정보 보호의 전개

정보 기술의 도래와 더불어 1960년대와 70년대에 프라이버시권에 대한 관심이 증가했다. 강력한 컴퓨터 시스템 감시의 잠재성으로 인해 개인 정보의 수집과 처리를 지배하는 구체적인 규범에 대한 요구가 자극됐다. 이 분야에서의 현대적 입법의 기원은 1970년 독일의 헤세지방에서 제정된 최초의 정보보호법으로 거슬러 올라갈 수 있다. 이후 1973년 스웨덴, 1974년 미국, 1977년 독일, 1978년 프랑스의 국내법 제정이 뒤따랐다.

두 개의 중요한 국제기준이 이들 법률에서 발전했다. 1981년 유럽의회의 ‘개인정보의 자동처리에 관계되는 개인의 보호에 관한 협약’과 OECD의 ‘프라이버시 보호와 개인정보의 국제적 유통에 관한 지침’은 전자 정보 처리에 관한 규범을 정하고 있다. 이들 규범은 개인 정보를 수집단계에서부터 보관과 유포의 매 단계에서 보호받아야 할 정보로 기술하고 있다.

다양한 선언과 법률에서 나타나는 정보보호의 표현은 다르지만 모두가 다음과 같은 사항을 요구하고 있다.

개인 정보는
◎ 공정하고 적법하게 획득돼야 한다.
◎ 원래 특정된 목적에만 사용돼야 한다.
◎ 목적에 적합하고 연관되어야 하며 목적을 초과해서는 안 된다.
◎ 정확하고 최신의 것이어야 한다.
◎ 정보 주체에게 접근 가능해야 한다.
◎ 안전을 유지해야 한다.
◎ 목적이 완수된 이후에는 폐기돼야 한다.

포괄적 법률을 채택하는 이유들

크게 세 가지 주요한 이유가 있다. 첫째, 과거의 불의를 수정하기 위해서이다. 특히 중유럽, 남미, 남아공 등 많은 국가들은 과거의 권위주의 체제에서 발생했던 프라이버시 침해를 구제하기 위한 법률을 채택하고 있다.

둘째, 전자 상거래를 증진하기 위해서이다. 소비자들은 자신의 개인 정보에 대한 가용성 증대에 불안하며 특히 새로운 신원확인 수단과 거래형태에 대해 그러하다. 소비자들은 자신의 개인정보가 전 세계적으로 보내지고 있다는 것에 불안을 느낀다. 그래서 프라이버시 법률들은 단일한 규범을 만들어서 전자 상거래를 촉진할 의도를 가진 법률들과 한 꾸러미로 도입되고 있다.

셋째, 범 유럽적인 법률과 일관되는 법률을 보장하기 위해서이다. 중유럽과 동유럽의 많은 국가들이 유럽의회 제108호 협약과 유럽연합 정보보호지침에 기반을 둔 새로운 법률을 채택하고 있는데, 이들은 가까운 장래에 유럽연합에 가입하기를 희망하고 있다. 다른 지역의 국가들도 유럽연합의 기준이 무역에 미칠 영향 때문에 새로 법을 만들거나 개정하고 있다.

유럽연합 정보보호지침(The EU Data Protection Directives)

1995년 EU가 제정한 것으로 전자파일과 매뉴얼 파일의 개인 정보 처리에 적용된다. 핵심 개념은 “실시가능성”이다. 정보 주체는 명백한 규범으로 수립된 권리를 갖는다. 모든 EU 국가는 이 규범을 집행하는 정보보호책임자나 기관을 갖는다. 유럽과 사업을 하는 국가들은 유사한 수준의 감독을 제공해야 할 것으로 예상된다.

이 지침의 기본 원칙들은 다음과 같다. 정보가 어디서 나왔는지를 알 권리, 부정확한 정보를 고치도록 할 권리, 불법한 처리가 발생했을 때의 상환청구권, 특정 조건에서는 정보 사용에 대한 허용을 보류할 권리이다. 예를 들어 개인들은 직접적인 마케팅 자료 수신에서 무료로 탈퇴할 권리를 갖는다. 또한 지침은 건강, 성생활, 또는 종교적·철학적 신념과 관련된 민감한 개인 정보의 이용에 관한 보호를 강화하고 있다. 장차 기업이나 정부가 이런 정보들을 이용할 때는 일반적으로 정보주체의 “명백하고 모호하지 않은” 동의를 일반적으로 요구하게 될 것이다.

지침은 유럽시민과 관련된 개인정보가 EU 외 국가들로 전해지거나 처리될 때 같은 수준의 보호를 보장하도록 하는 의무를 회원국에 지우고 있다. 이로 인해 유럽 외 국가들에서 프라이버시 법률 통과를 압박하게 될 것이다. 적절한 프라이버시 법률의 채택을 거부하는 국가들은 유럽과 특정 유형의 정보유통을 할 수 없을 것이다.

1997년 EU는 1995년 지침을 보완하여 전기통신 프라이버시 지침을 도입했다. 이 지침은 전화, 디지털 TV, 휴대폰과 무선 인터넷 등 전기통신체제를 포괄한다. 이 지침은 이용자의 프라이버시 보장을 위해 통신사업자와 서비스 제공자에 광범위한 의무를 부과하고 있다. 고객 청구 자료(billing data)에 대한 접근은 엄격하게 제한되며, 발신자 ID 기술은 번호의 전송을 막는 회선 당 옵션을 넣을 것이 요구되며, 통신 전달 과정에서 수집된 정보는 일단 통화가 끝나면 제거돼야 한다.

2000년 7월, 유럽 위원회는 전기통신 부문에서 새로운 프라이버시 지침을 제안했다. 원래는 개인의 프라이버시권 강화를 위한 목적이었지만 과정 중에 각료이사회가 정보 보존 규정을 포함시키려는 압박을 가하기 시작했다. 인터넷 서비스 제공자와 전기통신사업자로 하여금 모든 전화, 이메일, 팩스, 인터넷 활동의 접속기록을 보관하라는 요구였다. 대부분의 유럽의회 의원들은 이 제안에 강력히 반대했다. 2001년 7월, 유럽 의회의 시민권위원회는 다음과 같이 말하며, 정보 보존 규정을 빼고 지침의 기초문서를 승인했다.

“유럽 의회 시민권 위원회는 통신 트래픽과 위치 정보 등 시민들의 개인 정보에 대한 법 집행당국의 접근을 엄격히 규제할 것에 지지를 표했다. 이런 결정은 중요하다. 왜냐하면 미국의 애쉴론(Echelon) 모델을 따라 자국 시민을 일반화되고 만연한 감시 하에 두려는 국가들의 시도를 봉쇄하기 때문이다.”

하지만 9·11 이후 정치 환경이 변했고 의회는 정보 보존 규정을 채택하라는 더 큰 압박을 받게 됐다. 의회는 어떤 형태의 정보 보존에도 반대하며 2002년 5월 30일 최종 투표가 있기까지 완강하게 버텼으나 결국 유럽이사회와 EU 정부들의 압력과 로비로 인해 이사회의 입장을 지지하는 투표의 거래가 이뤄졌다.

2002년 6월 25일, EU 각료 이사회는 의회에서 표결된 지침을 채택했다. 새로운 지침에 따라 이제 회원국들은 휴대전화, SMS, 유선전화, 팩스, 이메일, 대화방, 인터넷 및 기타 형태의 전기통신장치에서 일어나는 모든 통신의 트래픽과 위치 정보를 보존하도록 하는 법률을 통과시킬 수 있다. 이는 국가안보로부터 형사범죄의 예방, 조사, 기소에 이르기까지 다양한 목적에 따라 집행될 수 있다.

2006년 3월 15일 EU 각료 이사회는 ‘통신 트래픽 정보 강제보존에 관한 지침’을 채택했다. 이에 따르면 회원국들은 통신사업 제공자에게 6개월에서 2년까지 통신정보를 보존하도록 해야 한다. 2007년 9월 16일까지 회원국들은 지침을 국내법으로 바꿔놓아야 했는데, 18개월 연기돼 2009년 3월에 가능할 것이다. EU의 27개 회원국 중 16개국이 인터넷 트래픽 정보의 보존 실시를 추가로 더 연기할 것이라고 선언했다. 정보 보존의 실행은 계속적으로 논쟁중이다.

다른 영역에서는 ‘프라이버시와 전기 통신 지침’이 좀 더 바람직한 결과도 낳았다. 예를 들어 모든 종류의 정보 처리에서 소비자의 프라이버시권과 통제권을 강화하기 위해 “콜(calls)”, “통신”, “트랙픽 정보(traffic data)”, “위치 정보” 등에 대한 새로운 정의와 보호를 추가했다. 이들 새로운 규정은 인터넷을 통해 전송되는 모든 정보(“트래픽”)에 대한 보호를 보장하며, 동의 없이 이메일을 통한 불필요한 상업 마케팅(“스팸”)을 금지하며, 휴대전화 이용자를 위치추적과 감시로부터 보호한다. 또한 모든 전기 통신 서비스(유럽이동통신규격과 이메일 등) 가입자들에게 공공 디렉토리 목록에 들어갈지 말지를 선택할 권리를 제공한다.

아펙 프라이버시 기준 착수

아펙(아시아태평양경제협력회의: APEC)은 국제적인 정보 유통과 관련된 장치를 고려하고 있으나 아직 어떤 기초문서도 공개되지 않았다. 개인정보와 관련된 무역의 경제적 이익과 프라이버시 보호 간에 지역적 균형을 찾을지 모른다는 긍정적인 기대와 아펙 경제가 뒤떨어진 기준을 채택함으로써 프라이버시 보호에 잠재적 위험이 될 수 있다는 부정적 우려가 교차하고 있다. 아펙의 역사를 보면 위험성이 잠재적 이익보다 훨씬 크다. 아펙의 원칙들은 20년 된 OECD의 기준조차 충족시키지 못하고 있는데 OECD 기준들조차 오늘날에는 너무 약하다.

이베로아메리카(Iberoamerican) 정보 보호

라틴아메리카에서도 지역의 프라이버시 문제가 고려되고 있다. 2007년 스페인과 포르투갈, 그리고 12명의 라틴아메리카 국가 대표가 콜롬비아에서 세미나를 가졌다. 유럽과 라틴아메리카의 정보 보호 수준 격차가 경제활동에 장애가 되며 라틴 국가들이 거의 이 분야에 관한 법률을 갖고 있지 않다는 점이 강조됐다.

감시·감독, 그리고 프라이버시와 정보 보호 책임자

어떠한 프라이버시 보호 체제에서나 필수적인 성격은 감시·감독이다. 총괄적인 정보 보호법을 가진 대부분의 국가들은 그 법의 이행을 감시·감독하는 책임자나 기관을 두고 있다. 이들 공무원, 위원, 옴부즈맨 또는 등록관의 권한은 국가마다 아주 다르다. 독일과 캐나다 등의 국가들은 주정부와 지자체에도 책임자와 사무소를 두고 있다.

EU의 정보보호지침 제28조에 따라 모든 EU 국가들은 독립적인 집행 기구를 둬야 한다. 지침에 따르면 이들 기구는 상당한 권한을 갖는다. 가령 정부는 개인 정보 처리에 관련된 입법을 할 때 이 기구와 협의해야 한다. 이 기구는 조사를 수행할 권한을 가지며 조사와 관련된 정보에 접근권을 갖는다. 또한 정보의 파괴나 금지 처리를 명하는 등 구제조치를 취할 수 있고, 법 소송을 시작하고, 불만을 듣고, 보고서를 발행할 수 있다. 책임 공무원은 대중 교육에 대한 책임을 지며 정보보호와 정보 이전에 관한 국제적 연락을 한다. 많은 정부들은 또한 정보 관리자와 데이터베이스에 대한 등록을 유지하고 있다. 정보관리자에 대해서는 자격을 승인해야 한다.

포괄적인 정보보호법이 없는 국가들도 책임자는 두고 있다. 문제를 해결할 권한은 없다 할지라도 이들 공무원의 주요 권한은 문제 영역에 대한 공공의 관심을 집중시키는 것이다. 실천규범을 진작하거나 기업들로 하여금 규범을 채택하도록 장려함으로써 일을 한다. 또한 문제점을 지적하는 연례보고서를 이용할 수도 있다. 예를 들어 캐나다의 연방 프라이버시 감독관은 2000년 보고서에서 연방정부가 유지하고 있는 포괄적인 데이터베이스의 존재를 발표했다. 일단 문제가 공론화되자 그 부처는 데이터베이스를 해체했다.

세계의 많은 정보보호 기구들의 가진 주요 문제는 감독과 집행을 적절히 수행할 자원이 부족하다는 점이다. 상당수가 허가제의 부담을 지고 있으며 이것이 자원의 상당부분을 소모한다. 적체된 진정이 너무 많거나 상당수의 조사를 할 수 없기도 하다. 독립성도 문제이다. 많은 국가들에서 정보보호기관이 정부의 정치권력이나 법무부 통제 하에 있어 프라이버시를 증진시키거나 또는 프라이버시를 침해하는 제안을 비판할 권한이나 의지가 부족하다.

초국적 정보 유통과 정보 천국(data heavens)

전자 정보는 손쉽게 국경을 넘나든다. 따라서 본국의 정보보호법이 적용되지 않는 제3국으로 개인정보를 이전해버리면 정보보호법을 회피할 수 있다. 이전된 정보는 어떤 제약도 없이 흔히 “정보 천국”이라 불리는 그런 국가들에서 처리될 수 있다. 이런 이유로 대부분의 정보 보호법은 정보가 보호될 수 없는 제3국으로 정보를 이전하는 것을 금지하는 규정을 포함하고 있다. 제3국의 프라이버시 보호 시스템의 적격 여부를 결정하는 기준은 “동등한가”가 아니라 “적절한가”여야 한다.

적절성 심사 말고 타국으로 이전되는 정보 프라이버시를 보호하기 위한 가능한 방법은 계약 규정에 정보보호의 기준을 담는 사적 계약을 맺는 것이다. 이와 관련된 기준 계약을 EU 각료이사회가 기초하는 과정에서 미국은 “심하게 성가시며”, “현실 세계의 작동과 양립할 수 없는” 것이라 비판했다. 유럽시민의 여행 기록을 미국 정부에 이전하는 문제가 특별한 관심을 야기했는데 미국이 “적절한” 수준의 정보 보호를 제공하고 있다는 결정이 내려진 바 없기 때문이다. EU 이사회는 유럽을 출발하여 미국에 착륙하는 모든 항공기 여행자에 관한 탑승자 이름 기록 정보를 미국에 이전하는 문제에 관한 합의서를 최근 채택했는데, 이에 대해 유럽 의회는 날카로운 비판을 가했다.