작성자: 보안뉴스
 

현재 우리나라 산업은 고도의 정보화 사회로 진입하는 길목에 서 있다. 정보사회에서는 모든 경제주체 및 정부 행정기관들이 여러 종류의 정보의 바탕 위에 운영되고 있으며, 이러한 정보들 중에서 개인정보는 과거보다 더 큰 의미를 차지하게 되었다. 그러나 이러한 정보화의 시대에는 정보의 역기능이라 불리는 부작용도 거론되고 있다. 특히 우리나라와 같이 아직 개인정보보호 관련 법과 제도가 미비한 상황에서 부작용으로 발생할 수 있는 개인정보와 프라이버시 침해 문제에 대한 우려는 절대로 기우(杞憂)가 아니다. 이번 호에서는 지난 핀란드와 프랑스에 이어 독일과 네덜란드의 개인정보보호 관련 법과 제도에 대해 살펴본다.

 

Ⅰ. 독일


개인정보보호법제 현황

독일에서의 법과 제도 현황에 관한 내용은 Legal Fact Pack 2004에 명시되어 있다. 여기에서 독일의 개인정보보호법은 일반법의 성격을 띤 공공부문과 민간부문을 함께 가지고 있지만 개인정보처리의 구체적인 법적 기준에서는 공공부문과 민간부문을 각각 따로 나누고 별도의 장에서 서로 달리 규정하고 있다.

즉 제1장(Erster Abschnitt)에서는 공공부분과 민간부분의 공통되는 사항들을 규정하고 있고 제2장(Zweiter Abschnitt)에서는 공공기관에 의한 개인정보처리, 제3장(Dritter Abschnitt)에서는 민간기관에 의한 개인정보처리를 규정하고 있다. 특히 제3장에서 규정하고 있는 민간기관에 의한 개인정보처리의 합법성 기준을 보면 독일도 유럽연합의 지침과 마찬가지로 “일반 개인기록”과 “특수 개인기록”을 구분하여 각각 다르게 법적 기준을 규정하고 있다. 독일연방헌법법원의 인구조사판결 이후에 제정되거나 개정된 법률들 중 가장 중요한 법률이 바로 연방개인정보보호법(Bundesdatenschutzgesetz)이다. 동법의 제3조 제1항에 보면 개인정보는 “특정한 또는 특정 가능한 자연인 또는 사물에 대한 관계에 관한 구체적인 자료”를 유럽의 덴마크, 룩셈부르크, 오스트리아와는 달리 사단법인, 주식회사, 협동조합 같은 정보는 동법에 보호되지 않는다 하여 자연인에 대해서만 개인정보보호가 이루어진다. 따라서 유럽의 다른 국가들(룩셈부르크, 덴마크, 오스트리아 등)과는 달리 사단법인, 주식회사, 협동조합 등과 같이 법인의 정보는 동법에 의해 보호되지 않는다. 그러나 기업정보가 기업의 구성원인 개인과 연관된 경우에는 연방개인정보보호법(BGH NJW 1986)이 적용될 수 있다.

 

개인 정보보호법제 발전 과정

■ 1977년 1월 27일 연방정보보호법과 주의정보보호법제정을 통해 제 1단계 시작

■ 정보자기결정권을 헌법상 기본권으로 인정한 연방헌법법원의 인구조사판결이 두 번째 단계 형성

■ 세 번째 단계는 1990년 12월 20일 제정되어 1991년 6월 1일부터 시행된 새로운 연방정보보호법의 적용

■ 네번째 단계는 EG-정보보호지침에 따라 2001년 5월 22일 개정하여 시행된 연방정보보호법의 적용

 

개인정보보호법제의 현대화 방안

독일연방내무부는 카셀대학의 Alexander Roßnagel교수와 드레스덴 공과대학의 Andreas Pfitzmann 교수 및 베를린 개인정보보호관인 Hansjurgen Garstka 교수에게 “개인정보보호법의 현대화, 특히 연방데이터보호법의 기본적 개정”이라는 주제에 대한 검토보고서(Gutachten)를 위탁하였고 2001년 12월 제출되었다.

독일 베를린 개인정보보호관인 Hansjurgen Garstka에서 개인정보보호법제는 기본원칙을 단지 제한적으로만 고려하여 기존의 개인정보보호법제는 여전히 물리적으로 매우 제한된 정보처리의 구상에만 얽매여 있었고 개인정보의 새로운 형태와 그 정보처리를 충분히 수용하지 못했으며 정보처리의 새로운 기술에 대한 위험과 기회도 충분히 고려하지 못했다. 나아가 기존의 개인정보보호법제는 그 구성에 있어서 모순된 경우가 많았으며 수많은 특별법 형식의 규범화로 인하여 불명료하고 그 집행에도 어려움이 많았다.


개정 연방데이터보호법

독일 연방데이터보호법은 지나치게 규정이 많고 이해하기 어려우며 최신 정보처리 관행과 위험을 충분히 반영하지 못하고 있다는 이유와 공공부문에 비하여 민간부문을 소홀하게 규제한다는 지적에 따라 정보주체의 자기결정권을 더욱 강화하고 정보처리자의 자율규제를 북돋을 수 있는 방향으로의 개정이 요구되고 있는 실정이다.

원칙적인 개인정보의 처리는 모두 금지되어 있으나 다음과 같은 경우에는 예외로 하고 있다. 첫째, 정보주체가 동의한 경우. 둘째, 정보처리를 허락하는 단체협약 또는 경영협정이 존재하는 경우. 셋째, 정보처리를 정당화하는 법률 규정이 있을 경우이다.


텔레서비스의 데이터보호에 관한 법률

텔레뱅킹, 데이터교환, 교통정보·기상정보·환경정보·증권거래정보와 같은 정보제공서비스, 인터넷이나 기타 정보망을 이용한 서비스 등과 같은 텔레서비스를 이용하는 개인에 관한 데이터의 보호에 적용되는 텔레서비스의 데이터보호에 관한 법률도 정보통신서비스법의 일부로 제정되었다.

동법은 개인에 관한 데이터를 가공하는 경우에 기본원칙을 명시하고 있는 바, 자신 또는 타인의 텔레서비스를 이용하도록 하거나 이용의 접속을 중계하는 자연인, 법인 또는 인적 집단인 서비스 제공자는 다른 법률에 의해 허용되거나 텔레서비스의 수요자인 자연인, 법인 또는 인적 집단인 이용자가 동의한 경우에 한하여 개인에 관한 데이터를 수집·가공·이용할 수 있도록 하고 있다. 우리의 경우 한국정보사회진흥원은 서비스 제공자가 동법이나 다른 법률이 허용하거나 이용자의 동의가 있는 경우에 한하여 텔레서비스 제공을 위해 수집한 데이터를 다른 목적으로 사용할 수 있도록 하고 있으나, 이용자의 데이터를 다른 목적으로 가공 또는 이용할 수 있다는 조건을 전제로 이용자에게 텔레서비스를 제공할 수는 없다.

개인에 관한 데이터를 조사하기 이전에 이용자에게 데이터의 수집·가공·이용종류·범위·장소 및 목적을 고지하고 이용자가 동의를 하기 이전에 언제든지 동의를 철회할 수 있는 이용자의 권리에 대해서 이용자에게 고지할 것을 의무로 부과하고 이용자가 그의 동의를 전자적 방식으로 선언할 수 있는 요건을 명시하고 있다. 또한 서비스 제공자는 이용자가 텔레서비스 요금을 가명 또는 익명으로 할 수 있다는 가능성, 정산목적 이외에 검색·처리과정 또는 기타 이용에 의해서 수집된 데이터의 즉각적 파기, 개인데이터의 분리 처리, 이용내역의 가명사용 의무를 진다.


포괄적인 개인정보보호기본법의 제정

EU에서는 공적 부문과 사적 부문에 공통으로 적용되는 강력한 개인정보보호정책을 추진해 왔듯이 독일에서 또한 공적 부문과 사적 부문을 통합적으로 규율 하는 개인정보보호법을 규제하고 있다. 또한 독일에서는 개인정보보호법 현대화에 관해 통신법(TKG) 및 통신서비스정보보호법(TDDSG)까지 연방개인정보보호법(BDSG)으로 통합 주장과 분야별 특별법상의 특별규정은 오직 일반 규정의 예외만을 규정할 것을 제안했다.

하지만 우리나라의 경우 공공부분의 다수 법률에 개인정보보호에 관한 규정이 각각 나누어져 있어 만일 개인정보가 유출되어 문제가 발생 하였을 때에는 이것에 적용된 법률 조항을 찾아보기 힘들며 문제의 발생 소지가 높다. 따라서 개인정보보호의 전반적으로 통괄하는 개인정보보호기본법을 제정하는 것이 필요하며 동시에 효과적인 개인정보보호를 할 수 있는 최적의 방안을 모색하는 것이 중요하다.


통합적 개인정보보호기구 운영

Roßnagel와 Pfitzmann, Garstka의 말에 따르면, 독일을 포함한 EU 회원국들은 그 나라 특성에 맞는 통합적인 개인정보보호기구를 설치 및 운영하고 있다. 개인정보보호의 오랜 역사를 지닌 유럽 각국이 얻은 결론으로 개인정보보호의 성패는 효율적인 감독기관에 의존한다는 것이다.

우리나라에서도 공공부문과 민간부문을 포괄한 개인정보보호기구를 설립하여 총체적인 대처방안을 모색하여야 한다. 즉, 개인정보보호기본법의 제정과 개인정보에 대한 권리 및 침해를 조사, 수사기관, 고발 권을 행사할 수 있도록 하여야 한다. 독일의 개인정보보호법 현대화에서와 같이 개인정보보호를 위한 규제기구, 기업의 개인정보보호 관리인 지위 강화를 제안 하였듯이 공공의 소비자 단체나 개인정보보호단체, 단체소송제기권을 적용시키는 것이 바람직하다.

 

Ⅱ. 네덜란드


개인정보보호 동향

네덜란드에서의 법 및 제도 현황에 관한 내용은 Legal Fact Pack 2004에 명시되어 있다. 네덜란드에서 정보등록법(The Data Registration Act of 1998)은 정보처리자로부터 정보처리행위에 대해 신고 받고 등록의 범위를 더욱 확장하고 새롭게 개편한 개인정보보호법(The Personal Data Protection Act of 2000)을 2000년 7월 6일 Senate에 의해 승인, 제정했고 2001년 9월 1일부터 시행했다.

네덜란드의 개인정보보호기구는 이러한 법적 근거를 바탕으로 1999년 11월 정보보호원이라는 기구로 설립되어 개인정보처리자가 개인의 이용을 규제하고 법규를 올바르게 준수하는지를 감독하고 있다. 정보보호[경찰파일]법(The Data Protection[Police Files] Act), 행정부의 개인기록을 담은 데이터베이스를 규율 한 법률(The Municipal Database[Personal Records] Act)과 법률을 바탕으로 하는 민간부문, 공공부문에서의 개인정보처리 및 온·오프라인에 대해 모든 개인정보처리를 규율하는 역할을 하는 것 또한 정보보호원에서 관장하고 있다.

단순히 정보를 신고 받아 등록처리를 하는 역할만을 담당하던 정보보호원은 새로운 법률의 구비로 인해 정보처리의 적절성을 확보하고 법규준수를 담보할 수 있는 보다 실질적인 조사·감독기능을 수행할 수 있게 되었다. 따라서 정보보호원은 법 위반 행위 또는 개인정보침해행위에 대해 행정규제를 가하거나 벌금을 부과하는 등의 조치를 취하고 있다.

개인정보보호법제의 주요 내용

제1조 WBP 조항을 살펴보면 “개인 데이터의 처리”의 의미로 개인 데이터를 수집하고 Recording, 조직화, 저장, 개정, 복구, 진찰, 사용, 다른 형식에게 가능하도록 융합, 연결, 차단 삭제 또는 파기의 전송, 배포선전의 의미를 포함한다.

예를 들어 opt-in을 더블 확인하는 것과 같이 단순히 문서화된 opt-in 보다 그 이상을 요구하는 opt-in 요구사항이 존재하고 opt-in을 받는 부담은 관리인의 책임이 된다. 그러나 그 증거를 어떻게 부담을 하고 실제로 입증 하느냐는 명백하지 않다.

직책, 직업, 법률에 관한 법규는 제9조, 제4조항에 명시 되어 있고 일반적인 다른 기밀성 조항은 제12조 WBP에 명시 되어 있듯이 다른 합법적인 의무 외에 관리인 또는 처리를 대신 행동하는 자들은 관리인의 지시에서 단지 데이터만을 처리할 수 있다. 비밀유지 서약이 관리인을 대신하여 행동하고 모든 사람에 적용된다.

네덜란드는 데이터 보유에 대한 시간적 조항은 없으나 제10 WBP는 만약 데이터 처리의 목적이 성취 됐을 시에는 데이터가 특정 사람을 식별할 수 있는 형태로 보관 될 수 없다고 명시 되어 있는 특정 제한이 있다. 하지만 역사적, 과학적인 목적은 예외 사항이다(제10, 2조항, WBP).

제13조, WBP에 명시 되어 있기를 책임이 있는 기관은 개인 데이터의 분실 또는 불법적 사용을 방지 할 수 있는 기술적이고 운영적인 측정치를 구현해야 한다. 이런 측정치들은 적정 수준의 보안과 구현 비용, 처리에 따르는 위협과 데이터 보호의 성질에 대해 보증해야 한다고 되어 있으며 이러한 개인 데이터의 불필요한 수집과 목적 이상의 사용을 방지 할 것이다. 제 3의 처리자는 보안 측정의 책임을 가진다(제14조, WBP). 관리인은 제 3자 처리자가 이 측정에 따르는 것을 확인한다.

Telecommunication Act(2004년 4월/5월)에서는 직접 마케팅을 목적으로 수집 되는 데이터는 원칙적으로 opt-out과 옵션을 동반해 제공돼야 한다. 팩스, 자동화된 컴퓨터 또는 자동전화 시스템과 이메일은 opt-in이지만 Addressed Mail, Unaddressed Mail과 Outbound Telemarketing은 opt-out이다. 네덜란드에서 동의의 개념은 이슈가 되지 않는다.

인종, 종교, 정치, 성적 관심, 건강과 유니온 무역 연합, 범죄 등을 포함하는 데이터를 ‘민감 데이터’로 간주 한다. 기업문화의 성질에 따라 정보의 민감 여부가 달라지게 된다. 예를 들면 Safe Harbor Choice Principle의 민감한 정보 조항을 들 수 있다.

모델 조항은 각각의 회사의 특정 관계를 다룸으로서 규칙과 책임을 법인으로 만든다. 이러한 조항들은 ‘제29 Working Group’과 전형적인 무역과 비즈니스 연합의 통해 얻어진 정보보호원과의 협력을 통해 European 레벨(European Commission)에 맞게 만들어 진다.

데이터가 3국으로 이전 된다면 정보보호원에 통지가 필요 하다(제28조, 세부 E항, WBP). non-EEA 나라가 알맞은 레벨 보호를 가지고 있어야 한다. 알맞은 레벨 보호가 있는지 아닌지의 판단은 관리인에게 남겨 지고 이 기준은 제76조, 세부조항 2항, WBP에서 명시 되어있다.

개인정보보호법에 통보를 하지 않았을 경우에는 관리법상 최고 4,500유로의 벌금을 제재한다(제66조, PDPA). PDPA의 제65조항에는 정보보호원이 개인정보보호법에 의해 제약적 관리상 조치를 적용할 권한을 부여하여 그것은 Database 데이터의 파괴 또한 포함될 수 있다.

 <글: 양용석 국회 과학기술정보통신위원회 정책비서관

       (yongseok.yang@assembly.go.kr)>

Posted by secu153

댓글을 달아 주세요