본 코너에서는 EU의 개인정보 보호의 역사적 배경을 알아보고, 인권법에서 GDPR까지 관통하는 개인정보 보호와 관련 입법 체계를 설명하고자 한다. 코너 전반이 법률에 관한 내용이고, 그 배경 설명을 위해 GDPR의 역사적, 이론적 전개를 되도록 상세히 소개하고자 한다.
데이터 보호의 근거
1970년대 초반에는 개인정보를 처리하기 위해 컴퓨터 사용이 증가했다. 유럽경제공동체(EEC: European Economic Community)에 의해 촉진된 국경 간 무역은 또한 정보 공유의 증가를 고무시켰다. 전자 데이터 처리 분야의 급속한 발전과 메인 프레임 컴퓨터의 첫 등장으로 공공 행정 및 대기업은 광범위한 데이터 은행을 설립하여 개인정보의 수집, 처리 및 공유를 향상시켰다. 이에 덧붙여 컴퓨터가 통신 개발과 결합하여 국제 규모의 데이터 처리를 위한 새로운 기회를 열었다. 이러한 발전은 효율성과 생산성면에서 상당한 이점을 제공했지만, 개인정보가 국제적 경계를 넘어 이동될 경우, 비록 이런 진보가 꼭 긍정적인 측면만 있는 것이 아니라, 개인의 프라이버시에 부정적인 영향을 줄 것이라는 우려가 제기되었다.
유럽의 개별 국가의 법 시스템에는 프라이버시, 불법 행위, 비밀 및 기밀에 관한 법률과 같이 개인의 개인정보를 보호하기 위한 규정이 이미 있었다. 그러나 개인정보의 자동 저장과 국경 간 무역의 증가는 국제 무역을 지원하는 데 필요한 정보의 자유로운 국제 흐름을 허용하는 한편 개인이 개인정보를 통제할 수 있는 새로운 표준을 요구한다는 것 역시 인정되었다. 문제는 개인의 자유와 사생활에 대한 국가적 차원의 우려와 EEC 수준에서의 자유 무역을 지원할 수 있는 능력 간의 균형을 유지하는 방식으로 이러한 기준을 마련하는 것이었다.
인권법(Human rights law)
우리나라의 경우 2011년에서야 개인정보 보호과 관련된 법 체계가 일원화된 별도의 개인정보보보법이 제정되었기 때문에, 갑자기 생겨난 규제법이라는 인식이 많다. 하지만 유럽에서는 사생활과 관련 자유에 대한 권리는 근본적인 인권으로 간주된다. 이 개념은 EU 데이터 보호법의 기초를 이루며 현업에서 완전히 받아들이고 이해하는 데 중요하다. 공기능적으로, 국제 인권법은 국제적, 지역적, 국내적 차원에서 인권을 증진하고 보호하기 위한 국가 간 합의에 기초를 두고 있다. 여기서는 인권법에서의 데이터 보호의 토대에 대해 살펴본다.
세계인권선언(Universal Declaration of Human Rights)
1948년 12월 10일 유엔 총회에서 채택된 세계인권선언(Human Rights Declaration)은 개인을 보호하기 위한 기준을 세우기 위한 분명한 출발점이었다. 인권선언은 제2차 세계 대전의 잔학 행위에 따라 생겨났으며, ‘자유, 정의와 세계평화에 기초한 모든 인류 구성원의 타고난 위엄과 평등하고 양도할 수 없는 권리’로서 보편적인 가치와 전통으로 인정된다.
인권선언에는 사생활 및 가정생활의 권리와 표현의 자유와 관련된 구체적인 조항이 포함되어 있다. 인권선언에 명시된 원칙은 이후 유럽의 데이터 보호법 및 표준의 기초를 제공한다.
사생활과 관련된 자유에 대한 권리는 인권선언 제12조에 포함되어 있으며 번역하면 아래와 같다.
| 어느 누구도 그의 사생활, 가족, 집이나 서신에 대한 임의적인 간섭을 받지 않으며 그의 명예와 평판에 대한 공격을 당하지 않는다. 모든 사람은 그러한 간섭이나 공격으로부터 법의 보호를 받을 권리가 있다. |
인권선언의 또 다른 기본적인 측면은 제19조에 명시된 표현의 자유에 대한 권리이며, 그 내용은 아래와 같다.
| 누구나 의견과 표현의 자유를 누릴 권리가 있다. 이 권리는 간섭없이 의견을 보유하고 국경에 관계없이 모든 언론을 통해 정보와 아이디어를 찾고, 받고, 전달할 자유를 포함한다. |
처음에는 특히 제19조의 행사가 제12조에 반하는 사생활 침해를 초래할 수 있는 경우에 제19조의 규정이 제12조와 상충하는 것으로 보일 수 있다. 그러나 명백한 갈등은 제29조(2)항에서 화해되며, 개인 권리는 절대적이지 않으며 균형을 맞춰야 하는 경우가 있을 것이라고 아래와 같이 서술한다.
| 자신의 권리와 자유를 행사함에 있어 모든 사람은 타인의 권리와 자유에 대한 정당한 인정과 존중을 보장하고 도덕, 공공 질서와 민주 사회의 보편적 복지에 대한 정당한 요구 사항을 충족시키기 위한 목적으로만 법률에 의해 결정되는 제한에 따라야 한다. |
유럽인권협약(European Convention on Human Rights)
1950년 로마에서 유럽 평의회(Council of Europe)는 인권과 기본적 자유를 보호하기 위한 국제 조약인 유럽인권협약(ECHR: European Convention on Human Rights)에 서명하도록 개별 국가를 초청했고, 인권선언에 따라 1953년 9월 3일에 발효되었으며, 회원국에만 적용된다. 모든 유럽 평의회 회원국은 ECHR의 당사국이며, 새로운 회원국은 가능한 한 빨리 ECHR을 비준할 것으로 기대된다. ECHR 당사국은 관할권 내의 모든 사람에게 이러한 권리와 자유를 제공할 것을 약속한다. ECHR은 그것이 보호하는 기본적 권리와 자유의 범위 때문에 강력한 도구이다. 여기에는 고문 금지, 노예제도 및 강제 노동 금지, 자유와 안전에 대한 권리, 공정한 재판을 받을 권리, 법 없는 형벌은 없을 것, 사생활과 가정생활에 대한 존중 그리고 사상, 양심 및 종교의 자유, 표현의 자유, 집회 및 결사의 자유, 결혼할 권리, 효과적인 구제 및 차별 금지에 관한 권리 등 삶의 권리가 포함된다.
ECHR은 유럽인권재판소(European Court of Human Rights)의 형태로 스트라스부르(Strasbourg)에 제정된 시스템이 있다. 유럽인권재판소는 ECHR 위반 혐의를 검토하고 국가가 ECHR에 따른 의무를 준수하도록 보장한다. 유럽 인권 재판소의 판결은 해당 국가에 구속력을 가지며 국가 정부의 법률 개정이나 실제적인 변화로 이어질 수 있다. 유럽 평의회의 각료위원회의 요청에 따라 유럽인권재판소는 ECHR 및 의정서의 해석에 관한 자문 의견을 제시할 수 있다. 1998년 11월 1일, 법원 시스템은 단일 전임(single full-time) 인권 재판소로 재구성되었다.
ECHR 제8조는 인권선언 제12조를 반영하며 다음과 같이 규정한다.
| 1. 모든 사람은 개인 및 가족생활, 그의 집과 그의 서신에 대한 존중받을 권리를 가진다.
2. 법에 의거하는 경우나 국가 안보, 공공 안전 또는 경제적 복지를 위해 민주 사회에서 필요하거나, 무질서 또는 범죄의 예방을 위해 필요하거나, 건강이나 도덕의 보호, 또는 타인의 권리와 자유를 보호하기 위한 경우를 제외하고는, 이 권리를 행사하는 데 공공 기관에 의한 어떠한 간섭도 없어야 한다. |
이 조항은 개인정보가 비공개로 유지되는 권리를 보호하지만, 이는 절대적인 권리와 필요성이 아니며, 비례성은 공익에 대한 개인의 사생활 침해를 정당화할 수 있다.
제8조는 프라이버시 권리를 다루는 반면, 제10조는 표현의 자유와 국경을 초월한 정보와 아이디어를 공유할 권리를 보호한다.
ECHR 제10조 (1)항:
| 모든 사람은 표현의 자유에 대한 권리가 있다. 이 권리에는 의견을 가질 자유와 공공 당국의 간섭없이 그리고 국경에 상관없이 정보와 아이디어를 수령하고 전달할 자유가 포함된다. |
이 권리는 제10조 (2)항에 규정된 개인의 사생활을 보호할 수 있는 자격이 있다.
| 이러한 자유의 행사는 의무와 책임을 수반하기 때문에, 법으로 정한 절차, 조건, 제한 또는 벌금에 처해질 수 있으며, 이는 국가 보안, 영토 보전 또는 지역 사회의 이익을 위해, 그리고 공공 안전, 무질서 또는 범죄 예방, 건강 또는 도덕의 보호, 명성이나 타인의 권리 보호, 정보의 공개를 막기 위해, 또는 사법부의 권위와 공평성을 유지하기 위해 민주 사회에서 필요하다. |
인권선언과 ECHR은 모두 개인의 권리와 이러한 권리에 대한 정당한 간섭 사이의 균형에 대한 필요성을 본질적으로 인정하며, 이는 데이터 보호법에서 반복되는 주제이다.
초기 EU의 법과 규정
1960년대 후반부터 1980년대에 이르러 유럽을 비롯한 여러 국가가 정부 기관 및 대기업의 개인정보 사용을 통제하는 법안을 시행하는 데 앞장서 왔다. 여기에는 오스트리아, 덴마크, 프랑스, 독일 연방 공화국, 룩셈부르크, 노르웨이, 스웨덴이 포함되며, 이 기간 동안 여러 국가에서 법률이 제정될 예정이었다. 스페인, 포르투갈, 오스트리아의 3개 유럽 국가에서 데이터 보호는 헌법에 기본 권리로 포함되었다. 이러한 추세에 비추어 유럽 평의회는 개인정보의 불공정한 수집 및 처리를 방지하기 위한 특정 원칙 및 표준의 기본 틀을 수립하기로 결정했다. 이것은 신흥 기술의 맥락에서 국가 법규가 ECHR 제8조에 따라 ‘사생활 및 가정생활, 그의 집과 그의 서신’을 존중할 권리를 적절하게 보호하지 못했다는 우려의 결과였다. 이러한 우려는 1968년 인권 및 현대 과학 기술 발전에 관한 권고안(Recommendation 509)의 발표로 이어졌다.
1973년과 1974년에 유럽 평의회는 이 초기 작업을 Resolutions 73/22와 74/29와 함께 수행하여 개인 및 공공 부문의 자동화된 데이터뱅크에 개인 데이터를 보호하기 위한 원칙을 수립했으며, 이 결의안에 근거하여 각각 국내법의 개발을 추진하는 목표가 설정되었다. 이는 이 분야의 회원 국가들의 법률 사이에 이미 존재하는 차이가 있기 때문에 긴급한 요구 사항으로 간주되었다. 개인정보를 포괄적으로 보호하려면 구속력 있는 국제 표준을 통해 그러한 국가 규칙을 추가로 강화해야 한다는 것이 점차 명백해졌다. 1980년대 초반의 다른 중요한 계획안은 OECD와 유럽 평의회가 개인정보 보호 및 개인정보의 흐름을 규제하는 OECD 가이드 라인과 개인정보의 자동 처리에 관한 개인의 보호를 위한 유럽 평의회 협약의 형태로 생겨났다.
OECD 가이드라인
대체로 OECD의 역할은 재정 안정성을 유지하면서 세계 경제 개발에 기여하는 한편, OECD 회원국과 비회원국 모두에서 가장 높은 지속 가능한 경제 성장과 고용 및 증가하는 생활수준을 달성하도록 고안된 정책을 추진하는 것이다. OECD 회원국은 유럽을 넘어서서 다수의 주요 관할 지역을 포함한다.
1980년에 OECD는 국경 간 데이터 흐름을 통제하고 국가 간 데이터 보호 법의 조화를 가능하게 하는 기본적인 규칙을 구성하는, 프라이버시와 국경 간 개인정보 흐름의 보호(Protection of Privacy and Transborder Flows of Personal Data)에 대한 OECD 가이드라인을 개발하였다.(OECD 가이드라인의 원칙을 설명하는 아래 상자 참조)
OECD 가이드라인은 유럽 평의회 및 유럽 공동체(European Community)와 긴밀히 협력하여 1980년 9월 23일에 발간되었으며, 법적으로 구속력이 없지만 탄력적이며, 데이터 보호법이 없는 국가의 입법의 기초로, 또는 기존 법안에 포함될 수 있는 일련의 원칙으로 사용될 수 있다.
OECD 회원국은 유럽을 넘어서기 때문에 OECD 가이드라인은 광범위한 영향을 미친다. OECD 회원국들 사이에서 OECD 가이드라인의 이행에 있어 차이가 발생하지 않도록 다른 국가들과 협력하는 것이 중요하다. OECD는 1985년과 1998년에 발표된 선언문에 대한 OECD 가이드라인을 재확인했다.
OECD 가이드라인을 개발함에 있어 OECD는 유럽 평의회를 대표하여 개발된 원칙들과의 일관성을 유지하기 위해 모든 노력을 기울였는데, 이는 OECD 가이드라인과 개인정보 자동 처리에 대한 개인 보호를 위한 유럽 평의회 협약 간에 분명한 유사점들이 있음을 의미한다.
OECD 가이드라인의 목적은 개인의 사생활과 권리와 자유를 보호하고 무역을 가로막는 장벽을 만들지 않고 국가 경계를 넘나들며 개인정보가 끊이지 않도록 균형을 유지하는 것이다.
이 가이드라인은 공공 부문과 민간 부문을 구별하지 않는다. 중요한 것은 전자 또는 기타 방법으로 수집한 개인정보를 구별하지 않는다는 점에서, 사용되는 특정 기술에 대해 중립적인 것이다.
개인정보 보호와 국경 간 개인 데이터 흐름에 관한 OECD 가이드라인
OECD 가이드라인은 개인정보를 처리하는 데이터 컨트롤러가 따라야 하는 일련의 원칙을 소개한다.
| – 수집 제한 원칙: 개인정보는 공정하고 합법적으로 하고, 적절한 경우, 해당 개인의 지식이나 동의를 수집해야 한다.
– 데이터 품질 원칙: 개인정보는 관련성, 완전성, 정확성 및 최신성이 있어야 한다. – 목적 명확성 원칙: 개인정보가 사용될 목적은 수집 시점보다 늦지 않게 지정되어야 하며, 모든 용도는 그 목적과 양립해야 한다. – 사용 제한 원칙: 개인정보의 공개는 개인이 동의하거나 데이터 컨트롤러에 합법적 권한이 없는 한, 지정된 목적과 일치해야 한다. – 보안 조치 원칙: 개인정보의 분실, 무단 액세스, 파괴, 사용, 수정 또는 공개와 같은 위험에 대해 합리적인 보안 조치를 취해야 한다. – 개방성 원칙: 개인정보의 이용에 관해서 뿐만이 아니라, 데이터 컨트롤러의 신원 및 위치에 대해서도 일반적인 개방 정책이 있어야 한다. – 개인 참여 원칙: 이것은 개인이 자신의 개인정보에 대한 요청에 따라 데이터 컨트롤러에서 받을 권리가 무엇인지 설명한다. – 책임성 원칙: 데이터 컨트롤러는 위에서 언급한 원칙을 보장하는 조치를 준수해야 할 책임이 있다. |
국경 간 데이터 흐름과 관련된 OECD 가이드라인에 포함된 원칙은 회원국 간의 자유로운 정보 흐름을 촉진하고 회원국 간의 경제 관계 발전에 대한 부당한 장애를 피하는 OECD의 목표에 부합한다. OECD 가이드라인에는 다음과 같이 명시되어 있다.
| – 회원국은 다른 회원국이 국내 정보를 처리하고 개인 데이터를 다시 수출하는 것에 대한 영향을 고려해야 한다.
– 회원국은 회원국을 통과하는 것을 포함하여 개인 데이터의 국경 간 흐름이 방해받지 않고 안전하도록 모든 합리적이고 적절한 조치를 취해야 한다. – 회원국들은 OECD 가이드라인이 실질적으로 준수되지 않는 경우 또는 개인정보의 재수출이 국내 개인정보 보호 법규를 우회하는 경우를 제외하고는 개인정보의 국경 간 흐름에 관여할 수 있다. – 회원국은 국내 사생활 보호법에 해당 데이터의 본질을 고려한 특정 규정이 포함되어 있고 다른 회원국은 동등한 보호를 제공하지 않는 개인 데이터 범주의 다른 국가로 정보를 이전하는 데 제한을 부과할 수 있다. – 회원 국가는 개인의 자유와 프라이버시 보호의 명목으로, 개인정보 보호 및 그 보호에 필요한 것 이상의 개인정보의 국경 간 흐름에 대한 장애물을 만드는 법률, 정책과 관행을 개발하는 것을 피해야 한다. ß 이것은 후속 데이터 보호 법안을 만드는데 있어 가장 중요하게 검토해야하는 것이 되었다. |
OECD는 일부 처리가 자동화 및 비 자동화 시스템 모두를 포함한다는 것과, 컴퓨터에 의해 처리되는 경우에만 집중하는 것은 그 실질적 실체와 불일치로 이어질 뿐만 아니라 데이터 컨트롤러가 개인을 처리하는 비 자동적 수단을 사용하여 OECD 가이드라인을 구현하는 국내법을 우회 할 수 있는 기회가 있음을 인식했다. 그들의 업무 중점은 ‘프라이버시와 개인의 자유에 위험을 초래할 수 있는’ 개인정보를 보호하는 것이었다.
Convention 108
개인 데이터 자동 처리와 관련된 개인 보호 협약(‘Convention 108’)은 유럽 평의회에서 채택되었으며 1981년 1월 28일 유럽 평의회 회원국들에게 서명을 위해 개설되었다. 유럽협약(European Convention)으로 언급되지 않은 것은 그것이 유럽 이외의 국가들에 대한 서명을 위해 개방되었음을 의미하는 것이었다. 비 COE(Council of Europe) 국가인 모리셔스, 세네갈 및 우루과이도 이 조약에 가입했다. Convention 108은 1973년과 1974년 결의안의 내용을 통합하고 재확인하며 데이터 보호 분야에서 최초로 법적 구속력을 지닌 국제 법률 문서였다. 이는 서명자가 개인정보 처리와 관련하여 제시하는 원칙을 적용하기 위해 국내법에서 필요한 조치를 취할 것을 요구한다는 점에서 OECD 가이드라인과 다르다. Convention 108에서 유럽 평의회는 전산화된 형태로 개인정보를 보유하고 사용하는 사람들은, 그러한 개인정보를 보호할 사회적 책임이 있다는 견해를 가지고 있으며, 특히 그 당시에 개인에게 영향을 미치는 결정은 컴퓨터화된 파일에 저장된 정보에 기반하고 있다. Convention 108의 서문은, 개인정보 보호를 위해, 자동 처리되는 개인 데이터의 국경 간 흐름이 증가하는 것을 고려하여, 회원 간의 더 많은 단결을 이루고 모든 개인의 권리와 기본적 자유에 대한 보호를 확대하는 것을 목표로 한다고 언급하고 있다. Convention 108은 국제 무역 목적으로 개인 데이터의 자유로운 흐름을 유지할 필요성에 대해 안전 조치의 균형을 유지하면서 개인정보를 보호하기 위한 기준을 설정하는 최초의 구속력 있는 국제 법률문서이다.
Convention 108은 3가지 주요 부분으로 구성된다.
- 기본 원칙의 형태로 실체법 조항(제2장)
•국경 간 데이터 흐름에 관한 특별 규칙(제3장)
•상호 지원 메커니즘(제4장) 및 당사자 간의 협의(제5장)
제2장 – 실체법 조항
제2장의 원칙은 1973년과 1974년 유럽 평의회 결의안에 포함된 원칙에 기초하고 있으며 여러 면에서 OECD 가이드라인에 포함된 것과 유사하다.
| •자동 처리 중인 개인정보는 다음과 같이 처리해야 한다.
‣공정하고 합법적으로 취득하고 처리해야 한다. ‣지정되고 합법적인 목적으로 저장되었으며, 그러한 목적과 양립할 수 없는 방식으로 사용되지 않아야 한다. ‣저장 목적과 관련성이 있고 적절하며 과도하지 않아야 한다. ‣정확하고, 필요한 경우, 최신으로 유지해야 한다. ‣목적을 위해 필요한 동안만 개인을 식별할 수 있는 형태로 보존해야 한다. •자동화된 데이터 파일에 저장된 개인정보를 실수로 또는 무단으로 파기하거나 우발적으로 손실하거나 권한이 없는 액세스, 변경 또는 배포로부터 보호하기 위해 적절한 보안 조치를 취해야 한다. •인종, 정치적 견해 또는 종교 또는 기타 신념을 밝히는 개인정보는 물론 건강 또는 성생활이나 범죄에 대한 신념(‘데이터의 특수 범주’라고 함)과 관련된 개인 데이터는 국내법에서 적절한 보호 조치를 제공하지 않는 한, 자동으로 처리되어서는 안 된다. •개인은 보유한 개인정보의 통신, 정정 및 삭제 권한을 보유해야 한다. |
Convention 108을 이행할 때 서명국은 이것이 ECHR의 제6조, 제8조, 제10조 및 제11조에 구체화된 비례성 요구 사항을 반영한 ‘민주 사회에서 필요한 조치’(예: 국가 안보 또는 형사 조사)일 때만 조항에 예외를 포함할 수 있다.
제3장 – 국경 간 데이터 흐름
Convention 108의 제12조는 Convention 108의 서명국 간에 개인정보의 이전이 이루어지는 경우, 그러한 이전이 이루어지기 전에 사생활 보호를 목적으로 하는 어떠한 금지도 부과하거나 요구해서는 안 된다고 규정한다. 그 이유는 그러한 국가들이 Convention 108에 서명한 사실로 인해 제2장에 언급된 데이터 보호 규정에 동의하고 결과적으로 개인정보 이전에 대한 최소한의 보호 수준을 제공하기 때문이다. 규정의 변경은, 수출국이 특정 범주의 개인정보 또는 자동 개인 자료 파일에 대해 자국 법에 특정 규칙을 두거나, 수입국이 이에 상응하는 보호를 제공하지 않거나, 그 국가가 Convention 108의 당사국이 아닌 경우에만 허용된다.
이 조항들은 감독 당국 및 2001년 서명을 위해 국경 간 데이터 흐름에 관련하여, 개인 데이터 자동 처리와 관련한 개인 보호 협약의 추가 의정서(Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)에서 추가로 개발되었다. 추가의정서(Additional Protocol)는 Convention 108에 서명하지 않은 국가에 개인정보를 이전하기 위한 어떠한 수단도 제공하지 않는다는 점을 해결하기 위해 고안되었다. 이에 대한 해결책은 수출 당사국의 관할권 밖의 국가로 이전된 개인정보에 대한 보호가 ‘동동한’ 수준이라기보다 ‘적절한’ 수준이라는 개념을 도입하는 것이었다. 단, 개인의 합법적 이익으로 이전되는 경우, 공공의 이익으로 이전되는 경우, 감독 당국이 승인한 계약 조항에 의거하여 이전되는 경우는 제외된다.
제4장 – 상호 지원 그리고 제5장 – 당사자 간의 협의
Convention 108 당사국은 데이터 보호법의 준수를 감독하고 이행에 관한 협의 및 상호 지원을 목적으로 다른 관할권의 감독 당국과 연락할 감독 당국을 지명해야 한다. 감독 당국은 또한 개인의 권리 행사에 도움을 제공해야 한다.
제5장에서는 당사자 간의 협의를 위한 자문위원회의 구성, 기능 및 절차에 대해 기술하고 있다. 이러한 요구 사항은 추가의정서의 규정에 의해 더욱 강화되었으며, Convention 108은 유럽 평의회의 회원국이 아닌 국가를 포함하여 모든 국가에 개방된, 데이터 보호 분야에 전 세계적으로 적용되는 여전히 유일한 법적 구속력 있는 협약이다.
이러한 역사적인 배경들로 인해 유럽 전체적으로 데이터 보호를 위한 조화된 접근이 필요하다는공감대가 형성되기 시작했으며, 그 진행 이력은 다음에 소개하도록 한다.