유럽연합과 독일의 개인정보보호법의 비판적 수용을 통한 우리나라의 개인정보보호법의 입법개선을 위한 소고

Abstract

유럽연합의 개인정보보호법(이하 GDPR)은 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 그 정보주체의 행동을 모니터링하는 우리나라의 개인정보처리자에게도 적용이 된다. 독일의 개인정보보호법도 동일하다. 그 개인정보처리자는 GDPR 제45조의 ‘적절한 보호수준’, 제46조와 제49조에 따른 ‘적절한 안전조치’ 및 ‘특례’의 인증을 통해 유럽인의 개인정보를 국외에서도 처리를 할 수가 있다. 감독기관의 독립성 미비로 적절성 인증을 받지 못했고 현재 정보통신망법 중심의 부분 적절성 인증을 받으려고 시도 중이다. GDPR의 개인정보 보호수준이 적절하고 유럽과 경제교류가 확대되는 상황에서 국내 사업자 부담의 경감을 위해 인증은 필요하다. 개인정보법제에서의 개인정보처리자에 대한 개념에 있어 우리의 ‘업무성 및 개인정보 파일’ 혹은 GDPR의 ‘개인정보 처리의 목적 및 수단’은 삭제가 바람직하다. 복잡한 개념설정은 입법의 신뢰도에 도움을 주지를 않는다. 가족 혹은 사적인 처리 혹은 통계 등 적용배제는 별도의 규정을 통해 정립하는 것이 입법의 효율성을 위해 좋다. 개인정보 개념에 있어 GDPR 제4조 제1항의 ‘‘식별가능한 정보주체는 직접 혹은 간접적으로 특히 이름, 식별번호, 위치정보, 온라인 식별자로 알아볼 수 있거나 하나 또는 그 이상의 구체적인 요소를 통하여 정보주체의 신체적, 생리적, 경제적, 문화적, 사회적 정체성이 식별될 수 있는 자’의 입법형식을 적극적으로 수용할 필요가 있다. 이를 통해 주민등록번호 외에도 mac이나 IP주소, cookie 및 즐겨찾기 등에 대한 개인정보성 유무와 관련해서 더 이상 논란이 없이 정보주체의 보호범위를 넓힐 수가 있기 때문이다. 빅 데이터 시대에 있어 법적 안정성 유지를 위해 기준의 유동성이 심한 비식별화조치보다는 법률로 익명 및 가명정보의 법제화가 필요하다. 익명정보의 개인정보성을 부인하지만 재식별화에 대한 개인정보처리자의 위험책임을 명기할 필요가 있다. 기술의 발달로 재식별은 시간의 문제이기 때문이다. 정부주도로 일본의 ‘익명가공정보’의 개념을 차용해와 ‘비식별화조치 가이드라인’을 통해 개인정보성을 부인하고 재식별 시 즉각적인 폐기 및 유출차단 등의 조치가 있으면 면제한다고 규정을 하면서 공공기관의 개인정보 유무상의 제공이 이뤄지고 있는 것은 위임의 한계를 일탈한 것으로 위법성이 짙다. 동의는 GDPR에 따르면 정보주체가 진술(구두, 문서) 혹은 명백히 긍정적인 행위를 통한 본인과 관련된 개인정보 처리의 승낙을 말한다. 동의의사는 명백하게 표시되어야 한다. 침묵이나 부작위 혹은 사전에 자동적으로 존재하는 처리동의는 동의로 볼 필요가 없다. 홍보 및 상업적 판매목적인 경우에는 GDPR 및 우리 개인정보보호법의 ‘명백한 기회제공’과 달리 ‘별도의 명백한 동의’의 입법이 바람직하다. 서면동의 시 명백하고 쉬운 언어이면서 접근의 수월성과 함께 동의거절 및 철회권이 적극적으로 보장되어야 한다. 우리의 개인정보보호법은 사전동의를 지향하면서 개인정보처리자에게 필수동의 및 임의정보의 구분과 법정 동의내용 고지의무를 부과하고, 개인정보의 유상판매 시 시행규칙을 통해 글자크기 및 색깔 혹은 밑줄 등의 표시를 강제화하고 있다. GDPR 전문 43번의 ‘정보주체와 개인정보처리자 간에 정보처리에 있어 명백한 불균형이 존재하는 경우 동의를 처리의 합법적인 근거로 제시해서는 안 된다. 특히 개인정보처리자가 공공기관이기 때문에 동의가 자유롭게 제공될 것 같지 않은 경우이다. 별개의 개인정보 처리행위에 대해 별도의 동의를 받지 않는 경우이거나 혹은 서비스 제공 등의 계약이행이 동의가 없이 이루어질 수 있음에도 불구하고 동의에 근거하여 진행되는 경우에는 해당 동의는 자유롭게 제공된 것이라고 볼 수 없다.’는 규정은 관련 규정의 해석 시 적극적으로 참조할 필요가 있다. 위원회에 계류 중인 정보통신망법 개정안은 상업적 판매의 명시를 고지의무로 규정하고 있다.