Ⅰ. 들어가며
4차산업혁명, 인공지능(AI), 사물인터넷, 빅데이터, 지능정보사회, 디지털트랜스포메이션 등의 새로운 단어는 현대를 살아가는 우리 사회를 대변하는 키워드들이다. 이런 단어들 뒤에 ‘시대’라는 단어를 붙여 우리가 살아가는 현대 사회를 설명하기도 한다. 중요한 것은 이런 단어들은 소위 ICT(정보통신기술, Information & Communication Technology)라고 하는 인터넷 기술의 발달에 의해 등장한 개념들이며 이는 대량의 데이터처리를 바탕으로 발전하는 기술이라는 것이다. 즉 현대의 지능정보사회는 데이터가 ‘제2의 원유(原油)‘라고 각광받고 있으며, 이 데이터를 분석, 이용함으로써 경제적 이익을 창출해내는 데이터 경제시대가 도래하였다. 얼마나 많은 데이터를 보유하고 있는가, 이를 분석·이용할 수 있는 적절한 최신 데이터기술을 보유하고 있는가가 경제적 이익과 직결되는 것이다. 이를 위해 정부도 데이터경제 활성화 방안을 마련하는 등의 여러 조치를 취하고 있다.1)
문제는 제2의 원유인 데이터의 대부분이 개인정보를 포함한 정보라는 것이고, 현재의 법체계상 이를 이용하는 것에는 많은 제약이 따른다는 것이다. 이와 관련하여 현재까지의 논의와 법제가 개인정보보호에 중점을 두었다면, 이제는 개인정보의 보호와 활용이라는 시대의 요구에 부합하도록 법제를 개선하고자 하는 많은 논의들이 진행되어 왔다.2) 즉 경제주체가 개인정보를 더 쉽게 활용할 수 있도록 하고자 하는 논의들이 관련 법률 개정을 통해 결실을 맺고 있다. 예를 들어 최근 소위 데이터 3법(개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률(신용정보법))의 개정3)을 통해 개인정보를 조금 더 쉽게 활용할 수 있는 방안을 마련하였다.4) 하지만 이러한 논의에서 가장 중요한 것은 정보주체의 권리를 침해할 수 있는 정보의 활용은 금지 또는 제한되어야 하며 정보의 활용은 안전하게 이루어져야 한다는 것이다. 다시 말하면, 개인정보를 보호함과 동시에 활용도 원활하게 이루어져야 하는, 즉 양자의 적절한 균형점을 찾는 것이 최고의 화두가 된 것이다. 이를 해결하는 것이 굉장히 어려운 과제라는 것은 쉽게 짐작할 수 있다.
특히 이 글에서는 일반인이 제약 없이 접근할 수 있도록 공개된, 즉 누구나 수집할 수 있도록 공개된 개인정보를 어떻게 보호하고 활용할 것인지와 관련한 논의를 주로 헌법적 관점에서 살펴보고자 한다. 정보를 활용하고자 하는 자들에게는 공개된 개인정보가 가장 쉽게 수집할 수 있는 데이터일 것이지만, 현행법상 이와 관련된 규정이나 논의가 아직 미흡하기 때문에 이에 대한 논의가 필요하다.5) 이러한 논의를 진행하기 위해서는 우선 공개된 개인정보의 의미는 무엇인지, 공개된 개인정보는 개인정보로서 보호되어야 하는지, 보호되어야 한다면 어떻게 보호될 수 있는지, 활용될 수 있다면 어떻게 활용될 수 있는지와 관련하여 논의가 필요할 것이다.
헌법적 관점에서의 공개된 개인정보에 대해 논의를 진행하기에 앞서 먼저 현재까지의 우리나라의 관련법제와 판례, 해외에서의 논의에 대해 살펴볼 것이다.(Ⅲ) 이와 관련하여서는 특히 대법원의 공개된 개인정보의 영리목적 활용과 관련된 2014다235080 판결(소위 로앤비 사건)이 이와 관련한 논의를 더욱 복잡하게 만들었기 때문에 이 판결을 자세히 살펴볼 필요가 있다. 그리고 난 후 헌법적 관점에서 공개된 개인정보의 보호와 관련하여 논의를 진행하고,(Ⅳ) 구체적으로 개인정보보호법에서 이를 어떻게 보호하고 활용할 수 있도록 해야 하는지에 대해 살펴볼 것이다.(Ⅴ)
Ⅱ. 개인정보 공개의 불가피성
본격적인 논의를 진행하기에 앞서 논의의 전제로서 헌법상 개인정보를 보호하는 목적과 개인정보를 공개해야 하는 필요성에 대해 살펴보아야 한다.
개인정보자기결정권이 추구하는 궁극적인 헌법적 가치는 사생활의 비밀과 자유의 보장과 이를 통한 개인의 인격의 자유로운 발현이라고 할 수 있다.6) 인격의 자유로운 발현은 자신의 개인정보 또는 사생활을 비밀로 함으로써 이루어지는 것은 아니고, 어느 정도의 개인정보가 일반에게 또는 제3자에게 공개됨을 전제로 하는 것이다. 타인의 자신에 대한 평가와 이에 대한 피드백으로 인격은 발전되고 완성될 수 있기 때문이다. 독일의 철학자 헤겔은 이를 “인정투쟁(Kampf um Anerkennung)”이라고 정의하였다.7) 이러한 이유로 헌법상 권리인 개인정보자기결정권은 사적 존재로서의 개인임과 동시에 사회관계속에서 존재하는 사회적 존재로서의 개인이라는 양자의 긴장관계를 전제로 정의되고 있다.8)
이러한 의미에서 사회적 존재로서의 개인의 인격발현을 위해서는 정보주체의 프라이버시의 보호도 중요한 가치가 되지만, 동시에 자신의 정보가 일정 부분 공개되는 것 또한 정보주체 스스로 감수하여야 하는 것이다. 오래전부터 자신이 살고 있는 또는 소속되어 있는 공동체에서는 자신이 원하든, 원치 않든 자신에 대한 정보가 타인에게 공개되었으며(적극적인 공개행위가 없음에도 불구하고 타인이 알고 있으며), 이것을 통한 평가와 피드백이 끊임없이 이루어지는 과정이 있어 왔고 지금도 마찬가지이다. 개인정보자기결정권이라는 새로운 기본권이 등장하게 되면서 이러한 현상을 어떻게 정의하고 해석하여야 하는지에 대한 논의가 중요해졌다. 개인정보자기결정권은 개인의 정보를 무조건 비밀로 지키기 위한 권리가 아니라, 어느 정도의 개인정보 공개를 전제로 하는 개념이다. 즉 이 권리는 개인정보를 공개할 때9), 이러한 사회적 평가를 위해 개인이 사회에 공개하고 싶은 자신의 정보를 자기 스스로 결정할 수 있어야 한다는 것을 의미하기 때문이다. 이는 사회에서의 나의 인격상(人格象, Profil)의 형성의 자유(das Recht auf Selbstdarstellung)를 보장하고자 하는 것이다. 다시 말하면 적어도 자신에게 불리한 내용이 강제적으로(자신의 의사에 반하여) 사회에 공개되는 것은 개인의 인격권 또는 사생활 보호에 반하여 기본권 침해가 될 수 있다는 것이다.
문제는 인터넷 기술이 발달함에 따라 현재의 지능정보사회에 살고 있는 개인정보주체들에게는 이러한 자신에 대한 정보가 일반에게 공개되는 현상이 훨씬 광범위하게 일어나고, 일반적인 일상이 되었다는 점이고, 정보의 공개범위와 그 사용을 개인이 알 수 없다는 점이다. 개인정보의 공개는 개인의 적극적인 공개행위에 의해 직접 이루어질 수도 있고, 제3자에 의해서 소극적으로 이루어질 수도 있다. 이는 또 때로는 명시적으로, 때로는 묵시적으로 이루어지기도 한다. 예를 들어 사회생활이나 경제생활을 위해 회사나 학교의 홈페이지에 자신에 대한 프로필, 전화번호, 이메일이 적시되는 경우, 본인이 광고 등의 목적으로 스스로 본인의 연락처 등을 일반에 공개하여 널리 퍼트리는 경우(명함을 주는 행위나 인터넷 등에 광고를 하는 경우)가 있으며, 지극히 사적인 목적으로 SNS를 통해 자신의 정보를 직접 업로드하는 경우 등이 빈번하게 일어난다. 이렇게 일반에 공개된 개인정보는 수집되어 다른 서비스 목적으로 사용되기도 하고 빅데이터 업체들이 시장 분석 등의 목적으로 활용하기도 한다. 때로는 제3자(대부분의 경우 인터넷 사업체 등)가 이를 수집·가공하여 일반인에게 판매하는 영리행위에 이용되기도 한다. 여기에서 문제가 발생하는 것이다.
분명 개인정보가 공개되는 것은 사회생활을 영위하기 위해, 특히 지능정보사회를 살아가는 현대인에게는 필수적이고, 불가피한 것이지만, ’공개된 개인정보를 어떻게 보호하고 어떻게 이용할 수 있도록 규정할 것인가?‘ 하는 논의는 또 다른 차원의 법적 문제를 야기하는 것이다. 이와 관련한 헌법적 논의를 진행하기에 앞서 현재까지의 여러 법적 논의, 관련 법제에 대해 먼저 살펴보도록 하자.
Ⅲ. 공개된 개인정보와 관련한 현재까지의 논의
’공개된 개인정보를 어떻게 규율할 것인가‘, 즉 근원적으로 ’공개된 개인정보란 무엇인가‘, ’공개된 개인정보는 개인정보로서의 성질을 잃는 것인가, 즉 공개된 개인정보는 개인정보자기결정권의 보호범위에 포섭되는가 혹은 현행 개인정보보호법으로 보호될 수 있는가, 보호된다면 어느 정도로 어떻게 보호되어야 하는가?‘ 하는 문제에 대해 먼저 논의해 보아야 한다. 이 논의를 진행한 다음 ’공개된 개인정보는 이용될 수 있는 것인가? 만약 가능하다면 어떻게 이용되어야 하는가, 즉 정보주체의 동의가 필요한가?’하는 문제에 대해 연구되어야 한다.
현행 개인정보보호법은 개인정보의 수집 근거로 정보주체의 동의, 혹은 법률적 근거 등을 요구하고 있지만 공개된 개인정보의 보호나 이용과 관련된 명시적인 규정은 아직 없다. 다만 일부 정부지침 등에 이를 규정하고 있으며, 관련된 판례들이 있을 뿐이다. 여기에서는 이에 대해 자세히 살펴보도록 한다.
위에서 설명한 바와 같이 현행 개인정보보호법에는 공개된 개인정보의 보호 및 처리와 관련한 명시적인 규정을 두고 있지는 않다. 다만 공개된 개인정보가 개인정보보호법이 적용될 수 있는 개인정보의 개념에 포섭된다면 일반적인 규정이 적용될 수 있을 것이다. 즉, 제15조 제1항에 의해 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있고 그 수집 목적의 범위 안에서 이용할 수 있을 것이고, 제17조 제1항에 의해 정보주체의 동의를 받은 경우 개인정보를 제3자에게 제공할 수 있을 것이다. 개인정보보호법은 제22조에 동의받는 방법에 대해 상세히 규정하고 있으므로 이 조항의 적용을 받을 것이다. 또한 법 제20조는 정보주체 이외로부터 개인정보를 수집했을 경우 개인정보처리자의 개인정보의 수집 출처, 처리 목적, 처리정지 요구권 등의 고지 의무도 규정하고 있고, 다시 제37조에서 정보주체가 개인정보처리자에 대하여 처리정지를 요구할 수 있는 권리에 대해 상세히 규정하고 있다.10) 이와 관련한 자세한 논의는 다음 장에서 설명하겠지만, 위 법규정을 적용하여 공개된 개인정보와 관련한 법률적 문제들을 해결하기는 현실적으로 거의 불가능하다고 평가할 수 있을 것이다. 왜냐하면 동의의 범위문제, 고지를 할 대상을 특정하지 못하는 문제가 발생할 수 있기 때문이다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률도 공개된 개인정보와 관련한 특별한 규정을 두고 있지는 않다. 이 법률도 개인정보보호법과 마찬가지로 정보주체의 동의를 통해 수집과 활용이 가능함을 원칙으로 하고 있다. 법 제22조 제1항은 정보통신서비스 제공자는 반드시 일정한 사항을 이용자에게 고지하고 동의를 얻은 후 이용자의 개인정보를 수집할 수 있도록 규정하고 있다. 이 법 또한 공개된 개인정보의 수집과 관련하여서는 매우 비현실적인 규정을 두고 있음을 알 수 있다.
이런 사정을 배경으로 하여 방송통신위원회가 2014년 12월 발표한 '빅데이터 개인정보보호 가이드라인'11)을 제정하였다. 이 가이드라인에는 공개된 개인정보와 관련하여 비교적 자세한 규정을 두고 있었다. 제2조 정의 규정에 의하면, “공개된 정보”란 이용자 및 정당한 권한이 있는 자에 의해 공개 대상이나 목적의 제한 없이 합법적으로 일반 공중에게 공개된 부호·문자·음성·음향 및 영상 등의 정보를 말한다“라고 정의하고 정보통신서비스 제공자가 개인정보가 포함된 공개된 정보를 수집·저장·조합·분석 등 처리하고자 하는 경우에는 비식별화 조치를 취한 후 수집·저장·조합·분석 등 처리하여야 한다”고 규정하였다. 이에 따르면 공개된 개인정보를 수집하기 위해서 정보주체의 동의가 필요한 것은 아니지만, 정보통신서비스 제공자에게 비식별화 조치 의무가 부과된다. 이에 대해서는 개인정보보호위원회가 개인정보보호법 등에 부합하지 않는 내용을 일부 포함하고 있으므로 관련 법제에 맞게 재검토할 것을 권고한 바 있다.12)
또한 2016 년에는 ‘인터넷 자기게시물 접근배제요청권 가이드라인’을 제정하여 사용자들이 인터넷 게시판 관리자나 검색 서비스 사업자에게 요청해, 자신이 올린 글(댓글 포함)·사진·영상 등의 정보를 남이 보지 못하게 할 수 있도록(접근을 차단하는) 규정하여 공개된 개인정보의 처리와 관련하여 일관되지 않은 정책을 펴고 있다고 평가된다.
가장 최근에는 행정안전부가 고시한 ‘표준 개인정보 보호지침’(2017.7.26. 시행) 제6조(개인정보의 수집·이용)에서 이와 관련한 내용을 명시적으로 규정하고 있다. 공개된 개인정보와 관련된 어떠한 법률 규정도 없는 상황에서 행정안전부의 지침이 법령은 아니지만 관련 사건에서 중요한 사실상의 효력을 가짐은 쉽게 유추할 수 있을 것이다. 이 규정에 의하면 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함등"이라 함)를 제공받음으로써 개인정보를 수집하는 경우 명함등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있도록 하고, 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지 등"이라 함)에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있도록 하고 있다. 이 규정이 명확하게 규정되었다고 볼 수는 없어 해석상의 논란이 있다. 특히 사회통념상 동의의 범위 내에서라는 의미가 무엇인지, 이용에는 영리적인 목적의 이용도 포함되는지 아니면 비영리적인 목적으로만 이용될 수 있는지도 여전히 불명확한 것이 사실이다. 즉, 구체적인 경우 영리적 목적으로 사용하기 위해서는 추가적인 동의를 얻어야 하는지가 문제가 될 수 있다.
관련 헌법재판소 판례는 다음 장에서 다루도록 하고 여기에서는 이와 관련하여 가장 중요한 대법원 판례인 로앤비 사건14)을 자세히 살펴보도록 한다.
사건의 주된 쟁점은 로앤비 등의 피고 회사들이 학교 홈페이지 등에 공개된 교수들의 개인정보를 수집, 가공하여 이를 유료로 제3자에게 제공(판매)한 행위가 정보주체인 원고의 개인정보자기결정권 등을 침해하거나 개인정보보호법을 위반하여서 위법한지 여부였다.
이에 대해 1심 법원은 시효를 이유로 판단하지 않았고15) 2심 법원은 자세하게 판단하였다. 주요 내용만 요약하면 2심 법원은 ‘처리범위 내지 공개대상에 관한 명시적인 표시가 전혀 없이 공개된 개인정보’의 수집과 제공의 적법성을 비영리목적으로 이루어졌는지 아니면 영리목적으로 행하여진 것인지로 나누어, 적법하게 공개된 개인정보라도 영리목적으로 수집하여 제공하는 행위를 위법하다고 판단하였다.16) 다만 위자료 액수를 50만원으로 소액으로 책정하였다.
대법원은 2심 판결에 대해 파기환송하며 다른 논리를 제시하고 있다. 대법원도 이미 공개된 개인정보일지라도 개인정보자기결정권의 보호대상이 되는 개인정보라는 점은 다시 재확인하였다. 그러나 대법원은 개인정보를 처리하는 자에게 영리적인 목적이 있다는 사정만으로 그 정보처리행위를 위법하다고 할 수 없다고 판시하며, 영리목적인지 비영리목적인지를 나누어 고려할 필요는 없다는 태도를 취하고 있다. 즉, “정보주체가 직접 또는 제3자를 통하여 이미 공개한 개인정보는 그 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정한 범위 내에서 동의를 하였다고 할 것이다. 이와 같이 공개된 개인정보를 객관적으로 보아 정보주체가 동의한 범위 내에서 처리하는 것으로 평가할 수 있는 경우에도 그 동의의 범위가 외부에 표시되지 아니하였다는 이유만으로 또다시 정보주체의 별도의 동의를 받을 것을 요구한다면 이는 정보주체의 공개의사에도 부합하지 아니하거니와 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기 위한 비용만을 부담시키는 결과가 된다. 다른 한편, 개인정보보호법 제20조는 공개된 개인정보 등을 수집·처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보주체에게 알리도록 규정하고 있으므로, 공개된 개인정보에 대한 정보주체의 개인정보자기결정권은 이러한 사후통제에 의하여 보호받게 된다. 따라서 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 할 것이고, 그러한 별도의 동의를 받지 아니하였다고 하여 개인정보보호법 제15조나 제17조를 위반한 것으로 볼 수 없다. 그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 할 것이다. 피고 로앤비가 이 사건 개인정보를 수집하여 이 사건 소장 부본을 송달받을 무렵까지 제3자에게 제공한 행위는 원고의 동의가 있었다고 객관적으로 인정되는 범위 내라고 봄이 타당하고, 피고 로앤비에게 영리 목적이 있었다고 하여 달리 볼 수 없다.”17)라고 판시하고 있다. 요약하면, 대법원은 공개된 개인정보는 일정한 범위 내에서 정보주체의 동의가 있었다고 간주되며, 그 범위 내에서는 이미 동의가 있었으므로 별도의 동의는 불필요하여 사전적 통제권은 없고, 사후적 통제권에 의한 보호로 충분하다고 판단하고 있고, 특히 동의의 범위 내에 제3자에 의한 영리목적 이용도 포함되는 것으로 해석하고 있다.
이 판례 이후에도 이와 유사한 판례들이 계속 선고되고 있다. 원세훈 국가정보원장 사건18)에서 법원은 “트위터 사용자들은 개인정보처리자인 트위터 사가 자신들의 개인정보를 포함한 공개된 트위터 정보를 API 정보의 형태로 수집하여 빅데이터 업체 등에 제공하는 것에 대하여 포괄적으로 동의한 것으로 볼 수 있거나 또는 트위터 정보는 이미 공개된 정보로 트위터 사가 정보주체인 트위터 사용자들로부터 별도의 동의를 받지 아니하고 빅데이터 업체 등에 그 정보를 제공하는 것이 가능하다고 보이므로, 빅데이터 업체인 G가 트위터 사를 통하여 API 정보의 형태로 트위터 정보를 제공받아 이를 수집, 보관한 것 자체는 어느 모로 보나 적법한 행위라고 판단된다. 트위터 사용자들은 트위터에 가입하면서 트위터 이용약관과 개인정보취급방침의 적용에 동의함으로써 자신의 트위터 정보가 트위터 사에 의하여 빅데이터 업체 등 제3자에게 제공되는 것에 포괄적으로 동의한 것으로 볼 수 있다...따라서 트위터 정보는 공개정보로서 별도의 동의 없이 제3자인 G에 적법하게 제공할 수 있다”라고 판시하고 있다.
공개된 개인정보의 보호 및 이용과 관련하여서는, 앞서 살펴 보았던 정부의 지침들과 법원의 사법적 판단 간의 괴리가 발생하고 있다. 즉 정부 부처 간은 물론, 정부와 사법부 간에 공개된 개인정보와 관련된 문제에 있어서 일관성이 없어 사회, 특히 시장에서 혼란이 야기되고 있음은 물론 공개된 또는 공개한 정보주체의 개인적 권리도 제대로 보장되지 못하는 현실이므로 이를 법률로 명확히 규정할 필요성이 높아지고 있다.
우리 나라에서 공개된 개인정보의 수집 및 활용과 관련한 법제가 미흡하고 아직 이에 대한 논의가 부족하기 때문에 해외에서 이를 어떻게 다루고 있는지 살펴보는 것은 의미가 있을 것이다. EU, 이탈리아19), 호주20), 캐나다21), 싱가포르22), 대만23) 등의 경우 별도의 동의 없이 처리가 가능한 것으로 규정하고 있다. 특히 EU의 GDPR24)은 우리에게 시사하는 바가 크기 때문에 이에 대해서만 자세히 살펴보도록 한다.
해외의 관련 입법례를 소개하기 전에 독일 연방헌법재판소가 공개된 개인정보와 관련한 판시를 한 바 있어 이를 소개하고자 한다. 독일에서는 소위 IT기본권이라 불리는 정보기술 시스템의 기밀성 및 무결성 보장에 관한 기본권(das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme)에 관한 연방헌법재판소의 결정(온라인 수색결정)25)의 판결이유 말미에 일반적으로 공개된 개인정보에 대한 이용이 헌법적으로 허용됨을 밝히고 있다. 즉 “공중의 접근이 가능한 정보(öffentlich zugängliche Informationen)에 대한 수집(Kenntnisnahme)이 국가에게 원칙적으로 금지되는 것은 아니다. 이것은 이러한 방식으로 특별한 경우에 개인관련 정보가 수집될 수 있는 경우에도 또한 동일하다. 그러므로 어떤 국가기관이 인터넷에서 공개되어 있는 통신내용, 즉 모든 사람에게 전파가능한 또는 최소한 한 사람에게만 제한되는 인적범위를 넘어서서 전파가능한 통신내용을 수집하는 경우에는, 일반적인 인격권의 침해는 존재하지 않는다. 가령 다음이 그런 경우이다. 국가기관이 일반적으로 접근이 가능한 월드 와이드 웹에서 웹사이트를 불러오는 경우, 각자 관심 있는 사람에게 공개되어 있는 메일링리스트를 정기구독하는 경우 또는 공개적인 채팅을 관찰하는 경우 등이다.”26)라고 판시하면서 다만 다음의 경우에는 공개된 개인정보를 수집, 이용하는 것이 개인정보자기결정권에 대한 침해가 있을 수 있다고 보고 있다. 즉 일반적으로 접근이 가능한 내용을 선별하여 수집되는 정보가 목적한 바대로 수집되어, 저장되고, 경우에 따라서는 다른 데이터와 결합하여 분석되어, 이로 인하여 당사자의 인격에 특별한 위험상황이 발생하는 경우에 침해가 있을 수 있고, 이러한 경우 이를 위한 근거(혹은 정당화 사유)가 필요하다고 판시하고 있다.27)
GDPR에도 공개된 개인정보를 어떻게 처리해야 하는지에 대한 명시적인 규정은 없다. 다만 민감정보처리를 규정한 제9조 제2항 e에 “정보주체에 의하여 명백하게 공개된 개인정보와 관련된 처리”의 경우에는 특별한 개인정보의 처리를 금지하는 규정의 예외로 취급을 허용하고 있다. 즉 ‘개인정보주체가 명백히 공개한 개인정보와 관련된 처리인 경우’에 민감정보라 하더라도 처리할 수 있음을 규정하고 있다. 다만, 이 조항은 정보주체가 법집행 당국을 포함한 모든 사람이 접근 가능하도록 각 개인정보가 공개되었음을 인식하고 있는 경우만을 의미하는 것으로 해석되어야 하고 의심스러운 경우 좁게 해석되어야 할 것이다.28) 즉 정보주체의 스스로의 결정에 의해 적극적이고, 고의적로 공개된 개인정보여야 이 규정이 적용될 수 있다.
다만 이 규정은 정보주체가 개인정보를 스스로 공개하는 경우 정보처리자의 처리에 동의한 것을 규정한 조항이 아니라, 민감정보처리를 별로도 허가한 것, 즉 민감정보에 대한 특별한 보호만을 자발적으로 포기한 것으로 해석해야 할 것이다. 하지만 명시적으로 공개된 개인정보의 경우 추가적인 동의 없는 활용의 여지가 법규상으로 폭넓게 허용되고 있다고 해석할 수 있다. 그럼에도 불구하고 정보주체가 개인정보를 공개한 것이 정보주체의 개인정보에 대한 권리를 포기한 것으로, 즉 개인정보보호법이 규정하고 있는 정보처리자의 의무가 면제되는 것으로 해석되어선 안 될 것이다. 이 경우에도 여전히 제14조 2항(f)(개인정보가 개인정보주체로부터 수집되지 않은 경우 제공되는 정보)에 의해 공개된 개인정보를 수집할 경우 해당 정보주체에게 ‘개인정보의 출처, 가능한 경우 해당 개인정보가 공개 출처로부터 비롯되었는지 여부’를 고지할 의무를 부여하고 있다고 보아야 할 것이다. 다만 정보주체에 해당 통지를 제공하는 것이 불가능한 것으로 입증되거나 비례적으로 과도한 노력이 요구되는 경우, 공익적인 기록보존 목적, 또는 과학 및 역사적 연구 목적, 또는 통계목적으로 정보가 처리되는 경우에는 이 고지의무가 면제될 수 있다.29)
다만 GDPR을 위한 EU 법집행 지침 제10(c)(민감정보가 처리될 수 있는 특별한 경우-정보주체에 의해 명시적으로 공개된 경우)30)규정에 대한 29조 작업반의 의견서31)에 의하면 개인정보가 어떠한 배경에서 공개되었는지 고려할 것을 권하고 있다. 예를 들어 개인정보가 개인의 전기(傳記), 언론, 공개된 웹사이트 등에 공개되는 경우와, SNS 등에 공개되는 경우 구분할 것을 권고한다. 즉, 전자의 경우 명백한 공개의 의사가 있음을 쉽게 유추할 수 있지만, 후자의 경우 대부분의 사용자들은 서비스 제공자들이 제공하는 개인정보보호지침(처리방침)을 제대로 읽고 숙지하지 않으며, 자신의 정보에 서비스 회사의 관련자(수사기관을 포함한)가 자유롭게 접근가능하다는 사실을 제대로 알지 못하는 경우가 많다. 따라서 이 경우의 자발적 동의는 전자와 다르게 취급되어야 하며, 추가적 안전장치를 갖출 것을 권고하고 있는 것이다. 이 의견서는 우리에게 시사하는 바가 크다고 보여진다.
Ⅳ. 헌법적 관점에서의 공개된 개인정보의 보호
공개된 개인정보의 보호와 이용에 관한 헌법적 논의를 하기에 앞서 공개된 개인정보는 헌법적으로 보호되어야 하는지부터 살펴보아야 한다. 이를 위해 “공개된 개인정보”의 의미부터 살펴보아야 한다. 법원의 판례와 대부분의 학문적 논의에서는 그냥 “공개된 개인정보”라는 용어를 사용하고 있고 때로는 앞에 ‘이미’라는 부사를 붙여서 쓰기도 하지만 일부 논문에서는 ‘적법하게 공개된’,32) 또는 ‘일반적으로 공개된’33) 개인정보라는 용어를 쓰고 있다. 이는 구분할 필요가 있다. 적법하게 공개되었다는 의미는 법규의 규정에 의해 또는 법규에 어긋남이 없이 공개되었다는 것인데 우리 개인정보보호법에는 개인정보의 공개와 관련한 규정을 두고 있지 않다. 따라서 적법하게 공개되었다는 표현은 조금 어색한 표현이고 만약 적법하게 공개되지 않았다면 이의 이용에 대한 논의는 더 이상 진행할 필요가 없을 것이다. 그리고 일반적으로 공개되었다는 말은 결국 일반에게, 또는 공중을 위해, 공중이 접근(수집)할 수 있도록34) 공개되었다는 의미일 것이고35), 공개라는 단어의 뜻속에 이미 포함되어 있으므로 ‘일반적으로 공개된 개인정보’라는 표현보다는 ‘일반에게 공개된 개인정보’라는 표현이 더 적당해 보인다. 여기에서‘일반에게‘라는 뜻은 정보의 전파범위가 특정인 또는 특정범위에 한정되지 않는 것을 뜻한다.즉 한 명이 보거나 아무도 보지 않더라도 한 명 이상이 수집할 수 있다는 의사를 가지고 공개하였다면 ’일반에게 공개된 개인정보‘라고 볼 수 있을 것이다.36) 다만 이를 구체적으로 구분하기 위해 정보주체의 적극적 의사여부 등이 다시 일반에게 공개된 개인정보를 수식하는 문구로 사용될 수는 있을 것이다. 이 글에서는 ’일반에게‘라는 표현을 생략하여 공개된 개인정보라는 표현을 사용하기로 한다.
개인정보가 일반에게 공개되었다면 이를 헌법적으로 보호할 필요가 있는 것인가, 구체적으로는 개인정보자기결정권의 보호범위에 포함되는가 하는 의문이 생긴다. 즉 헌법적 관점에서 개인정보를 공개하는 행위가 어떻게 해석되어야 하는가의 문제이다. 구체적으로는 개인정보를 공개하는 것이 정보주체(기본권 주체)에 의한 기본권의 포기로 해석될 수 있기 때문이다. 스스로 자신의 개인정보를 공개함으로서 법률상 보장된 개인의 자기정보에 대한 통제권, 혹은 보호를 포기한 것으로 해석하는 것이다.37) 즉 자기 정보에 대한 보호를 혹은 정보에 대한 권리를 포기하면서 다른 이익(예를 들어 경제적 이익이나 자기 표현(selbstdarstellung)을 위해38))을 얻기 위해 자신의 정보를 일반에게 공개하는 것이라는 견해이다.
이는 일면 타당해 보이기는 하지만 개인정보자기결정권의 내용에 대한 오해가 있는 견해이다. 즉 개인정보자기결정권이란 ’자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다.‘39) 개인정보자기결정권은 보호를 요청하는 권리라기보다는 자기 정보를 공개할지 여부, 공개한다면 어디까지 공개할지, 정보를 이용하는 것을 허용할지 여부를 결정할 수 있도록 그 결정권을 보장해주는 권리이다. 즉 이러한 사항을 결정할 수 있도록 환경을 조성해 주는 것을 헌법적으로 보장하라는 권리라고 해석할 수 있겠다. 따라서 논리적으로 자신의 개인정보를 스스로 공개하는 행위는 개인정보자기결정권의 행사의 한 방법이라고 해석하여야 할 것이다. 따라서 개인정보를 공개하는 것을 정보주체의 의사에 반하여 방해하거나 금지하는 국가의 조치는 -이것이 비록 정보주체를 보호하기 위한 조치라 하더라도- 헌법상 권리인 개인정보자기결정권에 대한 침해가 될 수 있다. 따라서 개인정보가 공개되었다고 해서 정보주체가 개인정보의 보호를 포기한 것이라고 보아서는 안되고 여전히 개인정보자기결정권의 보호범위 안에 있는 것으로 해석되어야 한다. 다만 보호의 정도는 또 다시 논의가 되어야 할 것이다.
우리 헌법재판소의 판례도 이와 궤를 같이 한다. 헌법재판소는 개인정보자기결정권을 새로운 기본권으로 도출하는 ’주민등록법 제17조의8등 위헌확인‘ 판결에서 이 권리로 보호되는 개인정보의 개념에 대해 정의를 하였다. 이에 의하면 “개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다”40)라고 하여 개인정보자기결정권으로 보호되는 개인정보의 개념을 굉장히 넓게 정의하고 있다.41) 즉 사적인 정보는 물론 사적이지 않은 개인정보, 특히 이미 공개된 개인정보도 개인정보자기결정권의 보호범위에 포함시키고 있다. 즉 헌법재판소의 견해에 의하면 개인정보가 공개되더라도 보호되지 않아도 되는, 보호의 이익을 포기한 개인정보로 성격이 바뀌는 것이 아니라 여전히 법적인 보호를 받아야 한다는 점을 확인할 수 있다. 그러나 어떻게 보호할 것인지, 어느 정도로 보호할 것인지에 대해서는 헌법재판소가 판시한 바가 없다. 즉 공개되지 않은 개인정보와 공개된 개인정보는 보호되어야하는 개인정보이므로 동등하게 보호되어야 하는지가 문제된다.
일반에게 개인정보가 공개되었더라도 공개된 개인정보는 여전히 보호될 가치가 있는 것임은 앞에서 살펴본 바와 같다. 다만 공개된 개인정보를 어떻게, 어느 정도로 보호할 것인지 논의하여야 한다. 개인정보가 공개된 경우와 아직 비밀로 지켜지고 있는 경우 둘을 동등하게 취급할 것인지에 대해 논의가 필요하다. 특히 현행 개인정보보호법은 개인정보가 공개되었는지 여부에 의해 보호강도를 달리하는 것이 아니라 민감정보인지 여부에 따라, 즉 사적인 정보여서 프라이버시 침해의 우려가 큰 경우에 특별한 보호를 하고 있기 때문이다. 이에 의하면 공개된 민감정보는 공개되지 않는 일반개인정보보다 더 보호가 필요한 것이 된다. 하지만 개인정보의 공개여부와 상관없이 보호강도가 같아야 한다고 보는 것은 무리가 있다. 특히 개인정보주체가 자신의 결정에 의해 스스로(명시적으로, 적극적으로, 수동적이 아닌 자신의 능동적인 행위로) 자신의 개인정보를 공개한 경우라면 이는 본인의 사생활을 스스로 노출하는 것이므로 더 이상 ‘숨을 권리’로 보호할 대상이 아니라고 보는 것이 타당한 해석일 수 있다.42) 결국 공개된 개인정보와 관련한 가장 중요한 문제는 공개된 개인정보를 구체적으로 어느 정도로 보호해야 하는가와 관련한 문제이다. 위에서 살펴본 바와 같이 정보주체의 의사에 반하여 과잉보호하는 것은 개인정보자기결정권의 침해가 될 수 있기 때문이다.
이 문제를 해결하기 위해서는 먼저 공개된 개인정보를 유형별로 분류하는 것이 중요하다. 즉, 공개된 개인정보의 보호정도를 판단하기 위해서는 우선 정보주체가 스스로 자기결정에 의해 개인정보를 공개하였는지, 즉 진지한 공개의사가 존재하는지의 판단이 선행되어야 한다. 또한 정보주체가 공개의 범위나 목적에 대해 어떠한 명시적 의사표시를 한 것이 있는지에 대한 판단도 고려되어야 한다. 정보주체의 기본권(개인정보자기결정권)을 보호한다는 것은 결국 기본권 행사자의 자기결정을 존중하는 것이어야 하지 그 의사에 반하여 그를 보호하는 것은 또 다른 정당화 사유를 필요로 할 것이다.43) 따라서 개인정보가 스스로에 의해 공개되었는지 여부를 판단하는 것이 가장 중요하므로 개인정보 공개를 유형별로 분류하는 것이 필요하다.
개인정보는 개인정보 주체 스스로에 의해, 또는 제3자에 의해 공개될 수 있다. 그리고 공개의사의 정도에 따라 스스로에 의해 적극적이고 명시적으로 공개될 수도(주로 SNS에 업로드하는 경우, 명함을 주는 경우), 원치는 않지만 소극적으로 노출되는 것을 묵인하는 정도(예를 들어 회사나 학교 홈페이지 등 직업적인 이유로 개인정보를 게시하는 경우)에 그칠 수도 있다. 이에 따라 보호의 정도가 달라져야 할 것이다.
개인정보는 정보주체 스스로에 의해 공개되는 것이 일반적인 경우이다. 정보주체는 자신의 개인정보를 공개할지 말지, 무엇을 공개할지를 스스로의 자유로운 결정에 의해 선택할 수 있어야 한다. 이러한 스스로의 결정에 의해 개인정보가 공개되는 경우를 정보주체에 의한 공개라고 할 수 있을 것이다. 이 경우에는 개인의 민감정보도 공개될 수 있다.
정보주체에 의해 직접 개인정보가 공개되는 대부분의 경우 정보주체의 적극적인 공개의사가 있다고 추론할 수 있겠지만, 반드시 적극적인 공개의사가 있다고 해석되어서는 안 된다. 예를 들어 SNS 사용은 때로는 사회적 강제에 의해 이루어질 수 있기 때문이다.44) 따라서 정보주체에 의한 공개의 경우에도 정보주체의 적극적인 공개의사가 있는지는 다시 한번 검토되어야 한다.45)
정보주체가 아닌 제3자에 의해 개인정보가 공개되는 경우도 있다. 제3자에 의해 개인정보가 공개되는 대부분의 경우는 직업상(특히 경제적 이유로) 제3자에게 정보를 제공하거나 동의하여 제3자가 이를 공개하는 경우이다. 이 외에도 정보주체도 모르게 언론에 노출되는 경우, 타인의 SNS에 자신의 사진이나 정보가 업로드되는 경우 등이 있을 수 있다. 헌법상 개인정보자기결정권의 관점에서는 이러한 ‘제3자에 의한 개인정보의 공개의 경우 동의나 묵인이 있었으면 스스로의 결정에 의한 것이라고 판단해야 하는지, 그러하다면 스스로에 의한 공개와 동의나 묵인에 의한 제3자에 의한 공개가 같이 취급되어야 하는가’라는 의문이 생긴다. 이를 해결하기 위해서는 정보주체의 적극적인 의사의 유무를 판단할 필요가 있다. 이를 위해 제3자에 의한 공개도 구체적인 유형을 나누어 생각할 필요가 있다.
먼저 발생 비율은 적지만 법률적으로 명확한 정보주체의 위임에 의해 제3자가 개인정보를 공개하는 경우를 생각해 볼 수 있다. 이 경우 공개하는 제3자는 정보주체의 사자(使者)로서의 지위를 가지고 행할 뿐46) 공개의 의사는 정보주체에 의해 결정된 것이고 법률효과도 모두 정보주체에게 귀속되므로 정보주체 스스로에 의한 공개라고 볼 수 있을 것이다.
둘째로는 전형적인 제3자에 의한 개인정보 공개유형인 직업적, 경제적인 이유로 정보주체의 개인정보가 제3자에 의해 공개되는 경우가 있다. 이는 제3자에 의한 개인정보 공개문제 중 가장 문제되는 경우로 대표적인 예가 위에서 살펴본 대법원 판례의 사례이다. 예를 들어 교수 등의 경우 학교 홈페이지에 자신의 프로필, 전화번호, 이메일주소 등이 비교적 자세하게 공개되어 있다. 이 외에도 공무원이나 회사원의 경우 본인의 사진과 이름, 부서와 직책, 전화번호 등이 홈페이지에 게시되는 경우가 흔해졌다. 이 경우는 보통 본인의 적극적인 의사에 의한 경우라기 보다는 소극적인 동의에 의한 경우가 많을 것이다.47)
셋째로는 요즘 SNS에서 많이 발생하는 것으로 인간관계에 근거한, 특히 인간관계에 의해 어쩔수 없는 개인정보의 노출을 들 수 있다. 이 경우는 프라이버시와 밀접하게 관련되는 민감정보가 공개될 가능성이 많고, 또한 정보주체가 인지하지 못하는 경우가 많기 때문에 문제가 된다. 제3의 정보주체(정보주체의 친구)가 그의 개인정보를 공개하면서 자신과 관련한 제3자(제3의 정보주체의 친구인 정보노출당사자)의 개인정보를 같이 공개하는 경우이다. 자신이 누구와 어디에 있는지 공개하거나, 같이 찍은 사진을 업로드하는 경우가 여기에 해당한다. 초상권 등의 다른 권리들은 논의에서 예외로 하고, 개인정보자기결정권의 관점에서 본다면 개인적인 친분에 의해 자신의 개인정보가 노출되는 경우 노출당사자는 업로드하는 행위에 대하여 사실상 이를 반대하거나 불만을 제기하기가 어렵다는 문제가 있다.48) 개인정보보호법상 법의 적용 대상은 ‘개인정보처리자‘이므로 사인인 개인의 경우 제15조의 동의를 받을 필요가 없다고 해석될 수도 있다.49) 이러한 경우 스스로에 의한 개인정보의 공개라고 보기에는 무리가 있을 것이다.
마지막으로 전통적인 제3자에 의한 개인정보 공개의 유형으로 언론 등에 의해 공익의 목적으로 개인정보가 공개되는 경우이다. 즉 정보주체의 개인정보를 보호함으로 얻는 이익과 반대 측면에서의 국민의 알권리 등의 공익을 비교형량하여 제3자에 의한 공개가 정당화되는 경우이다. 이와 관련하여서는 그간 많은 논의가 있었으므로 여기서는 논의를 생략한다.
정보주체는 본인이 목적한 바를 달성하기 위해 또는 자신의 이익을 위해 자신의 개인정보를 적극적으로 공개할 수 있다. 이 경우는 본인의 명확한 공개의사에 의해 자신의 개인정보를 스스로 공개하는 경우이다. 현재 SNS상에서 일어나는 대부분의 사생활 노출이 이러한 예에 해당한다. 요즈음은 친구들과 소통하거나 본인의 존재감을 과시하기 위하여 때로는 개인의 민감정보가 포함된 개인의 신상을 노출하는 경우가 흔하다. 대부분의 페이스북이나 인스타그램과 같은 SNS 사용자들은 자신의 계정에 자신의 사적인 개인정보를 수시로 공개하고 노출한다. 이렇게 공개된 개인정보는 주로 소위 ‘친구’에게 전달·공개되고, 때로는 친구의 친구에게, 때로는 일반에게 공개될 수 있다. 사람은 혼자 있는 존재가 아니라 사회관계속에서 사회구성원의 일원으로 살아가야 하는 존재이므로 자신의 주변사람들에게 개인정보를 공개하고 이를 서로 공유하는 것은 예로부터 지극히 당연한 것이었다. 소위 인터넷을 기반으로 한 소셜 네트워크가 유행하면서 공유의 범위가 무한정 확장되면서 이러한 개인정보의 공개가 새로운 문제로 떠오르게 되었다. 즉 과거에는 자신의 개인정보를 주변의 지인이 아는 것에 그쳤지만-이는 어디까지 공개되는지를 스스로 알수 있는 범위 내라고 해석될 수 있다- 이제는 불특정 다수-국가의 정보기관이나 사정기관을 포함한-가 이를 수집하고 이용할 수 있게 됨에 따라-공개범위를 스스로 결정하거나 알 수 없어서 개인정보자기결정권에 반하는- 문제가 발생하게 되는 것이다. 분명히 SNS에 자신의 정보를 공개하는 것은 정보주체의 명시적 공개의사에 근거하여 이루어지는 것이지만, 이를 헌법적으로 어떻게 보호하여야 하는지는 어려운 문제이다. 명시적 의사에 이해 공개된 개인정보를 정보주체의 의사에 반하여 보호할 것인지, 보호할 필요성이 있는지에 대해서는 더 많은 논의가 필요하다. 개인의 프라이버시라는 것이 한 번 공개되면 인격권에 치명적인 위험을 초래할 수 있고, 이의 회복은 거의 불가능하다는 점에서 공개행위 자체를 규제할 것인지, 아니면 개인의 자유에 맡겨둘 것인지에 대해서 논의해야 하고, 규제를 하는 경우 그 정당화 근거와 규제의 강도가 다시 논의되어야 한다. 이와 관련한 논의에 대해서는 이 글에서는 생략하기로 한다.
이 외에 경제적 목적을 위해 명함을 주거나 홈페이지 등에 이름, 직업, 전화번호, 주소 등을 직접 게시하는 경우, 이를 전형적인 명시적 의사에 의한 개인정보 공개로 보아야 할 것이다. 영업(광고)을 하는 입장에서는 가능한 한 많은 사람들이 자신의 개인정보에 접근해서 자신의 정보를 획득하고 기억하기를(저장되기를) 바라는 것이 일반적이다. 이러한 정보를 어떻게 보호할 것인지와 관련하여서는 크게 문제될 것이 없다. 다만 영업 목적을 위한 개인정보의 공개의 경우, 영업 목적이란 명확한 목적이 있음에도 불구하고 이러한 목적을 넘어서서 개인정보가 처리될 수 있는지(이를 이용하여 주문이 들어오는 것이 아니라 다시 광고가 수신되는 경우 등)가 문제가 될 것이다.
요컨대 정보주체의 명시적 의사에 의해 개인정보가 공개된 경우 보호 강도가 약해질 수 있음은, 다시 말하면 정보주체의 의사를 존중할 필요가 있음을 인정할 수 있다. 다만 공개된 정보를 이용하는 행위를 어떻게 해석할 것인지는 논의가 더 필요하다.
개인정보가 정보주체의 적극적이고 능동적인 의사와 행동에 의해서가 아니라 제3자에 의해 때로는 자신에 의해 소극적으로 공개, 노출되거나 정보주체가 노출을 묵인하는 경우가 있다. 앞서 살펴보았던 제3자에 의한 공개의 대부분의 경우가 이에 해당할 것이다. 이 외에도 소속·성명이 공중에 노출되도록 강제되는 경우도 있다. 예를 들어 군인, 대학병원의 의사나 간호사, 대규모 회사의 직원, 은행창구 직원 등은 명찰을 착용하거나 본인의 이름이 고지된 채로 근무해야 하며, 또 전화상담 직원 등의 경우에도 자신의 성명과 소속을 먼저 스스로 밝히고 업무를 진행해야 한다. 이러한 개인정보의 소극적 노출은 정보주체의 자발적 공개 의지나 스스로의 결정에 따른 것이라고 보기는 어려울 것이고 다만 자신이 개인정보가 노출된다는 것에 대한 묵시적 동의 정도에 그친다고 판단될 수 있을 것이다. 이러한 능동적이거나 적극적이지 않은, 수동적이고 어쩔 수 없는 개인정보의 공개, 노출과 명시적인 공개의사를 가지고 개인정보를 공개한 것은 헌법적으로 달리 해석되어야 한다. 개인정보의 적극적인 공개는 자신의 자유로운 인격의 발현으로서 행복추구권이나 표현의 자유, 개인정보자기결정권의 행사50)라는 헌법적 가치로 보호되어야 하겠지만, 소극적 노출은 정보주체의 개인정보가 공개되는 것이 스스로의 결정에 의한 것인지가 확실하게 구분되지 않기에 이런 헌법적 가치가 인정된다고 보기 어렵다. 따라서 양자는 헌법적 보호정도를 달리하여야 할 것이다. 즉 전자의 경우는 개인의 자기결정을 존중할 필요가 있기 때문에 공개된 개인정보를 강하게 보호하는 것은 정보주체의 의사에 반할 수 있다. 하지만 후자의 경우에는 본인의 자유로운 의사에 의해 공개된 것이라고 보기 어려운 경우가 많을 것이므로 될 수 있는 한 공개된 개인정보를 보호하는 방향으로, 즉 개인정보자기결정권에 의해 자기정보에 대한 통제권을 더욱 많이 보장하는 방향으로 보호되어야 할 것이다.
그러나 개인정보의 적극적 공개와 소극적 노출, 즉 개인의 정보공개에 대한 적극적 의지의 유무를 객관적으로 판단하기는 실제로 쉽지 않다. 따라서 두 경우를 다르게 취급하는 것이 정당화된다고 하더라도 이를 현실적으로 구현하는 것이 쉽지는 않을 것이다.51)
요컨대, 정보주체의 명시적인 공개의사에 의한 개인정보의 공개인지 소극적인 노출에 그치는 것인지는 헌법적인 보호수준에서는 분명 차이가 있어야 하지만 실제 공개의사 유무를(대부분의 경우 형식적으로나마 모두 동의에 의해서 이루어지므로) 객관적으로 판단하는 것은 거의 불가능하고, 법적 취급에서 차이를 두는 것 또한 실제 법규의 적용에 있어서 쉬운 일이 아님을 쉽게 유추할 수 있다. 따라서 공개의사의 유무에 따라 보호수준을 달리해야 한다면, 본인의 적극적 공개의사가 있음이 명확한 경우에만, 즉 정보주체 본인에 의해 명백하게 공개의사를 가지고 공개된 경우에만 이를 특별히 취급하여야 할 것이다. 즉 실제에 있어서는 이러한 경우에만 개인정보보호법 적용의 예외를 인정하거나, 또는 활용에 대한 광범위한 동의가 있었다고 볼 수 있을 것이다. 위의 GDPR 제9조 제2항 e의 “personal data which are manifestly made public by the data subject”라는 문구가 이러한 견해와 가장 유사한 규정이 될 것이다.
V. 개인정보보호법상 공개된 개인정보의 활용 가능성
정보주체의 개인정보자기결정권을 보장하기 위해서 공개된 개인정보를 어떻게 보호하여야 하는지에 대해 살펴보았다. 이를 참고하여 법률상, 즉 현행 개인정보보호법으로 공개된 개인정보를 어떻게 활용할 수 있을 것인지에 대해 살펴보자. 즉 개인정보를 처리하기 위해서는 정보주체의 동의나 법률의 규정이 필요한데, 이 경우에는 공개된 개인정보를 활용하기 위해서 동의를 어떻게 해석할 것인지가 문제된다.
정보주체의 정보가 일반에게 공개되었다면 일단 타인에 의한 정보수집에 대해서는 동의가 있었다고 보는 것이 옳다. 다만 이렇게 수집된 정보의 처리나 제3자 제공의 경우 이에 대한 동의도 있었다고 볼 것인지가 문제가 된다. 공개된 개인정보의 처리 등에 대한 동의의 필요성과 관련하여서도 정보공개에 대한 정보주체의 적극적 의사유무에 따라 달리 판단되어야 할 것이다. 아래에서는 명시적 의사가 있는 경우와 묵시적 동의에 의해 노출된 경우를 나누어 살펴보도록 한다.
위에서 살펴본 바와 같이 정보주체가 자신의 개인정보를 직접, 스스로, 적극적인 의사를 가지고 공개를 한 경우라면 이는 개인정보자기결정권의 행사로서 헌법적으로 보호받아야 하는 것이다. 따라서 이러한 경우에는 개인정보를 보호하기 위한 규정들의 적용을 배제할 필요가 있다. 즉 일반인들에게 공개하기 위한 목적으로 자신의 개인정보를 공개했는데 법률이 일반인들의 자료접근을 막거나 방해한다면 이는 정보주체의 자유(표현의 자유, 개인정보자기결정권 등)에 대한 침해가 될 수 있다. 그러므로 수집에 대한 동의규정 등이 이 경우 적용되어서는 아니되는 것이다.
다만 명시적인 의사에 의해 공개된 개인정보라도 무제한으로 활용될 수 있는지에 대해서는 논의가 필요하다. 이 경우에도 개인정보 처리의 한 원칙인 목적구속성의 원칙이 적용되어야 한다고 보아야 하기 때문이다. 즉 정보주체가 자신의 정보를 공개함에 있어서 이의 무제한 활용-특히 자신에게 해가 될 수 있는 처리나 이를 통해 제3자가 경제적 이익을 얻는 경우 등-에 대해 동의한 것이라고 볼 수 있을 것인가가 문제가 될 것이다.52) 일반적인 경우 대부분의 사람들은 자신에게 해가 되는 행동에 대해, 또는 자신의 것을 이용하여 타인이 수익을 내는 행위를 용인한다고 보기는 어려울 것이다.53) 예를 들어 인격권의 하나인 초상권을 생각해보자. 일단 개인이 공공장소에 등장하는 것은 타인이 본인의 모습을 보는 것에 대해 수인하는 행위라고 해석되어야 하지만, 더 나아가 타인이 공공장소에서의 자신의 모습을 사진촬영 등을 통해 수익을 얻는 것까지 수인(동의)한 것이라고 보기는 어려울 것이다.54) 공개된 개인정보와 관련된 논의도 이와 특별히 다르지 않다.
따라서 명시적인 공개의사에 의해 정보가 공개된 경우에도 무제한의 활용에 대해 동의했다고 보기는 어려울 것이고 적어도 본인에게 해롭지 않은 처리에 대해서만, 아니면 더 좁게 해석하여 본인이 공개한 최초의 목적에 부합하는 경우에만 정보제공자의 별도 동의 없이 처리가 허용되는 것으로 해석하는 것이 옳을 것이다.
정보주체의 개인정보가 본인의 적극적인 동의 없이, 묵시적으로 노출된 경우 이는 적극적 의사에 의해 공개된 경우와 다르게 취급되어야 할 것이다. 일단 개인정보가 일반에 공개되었다면 타인에 의한 개인정보의 수집-즉 공개된 개인정보를 통해 정보를 얻는 행위-에는 동의를 한 것으로 보아야 할 것이다. 다만 수집된 개인정보의 이용·처리에 동의를 한 것인지에 대해서는 -즉 별도의 동의가 필요한지- 의문이 있다.
이와 관련하여 정보주체가 자신의 개인정보에 대해 가지는 권리가 소유권 유사한 권리인지에 대한 논의가 있다. 즉 개인정보를 정보주체의 소유물로 간주한다면 정보제공에 대한 명확한 협상이 없었다 하더라도, 혹은 아무 조건을 제시하지 않았다 하더라도 정보수집자는 이를 마음대로 처분할 수 없게 된다는 법리이다. 이를 처리하기 위해서 정보처리자는 수집된 정보의 이용 목적을, 제3자에게 제공한 경우에는 제공범위를 정보주체에게 고지하여야 하는 적극적인 의무를 지게 되는 것이다.55) 하지만 이런 ‘정보소유권론’과 관련한 논의는 우리 헌법재판소의 판결과는 거리가 있다. 독일과 우리의 헌법재판소의 판결에 나타난 개인정보자기결정권은 소유권에 가까운 절대적 권리라기 보다는, 공익이나 제3자의 이익이 월등하다면 후퇴할 수 있는(이익형량이 가능한) 상대적 권리를 상정하고 있기 때문이다.56) 따라서 소유권과 유사한 권리를 가지기 때문에 완전하게 권리를 보장받는다든지(정보처리자에게 과도한 의무를 부과하게 한다든지), 또는 소유권과 유사한 권리를 주장할 수 없기 때문에, 또는 권리를 인정할 이유가 없기 때문에 정보주체의 권리를 대부분 인정하지 않게 하는 것(자유로운 정보이용 및 유통이 자유롭게 허용되는 것)은 우리의 법체계속에서는 무리가 있는 이론이라고 생각된다. 독일과 우리 헌법재판소가 상정하는 개인정보자기결정권은 자기정보에 대한 통제권의 확보라는 성질이 더 강한 것으로 해석되어야 한다. 따라서 개인정보를 일반에게 공개하는 행위는 자기 정보에 대한 통제권을 일정부분 상실하는 것을 스스로 인정하는 행위라고 해석될 수 있을 것이다.
따라서 사안별로 이익형량을 통해 개별적으로 판단하는 것이 정보주체와 정보처리자 양측의 이익을 최대한 보장할 수 있는 방안이 될 수 있을 것이다. 정보처리자의 경우 법률관계가 명확하지 않음으로 인해 장래에 발생할지도 모르는 불확실성이 해소되어 처리가 가능한 공개된 정보를 자유롭게 활용하는 것이 더욱 이익이 될 것이기 때문이다.
이런 배경하에서 묵시적 노출로 공개된 개인정보의 처리, 이용에 대한 경우를 생각해 본다면 원칙적으로는 처리 가능성을 좁게 해석하여 정보주체의 권리를 우선하는 것이 옳을 것이다. 즉 묵시적으로 공개된 개인정보의 경우 공개된 목적, 의도, 맥락을 살펴보아 정보주체의 동의 범위를 엄격하게 결정하여야 한다.
만약 개인정보를 게시하면서 명시적으로 이용의 범위를 제한하거나 설정한 경우, 이는 정보주체가 처리에 대한 동의 범위를 확실히 고지한 것으로 정보처리자는 이에 따라야 할 것이다. 명시적인 제한이 없는 경우(개인정보를 일반에 공개할 때 통상적인 경우이다) 공개 목적으로 추론될 수 있는 범위 내, 즉 동의가 있었다고 인정될 수 있는 범위 내에서만 처리가 가능하다고 보아야 할 것이다. 대법원도 “정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서는 수집·이용·제공 등의 처리를 할 때에는 정보주체의 별도의 동의는 불필요하다.”고 보고 있다. 다만 ‘객관적으로 인정되는 범위 내‘라는 의미가 명확하지 않아서 문제가 된다. 객관적으로 인정되는, 혹은 사회통념상 허용되는 범위57)란 적극적인 행위로 공개된 경우에는 넓게 해석될 수 있지만, 수동적으로 노출된 경우에는 정보주체를 보호하기 위해서 좁게 해석해야 하는 개념이다.
만약 교수가 자신의 프로필을 대학의 홈페이지 게시한 경우, 교수의 활동과 관련하여 정보를 처리하는 경우에만 동의를 한 것으로 해석하여야 할 것이다. 개인의 연락처를 수집하여 영리목적 등의 스팸을 발송하는 리스트를 작성한다든지, 전화번호를 수집하여 광고전화를 한다든지 하는 경우까지 동의를 한 것이라고 보기는 어려울 것이다. 또한 이를 수집, 처리하여 더 자세한 정보를 제공하는 경우, 예를 들어 전국의 민법 교수의 프로필과 연락처를 한 번에 볼 수 있도록 정보를 재구성하여 다시 (무료로) 공개하는 경우, 이것에 대한 동의는 인정될 수 있겠지만, 이를 이용하여 영리행위를 하는 경우까지(보기 편하게 가공하여 금전을 받고 매매하는 행위)58) 동의를 한 것이라고 보기는 어려울 것이다. 만약 이렇게 이용하고자 한다면 공개 시의 목적과 다르게 이용되는 것이므로 정보주체에게 다시 별도의 동의를 받아야 하는 것으로 해석되어야 할 것이다.
대법원은 이러한 점을 판시하면서, 즉 “정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개의도 내지는 목적뿐만 아니라, 정보처리자의 정보제공의 처리의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 한다”고 하여 공개목적으로 추단될 수 있는 범위 내에서만 활용이 가능한 것으로 보면서도, 객관적으로 인정되는 범위 안에 제3자에 대한 영리행위(유상목적 활용)를 포함하는 것으로, 즉 개인정보의 활용이 유상이냐 무상이냐는 판단에 영향을 미치지 아니하는 것으로 해석한다. 이러한 견해는 소극적 노출의 경우 적용되기에는 묵시적 동의의 범위를 너무 넓게 해석한 것으로 보아야 한다.59).
또한 대법원은 위와 같이 판결하면서 그 근거로 “개인정보 보호법 제20조는 공개된 개인정보 등을 수집·처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보주체에게 알리도록 규정하고 있으므로, 공개된 개인정보에 대한 정보주체의 개인정보자기결정권은 이러한 사후통제에 의하여 보호받게 된다.”고 판시하고 있다. 하지만 실제에 있어서 개인정보가 일반에게 공개된다는 것은 그 상대방(공개의 대상)을 특정하지 않는다는 것이므로 누가 정보주체의 정보를 수집·처리하는지 알 수 없다. 공개된 개인정보를 수집·처리할 때에는 따로 동의를 받지 않아도 되므로 정보주체에게 수집·처리를 고지할 필요가 없다. 다만 개인정보보호법 제20조에 의해 정보주체의 요구가 있는 경우에 비로소 개인정보처리자에게 수집 출처와 처리 목적을 고지할 의무가 발생하게 되는 것이고, 제37조에 따라 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있게 되는 것이다. 따라서 이는 실제에 있어서 의미가 없는 규정일 수 있다. 왜냐하면 일반적인 경우 정보주체는 자신이 공개한 정보를 누가 수집·처리하는지 알 방법이 없기 때문이다. 위의 정보주체의 권리가 제대로 보장되어 대법원이 예정하는 사후통제가 제대로 기능하기 위해서는, 공개된 개인정보의 수집·처리시 정보주체의 별도의 동의는 필요하지 않다고 하더라도, 정보처리자가 정보주체에게 공개된 개인정보를 수집·처리한다고 고지를 할 의무를 부과하는 규정을 따로 두어야 할 것이다.
정보처리자에게 이러한 의무를 부과하는 경우에는 또한 실제로 정보주체를 알 수 없거나 정보주체와 연락할 방법이 없어 이를 고지하지 못하는 경우가 발생하는 경우를 생각할 수 있다. 이런 경우 공개된 개인정보의 처리를 사실상 금지하는, 또는 방해하는 과도한 제한이 될 수 있어 이런 규정을 두는 것이 문제가 될 수 있음도 고려해야 한다.
위에서 언급한 고지의무와 관련된 논의의 연장선상에서 가명처리 등의 안전조치를 취한 경우 이를 수집·처리할 수 있도록 허용하는 방안도 고려해 볼 수 있다. 즉 정보주체가 확실히 누구인지 모르거나, 정보주체의 연락처를 알기 어려운 경우는 본인의 인격과 관련이 없는 경우가 대부분일 것이므로 이를 가명처리 등의 조치를 통해 정보처리자가 수집·처리할 수 있도록 하는 방안이 대안이 될 수 있을 것이다. 개인의 인격과 밀접한 관련이 있는 경우, 즉 가명처리 등을 거치면 그 정보를 이용할 가치를 상실하는 경우, 예를 들면 위에서 언급한 교수의 개인정보를 수집, 가공하여 이를 제공하는 경우에는 가명처리를 거치게 되면 그 정보는 더 이상 가치가 없는 것이 된다. 따라서 이런 경우 연락처가 공개되어 있는 경우가 일반적일 것이므로, 이를 처리하기 위해서는 정보주체에게 정보가 수집·처리됨을 고지하고, 수집 출처, 처리 목적 등의 고지를 요구할 권리와 처리의 정지를 요구할 권리가 있다는 사실을 알려야 할 것이다.
Ⅵ. 나오며
우리는 지금 정보가 곧 원유라고 평가받는 지능정보사회에 살고 있다. ICT 기술을 기반으로 하는 정보사회의 가장 큰 과제는 개인정보의 보호와 활용의 균형을 찾는 것이다. 개인정보를 보호하는 것에 방점을 두면 기술이 발달할 수 없게 되고, 기술발전을 위해 개인정보의 활용을 용이하게 하면 우리의 사생활의 비밀과 인격권에 큰 위험이 발생할 수 있다. 이러한 큰 전제하에서 일반에게 공개된 개인정보를 어떻게 보호하고 활용할 것인지에 대한 논의를 진행하였다.
우선 정보주체가 직접, 명시적으로 일반에게 공개한 개인정보는 공개를 선택한 정보주체의 결정을 존중하여야 한다. 즉 공개행위 자체가 개인정보자기결정권의 행사로서 헌법적으로 보호받아야 하는 것이고, 이를 다시 국가가 보호하고자 한다면 본인의 의사에 반하여 공권력이 개인의 자유를 과잉보호하는 것(이는 곧 헌법적 권리행사의 자유에 대한 침해)이 될 수 있다. 다만 적극적 의사에 의해 공개된 개인정보라 하더라도 제3자에 의해 무제한으로 활용될 수 있다고 해석하는 것은 잘못된 것이고, 이 경우에도 목적 구속성의 원칙은 여전히 적용되는 것으로 보아야 한다. 공개된 개인정보는 공개 목적의 범위 내에서 이용될 수 있지만 이때에는 공개목적의 범위가 넓게 해석될 수 있을 것이고 따라서 그 활용에 대한 동의도 넓게 해석하여야 한다. 명시적 의사에 의해 공개된 개인정보를 활용할 때에는 개인정보보호법이 예외적으로 적용제외될 수 있으며, 그 결과 별도의 동의없이 개인정보가 활용될 수 있을 것이다. 다만 정보주체에 해가 되는 경우-범죄나 영리 목적으로 사용되는 경우 등-에는 동의가 있었다고 간주되어서는 안될 것이다.
개인정보가 소극적 노출로 인해 공개된 경우에는 정보주체 스스로에 의한 공개라고 볼 여지가 적기 때문에 개인정보는 더 두텁게 보호될 필요가 있다. 이 경우에는 비록 공개(노출)되었지만 공개되지 않은 개인정보와 유사한 보호를 받을 필요가 있다. 즉 개인정보보호법의 규정을 적용할 필요가 있다. 따라서 개인정보의 활용에 대한 동의 범위(별도의 동의 없이 활용될 수 있는 범위)는 아주 좁게 해석되어야 하며, 동의 범위를 확정할 때에는 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적 등을 고려하여야 한다. 다만 이의 활용을 위해서는 가명화, 익명화 조치를 취하여야 하며, 이런 조치가 불가능한 경우에는 정보처리자에게 제20조와 제37조의 권리가 있음을 정보주체에게 고지할 의무를 부가해야 한다.
특히 공개된 개인정보를 영리목적으로 사용하기 위해서는 정보주체에게 별도의 동의를 받아야 하며, 명시적으로 영리를 목적으로 사용될 수 있음을 표시하거나 영리목적의 사용을 합리적으로 유추할만한 사유가 있는 경우에만 영리목적의 사용에 동의한 것으로 간주될 수 있을 것이다.