1. 대법원 2016. 8. 17. 선고 2014다235080 판결의 사건 개요
원고(갑)는 1990년부터 현재까지 ○○대학교(1984년 3월 공립대학교로 전환되었다가 2013년 1월 국립대학법인으로 전환되었다) 법과대학 법학과 교수로 재직 중이다. 피고(을) 로앤비는 종합적인 법률정보를 제공하는 사이트인 ‘로앤비’(이하 ‘이 사건 사이트’라 한다)를 운영하는 회사로서, 주식회사 법률신문사로부터 제공받은 법조인 데이터베이스상의 개인정보와 자체적으로 수집하여 데이터베이스로 구축한 국내 법과대학 교수들의 개인정보를 이 사건 사이트 내의 ‘법조인’ 항목에서 유료(개인정보만 따로 떼어내어 판매하는 방식이 아니라 피고 로앤비가 제공하는 다른 콘텐츠와 결합하여 전체적으로 요금을 받는 방식)로 제공하는 사업을 영위하였다.
을은 2010. 12. 17. 경 원고의 사진, 성명, 성별, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보(이하 ‘이 사건 개인정보’라 한다)를 수집하여 이 사건 사이트 내의 ‘법조인’ 항목에 올린 다음 이를 유료로 제3자에게 제공하여 왔는데, 이 사건 개인정보 중 출생연도를 제외한 나머지 정보는 ○○대학교 법과대학 법학과 홈페이지에 이미 공개되어 있고, 출생연도는 1992학년도 사립대학 교원명부(비매품)와 1999학년도 ○○대학교 교수요람(비매품)에 이미 게재된 생년월일의 일부 정보이며, 을은 이러한 자료들을 통해 이 사건 개인정보를 수집하였다.
이에 갑은 을이 자신의 개인정보를 수집하여 제3자에게 제공한 행위가 불법행위에 해당한다는 이유로 2012. 5. 29. 손해배상을 청구하였고, 을은 2012. 6. 18. 이 사건 소장 부본을 송달받자 2012. 7. 30. 경 이 사건 사이트 내의 ‘법조인’ 항목에서 이 사건 개인정보를 모두 삭제하였다.
2. 법원의 판단
대법원은 불법행위를 이유로 위자료를 인정한 원심을 파기하였다. 즉 甲의 개인정보를 수집하여 제3자에게 제공하였더라도 그에 의하여 얻을 수 있는 법적 이익이 정보처리를 막음으로써 얻을 수 있는 정보주체의 인격적 법익에 비하여 우월하기 때문에 甲의 개인정보자기결정권을 침해하는 위법한 행위로 평가할 수 없으며, 乙이 甲의 개인정보를 수집하여 제3자에게 제공한 행위는 甲의 동의가 있었다고 객관적으로 인정되는 범위 내이고, 乙에게 영리 목적이 있었다고 하여 달리 볼 수 없다는 것이 주요 내용이다.
3. 문제제기
대상 판결은 공개된 개인정보의 이용에 대한 판결로서 개인정보보호법의 입법흠결 부분에 대한 최초의 판결이라는 의미가 있다. 이하에서는 문제가 된 개인정보자기결정권의 법적 성격, 개인정보보호법 이념, 개인정보자기결정권 사후구제 등을 검토한 후 대상 판결에 대한 검토를 해보겠다.
Ⅱ. 개인정보자기결정권의 의의와 법적 성격
1. 개인정보자기결정권의 보호의 객체 : 개인정보의 개념
개인정보자기결정권의 보호객체는 “개인정보”이다. 개인정보의 정의는 명확한 것은 아니지만, 보호할 가치가 있는 개인정보라는 측면에서 본다면 개인에 관한 모든 정보가 아니라 특정개인과 연결되는, 즉 개인에 대한 식별이 가능한 정보에 한정되어야 한다. 따라서 개인에 관한 정보라고 하더라도 익명 처리되어 누구에 관한 정보인지 식별이 안 된다면 이는 여기서 말하는 개인정보에는 속하지 않는다.
유럽연합 개인정보보호지침(95/46/EC)도 개인정보를 "자연인을 식별시키거나 식별시킬 수 있는 모든 정보{any information relating to an identified or identifiable natural person ('data subject')}"라고 정의하고 있고, 국내의 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 개인정보를 "생존하는 개인에 관한 정보로서 성명․주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호․문자․음성․음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)"로서 규정하고 개인정보보호법에서는 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”로서 규정하고 있는 것도 같은 취지이다.
식별가능한 개인정보에는 다양한 정보들이 포함될 수 있다. 내용적으로 볼 때, 성명, 주민등록번호, 주소, 가족관계 등의 신분관계정보, 학력, 직업, 전과 등의 사회관계정보, 신용정보, 상거래내역, 소득, 보유재산 등의 경제관계정보, 신장, 체중, 병력, 장애, 지문, DNA 등의 심신관계정보, 사상, 종교, 가치관, 정치적 성향 등의 내면관계정보 등으로 구분된다. 내용적 구분 외에 그 속성에 의한 구분이 가능한데 정보통신망법의 위 개념 규정에서 나타나다시피 직접적으로 당해 개인을 알아 볼 수 있는 정보와 다른 정보와 용이하게 결합하여 당해 개인을 알아 볼 수 있는 정보로 나누는 것이다.
전자를 단일 개인정보, 후자를 복합 개인정보로 부르기도 한다. 전자에는 주민등록번호, 신용카드번호, 유전자정보 등 특정개인과 직결되어 있는 정보들이 포함되고 후자에는 그 외의 정보로서 특정개인과 직결되어 있지 않지만 다른 개인정보와 결합됨으로써 식별성을 갖게 되는 정보들이 포함된다.
2. 개인정보자기결정권의 의의
"개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리"이므로 개인정보자기결정권은 개인관련정보의 사용과 공개에 대하여 원칙적으로 개인 스스로 결정할 수 있는 권리를 말한다.
3. 개인정보자기결정권의 법적 성격
(1) 개인정보 보호의 필요성
국가 또는 국가에 필적하는 사인·사적 단체가 개인의 행위를 관찰하고 그에 관한 정보를 수집·처리하는 것은 자유롭게 행동하려는 개인의 의사에 심리적 압박을 미쳐, 개인의 기본권 행사를 저해할 수 있다. 또한, 자신과 관련한 정보 중에서 어떠한 것이 외부에 알려져 있는지 제대로 파악할 수 없고 상대방이 자신에 관하여 무엇을 알고 있는지 전혀 예측할 수 없는 사람은 자신의 결정을 근거로 계획하고 행동하는 자유에 있어서 크게 제약을 받게 된다(자율성의 측면).
더욱이 자동화된 정보처리는 개인에 관한 개별 자료가 서로 결합될 수 있다는 새로운 가능성을 열어 놓았다. 흩어진 상태에서는 그 자체로서 특별한 의미가 없고 보호될 필요성도 없는 개별 자료도 상호 결합하여 개인의 전체적 또는 부분적 인격상을 형성할 수 있게 되었고, 이로써 개인의 행위를 예측하고 조종할 수 있는 기준을 얻게 되었다.
또한 오늘날 자료의 전산처리과정으로 인하여 개인 관련 정보가 무제한적으로 저장될 수 있고, 언제든지 다시 불러낼 수 있으며, 다른 자료들과 함께 취합되어 개인에 관한 거의 완벽한 인격상을 형성하도록 결합될 수 있는 반면, 당사자는 그 정보의 타당성이나 사용을 충분히 통제할 수 없게 되었다(인격상의 왜곡 측면). 개인의 실존인격을 완전하게 반영하지 못하는 왜곡된 디지털 인격이 갖는 위험성은 개인정보를 수집·처리·이용하는 각 국면에 따라 정확성(accuracy), 충실성(integrity), 보안성(security), 적합성(adequacy) 등의 문제로 나타난다.
(2) 개인정보자기결정권의 권리성
우리나라 헌법재판소와 대법원은 개인정보의 보호 필요성을 적극적으로 받아들여 개인정보에 관한 이익을 하나의 권리로서 승인하고 있고 이것이 개인정보자기결정권이다.
(3) 개인정보자기결정권의 법적 성격에 관한 학설
1) 헌법 제10조에서 찾는 견해
헌법 제10조에서 개인정보자기결정권의 근거를 찾는 견해로서 자기에 관련된 정보의 전파를 컨트롤할 수 있는 권리를 우리 헌법 제10조에서 도출된다고 본다.
사생활의 비밀로 규정된 프라이버시권은 인격권의 한 내포로서 인정되고 있으면서 별도의 자유권으로 독립되어 규정된 특수한 체제를 취하고 있다고 한다.
그런데 제10조의 개인의 일반적 인격권과 별도로 사생활의 보호가 제17조에서 특별히 명문으로 규정한 것은 프라이버시권의 중요성을 강조하고 있다는 점에서는 긍정적일 수 있지만, 중복된 규정이라는 점에서 보면 프라이버시권의 범위를 둘러싼 불필요한 해석 논쟁을 낳는 이유가 된다고 한다.
독일 헌법과 같이 일반적 인격권 규정을 제10조에 두고 있는 이상, 미국 판례에서와 같이 사적 영역에서의 자기결정권까지 포함하는 광의의 개념으로 굳이 프라이버시권 자체를 확대 해석할 필요는 없다고 한다.
제17조의 조문을 충실히 해석할 때 이 조항이 미국에서 논의 되는 프라이버시권이나 독일에서 논의되는 일반적 인격권을 모두 수용할 수는 없고 일부만을 포섭할 수 있을 뿐이라고 한다. 그러나 헌법 제10조에 행복추구권이 별도로 보장되어 있기 때문에 제17조를 무리하게 확장하여 해석할 필요까지는 없다고 하면서 결국 포괄적인 정보자기결정권의 헌법적 근거는 헌법 제10조 제1문 후단의 행복추구권 및 동조 제1문의 인간의 존엄과 가치에 그 근거가 있는 일반적 인격권에서 찾는 것이 바람직하다고 한다.
2) 제17조에서 찾는 견해
헌법 제10조의 자기결정권은 보충적 권리성과 개별적 기본권과의 관련성에 비추어 좁은 의미로 이해하여야 하고, 자신에 관한 정보의 흐름에 주도적으로 관여할 수 있느냐 하는 것은 기본적으로 사생활의 자유와 관련되는 문제이므로 자기 정보에 대한 통제권은 헌법 제17조로부터 찾아야 한다.
3) 헌법 제10조 및 국민주권원리 등에서 찾는 견해
개인정보자기결정권의 근거로서 자유로운 인격성의 보장을 위한 측면은 인간의 존엄과 가치, 행복추구권 조항에서 찾되, 정치적 권리로서의 측면은 궁극적으로 우리 헌법의 기본원리로서의 국민주권의 원리와 민주주의의 원칙에서 찾을 수 있다고 한다.
4) 헌법 제10조 및 헌법 제17조에서 찾는 견해
우리 헌법의 해석상 자기정보통제권의 실정법적 근거는 인간으로서의 존엄과 가치 및 행복추구권에 관한 헌법 제10조와 사생활의 비밀과 자유에 관한 헌법 제17조의 양 조항에서 찾는 것이 타당하다는 견해이다.
4. 개인정보자기결정권 관련 판례의 태도
(1) 헌법재판소
헌법재판소는 지문날인 거부 사건에서 ‘개인정보자기결정권’을 명시적으로 인정했는데, 헌법재판소는 개인정보자기결정권을 헌법에 명시되지 않은 독자적인 기본권으로 인정하였다. 그 판시 내용은 다음과 같다.
"개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사・수집・보관・처리・이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.
새로운 독자적 기본권으로서의 개인정보자기결정권을 헌법적으로 승인할 필요성이 대두된 것은 다음과 같은 사회적 상황의 변동을 그 배경으로 한다고 할 수 있다. 인류사회는 20세기 후반에 접어들면서 컴퓨터와 통신기술의 비약적인 발전에 힘입어 종전의 산업사회에서 정보사회로 진입하게 되었고, 이에 따른 정보환경의 급격한 변화로 인하여 개인정보의 수집·처리와 관련한 사생활보호라는 새로운 차원의 헌법문제가 초미의 관심사로 제기되었다.
현대에 들어와 사회적 법치국가의 이념 하에 국가기능은 점차 확대되어 왔고, 이에 따라 국가의 급부에 대한 국민의 기대도 급격히 높아지고 있다. 국가가 국민의 기대에 부응하여 복리증진이라는 국가적 과제를 합리적이고 효과적으로 수행하기 위해서는 국가에 의한 개인정보의 수집・처리의 필요성이 증대된다.
오늘날 정보통신기술의 발달은 행정기관의 정보 수집 및 관리 역량을 획기적으로 향상시킴으로써 행정의 효율성과 공정성을 높이는 데 크게 기여하고 있다. 이와 같이 오늘날 국민이 급부행정의 영역에서 보다 안정적이고 공평한 대우를 받기 위해서는 정보기술의 뒷받침이 필연적이라고 할 수 있다. 한편, 현대의 정보통신기술의 발달은 그 그림자도 짙게 드리우고 있다.
특히 컴퓨터를 통한 개인정보의 데이터베이스화가 진행되면서 개인정보의 처리와 이용이 시공에 구애됨이 없이 간편하고 신속하게 이루어질 수 있게 되었고, 정보처리의 자동화와 정보파일의 결합을 통하여 여러 기관간의 정보교환이 쉬워짐에 따라 한 기관이 보유하고 있는 개인정보를 모든 기관이 동시에 활용하는 것이 가능하게 되었다. 오늘날 현대사회는 개인의 인적 사항이나 생활상의 각종 정보가 정보주체의 의사와는 전혀 무관하게 타인의 수중에서 무한대로 집적되고 이용 또는 공개될 수 있는 새로운 정보환경에 처하게 되었고, 개인정보의 수집・처리에 있어서의 국가적 역량의 강화로 국가의 개인에 대한 감시능력이 현격히 증대되어 국가가 개인의 일상사를 낱낱이 파악할 수 있게 되었다.
이와 같은 사회적 상황 하에서 개인정보자기결정권을 헌법상 기본권으로 승인하는 것은 현대의 정보통신기술의 발달에 내재된 위험성으로부터 개인정보를 보호함으로써 궁극적으로는 개인의 결정의 자유를 보호하고, 나아가 자유민주체제의 근간이 총체적으로 훼손될 가능성을 차단하기 위하여 필요한 최소한의 헌법적 보장장치라고 할 수 있다.
개인정보자기결정권의 헌법상 근거로는 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10조 제1문의 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 위 조문들과 동시에 우리 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의원리 등을 고려할 수 있으나, 개인정보자기결정권으로 보호하려는 내용을 위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능하다고 할 것이므로, 그 헌법적 근거를 굳이 어느 한 두개에 국한시키는 것은 바람직하지 않은 것으로 보이고, 오히려 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라고 보아야 할 것이다."
(2) 대법원
대법원은 국가보안사령부가 민간인들을 대상으로 하여 미행, 망원활용, 탐문채집 등의 방법으로 개인정보를 수집, 관리한 사건에서 다음과 같이 판시하였다.
“헌법 제10조는 "모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 진다."고 규정하고, 헌법 제17조는 "모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다."라고 규정하고 있는바, 이들 헌법 규정은 개인의 사생활 활동이 타인으로부터 침해되거나 사생활이 함부로 공개되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하려는 데에 그 취지가 있는 것으로 해석되는바, 원심이 적법하게 확정한 바와 같이, 피고 산하 국군보안사령부가 군과 관련된 첩보 수집, 특정한 군사법원 관할 범죄의 수사 등 법령에 규정된 직무범위를 벗어나 민간인인 원고들을 대상으로 평소의 동향을 감시·파악할 목적으로 지속적으로 개인의 집회·결사에 관한 활동이나 사생활에 관한 정보를 미행, 망원 활용, 탐문채집 등의 방법으로 비밀리에 수집·관리하였다면, 이는 헌법에 의하여 보장된 원고들의 기본권을 침해한 것으로서 불법행위를 구성한다고 하지 않을 수 없다.”
헌법재판소와 대법원의 판례를 보면 개인정보자기결정권을 헌법상 권리로 인정하는 것은 동일하지만 헌법재판소는 독자적인 기본권으로 보는 반면 대법원은 헌법 제10조와 헌법 제17조를 그 근거로 삼고 있다.
Ⅲ. 개인정보보호법의 이념
개인정보보호법은 개인정보처리의 가치를 기본적으로 인정하면서 그 위험성을 미리 예방하고 정보주체의 권리침해를 사후적으로 구제하고자 하는데 입법목적이 있다. 그리하여 개인정보보호법은 개인정보의 ‘보호’와 ‘안전한 활용’을 동시에 추구하고자 한다.
외국의 개인정보보호법은 이 점을 목적조항에서 명시하고 있다. 1995년의 유럽연합 개인정보보호지침(95/46/EC) 제1조(이 지침의 목적)는 “1. 이 지침에 따라서, 회원국들은 자연인의 기본적인 권리와 자유, 특히 개인정보의 처리와 관련한 프라이버시권(right to privacy with respect to the processing of personal data)을 보호하여야 한다. 2. 회원국들은 위 제1항에 근거해서 주어지는 보호와 관련된 이유를 들어 회원국 사이의 개인정보의 자유로운 유통(the free flow of personal data between Member States)을 제한하거나 금지해서는 아니 된다.”라고 규정하고 있다. 이는 개인정보의 처리(수집・이용・제공)를 금지한다는 것이 아니라, 그 처리를 허용하되 그 오・남용을 막음으로써 정보주체의 프라이버시권을 보호해야 하지만, 보호를 이유로 회원국 간의 필요한 개인정보의 유통을 막아서는 안 된다는 것이다.
1995년의 개인정보보호지침을 대체하여 2016년에 새롭게 제정된 유럽연합의 일반개인정보보호규칙 (GDPR)도 제1조(목적)에서 ‘개인정보의 처리와 관련한 자연인의 보호’(the protection of natural persons with regard to the processing of personal data)와 ‘개인정보의 자유로운 이동’(the free movement of personal data)을 입법목적으로 함께 제시하고 있다. 제3항에서는 “유럽연합 내의 개인정보의 자유로운 이동은 개인정보의 처리와 관련한 자연인의 보호와 연관된 이유로 제한되거나 금지되어서는 아니 된다.”고 규정하고 있다.
또한 일본의 개인정보의 보호에 관한 법률 제1조(목적)는 “이 법률은 … 개인정보를 취급하는 사업자가 준수하여야 할 의무 등을 규정함으로써 개인정보의 적정하고 효과적인 활용이 새로운 산업의 창출 및 활력 있는 경제사회와 풍요로운 국민생활의 실현에 이바지하는 것이라는 점 외에 개인정보의 유용성을 고려하면서 개인의 권리 이익을 보호하는 것을 목적으로 한다.”고 규정함으로써 개인정보의 활용의 가치를 인정하는 바탕 위에서 보호를 모색하고 있는 것이다.
Ⅳ. 개인정보자기결정권 침해에 대한 사법적 구제수단
1. 개인정보보호법에 의한 구제
우선 2011년 개인정보보호법이 제정되어 개인정보보호법에 따른 손해배상 청구 및 분쟁조정 등을 통해서 구제를 받을 수 있다. 자세한 내용은 생략하고 본고에서는 개인정보보호법으로 구제가 곤란한 경우에 대하여 논하기로 한다.
2. 사권으로서의 개인정보자기결정권
기본권의 대사인효에 대하여 학설 및 판례는 간접적용설에 따르고 있다. 즉 헌법에 명문규정이 없는 경우 간접적용설에 따라 기본권 규정이 사법상의 일반원칙을 통하여 사법관계에 적용된다는 내용으로 즉 민법 상 신의칙이나 불법행위 등을 통하여 사인간에 적용된다는 이론이다.
3. 개인정보자기결정권에 기한 금지청구
대법원은 인격권은 그 성질상 일단 침해된 후의 구제수단만으로는 그 피해의 완전한 회복이 어렵고, 손해전보의 실효성을 기대하기 어렵기 때문에 금지청구권을 인정하여 왔다. 또한 인격권은 물권의 경우와 마찬가지로 배타성을 가지는 권리라는 점을 논거로 들고 있다.
인격권의 일종인 개인정보자기결정권에 있어서도 특별히 다르게 볼 이유는 없다는 점에서, 개인정보자기결정권의 침해를 이유로 한 금지청구도 허용된다. 개인정보자기결정권의 구체적인 내용으로는 열람청구권, 정정청구권, 삭제・차단청구권 등이 있는바, 삭제・차단청구권이 사법(私法)의 영역에서 금지청구권으로 구체화될 수 있다.
다만, 개인정보자기결정권이 위법하게 침해되었다고 하여 어느 경우에나 개인정보의 처리를 전면적으로 금지시키는 방법으로 구제를 받을 수 있는 것은 아니다. 즉 정보처리 주체에게 개인정보를 처리할 정당한 이익은 있으나, 처리의 정확성이 문제될 경우 정보주체의 정정청구권을 인정하는 것으로 족할 것이다.
Ⅴ. 판례의 검토
1. 대법원 2016. 8. 17. 선고 2014다235080 판시사항
대법원은 동 판결에서 기존의 판례를 원용하여 개인정보자기결정권의 의의 및 개인정보의 범위를 설시한 뒤 이미 공개된 정보의 경우 정보주체의 별도의 동의 없이 정보처리한 경우에 영리를 목적으로 했다는 이유만으로 위법하다고 할 수 없으며 원칙적으로 정보주체의 동의를 필요로 하지 않는다고 판단하였다. 위법성의 판단기준으로 기본권 충돌의 논리를 적용하여 결국 이익형량의 방법을 활용하였다. 이하 판례요지 이다.
"인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보이고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.
개인정보자기결정권이라는 인격적 법익을 침해·제한한다고 주장되는 행위의 내용이 이미 정보주체의 의사에 따라 공개된 개인정보를 그의 별도의 동의 없이 영리 목적으로 수집·제공하였다는 것인 경우에는, 정보처리 행위로 침해될 수 있는 정보주체의 인격적 법익과 그 행위로 보호받을 수 있는 정보처리자 등의 법적 이익이 하나의 법률관계를 둘러싸고 충돌하게 된다.
이때는 정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리의 목적·절차·이용형태의 상당성과 필요성, 개인정보 처리로 침해될 수 있는 이익의 성질과 내용 등 여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익과 정보처리 행위로 얻을 수 있는 이익 즉 정보처리자의 ‘알 권리’와 이를 기반으로 한 정보수용자의 ‘알 권리’ 및 표현의 자유, 정보처리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치를 구체적으로 비교 형량하여 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 정보처리 행위의 최종적인 위법성 여부를 판단하여야 하고, 단지 정보처리자에게 영리 목적이 있었다는 사정만으로 곧바로 정보처리 행위를 위법하다고 할 수는 없다.
2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자의 개인정보 수집·이용(제15조)과 제3자 제공(제17조)에 원칙적으로 정보주체의 동의가 필요하다고 규정하면서도, 대상이 되는 개인정보를 공개된 것과 공개되지 아니한 것으로 나누어 달리 규율하고 있지는 아니하다.
정보주체가 직접 또는 제3자를 통하여 이미 공개한 개인정보는 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정한 범위 내에서 동의를 하였다고 할 것이다. 이와 같이 공개된 개인정보를 객관적으로 보아 정보주체가 동의한 범위 내에서 처리하는 것으로 평가할 수 있는 경우에도 동의의 범위가 외부에 표시되지 아니하였다는 이유만으로 또다시 정보주체의 별도의 동의를 받을 것을 요구한다면 이는 정보주체의 공개의사에도 부합하지 아니하거니와 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기 위한 비용만을 부담시키는 결과가 된다.
다른 한편 개인정보 보호법 제20조는 공개된 개인정보 등을 수집·처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보주체에게 알리도록 규정하고 있으므로, 공개된 개인정보에 대한 정보주체의 개인정보자기결정권은 이러한 사후통제에 의하여 보호받게 된다. 따라서 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 하고, 별도의 동의를 받지 아니하였다고 하여 개인정보 보호법 제15조나 제17조를 위반한 것으로 볼 수 없다.
그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 한다."
2. 판례 검토
(1) 개인정보자기결정권의 의의 및 개인정보 개념
개인정보자기결정권을 헌법상 권리로 인정하고 개인정보의 개념을 사적영역에 한정하지 아니하고 공개된 개인정보도 포함하는 것으로 기존의 해석을 확인하였는바, 이점에 관해서는 타당한 판단이라고 보여진다.
(2) 기본권 충돌로서 해결
개인정보자기결정권은 헌법상 인정되는 권리이고 현행 개인정보보호법 상 공개되지 아니한 개인정보의 경우에는 개인정보보호법으로 충분히 규율이 가능하나 공개된 개인정보의 경우에는 흠결이 있기 때문에 기본권 충돌의 문제로 해결하고 있다. 기본권 충돌에 관하여 우리나라의 학설은 대체로 법익형량의 원칙과 실제적 조화의 이론에 따라 해결하여야 한다고 설명하고 있다.
동 판결에서 개인정보자기결정권과 알권리, 영업의 자유 등이 충돌한다고 판단하였으며, 이에 대한 해결 방법으로 법익형량의 방법을 사용하였다. 기본적으로는 개인정보 보호의 이념 즉 정보주체의 보호와 개인정보 이용을 위해서 타당한 방법이라고 생각한다.
다만 구체적인 법익형량 과정에서 나타난 판례의 문제점을 지적하면 아래와 같다.
1) 영리목적의 행위에 대한 위법성 판단여부
동의 없이 공개된 개인정보를 수집하여 제3자에게 제공하는 행위의 위법성 판단기준은 비영리를 목적으로 이루어진 경우에는 특별한 사정이 없는 한 적법하다고 해석된다. 다만 정보주체의 동의 의사가 있었다고 인정되는 범위를 초과하여 공개된 개인정보를 수집하여 이를 제3자에게 제공하는 행위는 특별한 사정이 없는 한 위법하다고 해석함이 상당하다.
한편 영리를 목적으로 이루어진 경우에는 단순히 영리 목적으로 공개된 개인정보를 수집하여 이를 제3자에게 제공하는 행위를 정보주체의 동이 없이 한 경우에는 설령 정보주체가 공적인 존재라 하더라도 다른 특별한 사정이 없는 한 위법하다고 해석함이 상당하다. 즉 대상판결과 같이 개인정보를 불특정 다수의 제3자에게 제공하는 것 자체를 영업으로 하는 자가 그 영업으로 공개된 개인정보를 수집하여 이를 제3자에게 제공하는 행위를 정보주체의 동이 없이 하는 경우에는 설령 정보주체가 공적인 존재라 하더라도 다른 특별한 사정이 없는 한 위법하다는 반론이 있을 수 있다.
2) 묵시적 동의
대상판결은 “을이 사건 개인정보를 수집하여 이 사건 소장 부본을 송달받을 무렵까지 제3자에게 제공한 행위는 갑의 동의가 있었다고 객관적으로 인정되는 범위 내라고 봄이 타당”하다고 하여, 동의가 존재하지 아니하였던 사실관계에 대해 ‘묵시적 동의’가 존재한다고 판단하였다. 이는 개인정보보호법 제15조 제1항의 명문에 반한다.
개인정보보호법 제15조 제1항은 개인정보의 수집・이용이 정당화되려면 제1호에 의해 정보주체의 동의가 있거나 기타 각 호에 따라 정보주체의 동의 없이도 이를 정당화할 사유가 존재해야 하는데, 대상판결의 행위가 수집 절차의 상당성을 결여한 것으로 평가될 여지가 있으며, 또한 동의의 방식을 정하고 있는 동법 제22조 및 동법 시행령 제17조 제1항에 따르면 “명시적으로 표시”하는 방법에 의하지 아니하면 동법 제15조 제1항 제1호에서 말하는 동의에 해당되지 않게 되므로 따라서 대상 판결은 타당하지 않다는 비판이 제기된다.
Ⅵ. 결론 : 입법론적 대안
현행 개인정보보호법은 공개된 정보와 그렇지 않은 정보를 구분하지 않고 규율하고 있어 대상판결의 사안과 같은 분쟁이 발생한 경우에 혼란을 가중하고 있다. 따라서 개인정보보호법의 개정을 통하여 해당 조문을 명확히 하는 작업이 필요하다고 하겠다. 대상 판결에서 제시받은 개선안을 정리하면, 우선 비공개정보와 공개정보의 구분이 필요하다고 하겠다.
공개정보에 관한 규율이 미흡하여 수범자들의 혼란을 가중하고 있으므로 이에 대한 개선안이 시급하다고 하겠다. 또한 공개된 정보의 경우에 정보주체의 별도 동의가 필요한 것과 그렇지 않은 것을 구분해 볼 필요가 있다. 공개된 개인정보의 경우에도 개인정보자기결정권의 보호대상에 포함되므로 이러한 정보를 수집, 이용, 제3자에게 제공하는 경우에는 정보주체의 동의를 얻는 것이 바람직하다고 하겠다. 다만 모든 공개된 개인정보에 대하여 이러한 동의를 필수적으로 얻도록 하는 것은 경제적인 측면에서 비효율적일 수 있으므로 이에 대한 대안도 연구가 필요하다고 하겠다.
* SWOT 분석
1. Strength(장점)
개인정보보호법은 개인정보의 ‘보호’와 ‘활용’을 조화롭게 하는데 그 목적이 있다. 현행 개인정보보호법은 이 중 ‘보호’의 측면에 주안점을 두고 있다. 이러한 현행법과 판례의 태도는 개인정보를 보호하는 데에는 매우 우수하다.
2. Weakness(단점)
현행 개인정보보호법은 전세계에서도 유래 없이 개인정보를 보호하는데 초점을 두고있기 때문에 상대적으로 빅데이터시대에 개인정보를 활용하는 측면에서는 문제가 발생하며, 이는 세계적인 기준과 경향에 부합하지 않아 자칫 개인정보활용 측면에서 산업적으로 뒤처질 가능성이 있다.
3. Opportunity(기회)
공개된 개인정보를 개인정보보호법의 적용대상에 포함시킬 것인지에 대해 다양한 견해가 개진되고 있지만 점차 공개된 개인정보는 개인정보보호법의 적용보다는 산업적으로 활용하는 방향으로 법제를 정비하여야 한다.
4. Threat(위험)
가까운 시일 내에 공개된 개인정보를 조합하거나 분석한 2차 정보들에 의한 개인정보침해사고가 발생할 가능성이 높다. 현재 이에 대해서는 별다른 대응법제나 제도가 마련되어 있지 않다. 만일 대량침해사고가 발생하는 경우에는 공개된 개인정보의 활용이 전면 금지될 것이고, 이렇게 되면 막대한 경제적 손실이 발생할 것이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지