형사법상 개인정보보호에 대한 연구

Abstract

일반 인터넷 이용자들이 느끼는 연간 개인정보보호에 대한 총 가치는 약 1조 2,982억원에 달하고, 많은 개인정보 중에서 특히 금융정보 유출을 가장 우려하고 있는 것으로 나타났다. 이와 같이 정보화 사회에서는 정보 그 자체가 하나의 상품적 가치를 가질 뿐만 아니라, 전자 상거래 등에 있어서 중요한 요소로 작용한다. 인터넷의 급속한 발달은 개인 정보의 수집 및 편집을 용이하게 함과 더불어 정보의 자유로운 전달을 가속화시키고 있다. 정보통신기술의 발달과 범세계적 정보통신서비스의 기반이 확대됨에 따라 사회적 ? 경제적 이익은 증가하는 반면에, 디지털화된 개인정보유출의 위험성이 높아지게 되고, 개인정보의 상품화에 따른 프라이버시의 침해가 증가하고 있다. 즉, 개인은 자신이 필요한 정보를 쉽게 획득할 수 있는 반면에, 자신에 관한 정보가 자신의 부지 속에 외부에 쉽게 노출되거나 침해될 수 있다. 이와 같은 상황이 발생하면 개인의 사적 자유 영역을 심각하게 위협하여 정보주체에 대한 인격적 침해가 유발될 뿐만 아니라, 심각한 정신적 ? 재산적 침해가 유발될 수 있다. 개인정보보호 의무고지 준수율은 한국정보보호진흥원 조사에 따르면 2006년도에는 88%로 나타나고 있으나, 계도 이전의 경우는 40%로 미미한 수준이다. 또한 2006년 3월 세계경제포럼(WEF)에서 세계 115개국을 대상으로 조사된 보안서버의 보급률은 우리나라가 조사대상국 중 43위에 머무르고 있는 실정이다. 이러한 가능성은 유비쿼터스시대에 더욱 커지고 있다. 유비쿼터스 환경에서는 실시간, 연속적으로 어디에서라도 개인과 관련된 환경에서의 컴퓨터, 휴대전화, 사물에 내장된 칩 등으로부터 정보가 자동적으로 수집된다. 이러한 정보 수집은 정보 주체가 인식한 상태에서 이루어지는 경우도 있겠지만, 일반적으로 정보 주체가 인식하지 못한 상태에서 이루어진다. 유비쿼터스 컴퓨팅의 대표적인 특성 중의 하나가 아무런 의식 없이 컴퓨터를 사용하는 것임을 고려할 때, 대부분의 정보주체는 자신의 정보가 누군가로부터 수집되고 있다는 사실을 인식하지 못할 것이다. 또한 최근에는 인터넷 및 전자상거래의 활용이 급속하게 확산되면서 인터넷 서비스 업체에 제공된 개인정보가 범죄에 이용되는 등 무분별하고 부주의한 개인정보 수집 및 이용이 급증하고 있다. 이로 인한 개인정보의 오 ? 남용 및 침해는 인터넷 및 전자 상거래 산업의 발전을 저해시킬 우려가 있다. 따라서 인터넷 관련 산업의 발전 측면에서도 개인정보의 보호는 필수적인 것이라고 할 수 있다. 이에 부응한 우리나라 개인정보보호 법률체계는 공공 ? 민간부문에 적용되는 법률이 달리 규율되어 있는 이원적인 시스템으로 이루어져 있다. 또한 각 부문을 규율하는 기본법이 있어서 원칙이 규정되고, 개별법에 특수한 부분이 규율되는 시스템이 아니라 개별법에 개인정보보호관련 조항이 있어 이를 토대로 개인정보가 보호되고 있다. 즉 공공 ? 민간부문에 대한 이원적 체계 및 개별법주의에 의한 규율이다. 그러나 현행 법률체계의 위와 같은 특징에서 다음과 같은 문제점을 고려할 수 있다. 우선 공공 ? 민간부문의 이원적 규율체계와 관련하여 공공부문과 민간부문이 보유한 개인정보보호의 정합성에 문제가 있다. 즉 공공부문의 경우 공공기관의 개인정보보호에 관한 법률이 제정되어 마치 공공부문의 개인정보보호와 관련된 일반법처럼 개인정보를 보유하고 관리하는 전 행정기관에 적용되어 일단 보유기관에게 일반적인 개인정보관리상의 의무가 부여되는 반면, 민간부문의 경우 전 민간부문에 적용되는 일반법이 제정되지 않고, 특정 분야별로 적용되는 법률과 관련 조항이 산재하기 때문에 개인정보관리의 기본적 보호조치가 강구되지 않고, 주로 사후 처방적인 보호가 중심이 되어 있다. 이는 개별법주의와 맞물려 개인정보보호의 사각지대가 발생하는 것을 방치하고 있다. 개별법주의로 각 법률마다 관련조항에 따라 개인정보가 보호되는 경우 개인정보를 관리하는 기본지침이 보호대상 정보에 따라 달리 규율되고, 그 관리상의 차이는 혼돈을 일으킬 소지를 안게 된다. 또한 민간부문에 비해 공공부문의 개인정보보호의 강도와 범위가 상대적으로 약한 것을 보면 양자의 균형과 조화가 이루어 지지 않는다는 문제를 안고 있다. 이러한 문제점은 개별분야의 개인정보를 보호하기 위한 통일된 지침을 요구하게 된다. 이러한 문제점들을 해결하기 위하여 본 논문은 우리나라의 개인정보보호에 대한 법적, 제도적 환경을 구축하기 위한 국제적 수준의 개인정보보호정책의 발전방향을 먼저 모색해 보고자 한다. 이러한 발전방향의 기본정책을 바탕으로 개인정보의 침해에 대한 대처방안을 각 유형별로 사전적인 방법과 사후적인 방법으로 해결하는 입장을 정리해 본다. 현행 우리나라의 개인정보의 침해에 대한 대처방안을 살펴보면 크게 사전적 대처방안과 사후적 대처방안으로 나누어 볼 수 있다. 사전적인 대처방안은 정보통신부의 개인정보보호 종합 대책에 잘 나타나 있는데, 이에는 10개 과제가 제시되어 있다. 또한 개인정보보호를 위한 가이드라인 도입이라든가 인식제고를 위한 지속적인 개인정보보호교육도 이에 해당한다. 사후적인 대처방안은 개인정보의 침해유형별 형사처벌의 가능성 논의와 관련되어 있다. 즉 개인정보의 전반적인 과정에서부터 개인정보의 폐기과정에 이르는 일련의 과정에서 나타나는 개별적인 침해유형에 대하여 우리 법제가 과연 어떻게 대처하고 있는가 하는 문제이다. 일반적으로 개인정보에 대한 구체적인 형사처벌은 일반법인 형법이 아니라 특별법인 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 공공기관개인정보보호에 관한 법률, 신용정보법 등에서 다루어지고 있다. 하지만 이러한 입법방식이 타당한지는 의문스럽다. 형사처벌의 기본법이라 할 수 있는 형법전을 도외시한 채 여러 특별법의 형태로 국가의 가장 강력한 유형력의 행사인 형벌을 규정하는 것이 국민의 인권보장측면에 적합한가에 대해서는 재고의 여지가 충분히 있다. 형사특별법의 규율형식은 법률의 제정에서부터 내용상, 체계상, 집행상의 수많은 문제점을 야기하기 때문이다. 이의 정비작업은 다음과 같은 절차와 방식이 필요하다. 첫째로 형벌의 최후수단적 성격으로 볼 때, 형벌에 어울리는 가벌적 행위의 내용과 범위는 국민이 용납할 수 없는 중요한 법익침해 행위로 인식되고, 사회방위를 위해 불가피한 금지된 행위이어야 하며, 형벌 이외의 다른 수단으로는 효과가 없는 경우로 국한되어야 한다. 둘째로 이러한 의미의 가벌적 행위는 형법에 의해 규율되도록 형법을 중심으로 정비되어야 한다. 여기서 가벌적 행위는 헌법정신과 형법의 기본원칙에 벗어나서는 아니 된다. 셋째로 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 기타 개인정보 관련 형사특별법상의 형벌규정과 이와 관련된 부속규정들을 폐지하는 것을 원칙으로 하되, 존치가 불가피한 경우는 그 불가피한 필요성을 담보할 수 있는 충분한 근거를 갖추고 있는가를 규명해야 한다. 넷째로 존치하여야 될 정보통신망법과 기타 개인정보 관련 형사특별법의 처벌규정 정비는 체계적 정당성과 이론적 정당성을 모두 갖추어야 한다. 여기서 체계적 정당성이란 해당 법률이 헌법과 형법의 기본원칙에 충실한지, 특별법 자체 내에 모순은 없는지 그리고 다른 형사특별법과 비교해서 오류가 없는지를 검토하는 것이다. 형사특별법이라는 이유만으로 그것이 형법의 법익체계에 부적합하다거나 오늘날의 형사입법의 경향에 맞지 않는다고 단언할 수 없다. 새로운 행위태양에 대처하기 위하여 정보통신망 이용촉진 및 정보보호 등에 관한 법률상의 벌칙조항과 같은 형사특별법을 입법하는 것은 입법자의 재량에 속하는 사항일 뿐만 아니라 개별적으로 보면 바람직해 보일 수도 있다. 오히려 형법의 통일적인 체계라는 관점에서 볼 때 본질적인 문제는 소위 법정형을 가중하는 형사특별법에서 나타난다. 따라서 현행 정보통신망 이용촉진 및 정보보호 등에 관한 법률상의 범죄구성요건이 형법각칙의 기본적 구성요건과 성격을 전혀 달리하고 있는 경우를 제외한다면, 형가중적 형사특별법으로서 양형법이라고 보아야 한다. 그렇다면 형법의 통일적 체계나 범죄예방의 관점 및 형법에 대한 국민의 신뢰성 확보라는 관점에서 형가중적 형사특별법의 규정들은 굳이 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 존치시킬 필요성은 없으며 오히려 일반형법에 흡수, 통합시켜서 일반형법이 국가의 형사기본법으로서의 기능을 되찾게 해야 한다.; The Personal Information in the modern information society has not only the personal value but the economic value which includes the characteristic of the important capital. As the information communication develops, the Personal Information is greatly threatened and the necessity of the Personal Information is increasing day by day. Computer systems offer some new and highly sophisticated opportunities for law-breaking, and they create the potential to commit traditional types of crimes in non-traditional ways. Information criminals are becoming ever more technically sophisticated, and it's an increasing challenge to keep up with their method. Information terrorist attacks on computer center, electronic fraud on international funds transfer networks, viruses and worms in our software, information espionage through computer monitoring and data eavesdropping on business networks, and hackers breaking into systems on the Internet stealing millions electronically. The personal Information has been developed as one content of the privacy in the United States, and also it was confirms 'Recht auf informationelle Selbstbestimmung' by the precedent of the federal Constitutional Court in Germany. In our country, the Personal Information is recognized as the fundamental right, and treated as one content of the personal right in the criminal law as well. The Europe Union has established the directives for improving the personal right and is compelling other nations to enact any protective device with the same level. With the demand of the Europe Union, the United States which emphasized more autonomous regulation for developing a virtual space established the Safe Harbor Principle. Along with it, Germany and Japan are endeavoring to revise the related laws in order to protect the information at the international level. Our country established both the 'Act of the Personal Information protection in public agencies' in a public area and the 'Act of promoting the utilization of information communication network and protecting information' in a private area. Nevertheless, these laws are not enough comparing with the international level. Therefore, our government needs to establish the Law which can unite the public and the private areas, for the Personal Information at the international level as well as for the prompt and efficient management against the changeable cyber environments. In addition, an integrated institution which can take complete charge of the Personal Information protection is needed to set up. Because the on-line information spreads fast and the reaching effect is very wide, any preliminary actions for prevention are important and the concerned person's or party's voluntary regulation are most effective. Nonetheless, when the Personal Information is infringed, the victim can ask for the injunction while the injury situation is being kept, or the victim can get the loss preserved through the contract breach or the tort if the infringement situation is finished. The relief is possible through the administrative litigation if the infringement was done by the pubic situation, whereas the relief is possible through the criminal action if the infringement was done by individuals. Finally, No other way but to go back 'basis' criminal law. The hard criminal or special criminal policy has failed. The only key to evaluate sensibility and susceptibility to norm is to use a controlled criminal law. And it will be impossible without changing or abrogating special criminal laws. We have a special need of the effective regulation of Personal Information infringement. However, the most important way to keep the Personal Information from being infringed in the cyber and virtual space is the person's, the information subject's, will to protect his or her own private information.