[KAPP Briefs] 제01호 공익제보와 개인정보보호법
작성자
관리자
작성일
2021-02-01 20:33
조회
2906
[KAPP Briefs] 제01호
공익제보와 개인정보보호법
박 경 신
고려대학교 법학전문대학원 교수
<목차>
1. 들어가며
2. 정당한 사유에 의한 공익제보
3. 언론활동에 대한 예외
4. 결론
1. 들어가며
경찰심문을 받던 사람이 강압수사를 당했다고 생각해서 심문상황을 녹화해놓은 영상파일을 받아서 방송사에 넘겼다. 자신이 당했다고 생각한 강압수사를 알리기도 하고 재발을 방지하는 차원이었다. 그 영상파일에는 당연히 수사를 담당한 경찰관의 얼굴이 드러나게 포함되어 있었다. 경찰관은 개인정보보호법 위반이라며 피의자의 변호인을 고소했다.개인정보호보법은 힘없는 개인들이 기업이나 정부로부터 필요한 서비스를 받기 위해 자신에 대한 정보를 제공했을 때 그 정보가 원래 의도와 달리 쓰여지거나 공개되면 안된다는 이념을 바탕으로 만들어진 법이다. 모든 개인정보는 각 개인의 동의를 얻어서 수집되고 동의된 목적에 따라서만 이용되고 공개되어야 한다는 것이다. 개인정보자기결정권은 개인이 자신에 대한 정보에 대해 가지는 통제권을 강화함으로써 타인에 의한 평가의 범위와 가능성을 제한할 수밖에 없는 숙명을 타고났다.
그러나 이렇게 되면 평가의 대상이 되는 개인에게 평가의 근거가 되는 정보의 통제권을 부여할 수밖에 없게 된다. 개인정보자기결정권의 이념적 목표는 정부나 대기업이 독점하는 서비스를 얻기 위해 어쩔 수 없이 개인정보를 제공해야 하는 힘없는 개인들을 감시로부터 보호하자는 것이었다. 개인정보자기결정권의 기계적인 적용은 힘없는 개인들이 사회 부정의에 대한 정보를 서로 공유하고 사회 전체에 제보할 수 있는 기회, 즉 “공익제보”의 기회를 박탈하여 개인정보자기결정권의 원래 취지와 충돌할 수 있다.
이 글에서는 우리나라의 개인정보보호법이 공익제보가 이루어질 수 있는 여지를 충분히 확보하고 있는지를 살펴보고자 하며 이를 위해 유럽일반개인정보보호규정(General Data Protection Regulation, 이하 “GDPR”) 및 EU회원국들의 GDPR이행법률들과 비교해보고자 한다.
2. 정당한 사유에 의한 공익제보
공익제보는 결국 제보대상인 공무원, 즉 정보주체에게는 불리할 수 있는 진술을 담고 있는 경우가 대부분이며 정보주체의 동의권을 배제한 상황에서만 성사될 수 있다. 그러므로 공익제보와 관련되어서는 동의면제사유를 살펴볼 필요가 있다. 개인정보보호법 제15조는 “개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우”에는 정보주체의 동의 없이 이용할 수 있다고 정하고 있다. 그러나 안타깝게도 위의 동의면제는 개인정보의 “수집 및 이용”에만 적용될 뿐이다. 공익제보는 개인정보가 담긴 정보의 제3자 제공을 필요로 한다. 그런데 제17조의 “제3자제공”에는 “개인정보처리자의 정당한 이익”에 따른 동의면제가 존재하지 않는다.물론 개인정보보호법은 다시 제18조에서 위의 제15조(수집 및 이용)과 제17조(제3자제공)에 거론하지 않은 다른 동의면제사유를 ‘정보주체 또는 제3자의 이익을 부당하게 침해하지 않을 것’을 조건으로 새로이 설시한다. 공공기관이나 정보통신서비스제공자의 경우 그 사유가 다시 제한되나 여기서는 적용되지 않으므로 논외로 한다. 그러나 공공기관에 대해 적용되는 예외 사유 외에 제18조를 통해 추가되는 동의면제사유는 없으며 특히 공익제보의 고유한 이유, 즉 사회 전체의 이익을 위한 제3자제공을 정당화하는 사유는 존재하지 아니한다.
이를 GDPR과 비교해보자. GDPR은 우선 수집, 이용, 제3자 제공을 분리하지 아니하고 “처리(processing)”라는 단일한 개념을 이용한다. 그리고 “처리” 전체에 대해서 다음과 같은 동의면제사유를 두고 있다. 즉 “타법률(c)”, “정보주체보호(d)” 이외에도 “계약이행(b)”, “공익보호(e)”, “정보처리자이익(f)”이라는 동의면제사유를 두고 있다.
정리해보자면 다음과 같이 GDPR이 마련하고 있는 공익제보의 숨통을 우리 법은 제공하고 있지 않다.
우리법 수집이용 | 우리법 3자제공 | GDPR (수집, 이용, 3자제공) | |
타법률 | O | O | O (4c) |
공공기관업무 | O | O | O (4f) |
계약이행 | O | X | O (4b) |
정보주체보호 | O | O | O (4d) |
정보처리자의 정당한 이익 | O | X | O (4f) |
공익보호 | X | X | O (4e) |
3. 언론활동에 대한 예외
공익제보는 많은 경우 언론에의 제보로 이루어진다. 우리나라 개인정보보호법의 경우 제58조에서 언론활동에 대해서 ”취재·보도. . . 등 고유목적을 달성하기 위하여 수집·이용하는 개인정보”에 대해서는 동의권을 포함한 개인정보보호규제를 적용하지 않는다고 되어 있다. 문제는 위 예외의 경우 “언론. . .이”라는 표현에서 알 수 있듯이 활동의 주체로 “언론”으로 한정하고 있고 특히 “종교단체, 정당”과 병렬하여 마치 신문사, 방송국과 같은 언론기관들만이 주체인 것으로 제한하고 있다는 점이다. 그렇다면 언론에 정보를 제공하는 자, 즉 공익제보자 자신은 개인정보보호법 위반을 감수할 수밖에 없다. 특히 이 조항이 더 넓게 해석될 여지는 없어 보여 도리어 축소해석하는 경우가 있다.GDPR의 경우 주체를 한정하지 않고 “언론 목적의. . 처리(processing for journalistic purposes)”에 대해 표현의 자유 및 정보의 자유와의 화합을 도모하도록 개별국가가 법제화를 하도록 의무화하고(“shall”) 있다. 즉 주체에 있어서도 언론기관이나 직업언론인으로 한정하고 있지 않을 뿐만 아니라 면제대상 행위에 있어서도 “수집 및 이용”으로 제한하고 있지 않고 모든 처리행위에 대해 면제를 허용하고 있다. 즉 언론에 대한 제보 역시 언론목적이므로 면제에 포함시키고 있다.
이에 따라 회원국들은 다양한 방식으로 표현의 자유와의 화합을 도모하고 있는데 우선 오스트리아는 언론사, 언론서비스 및 종사자들만을 면제대상으로 삼는 반면, 반대쪽 극단에서는 스웨덴은 ‘표현의 자유와 언론의 자유를 침해하는 한 GDPR과 개인정보보호법이 적용되지 않는다’는 명시하고 있다. 한편 벨기에의 경우, 언론활동이 폭넓게 정의되어 블로깅까지 포함하고 있어 직업언론인이 아닌 사람들도 언론활동에 대해서는 개인정보보호법의 면제를 받게 된다. 영국의 경우 (1) 언론물(journalistic material)의 간행을 목적으로 정보가 처리되었고 (2) 정보처리자가 그와 같은 간행이 공익에 부합한다고 합리적으로 믿고 있으며 (3) GDPR조항들을 적용하는 것은 언론목적과 양립불가하다고 믿는 경우, 그 GDPR조항들이 적용되지 않는다고 명시하고 있다. 특히 영국은 특히 GDPR이 민감정보처리에 대해서 요구하는 강화된 조건(GDPR 제9조)마저도 불법, 부정, 무능, 부실경영, 서비스오류에 대한 언론활동의 경우 충족시킬 수 있다고도 하였다.
2019년 2월 라트비아에서 경찰의 과실을 고발하겠다는 명목으로 경찰서 내부의 업무 상황을 허락없이 녹화하면서 경찰관들의 음성 및 초상이 포함된 비디오를 유튜브에 올린 일반인에 대해, 유럽사법재판소(Court of Justice of European Union)는 언론행위를 기능적으로(functional) 이해해야 한다면서 직업언론인으로 인정되지 않더라도 GDPR 제85조의 면책을 받을 수 있다고 하였다. 이 Buivids판결을 통해 GDPR의 언론행위 면책은 매우 폭넓게 인정되어야 하고 오스트리아 방식의 협소한 면제범위는 이에 어긋난다는 의견이 대세이다. 특히 GDPR은 언론활동에 대해 적용면제를 입법형성할 의무를 회원국에 지우고 있는데 오스트리아와 같이(또는 우리나라) 문언상 직업적 언론인에게만 적용면제의 혜택을 주는 법률에 대해서는 GDPR위반 판결도 내려질 수 있을 것으로 보인다.
위의 판결에 따르면 언론에 의한 제보가 아니라 ‘언론에의 제보’도 GDPR하에서 동의면제사유가 될 수 있음을 보여준다고 하겠다.
4. 결론
개인정보보호법이 원래의 목적에 부합하게 기능하도록 하기 위해서는, 모든 개인정보처리가 정보주체의 통제권 하에 놓여지면 도리어 힘없는 개인정보주체들이 표현의 자유나 알 권리를 통해 행사할 수 있는 저항권이 제한되므로 정보주체의 통제권을 정교하게 재단할 필요가 있다. 이를 위해 대부분의 개인정보보호법제들은 정보주체에 대해 우위를 점하고 있는 ‘개인정보처리자,’ 즉 수많은 정보주체들의 정보가 검색이 용이하게 모여진 집합체를 업무 목적으로 이용하고 있는 자에 한정하여 정보주체의 통제권을 적용하고 있고, GDPR 및 GDPR이행입법들의 상당수는 공익 및 정당한 이익을 위해 정보주체의 동의가 없는 정보수집 및 제3자 정보제공을 허용하고 언론 “목적”의 정보처리에 대해서 예외를 허용하고 있다.우리나라의 개인정보보호법은 특히 공익제보가 활발히 이루어질 수 있도록 제3자제공, 언론목적 정보처리, 개인정보처리자의 해석 등에 있어서 국제기준에 비추어 개정해야할 필요가 있다. (끝)
발행일 : 2021년 2월 1일 발행처 : 개인정보연구원(IPDR) 발행인 : 김도승 |