간부문 및 온·오프라인을 모두 규율할 수 있는 포괄적인 개인정보보호법이 시행되고 있으며, 이 법에서는 FIPP로서 8개의 개인정보보호원칙(제3조) 및 5개의 정보주체의 권리(제4조)를 열거하고 있다. 하지만 국민의 의식이나 개인정보보호에 대한 집행기관의 의지는 법령의 수준을 따라가지 못하고 있는 실정이다.

결론으로서 실효적인 개인정보보호를 위하여 3가지만 지적하고 싶다. 첫째, 프라이버시나 개인정보보호의 문제는 인간에 대한 진지한 고민이나 철학적 기반이 없이는 속시원한 해결방법이 나올 수 없는 분야이다. 단순히 개인정보를 잘 보호하자는 논의는 무의미할 것인바, 인간행위 및 사고에 대한 철저한 분석을 통하여 근원적이고 체계적인 이론과 실무를 정립해 나가는 것이 필요하다.

둘째, 오바마 대통령이 언급했듯이 개인정보 수집 및 활용에 있어 균형이 중요하다. 개인정보보호의 측면만을 강조하게 되면, 도리어 이용자의 편이, 기업의 성장, 기술의 혁신이 멀어지게 된다. 기술의 발전이나 이용자의 요구, 기업의 비즈니스 모델 등도 종합적으로 고려하여야 할 것이다. 다만 개인정보에 대한 주도권은 개인정보의 취급자가 아니라 제공자 즉 주체에 있어야 할 것이다.

셋째, 개인정보 보호는 국제적 흐름이기는 하나, 그 보호 정도는 지역이나 문화에 따라 상이하다는 점을 주목할 필요가 있다. 국내의 지나치게 엄격한 개인정보 보호정책은 해외자본의 유입에 저해가 될 수 있으며, 반대로 느슨한 개인정보 보호정책은 오히려 기업의 해외 진출에 부담이 될 수 있다. ‘프라이버시 라운드’라는 말에서 파악할 수 있듯이 세계적인 흐름을 읽으면서 개인정보 보호정책을 수립하여야 할 것이다.

우리가 과거보다 개인정보 노출이 심한 세상에 살고 있기는 하지만, 그렇다고 하여 프라이버시의 시대는 사라졌다는 결론을 받아들여서는 아니 될 것이다. 왜냐하면 프라이버시 권리의 근간은 인격권이며, 인격은 인간의 중심이기 때문이다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2012. 3. 10.), 로앤비(2012. 9. 17.) 기고.

Today's Pick