동의 없는 개인정보처리는 원칙적으로 불법일까?
개인정보 처리의 합법성 요건과 관련하여 우리 사회에서 가장 논쟁적인 이슈를 든다면, 개인정보의 처리(수집·이용·제공)에 있어 정보주체의 동의 요건을 합법적인 정보처리의 원칙적 기준으로 설정할 것인가 하는 문제가 있다. 정보주체의 동의를 받지 않고도 '합법적으로' 또한 '합리적으로' 처리할 수 있는 경우에 대한 기준은 정확히 무엇일까? 헌법상 인정되는 개인정보자기결정권에서 의미하는 바는 정보주체의 동의 없는 개인정보의 처리를 금지시키는 것일까?
2005년에 헌재는 주민등록 지문등록 DB 사건을 통해 처음으로 개인정보자기결정권을 '독자적인 기본권'으로 인정하는 결정을 내렸다. 헌재는 구청장이 주민등록증을 발급하면서 개인의 지문정보를 수집하고, 이를 경찰청장이 보관 및 전산화하여 범죄수사 목적에 이용하는 것을 개인정보자기결정권의 침해로 판단한 것이다.
헌재는 이를 '새로운 기본권'이라 해석했는데, 그간 헌법에 명시되지 않은 새로운 개념의 기본권이라고 본 것이다. 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리다. 그러니까, 개인정보를 대상으로 하는 조사·수집·보관·처리·이용의 행위는 모두 원칙적으로는 개인정보자기결정권을 제한하는 행위라 할 수 있다.
그리고 헌재의 이러한 판시는 자칫하면 오해를 불러일으킬 수 있다. 수집에서 시작하여 이용 및 제공에 이르기까지 정보주체가 모든 것을 통제한다거나 결정할 수 있는 권리를 지닌 것으로 오해할 수 있다는 것이다. 그렇게까지는 아닌데 말이다. 우선 명확히 짚고 넘어갈 것은, 개인정보처리에 대한 결정권은 개인정보를 처리하는 자에게 있다. 그렇기에 책임도 처리자가 지는 것이다. 모든 권리에는 책임이 따르는 것으로 이해하면 쉽다. 만일, 정보주체에게 해당 권리가 있고, 개인정보와 관련한 사건이 터진다면 정보주체는 온전한 피해자가 될 수는 없을 것이다. 개인정보처리자가 제대로 업무를 수행하는지에 대해 방만했기 때문이다.
따라서 개인정보자기결정권은 통제, 개입 등을 의미하는 게 아닌, '참여의 권리'로 보아야 할 것이다. 정보주체에 관한 정보가 누구에 의해 어떻게 수집·이용·제공되고 있는지 알 권리(열람청구권), 분명한 처리목적을 달성하고 그 목적 달성에 필요한 만큼의 정보만을 처리하도록 요구할 권리, 정보의 정확성과 최신성을 유지하기 위해 틀린 정보를 수정하거나 삭제를 요구할 권리, 권한 없는 자에 대한 정보접근을 제한하고 부당한 노출의 방지를 요구할 권리를 말하는 것이다.
또한, 정보주체의 동의는 개인정보자기결정권의 본질적 내용이 아니다. 동의를 표시하는 것과 개인정보자기결정권을 행사하는 것은 각각 별도의 법적 내용을 지니는 것으로 이해해야 한다. 동의는 개인정보처리를 합법적인 것으로 승인하는 의사표시로서, 합법성의 근거라 할 수 있을 것이다. 그런데 동의가 없다면 불법으로 봐야 할까? 이것을 역으로 이해해서는 안 될 것이다. 동의가 없다고 해서 불법은 아니며, 개인정보를 처리하는 것에 정당한 이익이나 공익의 근거가 있다면 동의없이 처리하는 것을 합법으로 보아야 할 것이다.
EU의 GDPR에 대해서도, ①동의는 개인정보처리에 관한 합법성의 근거 6가지 중 하나일 뿐이다. 나머지 5가지로는 ② 계약이행 ③ 법적 의무 이행 ④ 중요한 이익 보호 ⑤ 공무수행 ⑥ 개인정보처리자 혹은 제3자의 이익 보호가 있다. 이 순서는 우열 관계를 의미하는 것이 아니며, 기업이 보통 동의를 구하는 이유는 가장 쉬운 방법으로 여겨지기 때문이다.
다시 돌아와서, 정보주체인 개인은 동의를 했거나, 혹은 동의 없이 다른 법률적 근거에 의해 정보처리가 이루어지건, 개인정보처리에 대한 오남용을 방지하기 위해 절대적인 것이 아닌, '일정한' 통제권을 갖는다. 이것은 예방 차원의 수단적 권리로, 이것이 개인정보자기결정권의 본질적 내용인 것이다. 이 통제권이 '자기결정'을 의미하는 것이며, 이를 오해해서는 안 될 것이다. '자기결정'이라는 단어가 너무도 거창하기에 마치 정보주체가 모든 것을 좌지우지할 수 있는 것처럼 오해하는 경우가 있는데 그것은 사실이 아니라는 점이다.
'보안 > 교육' 카테고리의 다른 글
국내의 과도한 개인정보 관련 형사처벌 문제 (0) | 2024.11.20 |
---|---|
국내에서 개인정보보호를 절대화하려는 경향 및 이에 대한 비판 (1) | 2024.11.17 |
AWS Cloud Practitioner Essentials #10 (1) | 2024.08.29 |
AWS Cloud Practitioner Essentials #9 (2) | 2024.08.29 |
AWS Cloud Practitioner Essentials #8 (1) | 2024.08.29 |