개인정보 자기결정권과 동의 제도에 대한 고찰

Abstract

개인정보 보호법이 제1조에서 선언하듯이, 개인정보 보호는 개인과 존엄의 가치를 구현하는 문제로 여겨지고 있어 마치 성역처럼 여겨질 위험성도 없지 않다. 그러나 대부분의 법적 문제들이 그러하듯 어떤 가치를 추구함에 있어서는 늘 그 하위 가치들의 세밀한 형량과 조정이 요구된다. 개인정보 보호도 예외가 아니다. 개인정보 자기결정권은 헌법 제10조와 제17조에 기초하여 인격권의 하나로 인정되는 권리로서, 개인정보 보호법의 이념적 토대를 이룬다. 개인정보 자기결정권은 전통적인 권리 분류법에 따르면 절대권 내지 지배권의 성격을 가지기 때문에 개념상 강한 권리라고 할 수 있다. 하지만, 개인정보 자기결정권 역시 이를 둘러싼 수많은 가치나 이익들의 균형 있는 고려와 세밀한 조정을 요구한다. 개인정보 자기결정권이 정보 통제권이자 표현 통제권의 속성도 가진다는 점, 개인정보 자기결정권과 같은 인격권의 보호범위는 소유권과 같은 절대권과 비교할 때 형량과 조정의 필요성이 훨씬 크다는 점, 개인정보 자기결정권의 전제가 되는 합리적 인간상은 현실적 인간상과 거리가 있다는 점 등을 고려하면 개인정보 자기결정권의 보호범위는 좀 더 균형감 있는 조정 작업을 통하여 확정해 나가야 한다. 또한 정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 원칙을 구현한 동의 제도는 개인정보 자기결정권의 이념을 가장 잘 구현하는 제도로서 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있다. 개인정보 자기결정권의 이념적 정당성을 인정하는 이상 동의 제도도 그 이념적 정당성을 인정할 수 있다. 나아가 권리 보호 방식에 관한 동의 규칙(property rule), 보상 규칙(liability rule), 양도불가능 규칙(rule of inalienability)의 틀에 비추어 검토하더라도 동의 제도의 정당성은 원칙적으로 인정된다. 하지만 동의 제도가 현실 속에서도 정당성을 획득하려면 정보주체의 정보력, 인지력, 판단력, 협상력이 충분히 담보되어야 하는데, 그 동안의 실증적인 연구결과에 따르면 현실 속에 나타난 정보주체의 모습은 그렇지 않다. 이로 인해 정보주체의 동의가 형식적으로 이루어지고 있고, 그 동의의 가공할 만한 법적 힘에 기대어 오히려 개인정보의 오남용이 이루어질 가능성도 커지고 있다. 또한 사물인터넷의 발달로 인하여 개인정보 수집과 이용에 대한 사전 동의는 부분적으로 비현실적인 것이 되고 있어 동의 제도를 기계적으로 관철하거나 확장하는 것은 과학기술의 발달에 장애가 될 우려도 있다. 이러한 점에서 동의 제도를 재검토하고 그 개선방향을 모색하여야 한다. 동의 제도의 문제점과 이와 유사한 약관 제도의 개선에 관한 논의 현황을 참조하면 동의 제도는 다음과 같은 방향으로 개선될 수 있다. 첫째, 정보제공의 단순화와 실질화를 통해 동의의 형식화를 방지하는 방향이다. 이는 정보주체가 알고 하는 동의(informed consent)를 할 가능성을 높이기 위한 것이다. 다만 정보제공의 단순화는 개인정보 보호법에서 요구하는 정보제공 기준에 배치될 위험이 있으므로 기존 정보제공과 병행하여 행할 수밖에 없을 것이다. 이러한 단순화된 정보는 텍스트(text) 요약판으로 제공할 수도 있고, 표(table)나 이미지(image)를 사용하여 제공할 수도 있다. 나아가 개인정보취급방침 등에 대한 등급제나 인증제를 통해 제3의 전문기관이 개인정보 보호 정도를 1차 판정한 뒤 그 판정 결과를 정보주체에게 제공하는 방법도 있다. 이러한 제반 노력들은 실질적인 정보제공을 통한 동의의 실질화에 기여할 수 있다. 다만 이 경우에도 여전히 최종적인 결정 주체는 정보주체 개인이므로 그 개인이 충분히 관심을 기울이지 않을 경우 실질적인 개인정보 보호에 한계가 있다. 둘째, 사전적 통제로서의 동의 제도를 완화하고 다른 통제 수단과 개인정보 보호에 대한 역할을 분담하는 방향이다. 동의 제도의 완화는 디폴트 규칙을 어떻게 설정할 것인가와 관련이 있다. 디폴트 규칙은 적절한 정보가 주어진다면 가장 많은 사람이 선택할 것을 반영하는 규칙이다. 한편 동의를 거부하면 거래에서 예정한 본질적인 서비스를 제공하기 어려운 경우(동의사항 중 필수사항이 여기에 해당할 가능성이 높다)에는 대부분의 사람들이 동의를 선택하리라 예상된다. 그러므로 필수동의사항에 대해서는 옵트-아웃(opt-out) 방식에 따라 일단 모든 사람들이 동의한다고 전제하되 동의를 원하지 않는 사람들은 자유롭게 동의를 거절할 수 있도록 하는 방향이 타당하다. 한편 동의 제도를 완화할 경우 개인정보 보호를 실질적으로 도모할 수 있는 다른 통제 수단들의 위상과 역할을 재조명, 재조정할 필요성이 있다. 큰 틀에서 보면 동의 제도와 같이 수집 단계에서의 사전적 통제 외에도 개인정보의 정정이나 파기 또는 법적 책임 추궁과 같은 이용 단계에서의 사후적 통제, 개인정보 보호법 등 관련 법제에 따른 법적 통제 외에도 프라이버시 증진 기술(privacy enhancing technologies, PETs)을 활용한 기술적 통제, 공공기관에 의한 통제 외에도 민간영역에서의 자율통제를 통하여 개인정보 보호가 더욱 실질적이고 현실적으로 이루어질 수 있으리라 생각된다. As declared in the first Article of the Personal Information Protection Act in Korea, personal information protection purports to materialize inner value of human dignity. This poses possibility of viewing personal information protection as nearly non-negotiable issue. However, as is the case with other legal issues, pursuing certain value almost always requires subtle balancing in regard to other values. The matter of personal information protection is no exception to this. The self-determination right to personal information, which forms a normative foundation for personal information protection regime, springs from personality right which in turn grounds itself on the Article 10 and 17 of the Korean Constitution. The self-determination right to personal information, according to a typical taxonomy, is categorized as absolute or dominion right, and thus regarded as a strong right by its nature. Yet, it is also the right that controls and curbs information and expression, and thus creates tension against other personal legal interests. In that sense, it is to be differentiated from typical absolute right such as ownership right over things. Therefore, it is important that one reasonably delineate the scope of protection for personal information, thereby striking an appropriate balance among relevant values and interests. In order to realize the idea of self-determination, the current legal regime in principle requires the consent of the information subject in collecting or processing personal information. As long as the idea of self-determination can be justified, the consent regime can also be justified. Further, from the perspective of property rule / liability rule dichotomy, the consent regime which embodies the idea of property rule is justified. However, in order for such regime to work well in practice, lack of information, judgment capacity, and bargaining power of the information subject need to be addressed. Without such basis, the consent regime only justifies exploitation of personal information of personal information controller from less-informed information subject. The empirical studies show that it is so in reality. Moreover, the consent regime needs to be revisited in the wake of Internet of Things, in which obtaining individual consent from information subject becomes almost impracticable. Against this backdrop, this article proposes several ways to respond to these challenges. First, it points out necessity to enhance informed decision of the information subject by simplifying and materializing information-disclosure on the meaning and the scope of personal information collection and processing. The summary of the text of a privacy policy or relevant boilerplates may be provided. Tables and images may also be used, as one can find out similar examples in other areas such as revealing energy efficiency on electronic appliance. A rating or certification of a privacy policy by competent authorities may also serve as a simple way of delivering information. Second, it addresses the possibility of relaxing current consent regime, including turning current opt-in regime to opt-out regime, while strengthening other means of personal information protection, including fortifying control right of information subject in the processing stage, utilizing technical measures such as PETs(Privacy Enhancing Technologies), and encouraging self-imposed control in the private sector. Such efforts may lead to substantial and practical protection of personal information.