국내의 과도한 개인정보 관련 형사처벌 문제

국내의 개인정보보호법은 개인정보처리자의 법 위반에 대해 분쟁조정·엄격한 손해배상책임·법정손해배상 ·단체소송 등의 만사 제재와 시정 명령·과징금·과태료 등의 행정적 제재를 가하고 있다. 이것만 들으면 '뭐가 과한 거지?' 싶을 수 있다. 그러나 여기에 중복적으로 형벌을 부과하는 것이 골자다. 하나의 위법 행위에 대해 이중 삼중 처벌을 가하고 있는 건데, 이에 대해 우리는 개보법의 집행을 지나치게 국가형벌권에 의존한다는 비판이 있다.

 

물론 특정 반사회적 행위를 범죄로 규정하는 것은 입법자의 넓은 입법 형성의 영역에 속한다. 그러나 그렇다고 해서 그게 무제한으로 가능하다는 것을 의미하지는 않는다. 형벌은 헌법상 신체의 자유에 대한 중대한 침해를 가하는 것이고, 그렇기에 법익의 보호를 위한 최후적이고 보충적인 수단이어야 한다. 이는 형법의 보충성 원칙에 따른 것이다. 그리고 반사회적 행위라고 해서, 또한 개인의 법익을 침해한다고 해서 모두 형사처벌의 대상이 되어야 하는 것은 아닐 것이다.

 

그런데 온라인에서 정보통신서비스 제공자가 정보주체의 사전동의 없이 개인정보를 수집 및 이용하면 매출액 3% 이내의 과징금 및 5년 이하의 징역에 처해질 수 있다. 정보통신서비스 제공자 외의 민간 개인정보처리자는 자신 혹은 제3자의 정당한 업무수행을 위한 경우에도, 또한 계약을 이행하기 위한 경우에도 정보주체의 사전동의를 받아야만 하고, 이를 위반하는 경우 과징금을 물기 쉽다. 또한, 정보주체가 정정청구권, 삭제청구권, 처리정치청구권 등을 행사한 경우, 그에 따른 조치를 하지 않고 계속 이용 및 제공하는 경우에 2년 이하의 징역을 받을 수 있다. 물론 이것은 모두 일부일 뿐이다.

 

정보주체에게 어떤 구체적인 해악이 발생하지 않았는데도 그 위험의 가능성만으로 형사처벌을 하는 것은 너무 과하다는 것이며, 개인정보라 하는 것은 반드시 고유식별정보, 민감정보 같은 것만 있는 것도 아니다. 공직 생활 등을 통해 밝혀지고, 또한 공개된 정보도 있으나, 그런 정보를 처리하는 데 있어서도 형사 처벌의 가능성을 고려해야 한다. 

 

특히 개인정보는 확정적인 개념이 아니다. 나도 담당자들이 개인정보를 헷갈리는 경우를 많이 봐왔다. 그 구분이 모호하기 때문에 정당한 정보처리의 이익을 가진 수많은 민간의 개인정보처리자들은 늘 형사처벌의 경계를 넘나들게 된다. 그렇다 보니 무서워서 보수적으로 해석을 하게 되고, 이것이 지나친 업무 경직을 낳게 되는 것이다. 법적 리스크를 안는 것보다는 그게 나으니 말이다. 이 부분에 있어서는 그 누구도 자유로울 수 없다.

 

개인정보보호법이 정하는 법정형도 형법의 비밀침해죄와 비교할 때 더 높다. 형법의 비밀침해죄의 대상행위는 봉함 기타 비밀 장치한 사람의 편지, 문서, 또는 도화를 본인의 의사에 반해서 개봉한 행위다. 이 행위에 대한 처벌은 3년 이하의 징역 또는 500만 원 이하의 벌금이다. 또한, 의사 또는 변호사가 의뢰인과의 신뢰를 배반하여 직무처리 중 알게 된 의뢰인의 비밀을 누설한 때에는 3년 이하의 징역 또는 700만 원 이하의 벌금형에 처해진다. 이 비밀침해죄와 업무상 비밀누설죄는 피해자의 고소가 있어야만 처벌할 수 있다. 그런데 비밀장치가 된 사생활 비밀도 아닌, 쉽게 접할 수 있는 개인정보를 본인의 동의 없이 수집·이용·제공했다는 이유로, 또는 정정·삭제·처리정지 요구에 응하지 않았다는 이유로 5년 혹은 2년 이하의 징역 또는 5천만 원 또는 2천만 원 이하의 벌금이 처해질 수 있으며, 여기에 민사제재 및 행정제재도 추가로 가해질 수 있다. 형평성이 전혀 맞지 않다는 것이다.

 

항상 법에서 형평성은 중요하다. 경범죄가 중범죄보다 처벌이 과해서는 아니될 것이며, 같은 수준의 범죄인데 처벌에서 차이가 크게 나면 안될 것이다. 물론 개인정보의 처리를 중요시 여겨야 하는 것은 맞으나, 지나친 제재는 결코 사회에 좋은 영향만을 끼치지는 않을 것이다. 가장 중요한 것은 합리와 중용이지 않을까.