EU개인정보판례

개정판 서문 / 5
서문 / 7

제1장 처음에 / 15
제2장 EU의 개인정보 관련법제 / 19
제3장 EU의 사법제도 / 95
제4장 유럽사법재판소의 개인정보판례 / 123
제5장 ‘잊혀질 권리’와 관련한 판례의 검토 / 321
제6장 우리나라 관련판례와의 비교 / 369

사항색인 / 377
판례색인 / 381

제1장 처음에

(1) 오늘날 유ㆍ무선 인터넷 및 모바일통신의 광범위한 보급은 거의 실시간으로 정보의 유통을 글로벌 차원에서 가능하게 하고 있다. 이러한 정보사회의 진전은 정보의 활용의 요청과 더불어 정보, 특히 개인정보 보호의 필요성을 부각시키고 있다. 개인정보의 유통이 한 국가의 영역 내에 한정되지 않고 글로벌 차원에서 거의 실시간으로 이루어지고 있는 만큼, 개인정보의 남용이나 침해로 인한 피해의 심각성도 커지지 않을 수 없는 실정이다. 이러한 인식에 입각하여, 개인정보의 보호를 위한 각국의 입법화의 움직임과 함께, 국경을 초월한 정보의 유통에 대응하기 위하여 국제기구 차원의 개인정보 보호의 움직임도 활발하게 전개되어 왔다고 할 수 있다.
최근 개인정보와 관련한 이러한 움직임 가운데 주목할 만한 것으로 EU의 개인정보 관련지침의 개정동향이라고 할 수 있다. 종래 EU는 1995년 10월에 개인정보관련 지침(이하 ‘1995년 지침’이라 한다.)을 입법하였다. 동 지침은 EU에서 개인정보와 관련하여 일반법적 지위를 가지는 것으로서, 다수의 국가에 영향을 미쳤다고 할 수 있다. 이는 특히 동 지침의 규정 가운데 ‘개인정보의 제3국으로의 이전’에 관한 규정과 관련이 크다. 동 규정에 의하여, 개인정보의 제3국에의 이전은 동 지침에 따라서 채택된 회원국의 국가법규정과 부합되고, 그 제3국이 적정한 보호수준을 보장하는 경우에만 허용된다. 이로 인하여, EU와 무역 등 거래관계를 갖고 있는 여러 국가들은 이에 대한 대책의 일환으로 개인정보보호를 위한 입법을 강화하지 않을 수 없었다.

(2) 그런데, EU는 2012년 1월 25일에 현행 1995년 지침을 대체하는 새로운 개인정보보호법안을 공표하여 입법절차를 추진한 결과, 새로운 일반정보보호규칙(GDPR)이 2016년 5월 4일에 EU공보에 공포되었다.
2016년 GDPR은 법형식에 있어서 ‘지침’(Directive)이 아니라 ‘규칙’(Regulation)이라는 점, 새로운 정보기본권(예컨대, ‘잊혀질 권리’, ‘정보이동권’ 등)을 명시적으로 도입하고 있는 점, 위반 시에 강력한 제재규정을 두고 있는 점 등에서 그 특징을 찾아 볼 수 있다. 이러한 점에서 2016년 GDPR은 1995년 지침에 비하여, 그 내용과 효력이 한층 강화된 것으로 판단된다. 따라서, 특히 EU 역내에서 사업활동을 하는 기업체들에 대한 유럽위원회의 통제권은 한층 더 강력하게 작용할 것이 예상된다. 이와 같이, EU 개인정보보호제도의 동향은 우리나라의 개인정보보호법제에 커다란 영향을 미치지 않을 수 없다는 점에서 주목의 대상이 된다.

(3) 지금까지 EU의 개인정보관련 연구는 주로 법제에 치중하여 이루어져 왔다고 할 수 있다. 그런데, 개인정보 관련법제의 운영 실제를 알기 위해서는 법제와 아울러 그러한 법제가 실제 어떻게 운영되고 있는지에 대한 연구가 요청된다고 할 것이다. 본서는 이러한 문제인식에 입각하여, 유럽사법재판소의 개인정보관련 판례의 주요내용을 고찰하고자 한 것이다.
이를 위한 전제로서, 본서는 먼저, EU의 개인정보관련법제를 살펴보고(제2장), EU의 사법제도(제3장)를 고찰한다. 그러한 다음, 유럽사법재판소의 개인정보관련판례를 2018년 1월 1일 현재 나온 주요판례의 대부분을 그 검토의 대상으로 하여 고찰한다(제4장). 이어서, 유럽사법재판소의 개인정보관련판례 가운데에서 근래 미디어를 비롯하여, 일반인의 많은 관심을 끌고 있는 ‘잊혀질 권리’와 관련된 판례를 별도로 자세히 고찰하기로 한다(제5장). 마지막으로, 이러한 EU 개인정보판례와 우리나라의 판례(헌법재판소와 대법원)를 비교한다(제6장).

제2장 EU의 개인정보 관련법제

1. 개관

개인정보 보호와 관련하여서는 글로벌 차원에서 문제의 해결을 위한 시도를 하여왔다. 이러한 시도의 결과가 1980년 9월의 이른바 OECD가이드라인, 1981년 1월의 유럽평의회(Council of Europe)의 개인정보보호조약과 1990년 12월의 UN가이드라인이라고 할 수 있다. 한편, EU는 1995년 10월에 1995년 지침을 입법하였다. 동 지침은 유럽평의회의 1981년 개인정보보호조약을 그 모델로 하여 더욱 발전시킨 것으로서, 개인정보의 보호와 관련하여 EU법체계에서 일반법적 지위를 가진 것이라고 할 수 있다. 그것이 2016년 5월에 GDPR의 성립에 의해 2018년 5월 25일부터 시행되면, 1995년 지침은 폐지될 예정이다.
또한, 전자통신분야에서의 개인정보에 관한 규율을 위해 2002년 7월부터 별도의 지침인 「전자통신분야에서의 개인정보의 처리와 프라이버시의 보호에 관한 2002년 7월 12일의 유럽의회 및 이사회 지침 2002/58/EC」(이하 ‘2002년 ePrivacy지침’이라 한다)를 시행하고 있다. 2002년 ePrivacy지침은 1995년 지침의 특별법적 지위를 가지는 것으로 동 지침이 이를 명문으로 규정하고 있다. 그러나, EU에서의 개인정보 보호와 관련한 일반법인 1995년 지침이 2016년 5월에 GDPR로 새로 성립된 것에 대응하여, 2002년 ePrivacy지침도 그에 따라서 개정하고자 2017년 1월 10일에 EC는 ePrivacy규칙안을 채택하여, 입법기관인 유럽의회와 이사회에 제출하였다. 동 규칙안이 성립되면 현행 ePrivacy지침을 대체할 예정으로 있다.
한편, EU의 법체계에서 EU시민의 기본권과 관련하여 중요한 위치를 차지하고 있는 것이 EU기본권헌장(Charter of Fundamental Rights of the European Union)이라고 할 수 있다. 동 헌장은 2000년 12월에 공포된 것으로서, 개인정보의 보호와 관련하여서도 중요한 지위를 갖고 있다고 할 수 있다. 또한, 동 헌장이 성립하기 오래 전인 1950년에 성립되어 1953년부터 이미 시행되고 있는 유럽인권협약(European Convention on Human Rights)도 EU와는 별개의 조직인 유럽평의회(Council of Europe)가 제정한 것이지만, EU에서의 개인정보의 보호와 관련하여, 특히 EU개인정보판례에 있어서 중요한 역할을 한다고 할 수 있다. 따라서, 이들 헌장과 협약에서 개인정보의 보호와 관련된 규정들을 일별한 다음, EU개인정보보호법제에서의 일반법적 지위를 가지고 있는 1995년 지침과 2016년 GDPR, 그리고 특별법적 성격을 가지고 있는 2002년 ePrivacy지침의 주요내용을 살펴보도록 한다.

2. EU기본권헌장 및 유럽인권협약에서의 개인정보 보호 관련규정

먼저, EU기본권헌장에서 개인정보 보호와 관련된 규정들로서는 제7조(사생활 및 가족생활의 존중), 제8조(개인정보의 보호)와 제11조(표현 및 정보의 자유)를 들 수 있다. 이들 규정의 내용을 구체적으로 살펴보면, 제7조는 “모든 사람은 자신의 사생활 및 가족생활과 가정 및 교신의 존중권을 가진다.”고 규정하고, 제8조는 제1항에서 “모든 사람은 자신에 관한 정보의 보호를 받을 권리를 가진다.”, 제2항에서 “이러한 정보는 특정한 목적과 관계인의 동의 또는 법률에 의해 규정된 다른 적법한 근거에 의하여 공정하게 처리되어야 한다.”, 그리고 제3항에서 “이들 법규정의 준수는 독립적인 기관의 통제를 받는다.”고 규정하고 있다. 또한 제11조는 제1항에서 “모든 사람은 표현의 자유권을 가진다. 이 권리는 공권력에 의한 간섭없이 그리고 국경에 관계없이 의견을 보유하며, 정보와 사상을 수취하고 발신할 자유를 포함한다.”, 제2항에서 “미디어의 자유와 복수설립주의는 존중된다.”고 규정하고 있다.
EU기본권헌장의 이들 규정은 개인정보의 보호와 직접적인 관련을 갖는 규정은 제8조와 제7조라고 할 수 있다. 이들 규정은 다음에서 살펴보는 유럽인권협약에서의 관련규정과 비교하여 볼 때, 동 협약으로부터 큰 영향을 받았음을 알 수 있다. 다만, EU기본권헌장이 비교적 새롭게 제정되었다는 점에서 유럽인권협약이 사생활의 존중권만을 규정하고 있는 데 비하여, 동 헌장은 개인정보의 보호를 별개로 규정하고 있는 점이 주목된다. 한편, 제11조는 개인정보의 보호와 자칫 긴장관계에 설 수 있는 표현의 자유를 규정하고 있는 바, 나중에 유럽사법재판소의 개인정보판례에서 살펴보는 바와 같이, 양자의 공정한 형량이 중요한 경우가 적지 아니하다.

다음으로, 유럽인권협약에서 개인정보의 보호와 관련된 규정들로서는 제8조(사생활 및 가족생활의 존중권)와 제10조(표현의 자유)를 들 수 있다. 이들 규정의 내용을 구체적으로 살펴보면, 제8조는 제1항에서 “모든 사람은 사생활 및 가족생활과 가정 및 교신의 존중권을 가진다.”, 제2항에서 “이 권리의 행사는 법률의 규정에 의하고 민주사회에서 국가의 안전보장, 공공의 안전 또는 국가의 경제적 복지를 위하거나 무질서나 범죄의 예방 또는 건강이나 도덕의 보호 또는 다른 사람의 권리와 자유의 보호를 위하여 필요한 경우를 제외하고는 공권력에 의해 간섭을 받지 아니한다.”고 규정하고 있다. 한편, 제10조에서는 제1항에서 “모든 사람은 표현의 자유를 가진다. 이 권리는 공권력의 간섭없이 그리고 국경에 관계없이 의견을 보유하고 정보와 사상을 수취하고 발신할 자유를 포함한다. 본 조항은 국가가 방송, 텔레비전 또는 영화회사의 허가를 요구하는 것을 금지하지 않는다.”, 제2항에서 “이들 자유의 행사는 의무와 책임이 수반하기 때문에 국가안전보장, 영토의 완전성이나 공공의 안전을 위하여, 무질서나 범죄의 예방을 위하여, 건강이나 도덕의 보호를 위하여, 다른 사람들의 명성과 권리의 보호를 위하여, 비밀로 받은 정보의 공개를 금지하기 위하여 또는 사법부의 권위와 불편부당성을 유지하기 위하여 법률의 규정에 의하여 민주사회에서 필요한 형식(양식), 조건, 제약 또는 제재의 대상이 될 수 있다.”고 규정하고 있다.

3. EU개인정보보호 일반법제

A. 1995년 개인정보보호지침

가. 개설

유럽의회(European Parliament)와 이사회(Council of the European Union)는 1995년 10월에 1995년 지침을 입법하였다. 동 지침은 전 7장 및 최종규정(FINAL PROVISIONS)의 전 34조로 구성되었다. 좀 더 구체적으로 살펴보면, 제1장(총칙), 제2장(개인정보 처리의 적법성에 관한 일반원칙), 제3장(사법적 구제, 책임과 제재), 제4장(개인정보의 제3국으로의 이전), 제5장(행동강령), 제6장(개인정보의 처리와 관련한 개인의 보호에 관한 감독기관 및 작업반), 제7장(공동체 이행조치) 및 최종규정으로 되어 있다. 이 가운데, 제2장은 다시 제1절(정보내용과 관련한 원칙들), 제2절(정보의 적법한 처리를 위한 기준), 제3절(특별한 범주의 처리), 제4절(정보주체에게 제공되는 정보), 제5절(정보주체의 정보접근권), 제6절(면제와 제한), 제7절(정보주체의 반대권), 제8절(처리의 비밀성과 보안), 제9절(통지)로 세분되어 있다.

나. 주요내용

1) 목적과 적용범위

먼저, 1995년 지침의 제정목적으로서 회원국은 자연인의 기본적 권리와 자유, 특히 개인정보의 처리와 관련하여 프라이버시권을 보호하여야 함과 함께, 그러나 이러한 보호와 관련된 이유로 회원국 간의 개인정보의 자유로운 유통을 제한하거나 금지하여서는 아니 됨을 규정하고 있다.

다음으로, 적용범위의 원칙과 관련하여서는 “공동체법의 적용범위 밖의 활동, 예컨대 EU조약 제5편 및 제6편에 의해 규정된 것과 공공의 안전, 국가방위, 국가안전보장(처리작용이 국가안전보장문제와 관련될 때에는 경제적 복지도 포함한다) 및 형사법영역에서의 국가의 활동과 관련된 처리작용”이라고 규정하고 있다.