유럽정보보호법

역자서문 5
서문 7
약어와 두문자어 15
본서의 이용법 18

제1장 유럽정보보호법의 문맥과 배경 21
제2장 정보보호 용어 53
제3장 유럽정보보호법의 주요원칙 95
제4장 유럽정보보호법의 규정 121
제5장 정보주체의 권리와 그 집행 157
제6장 국경을 넘는 정보유통 195
제7장 경찰 및 형사사법에서의 정보보호 217
제8장 그밖에 특별한 유럽정보보호법 247

참고문헌 271
판례 277
색인 287

머리말

본서는 유럽연합기본권청(European Union Agency for Fundamental Rights ; FRA)과 유럽평의회(Council of Europe ; CoE) 및 유럽인권재판소(European Court of Human Rights ; ECtHR)가 공동으로 집필한 ‘유럽정보보호법 안내서(Handbook on European data protection law)’를 번역한 것이다.
유럽을 대표하는 국제조직으로서는 유럽연합(EU)을 들 수 있지만, 또 하나의 중요한 축을 차지하고 있는 것이 유럽평의회(CoE)라고 할 수 있다. CoE는 47개 회원국으로 구성이 되어 있으며, EU의 모든 회원국이 또한 CoE의 회원국이기도 한 것에서 알 수 있는 바와 같이, 양 조직은 상호 밀접한 관계를 유지하고 있다고 할 수 있다.
유럽정보보호법제는 그 범위의 설정에서부터 어려움이 있지만, EU의 정보보호법제의 중심은 유럽기본권헌장(Charter of Fundamental Rights of the European Union)의 관련규정과 1995년 개인정보지침(Directive 95/46)을 들 수 있고, CoE의 경우에는 유럽인권조약(Convention for the Protection of Human Rights and Fundamental Freedoms ; ECHR)의 관련규정 등을 들 수 있다. 또한 EU의 경우에는 EU법제의 해석과 실효성을 담당하는 기관으로서 유럽연합사법재판소(Court of Justice of the European Union ; CJEU)가 있고, CoE의 경우에는 유럽인권재판소(ECtHR)가 있다.
본서는 위와 같이, 유럽에서 개인정보 보호를 위한 법제와 그와 관련된 양 재판소의 개인정보관련 판례를 중심으로 하여 중요쟁점들을 잘 정리하여 펴낸 것으로서, 개인정보 보호에 관심을 가지는 학생들과 그 업무에 종사하는 법조실무자들은 물론, 유럽 등과의 무역에 종사하는 실무자들에게도 중요한 지침서가 될 수 있을 것이다.
본서의 출판에 있어서는 전남대학교 학술도서출판 지원사업의 지원을 받았다. 전남대학교의 이러한 지원사업이 자칫 소홀하기 쉬운 분야의 전문서의 출간에 큰 힘이 되는 것은 물론이다. 또한 본서의 번역을 쾌락하여 준 CoE/ECHR과 FRA에게도 감사의 마음을 전한다.

2015년 10월 연구년의 초입에서
함 인 선

제1장 유럽정보보호법의 문맥과 배경

1.1. 정보보호권(The right to data protection)

요점
ㆍ ECHR 제8조에 의하여, 개인정보의 수집 및 이용에 대한 보호권은 사생활 및 가족생활, 가정 및 교신에 대한 존중권의 일부를 형성한다.
ㆍ CoE 조약 제108호는 정보보호를 명시적으로 다룬 법적 구속력이 있는 최초의 국제규범이다.
ㆍ EU법에서는 정보보호가 정보보호지침에 의하여 최초로 규율되었다.
ㆍ EU법에서는 정보보호가 하나의 기본권으로 인식되어 왔다.

타인, 특히 국가로부터의 침해에 대해 개인의 사적 영역을 보호받을 권리는 사생활 및 가족생활의 존중에 관한 1948년 UN세계인권선언(UDHR) 제12조에서 최초로 국제법규에 규정되었다. UDHR은 유럽의 다른 인권관련규범들의 발전에 영향을 미쳤다.

1.1.1. 유럽인권조약(The European Convention on Human Rights)

유럽평의회는 제2차 세계대전의 영향으로 유럽국가들이 법의 지배, 민주주의, 인권과 사회발전을 향상시키기 위하여 결성되었다. 이러한 목적을 위하여, 유럽평의회는 1950년에 유럽인권조약(ECHR)을 채택하여, 1953년에 시행하였다.

국가들은 ECHR을 준수할 국제적 의무를 가지고 있다. CoE 모든 회원국들은 현재 국가법에 ECHR을 도입하였거나 실효성을 부여하였으며, 따라서 조약규정에 따라서 행위할 것이 요구된다.

체약당사국들이 ECHR에 의한 의무를 준수할 것을 보장하기 위하여, 유럽인권재판소(ECtHR)가 1959년에 프랑스 스트라스부르에 설립되었다. ECtHR는 조약 위반을 주장하는 개인, 개인의 그룹, NGO 또는 법인들이 제기한 소송을 심리함으로써 조약에 의한 의무의 준수를 보장한다. 2013년에 유럽평의회는 47개 회원국으로 구성되었으며, 그 중 28개국은 또한 EU 회원국들이기도 한다. ECtHR에 제소하는 청구인은 회원국들의 국민일 필요가 없다. ECtHR는 또한 하나 또는 그 이상의 CoE 회원국들이 다른 회원국을 상대로 하여 제기한 국가간 소송을 심리할 수 있다.

개인정보보호권은 ECHR 제8조에 의해 보호된 권리들의 일부를 형성하는데, 동 조는 사생활 및 가족생활, 가정과 교신의 존중권을 보장하고 있으며, 이 권리의 제한이 허용되는 조건을 규정하고 있다.

ECtHR는 그 판결을 통하여 정보보호문제가 발생하는 많은 상황들, 특히 공적 기관에 의한 통신의 도청, 여러 가지 유형의 감시와 개인정보의 저장에 대한 보호문제들을 심리하여왔다. ECtHR는 ECHR 제8조에 의하여 국가들은 동 조약상의 권리를 침해하는 어떠한 행위도 금지하도록 하는 의무를 부담하고 있을 뿐만 아니라, 국가들은 일정한 상황에서 효과적으로 사생활과 가족생활의 존중을 적극적으로 보장할 의무도 부담하고 있다는 점을 명확히 하였다. 이들 판례 중 다수가 관련 장에서 자세히 언급될 것이다.

1.1.2. 유럽평의회 조약 제108호(Council of Europe Convention 108)

1960년대에 정보기술의 등장과 함께, (개인)정보를 보호함으로써 개인들을 보호할 보다 상세한 규정의 필요성이 더욱 더 분명해졌다. 1970년대 중반까지, 유럽평의회 각료위원회는 ECHR 제8조를 참고하여, 개인정보의 보호에 관한 여러 가지 결의를 채택하였다. 1981년에, 개인정보의 자동처리와 관련한 개인의 보호를 위한 조약(조약 제108호)이 서명을 위해 개방되었다. 조약 제108호는 정보보호분야에서 법적 구속력을 가진 유일한 국제규범이었으며, 현재도 그러하다.

조약 제108호는 사적 영역과 사법기관 및 법집행기관에 의한 정보처리와 같은 공적 영역에 의해 수행된 모든 정보처리에 적용된다. 동 조약은 개인정보의 수집 및 처리에 수반될 수 있는 남용에 대해 개인을 보호하며, 그와 동시에 국경을 넘는 개인정보의 유통을 규제하고자 하는 것이다. 개인정보의 수집 및 처리에 관하여, 동 조약에 규정된 원칙들은 구체화된 정당한 목적을 위해 저장되고, 이들 목적과 양립 불가능한 목적을 위해 사용되지 않으며, 또한 필요한 기간 이상으로 보관되지 않는다고 하는, 특히 정보의 공정하고 적법한 수집 및 자동처리와 관련된 것이다. 이들 원칙은 특히 정확할 뿐만 아니라 적정하고 관련성이 있으며 과도하지 않아야 한다(비례성)는 정보의 품질과 또한 관련된다.

동 조약은 개인정보의 수집 및 처리에 관한 보장을 규정하는 이외에도, 적절한 법적 안전장치가 없는 경우에, 어떤 사람의 인종, 정치, 건강, 종교, 성생활 또는 범죄기록에 관한 것과 같은 ‘민감한’ 정보의 처리를 불법으로 규정한다.

동 조약은 또한 개인이 자기에 관한 정보가 저장된다는 사실을 알며, 필요한 경우에, 그 정보를 정정하게 할 권리를 보장하고 있다. 동 조약에서 규정된 권리에 대한 제한은 국가안보 또는 국가방위와 같은 우월한 이익이 문제되는 경우에만 가능하다.

동 조약은 조약 당사국들 간의 개인정보의 자유로운 유통을 규정하고 있지만, 또한 법적 규제가 동등한 보호를 제공하고 있지 않는 국가에의 유통에 대해서는 다소의 제약을 부과하고 있다.

조약 제108호에서 규정된 일반원칙과 규정들을 보다 발전시키기 위하여, 법적 구속력이 없는 몇 가지 권고가 CoE 각료위원회에 의해 채택되었다(제7장과 제8장 참조).

EU 모든 회원국들은 조약 제108호를 비준하였다. 1999년에, 조약 제108호는 EU가 당사자가 될 수 있도록 개정되었다. 2001년에 조약 제108호 추가의정서가 채택되어, 비당사국, 이른바 제3국에 대한 국경을 넘는 정보유통과 국가정보보호감독기관의 의무적 설립에 관한 규정들을 도입하였다.

전망(Outlook)

조약 제108호를 시대에 맞게 개정하기로 한 결정에 따라서, 2011년에 실시된 일반의견수렴의 결과, 그에 대해 2가지 주요목적－즉, 디지털 분야에서의 프라이버시 보호의 강화와 동 조약의 입법개선제도의 강화－이 확인될 수 있었다.

조약 제108호는 비유럽국가들을 포함하여 CoE 비회원국들에게도 가입이 개방되어 있다. 조약의 세계기준으로서의 가능성과 그 개방성은 정보보호를 세계적으로 향상시킬 기초로서 기여할 수 있었다.

지금까지, 조약 제108호 46개 체약당사국들 가운데 45개국이 CoE의 회원국들이다. 우루과이는 최초의 비유럽국가로서 2013년 8월에 가입하였으며, 모로코는 동 조약에의 가입을 요청받고 현재 가입절차가 진행 중이다.

1.1.3. 유럽연합 정보보호법(European Union data protection law)

EU법은 조약들과 제2차 EU법으로 구성되어 있다. 조약들, 즉 유럽연합조약(TEU)과 유럽연합운영조약(TFEU)은 EU 모든 회원국들에 의해 승인되었으며, 또한 ‘제1차 EU법’으로 불린다. EU의 규칙, 지침과 결정은 조약들에 의해 권한을 부여받은 EU기관들에 의해 채택되며, 흔히 ‘제2차 EU법’이라고 불린다.

정보보호에 관한 주된 EU법규범은 개인정보의 처리와 관련한 개인의 보호와 그러한 정보의 이동에 관한 유럽의회 및 이사회의 지침 95/46/EC(정보보호지침)이다. 동 지침은 이미 몇몇 회원국들이 국가정보보호법을 채택한 때인 1995년에 채택되었다. 역내시장에서의 물품, 자본, 서비스와 사람들의 자유로운 이동에는 정보의 자유로운 유통이 요구되는 바, 이는 회원국들이 통일적이고 높은 수준의 정보보호에 의하지 않으면 실현될 수 없다.

정보보호지침 채택의 목적은 국가차원에서 정보보호법의 조화에 있기 때문에, 지침은 (당시에) 존재하는 국가정보보호법에 비교될 수 있는 정도의 특성을 제공한다. CJEU로서는, “지침 95/46은 개인정보의 처리와 관련하여 개인의 권리 및 자유의 보호의 수준이 모든 회원국들에서 동등함을 보장하고자 하는 것이다. […] 이 분야에서 적용 가능한 국가법들의 근접은 그에 의해 제공되는 보호를 완화시키는 결과가 되어서는 안되고, 오히려 EU에서의 높은 보호수준을 보장하고자 하는 것이어야 한다. 따라서, 그들 국가법의 조화는 최소한의 조화에 한정되지 않고, 일반적으로 완전한 조화에 상당하는 것이다.” 그러므로, EU 회원국들은 지침을 이행할 때, 제한된 운용의 자유만을 가진다.

정보보호지침은 조약 제108호에 이미 포함되어 있는 프라이버시권의 원칙들에 실체를 부여하고, 그 원칙들을 확장하도록 의도된 것이다. 1995년에 15개 EU 모든 회원국들은 또한 조약 제108호의 체약당사국들이기도 하였다는 사실은 이들 두 개의 법규범에서 서로 모순되는 규정의 채택을 배제한다. 그러나, 정보보호지침은 조약 제108호 제11조에서 규정된 바와 같이, 보호규범들을 추가할 수 있을 것을 요구한다. 특히, 정보보호법규의 준수를 향상시키기 위한 장치로서 독립적 감독을 도입하는 것은 유럽정보보호법이 실효적으로 기능함에 있어서 중요한 기여를 하는 것으로 입증되었다. (그러므로, 이 제도는 조약 제108호 추가의정서에 의해 2001년에 CoE법에로 수용되었다.)

정보보호지침의 지역적 적용은 유럽경제지역(EEA)의 일부인 비EU회원국들, 즉, 아이슬란드, 리히텐슈타인과 노르웨이를 포함하여 28개 EU회원국들 이외에로 확장된다.

룩셈부르크에 있는 CJEU는 회원국들에서 정보보호지침의 실효적이고 통일적인 적용을 보장하기 위하여, 회원국이 정보보호지침에 의한 의무를 이행하였는지 여부를 결정하고, 동 지침의 효력과 해석에 관한 선결적 판결을 내리는 재판권을 가지고 있다. 정보보호지침의 적용가능성이 면제되는 중요한 경우로는 이른바 가사면제, 즉, 사인이 단순히 사적 목적 또는 가사 목적을 위하여 하는 개인정보의 처리가 있다. 이러한 처리는 일반적으로 사인의 자유의 일부로 간주된다.

정보보호지침 채택 당시 시행중인 제1차 EU법에 따라서, 동 지침의 물리적 적용범위는 역내시장사항으로 제한된다. 가장 중요한 것은 경찰 및 형사사법 공조사항이 그 적용범위 밖에 있다는 것이다. 이들 사항에서의 정보보호는 다른 법규범들로부터 발생하는 바, 이것들은 제7장에서 자세히 설명된다.

정보보호지침은 EU회원국들만을 그 대상으로 할 수 있었기 때문에, EU의 기관들과 기구들에 의한 개인정보의 처리에 대해 정보보호를 규정하기 위해서는 추가적인 법규범이 필요하였다. 공동체의 기관 및 기구에 의한 개인정보의 처리와 관련한 개인의 보호와 그러한 정보의 자유로운 이동에 관한 규칙(EC) No. 45/2001(EU기관정보보호규칙)이 이러한 임무를 수행한다.

게다가, 정보보호지침이 적용되는 분야에서도, 다른 정당한 이익을 형량함에 있어서 필요한 명확성을 얻기 위하여 보다 상세한 정보보호규정을 필요로 하는 경우가 종종 있다. 이러한 두 가지 사례로서는 전자통신영역에서의 개인정보의 처리와 프라이버시의 보호에 관한 지침 2002/58/EC(프라이버시 및 전자통신에 관한 지침)과 공중전자통신서비스 또는 공공통신망의 제공과 관련하여 생성되거나 처리된 정보의 보존과 지침 2002/58/EC의 개정에 관한 지침 2006/24/EC(정보보유지침, 2014년 4월 8일에 무효로 됨)이 있다. 다른 사례들에 대해서는 제8장에서 논의될 것이다. 이들 규정은 정보보호지침에 따라야 한다.