개인정보 자기결정권과 동의 제도에 대한 고찰 - Naver · 개인정보 자기결정권과 동의 제도에 대한 고찰 _ 81 2. 개인정보 자기결정권 분석

78 _ 2015 NAVER Privacy White Paper

권영준

서울대학교 법학전문대학원 교수

2015 NAVER Privacy White Paper

개인정보 자기결정권과

동의 제도에 대한 고찰

개인정보 자기결정권과 동의 제도에 대한 고찰 _ 79

요약문 ························································································································ 80

1. 서론 ······················································································································ 88

2. 개인정보 자기결정권 분석 ················································································ 92

가. 개인정보 자기결정권의 의의 ····································································· 92

나. 개인정보 자기결정권의 인정 근거 ···························································· 93

다. 개인정보 보호법에 반영된 개인정보 자기결정권 ··································· 98

라. 개인정보 자기결정권의 보호 범위 ···························································· 102

마. 시사점 ··········································································································· 112

3. 동의 제도 분석 ··································································································· 113

가. 개인정보 보호와 동의제도 ········································································· 113

나. 동의 제도의 정당성 ···················································································· 114

다. 동의 제도의 문제점 ···················································································· 120

4. 동의 제도의 개선 방향 ······················································································ 128

가. 개관 ··············································································································· 128

나. 정보제공의 실질화를 통한 동의의 형식화 방지 ····································· 131

다. 사전적 통제로서의 동의 제도 완화와 기타 통제와의 역할 분담 ········ 136

5. 결론 ······················································································································ 143

참고문헌 ···················································································································· 146

목 차 2015 NAVER Privacy White Paper


1. 서론

ㅇ 정보화가 급속하게 진전하면서 개인정보의 수집과 이용이 대폭 늘어나고 있으며, 이

에 비례하여 개인정보와 관련된 기본권을 보호할 필요성도 급증하여 바야흐로 개인

정보 보호는 현대 사회의 중요한 화두가 되었음.

ㅇ 세계 각국은 이러한 필요성에 대응하여 개인정보 보호를 위한 다양한 법 제도를 마

련하였는데, 우리나라도 개인정보 보호에 관한 일반법인 개인정보 보호법을 제정하

여 시행하고 있음.

ㅇ 우리나라의 개인정보 보호 법령은 상당히 촘촘하고 세밀하게 규정되어 있을 뿐만 아

니라 개인정보 침해를 엄격하게 제재하는 등 그 보호 강도도 상당히 높은 편이어서,

아시아뿐만 아니라 세계에서도 가장 강한 보호법의 범주에 포함된다고 평가받음.

ㅇ 이러한 일련의 개인정보 보호 법제를 떠받치는 가장 중요한 개념적 토대는 개인정보

자기결정권임.

‑즉, 개인정보를 보호하는 것은 곧 개인정보에 대한 개인의 결정권을 보호하는 것이며, 달리 말하면 개인정보 보호 법제가 보호하고자 하는 것은 개인정보 그 자체라

기보다는 개인정보에 대한 개인의 권리, 즉 개인정보 자기결정권임.

ㅇ 한편 우리 개인정보 보호 법제에서 개인정보 자기결정권을 보호하는 핵심적인 수단

은 동의 제도인데, 동의를 통해 정보주체의 자기결정이 표출되기 때문임.

‑따라서 개인정보 자기결정권이 온전히 실현되려면 개인정보의 수집 ․이용 또는 제3자 제공에서 정보주체의 자발적 동의가 전제되어야 함.

ㅇ 이처럼 개인정보 보호 법제의 개념적 토대가 개인정보 자기결정권이고, 개인정보 자

기결정권을 실현하는 중요한 수단이 동의 제도인 이상, 동의 제도는 개인정보 보호

법제의 중심에 위치한다고 말할 수 있음.

ㅇ 따라서 개인정보 자기결정권과 동의 제도에 대한 고찰은 개인정보 관련 법제를 이해

하고 개선점을 도출하는 데에 필수적인 작업임.

요약문


2. 개인정보 자기결정권 분석

ㅇ 개인정보 자기결정권은 인간의 존엄과 가치를 지향하는 인격권의 일종으로 인정되는

고귀한 권리임.

‑하지만 개인정보 자기결정권이 이러한 숭고한 가치를 지향하는 유일한 권리는 아니며, 모든 권리가 그러하듯 개인정보 자기결정권은 다른 권리 또는 가치와의 상관관

계 아래에서 그 보호 범위와 내용이 결정되어야 함.

‑또한 모든 권리가 그러하듯 개인정보 자기결정권에는 권리의 대가가 따름.ㅇ 개인정보 자기결정권은 여전히 젊은 권리임.

‑그 구체적인 보호 범위와 내용은 여전히 형성 단계에 있고, 이에 대한 논의도 장구한 기간에 걸쳐 숙성된 것이 아님.

‑개인정보 자기결정권이 지향하는 이념은 존중되어야 하지만, 그 과정에서 개인정보를 둘러싼 여러 가지 가치들이 균형 있게 고려되어야 함.

‑개인정보 자기결정권의 대척점에는 표현의 자유나 알 권리, 정보의 자유 등과 같은 인격적 가치가 존재함.

‑또한 개인정보 자기결정권의 대척점에는 개인정보가 가지는 사회적 가치에 대한 활용의 필요성도 존재함.

‑정보주체의 인격권 보장과 그 대척점에 있는 이러한 가치 보장의 필요성을 함께 고려하여 개인정보 자기결정권의 보호 범위를 확정하여야 함.

ㅇ 개인정보 자기결정권은 자유롭고 합리적인 인간상을 전제함.

‑그러나 현실 속에 존재하는 인간이 늘 이러한 인간상에 부합하는 모습을 지니는 것은 아님.

‑따라서 개인정보 자기결정권을 부여하여 개인정보에 대한 자유와 책무를 개인에게만 짊어지우는 것은 현실적이지 않음.

‑실질적인 개인정보 자기결정권의 행사와 이를 통한 실질적인 개인정보의 보호가 이루어질 수 있는 길을 모색해야 함.


3. 동의 제도 분석

가. 개인정보 보호와 동의 제도

ㅇ 원칙적으로 정보주체의 동의가 있어야 개인정보를 수집 ‧이용 ‧제공할 수 있음.ㅇ 정보주체의 동의를 위해 정보주체에게 관련 내용을 충실히 알려야 함.

ㅇ 동의는 사전(事前)에 명시적, 개별적으로 하여야 함.

나. 동의 제도의 정당성

ㅇ 이러한 동의 제도는 정당한 것인가?

‑동의 제도는 개인정보 자기결정권을 구현하는 중요한 법적 제도임. ‑그러므로 동의 제도의 정당성은 개인정보 자기결정권의 정당성과 맞물려 있음.

ㅇ 개인정보 자기결정권은 자신의 법적 운명은 스스로 결정해야 한다는 일반적인 이념

이 개인정보의 영역에 구현된 권리임.

‑위와 같은 이념은 개인정보의 범위를 넘어서서 사인(私人)에 관한 법 분야 전반에 깔려 있는 기본 원리임.

ㅇ 앞서 살펴보았듯이 개인정보 자기결정권은 정당한 권리이며, 개인정보 자기결정권의

정당성을 인정하는 이상 동의 제도는 개인정보 자기결정권을 구현하기 위한 제도로

서 정당화됨.

ㅇ 그런데 여기에서는 이에 추가하여 캘러브레시(Calabresi)와 멜라메드(Melamed)의

1972년 논문 “Property Rules, Liability Rules, and Inalienability: One View of

the Cathedral”에서 제시한 권리 보호 방식의 분류법에 따라 동의 제도가 원칙적으

로 정당성을 가진다는 점을 살펴보고자 함.

‑첫째, 동의 규칙(property rule)에 따르면 권리자가 자발적으로 그 권리의 처분에 동의하지 않는 이상 누구도 그로부터 권리를 박탈하거나 제한할 수 없음.

‑둘째, 보상 규칙(liability rule)에 따르면 권리자가 자발적으로 그 권리의 처분에 동의하지 않더라도 그 권리를 박탈하거나 제한할 수 있지만 이에 상응하는 보상은

지급하여야 함.

‑셋째, 양도불가능 규칙(rule of inalienability)에 따르면 권리자는 애당초 자신의 권리를 타인에게 양도할 수 없음.


ㅇ 그렇다면 현행 개인정보 보호 법제는 어떤 권리 보호 방식에 따라 개인정보 자기결

정권을 보호하는가?

‑엄밀히 말하면 개인정보 자기결정권은 인격권의 일종이고, 일반적인 법리에 따르면 인격권은 일신전속권이므로 양도가 불가능함.

‑그러므로 얼핏 보면 개인정보 자기결정권에 대하여는 양도불가능 규칙에 따른 권리 보호 방식이 적용되어야 한다고 볼 여지도 있으나 실질적인 관점에서 보면 개인정

보 보호 법제는 동의 규칙의 적용을 받는다고 보는 것이 옳음.

‑만약 개인정보 보호 법제가 보상 규칙에 기한 것이라면 개인정보를 수집 ‧이용하고자 하는 자는 집합적 가치평가에 의하여 산출된 개인정보 이용의 객관적인 대가를 보상

하기만 하면 정보주체의 동의 없이도 얼마든지 개인정보를 이용할 수 있을 것임.

‑개인정보의 수집 ‧이용 자체를 금지할 수는 없으므로 개인정보 보호 법제의 권리 보호 방식은 동의 규칙과 보상 규칙 중 하나를 택하여야 하는데, 두 규칙 중 어느

규칙이 효율적인지를 결정하는 기준은 거래비용의 다과임.

ㅇ 만약 개개인을 접촉하여 동의를 받는 거래비용이 높지 않다면 동의 규칙을 채택하는

것이 효율적인 반면 이러한 거래비용이 높다면 보상 규칙을 채택하는 것이 효율적임.

ㅇ 그렇다면 개개인으로부터 동의를 받는 거래비용은 얼마나 높은 것인가?

‑이에 대해서는 상이한 시각이 존재할 수 있으나, 필자는 일반적으로 동의를 받는 거래비용은 보상 규칙의 도입이 필요할 정도로 높지는 않다고 생각함.

ㅇ 개인정보의 거래비용이 그리 높지 않고, 개인정보를 보상 규칙으로 보호하는 데에

문제가 있다면, 개인정보의 보호에 대해서는 원칙적으로 동의 규칙을 따르는 것이

효율적이라고 생각함.

‑즉 동의 제도는 개인정보 자기결정권 또는 그 상위 개념이 추구하는 인격권을 보호한다는 관점에서도 정당화되지만, 개인정보 보호방식의 효율성이라는 면에서도

정당화됨.

ㅇ 하지만 개인정보의 거래비용이 높은 경우도 있는데, 예를 들어 사업의 특성상 개인

정보의 이용이나 제3자 제공의 범위가 사전에 특정되기 어려워 사후에 추가적인 동

의를 받아야 하는 경우, 다시 정보주체들을 접촉하여 그로부터 동의를 받는데 상당

한 비용이 소요될 수 있음.


다. 동의 제도의 문제점

ㅇ 동의 제도가 정당성을 획득하려면 동의를 하는 정보주체가 자신의 권리를 충분히 인

식하고 이를 스스로 잘 보호할 수 있으며 시장에서 충분한 협상력을 가지고 있다는

전제가 충족되어야 함.

‑하지만 정보주체는 개인정보를 둘러싼 권리관계에 대해 충분한 정보를 가지고 있지 않으며 시장에서 충분한 협상력을 지니고 있지도 않음.

‑동의 절차는 번잡하고 동의해야 할 사항이 너무 많으며, 그에 따라 정보주체의 동의는 단지 형식적으로만 이루어지고 있음.

‑그리고 이러한 형식적 동의는 개인정보처리자의 면죄부로 기능하고 있음.ㅇ 과학기술이 발달하면서 현행 동의 제도의 관철이 비현실적이 되는 것도 문제인데,

가령 향후 대세로 자리 잡을 사물인터넷은 현행 동의 제도와 병행하기 어려움.

‑사람이 개입하지 않고 정보가 수집, 이용되는 사물인터넷 체제 하에서는 사전에 정보주체로부터 일일이 개인정보 수집과 이용에 대한 동의를 받는 것이 거의 불가능함.

‑그러한 동의를 받도록 법적으로 강제하는 동의 제도는 사물인터넷과 관련된 기술의 발전에 장애가 될 수 있으며, 나아가 정보의 효율적 교환과 이에 기초한 자동적인

처리를 전제로 하는 사물인터넷 체제를 붕괴시킬 우려가 있음.

4. 동의 제도의 개선 방향

가. 개관

ㅇ 이러한 동의 제도의 문제점을 고려한다면 동의 제도는 어떤 방향으로 개선되어야 하

는가?

‑이와 관련하여 일반 약관에 대한 논의를 참조할 필요가 있는데, 미국에서도 약관에 대한 형식적 동의의 문제점이 계속 지적되어 왔음.

ㅇ 미국의 Margaret Jane Radin 前 스탠포드대 교수가 2013년에 발표한 「Boilerplate:

The Fine Print, Vanishing Rights, and the Rule of Law」(약관 : 인쇄물, 사라지는

권리, 그리고 법의 지배)라는 단행본이 출간되면서 이러한 약관의 문제점이 더욱 최근

치열한 논쟁의 대상으로 떠오르게 되었음.

‑이 단행본에서 래딘 교수는 우리가 일상 생활에서 많은 형태의 약관에 서명하고


“동의함” 버튼을 누르지만, 우리들 대부분은 약관을 읽지 않고 이를 이해하려는 노

력도 기울이지 않는다고 지적함.

‑또한 래딘 교수는 약관에는 사업자에게 유리하고 고객에게 불리한 조항들이 포함되어 있을 수 있지만 이러한 조항들은 동의라는 미명 아래 계약의 내용으로 편입되

는데, 이는 사실상 무지의 상태에서 이루어진 것으로서 계약법상 동의(consent)의

가치를 희석시켜 규범적 타락을 야기할 뿐만 아니라, 법의 지배를 약화시키고 국가

가 보장하고자 하는 권리가 사기업에 의하여 폐기되는 것을 정당화한다는 점에서

민주주의의 타락을 야기한다고 비판함.

ㅇ 이러한 래딘 교수의 주장에 대해 비판적인 입장도 존재하는데, 그 선봉에는 Omri

Ben-Shahar 시카고대 교수가 있음.

‑약관은 소비자에게 유리한 가격 효과를 부여하고 위와 같은 소비자들 사이의 차별을 방지하는 순기능도 있다는 것이며, 그렇다면 약관을 악한 존재로만 바라보기보

다는 이를 받아들이되 그 역기능을 최소화하는 것이 필요하다는 입장임.

‑그런데 현재의 정책, 즉 알고 하는 동의(informed consent)를 가능하게 하기 위해 소비자에게 더 많은 정보를 제공하도록 하는 정책에는 한계가 있다고 함.

‑그러면서 그는 소비자들에게 이 문제를 전담시키기보다는 제3의 기관이 약관의 등급을 매기거나(rating of contracts), 라벨을 부여할 것을 제안함.

나. 정보제공의 실질화를 통한 동의의 형식화 방지

ㅇ 현행 개인정보 보호법은 개인정보처리자가 정보주체의 동의를 받을 때에는 개인정보

의 수집 ․이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그

불이익의 내용을 정보주체에게 알리도록 규정함.

‑그런데 제공하고자 하는 정보의 양이 너무 많으면 오히려 동의 절차가 형식적으로 진행되기 쉬움.

‑이러한 동의 제도의 역설을 극복하려면 정보주체에게 실질적이고 효율적으로 정보를 제공하는 방법을 모색해야 하는데, 이러한 현상을 극복하려면 정보제공을 단순

화해야 함.

‑단순화된 정보는 텍스트(text) 요약판으로 제공할 수 있고, 표(table)나 이미지(image)를 사용하여 제공할 수도 있을 것임.


ㅇ 그리고 한 단계 더 나아가 생각할 수 있는 것이 전문기관의 1차적 판단을 거친 단순

하고 실질적인 정보를 제공하는 방법임.

‑즉, 전문기관에 의해 정보주체가 개인정보의 취급에 대한 ‘결론’만 즉시 인식할 수 있도록 해 주면 단순화 ‧실질화의 극치를 이룰 수 있을 것임.

다. 사전적 통제로서의 동의 제도 완화와 기타 통제와의 역할 부담

ㅇ 동의 제도의 문제점으로 지적한 형식화와 비현실화는 곧 동의 제도의 한계로 이어지

는데, 동의 제도가 형식화될수록 동의 제도가 개인정보의 실질적 보호에 기여하는

바는 떨어짐.

‑동의 제도가 비현실화 될수록 동의 제도는 현실과 동떨어져 실효성과 규범성을 잃게 됨.

ㅇ 한편 동의 제도를 엄격하고 복잡하게 유지하는 것은 불필요한 부담을 초래하는데,

여기에서 동의 제도의 완화 필요성이 등장함.

ㅇ 이러한 필요성에 대응하여 필수 동의사항에 대한 옵트 아웃 제도를 디폴트 규칙으로

도입하는 방안이 있을 수 있음.

‑옵트-아웃 방식은 동의 제도의 완화이지만 동의 제도의 포기는 아님. ‑왜냐하면 옵트-아웃 방식도 옵트-인 방식과 마찬가지로 가능한 동의 방식의 하나이

기 때문임.

‑옵트-아웃 방식은 대다수 정보주체들이 개인정보의 수집과 이용에 동의한다는 현실에 기초하여 디폴트 규칙을 동의로 설정하여 놓은 것에 불과함.

‑다만 이러한 옵트-아웃 방식은 현행 개인정보 보호법에서 채택하고 있지 않으므로 이러한 방식을 채택하려면 법 개정이 필요함.

ㅇ 개인정보의 적정한 보호라는 가치를 추구하는 과정에서 동의 제도를 완화한다면 개

인정보 보호가 후퇴하는 것이 아닌가 하는 의문이 들 수 있음.

‑동의 제도가 형식적으로 운영되더라도 여전히 현재의 엄격하고 철저한 동의 제도가 미미하게나마 개인정보의 보호에 더 기여하는 측면이 있을 수 있기 때문임.

‑그러므로 동의 제도를 완화하면 개인정보 보호를 실질적으로 도모할 수 있는 다른 통제 수단들의 위상과 역할을 재조명, 재조정할 필요성이 생김.


5. 결론

ㅇ 과학기술의 현저한 발달은 개인정보 내지 프라이버시 침해의 가능성을 점점 높이고

있는데, 선 마이크로 시스템(Sun Microsystems)의 CEO인 Scott McNealy는 이미

1999년에 “어쨌든 당신에게 프라이버시란 없다. 그 상황에 적응하라(You have

zero privacy anyway. Get over it)”라고 말하였음.

ㅇ 이는 과도한 평가이기는 하지만 적어도 과학기술이 발전함에 따라 개인정보와 프라

이버시가 숨 쉴 공간이 줄어드는 것은 사실임.

ㅇ 그러므로 과학기술의 발전에 힘입은 개인정보 이용의 효용과 이로 인한 권리침해의

위험을 어떻게 잘 관리할 것인가는 매우 중요한 문제임.

ㅇ 이러한 문제에 대해서는 실질적이고 현실적인 접근을 해야 하는데, 그러한 접근에

기초한 법제가 지속 가능한 법제라고 할 수 있음.

ㅇ 현행 개인정보 자기결정권과 이에 기초한 현행 동의 제도는 그 이념적 정당성과 만

족감에도 불구하고 이 점에서 재검토하여 개선해야 할 부분이 있음.


권영준(서울대학교 법학전문대학원 교수)

1. 서론

정보화가 급속하게 진전하면서 개인정보의 수집과 이용이 대폭 늘어나고 있다. 이에 비

례하여 개인정보와 관련된 기본권을 보호할 필요성도 급증하고 있다. 바야흐로 개인정보

보호는 현대 사회의 중요한 화두가 되었다. 불과 수십 년 전만 해도 세상은 개인정보에

대해 큰 관심을 가지지 않았다. 객관적으로 보자면 개인정보는 이미 이 세상에 사람들의

공동체가 성립한 때부터 존재하였는데도 말이다. 개인정보의 문제가 사회의 핵심 논제 중

하나로 떠오르게 된 배후에는 개인정보를 둘러싼 기술적, 법적 환경이 변화한 탓도 있겠

지만, 개인정보에 대한 개개인의 의식이 그에 맞추어 변화한 탓도 있을 것이다. 이러한 환

경과 의식의 변화는 세밀한 법적 대응을 요구하게 되었다.

세계 각국은 이러한 필요성에 대응하여 개인정보 보호를 위한 다양한 법 제도를 마련

하였다. 우리나라도 개인정보 보호에 관한 일반법인 개인정보 보호법을 제정하여 시행하

고 있다. 이 법은 “개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권

리를 보호하고, 나아가 개인의 존엄과 가치를 구현함”을 목적으로 한다(제1조). 본래 우리

나라는 개별법들을 통해 분야별로 개인정보 보호를 도모하는 체제를 취하고 있었으나, 체

계적이고 포괄적인 개인정보 보호의 필요성을 인식하고 모든 개별법들을 아우르는 일반법

인 개인정보 보호법을 2011. 3. 29. 제정하여 2011. 9. 30.부터 시행하였다. 이는 일반

법은 두지 않고 다수의 개별법들을 통해 개인정보 보호를 도모하는 미국식 접근방법1) 대

신 개별법들 외에 이를 총괄하는 일반법을 두어 개인정보 보호를 도모하는 유럽식 접근방

법2)을 취한 것으로 평가된다. 그 외에도 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

1) 미국은 개인정보 보호에 관한 일반법을 두지는 않고 프라이버시법(Privacy Act), 금융프라이버시법(The Financial

Privacy Act), 케이블통신정책법(Cable Communications Policy Act), 전자통신프라이버시법(Electronic Communication

Privacy Act), 비디오프라이버시보호법(Video Privacy Protection Act), 건강보험법(Health Insurance Portability and

Accountability Act), 공정신용보고법(Fair Credit Reporting Act) 등 다수의 개별법들을 통하여 개인정보 보호를 도모

한다.

개인정보 자기결정권과 동의 제도에 대한 고찰


(이하 ‘정보통신망법’이라 한다), 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보법’

이라 한다), 「위치정보의 보호 및 이용에 관한 법률」(이하 ‘위치정보법’이라 한다), 「인터넷

주소자원에 관한 법률」, 의료법 등 개인정보 보호에 관한 다수의 개별 법률들도 시행 중

이다.

우리나라의 개인정보 보호 법령은 상당히 촘촘하고 세밀하게 규정되어 있을 뿐만 아니

라 개인정보 침해를 엄격하게 제재하는 등 그 보호 강도도 상당히 높은 편이어서, 아시아

뿐만 아니라 세계에서도 가장 강한 보호법의 범주에 포함된다고 평가된다.3) 이러한 강한

보호 법제 또는 규제 법제 아래에서 개인정보 보호는 공공과 민간을 불문하고 관념상으로

만 아니라 현실적으로도 중요한 문제로 떠올랐다. 법 위반이 곧 민형사상 또는 행정상 책

임으로 이어지기 때문이다. 실제로 개인정보 대량 유출 사태와 이에 따른 대규모 송사(訟

事)가 잇달아 발생하면서 개인정보 보호는 일반인들의 의식 속에서도 중요한 문제로 자리

잡게 되었다.4)

이러한 일련의 개인정보 보호 법제를 떠받치는 가장 중요한 개념적 토대는 개인정보

자기결정권이다. 개인정보를 보호하는 것은 곧 개인정보에 대한 개인의 결정권을 보호하

는 것이다. 달리 말하면, 개인정보 보호 법제가 보호하고자 하는 것은 개인정보 그 자체라

기보다는 개인정보에 대한 개인의 권리, 즉 개인정보 자기결정권이다. 한편 우리 개인정보

보호 법제에서 개인정보 자기결정권을 보호하는 핵심적인 수단은 동의 제도이다. 동의를

통해 정보주체의 자기결정이 표출되기 때문이다. 따라서 개인정보 자기결정권이 온전히

실현되려면 개인정보의 수집 ․이용 또는 제3자 제공에서 정보주체의 자발적 동의가 전제되어야 한다. 이처럼 개인정보 보호 법제의 개념적 토대가 개인정보 자기결정권이고, 개인

2) 유럽연합(EU)은 1995. 10. 24. 개인정보의 처리와 보호에 관한 지침(Directive on the Protection of

Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data,

95/46EC, 이하 ‘EU 개인정보보호지침’이라 한다)을 제정하여 회원국들에게 이에 관한 이행입법의무를 지운 바 있

다. 그런데 이러한 이행입법의무가 부과되기 전에 이미 유럽의 여러 나라들은 정보보호에 대한 일반법을 마련하고

있었다. 독일은 헤센 주가 세계 최초의 개인정보보호법으로 평가되는 정보보호법(Datenschutzgesetz)을 제정하였

고, 연방 정부가 1977년 연방정보보호법(Bundesdatenschutzgesetz)을 제정하였다. 프랑스는 1978년 정보처리 ‧축적 ‧자유에 관한 법률(Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)을 제정하였다. 참고로 EU 회원국이 아닌 스위스도 정보보호에 대한 일반법인 연방정보보호법(Bundesgesetz über

den Datenschutz)을 제정하였고, 일본도 우리나라보다 먼저 일반법인 개인정보의 보호에 관한 법률(個人情報の保護に関する法律)을 제정하였다.

3) Graham Greenleaf & Whon-il Park, “Korea’s New Act: Asia’s Toughest Data Privacy Law”, Privacy Laws

& Business International Report, Issue 117, p. 6 (2012).

4) 이러한 송사들 가운데에는 대법원 판결이 선고된 것도 있다. 대판 2012. 12. 26, 2011다59834 (지에스 칼텍스

사건), 대판 2014. 5. 16, 2011다24555, 24562 (엘지유플러스 사건), 대판 2015. 2. 12, 2013다43994 (옥

션 사건).


정보 자기결정권을 실현하는 중요한 수단이 동의 제도인 이상, 동의 제도는 개인정보 보

호 법제의 중심에 위치한다고 말할 수 있다. 따라서 개인정보 자기결정권과 동의 제도에

대한 고찰은 개인정보 관련 법제를 이해하고 개선점을 도출하는 데에 필수적인 작업이다.

필자는 이 보고서에서 개인정보 자기결정권과 동의 제도를 이론적으로 분석하고 평가하

였다. 개인정보 자기결정권과 동의 제도는 개인정보에 관한 대부분의 법률들에 화체되어

있다. 그러므로 개인정보 보호 법제에 있어서 개인정보 자기결정권과 동의 제도에 대한

포괄적인 고찰이 이루어지려면 이러한 모든 법률들에 나타난 개인정보 자기결정권의 이념

과 동의 제도의 모습을 검토해야 한다. 하지만 각 법률에 구현된 개인정보 자기결정권의

이념은 동일하다. 또 각 법률은 조금씩 다른 동의 제도를 두고 있지만 그 기본적인 틀은

동일하다. 따라서 이 보고서에서는 편의상 개인정보 보호에 관한 일반법인 개인정보 보호

법을 검토 대상으로 삼았다. 이 보고서의 검토 결과는 개인정보 보호법에 기초한 것이지

만, 세부적인 조정을 거치면 정보통신망법이나 위치정보법 등 다른 개별법에도 적용될 수

있다.

그동안 개인정보 자기결정권과 동의 제도에 대해서는 학술적으로나 실무적으로 빈번한

검토가 이루어져 왔다. 그럼에도 불구하고 필자가 이 보고서에서 이 문제들을 다루려는

이유는 두 가지이다.

첫째, 개인정보 자기결정권과 동의 제도는 개인정보 보호 법제를 지탱하는 두 가지 규

범적 기둥이다. 그만큼 중요한 문제라는 의미이다. 어떤 문제가 중요하다면 이에 대해서는

그 중요성에 걸맞은 다양하고 심도 있는 검토가 요구된다. 이들을 어떻게 이해하고 파악

할 것인가에 따라 개인정보 보호 법제의 전반적인 모습이 좌우되기 때문이다. 그런데 필

자가 판단하기에는 아직 양자에 대한 법적 분석의 빈도와 심도는 그 중요성에 이르지 못

하고 있다.

둘째, 그 압도적 중요성에 가려서인지 두 가지 규범적 기둥들의 빛과 그림자를 이론적 ‧학술적으로 균형 있게 다룬 연구는 많지 않았다. 오히려 이를 “주어진” 규범으로 받아들여

실무적 ‧정책적인 관점에서 세부 쟁점들을 논하는 경우가 많았다. 그러나 이 세상에 존재하는 어떤 제도나 규범도 완벽할 수는 없다. 또한 어떤 제도나 규범도 가치나 이익의 충

돌을 조정해야 할 필요성으로부터 자유롭지 못하다. 그 점에서 모든 제도나 규범은 비판

적 시각에 의해 재조명되고 개선되어야 한다. 또한 이러한 재조명은 실무적 ‧정책적 차원을 넘어서서 이론적 ‧학술적인 차원에서도 이루어져야 한다.


개인정보 보호법이 제1조에서 선언하듯이, 개인정보 보호는 “개인과 존엄의 가치를 구

현”하는 문제로 여겨지고 있어 성역처럼 여겨질 위험성도 없지 않다. 그러나 대부분의 법

적 문제들이 그러하듯 어떤 가치를 추구함에 있어서는 늘 그 하위 가치들의 세밀한 형량

과 조정이 요구된다. 개인정보 보호도 예외가 아니다. 개인정보 자기결정권과 이를 구현하

기 위한 동의 제도 역시 이를 둘러싼 수많은 가치나 이익들의 균형 있는 고려와 세밀한

조정을 요구한다. 가령 개인정보 보호에 따른 이익 건너편에는 정보에 대한 접근권과 알

권리, 이를 기반으로 하는 표현의 자유, 정보 가치를 통해 달성될 수 있는 보건, 환경, 안

보, 경제적 효율성 등의 공익들이 존재하고, 이 역시 고려 대상이 되어야 한다. 헌법재판

소가 “개인정보의 종류 및 성격, 수집목적, 이용형태, 정보처리방식 등에 따라 개인정보자

기결정권의 제한이 인격권 또는 사생활의 자유에 미치는 영향이나 침해의 정도는 달라지

므로 개인정보자기결정권의 제한이 정당한지 여부를 판단함에 있어서는 위와 같은 요소들

과 추구하는 공익의 중요성을 헤아려야” 한다고 판시한 것도 그러한 사고방식이 반영된

결과이다.5) 대법원 2011. 9. 2. 선고 2008다42430 전원합의체 판결 역시 이 점을 잘

드러낸다. 이 판결에서는 변호사 정보 제공 웹사이트 운영자가 변호사들의 개인신상정보

를 토대로 인맥지수를 산출하여 공개하는 서비스를 제공한 사안을 다루었다. 다수의견은

이러한 인맥지수 산출과 공개가 변호사들의 개인정보에 관한 인격권을 침해하는 위법행위

라고 판단하였지만, 반대의견은 위법행위라고 볼 수 없다고 판단하였다. 그런데 다수의견

과 반대의견은 모두 그 위법성을 검토함에 있어서 개인신상정보의 성격뿐만 아니라 인맥

지수 산출방법의 합리성, 인맥지수 이용의 필요성과 그 이용으로 달성될 공적인 가치의

보호 필요성 정도, 이용으로 인한 변호사들의 이익 침해와 공적 폐해의 우려 정도 등을

종합적으로 고려하였다. 그 종합적인 고려 결과가 서로 달랐을 뿐이다. 개인정보 자기결정

권과 동의 제도에 대해서도 이러한 사고방식에 기초한 객관적이고 냉철한 형량 작업이 요

구된다.

이러한 문제의식을 배경으로 이 보고서에서는 우선 개인정보 자기결정권과 이에 기초한

동의 제도를 차례대로 검토하면서 그 배후에 있는 이론적 쟁점들을 분석하였다(2. 개인정보

자기결정권 분석, 3. 동의 제도 분석). 또한 여기에서 도출된 문제점들을 토대로 현행 동

의 제도의 개선 방향을 모색한 뒤 ① 정보제공의 실질화를 통한 동의의 형식화 방지, ② 사전

적 통제로서의 동의 제도의 완화와 기타 통제와의 역할 분담을 그 개선 방향으로 제시하였다

5) 헌재 2005. 7. 21, 2003헌마282 등.


(4. 동의 제도의 개선 방향). 그 후 개인정보 보호와 이용의 균형점을 찾아야 할 중요성을

강조하면서 이 보고서를 마무리하였다(5. 결론).

2. 개인정보 자기결정권 분석

가. 개인정보 자기결정권의 의의

개인정보 자기결정권은 자신에 관한 개인정보가 언제 누구에게 어느 범위까지 알려지고

이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.6)

개인정보 자기결정권은 헌법이나 법률에 명시된 권리는 아니다. 하지만 우리나라에서는

개인정보 자기결정권이라는 개념을 인정하는 데에 별다른 이견이 없다. 개인정보에 대한

정보주체의 결정권과 통제권이 개인정보 보호의 핵심이라는 점은 외국의 개인정보 보호

법제에서도 공통적으로 인정되고 있다. 다만 그 용어나 개념상의 차이가 있을 뿐이다. 결

국 개인정보를 정보주체가 스스로 결정하고 통제할 수 있어야 한다는 원칙에 대해서는 국

내외에서 탄탄한 공감대가 형성되어 있는 셈이다. 개인정보 자기결정권은 바로 이러한 원

칙을 개념화한 것이다. 그 점에서 개인정보 자기결정권은 현대 정보화 사회에서 중요한

의미를 가지는 개념이다.7)

우리나라의 개인정보 자기결정권 개념은 본래 독일의 “Informationelle

Selbstbestimmung(정보 자기결정권)”에서 비롯된 것이다. 이 개념은 1971년 독일의 한

문헌에서 처음 사용된 것으로 보이고,8) 1983년 독일 헌법재판소가 선고한 이른바 인구조

사 판결(Volkszählungsurteil)에서 사법부에 의하여 명시적으로 승인되었다.9) 이러한 정

보 자기결정권은 독일 기본법 제2조 제1항에서 규정한 인격의 일반적 발현권(Recht auf

die freie Entfaltung seiner Persönlichkeit)에 근거를 둔 일반적 인격권으로부터 도출된

다. 또한 이 권리는 국가에 대한 기본권이라는 측면에서는 공권(公權)의 성격을 가지지만,

사인(私人) 사이에서도 주장할 수 있다는 면에서는 사권(私權)의 성격도 가진다.10) 우리

6) 헌재 2005. 5. 26, 99헌마513; 헌재 2005. 7. 21, 2003헌마282.

7) Marion Albers, Informationelle Selbstbestimmung, Nomos, 2004, S. 21.

8) W. Steinmüller/B. Lutterbeck/C. Mallmann/U. Harbort/G. Kolb/J. Schneider, Grundfragen des Datanschutzes,

Gutacthen im Auftrag des Bundesministeriums des Innern, Juli, 1971, abgedruckt als Anlage 1 zur BT-Drs.

Ⅵ/3826 v. 7. 9. 1972. 9) BVerfGE 65, 1.

10) Maunz/Dürig, Grundgesetz-Kommentar, C.H.Beck, 74. Aufl., 2015, GG. Art. 2, Rn. 189 f; Gersdorf /


나라의 개인정보 자기결정권 개념과 그 인정 근거에 대한 이해는 이러한 독일 논의의 영

향을 받은 것이다.

이러한 의미에서 보면 우리나라에서 사용되는 개인정보 자기결정권이라는 개념은 다분

히 독일적인 것이지만, 정보주체가 개인정보에 대해 스스로 결정할 수 있어야 한다는 원

칙은 독일만의 원칙이 아니다. 예를 들어 EU 개인정보보호지침(EU Directive 95/46/EC)

제7조는 개인정보의 처리를 위해서는 원칙적으로 정보주체의 동의를 요구한다.11) 이는 개

인정보 자기결정권의 취지와 맥락을 같이 하는 것이다. 이러한 지침의 내용은 EU 회원국

들의 국내법에도 반영되어 있다. 법계(法系)를 달리하는 미국에서도 마찬가지이다. 미국에

서는 개인정보의 문제를 주로 프라이버시(privacy)의 차원에서 파악한다. 본래 프라이버시

는 주로 ‘홀로 있을 권리(right to be let alone)’로 이해되었지만,12) 그 후 그 외연을 확

장하여 ‘개인정보를 통제할 권리(the right to control personal information)’로도 이해

되기 시작하였다.13) 즉 프라이버시는 단순히 다른 사람들의 마음속에 우리들의 정보가 부

존재하는 상태를 의미한다기보다는 오히려 우리 자신에 대한 정보에 관한 우리의 통제를

의미한다.14) 이처럼 프라이버시를 개인정보에 대한 통제권으로도 이해하는 사고방식은 미

국의 주류 패러다임으로 자리 잡았다.15) 이러한 통제권은 프라이버시의 측면에서 파악된

것이기는 하지만 그 본질에 있어서 개인정보 자기결정권과 일맥상통한다. 그 점에서 개인

정보 자기결정권은 법계를 뛰어넘어 널리 쓰이는 개념이다.

나. 개인정보 자기결정권의 인정 근거

우리나라의 개인정보 자기결정권은 전체 법질서의 정점에 있는 헌법으로부터 도출되며

개인정보 보호법과 같은 법률들에 의하여 구체화된다.

Paal, Beck’scher Online-Kommentar, Informations- und Medienrecht, 2015, GG Art. 2, Rn. 17; Kilian /

Heussen, Computerrechts-Handbuch, 26. Aufl., Verfassungsrechtliche Grundlage des Datenschutzes,

2008, Rn. 6.

11) 제7조의 원문은 다음과 같다. “Member States shall provide that personal data may be processed only

if; (a) the data subject has unambigously given his consent; or …”.12) Samuel Warren, Louis Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193 (1890).

13) 이러한 주장을 담은 가장 영향력 있는 문헌으로는 A. F. Westin, Privacy and Freedom, New York, 1967을

꼽을 수 있다.

14) “privacy is not simply an absence of information about us in the minds of others; rather it is the

control we have over information about ourselves.” Charles Fried, Privacy, 77 Yale L. J. 475, 482

(1968).

15) P.M. Schwartz, Internet Privacy and the State, 32 Connecticut L. Rev. 815, 820 (2000).


1) 헌법 제10조와 제17조

개인정보 자기결정권의 첫 번째 헌법적 근거는 헌법 제10조이다. 헌법은 최상위법이다.

그 중에서도 헌법 제10조는 최상위 조항이다. 헌법 제10조 제1문은 “모든 국민은 인간으

로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다.”라고 규정한다. 이는 헌법의

나머지 부분과 법령 전체가 우러러 보고 따라야 할 지침이다. 따라서 개인정보에 대한 보

호 역시 이러한 지침 아래서 이루어진다. 한편 헌법은 여러 가지 개별적 기본권들을 규정

하고 있는데, 그 중 개인정보의 보호와 밀접한 관련이 있는 것은 헌법 제17조이다. 헌법

제17조는 “모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.”라고 규정한다. 이는

개인의 사적 영역을 보호하고 사생활의 자유로운 형성을 촉진하기 위하여 인정되는 기본

권이다. 사생활은 사람이 사람으로서의 고결성을 유지하는 데에 필수적인 요소이다.16) 사

생활이 보호되지 않으면 인간의 존엄성이 존중되기 어렵고, 인격의 자유로운 발현 역시

기대하기 어렵기 때문이다.17) 개인정보는 개인의 사생활과 밀접한 관련성을 가지는 경우

가 많다. 예컨대 질병정보나 신용정보와 같은 민감한 개인정보는 개인의 사생활과 직결된

다. 이러한 정보에 대해 개인이 통제할 수 없다면 사생활의 보호는 어려워진다. 따라서 헌

법 제17조는 개인정보 자기결정권을 인정하는 중요한 근거가 된다. 물론 모든 개인정보가

사생활과 관련된 것은 아니다. 가령 이미 널리 공개된 개인정보나 타인에게 알려져야 효

용이 있는 개인정보(가령 전화번호나 주소)는 엄밀하게 보면 사생활의 비밀과 자유와는

거리가 있는 개인정보이다. 그러므로 사생활의 비밀과 자유에 대한 헌법 제17조가 개인정

보 자기결정권을 포괄적으로 설명할 수는 없다. 그러나 헌법 제17조가 헌법 제10조와 결

합하여 개인정보 자기결정권의 중요한 근거가 되는 것은 틀림없다.

우리나라 헌법재판소와 대법원은 위와 같은 헌법 조항들을 개인정보 자기결정권을 인정

하는 근거로 삼고 있다. 헌법재판소는 개인정보 자기결정권을 “인간의 존엄과 가치, 행복

추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사

생활의 비밀과 자유에 의하여 보장되는” 것으로서, “자신에 관한 정보가 언제 누구에게 어

느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는

권리”라고 정의한다.18) 또한 헌법재판소는 “개인정보 자기결정권으로 보호하려는 내용을

16) Fried (註 14), 477.17) 헌재 2007. 5. 31, 2005헌마1139.

18) 헌재 2005. 7. 21, 2003헌마282 등.


위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능하다고 할 것이

므로, 그 헌법적 근거를 굳이 어느 한두 개에 국한시키는 것은 바람직하지 않은 것으로

보이고, 오히려 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서

헌법에 명시되지 아니한 기본권이라고 보아야 할 것”이라고 판시한다.19)

대법원 역시 개인정보 자기결정권의 개념과 근거에 대해 대동소이한 입장을 취한다. 대

법원은 구 국가보안사령부가 민간인들을 사찰한 행위를 불법행위로 인정하면서, 헌법 제

10조와 제17조는 개인의 사생활 활동이 타인으로부터 침해되거나 사생활이 함부로 공개

되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대사회에서 자신에 대한

정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하려는 데에 그 취지가 있는

것으로 해석된다고 판시한다.20) 또한 국회의원 등이 전교조 가입현황 실명자료를 인터넷

을 통하여 공개한 사안에서, 개인정보 자기결정권을 “자신에 관한 정보가 언제 누구에게

어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는

권리”로 규정하고, 개인정보 자기결정권의 보호대상이 되는 개인정보는 “개인의 신체, 신

념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일

성을 식별할 수 있게 하는 일체의 정보”라고 하면서 여기에는 공개된 개인정보까지 포함

된다고 판시한다.21)

헌법재판소나 대법원이 명시적으로 밝히지는 않지만 개인정보 자기결정권은 표현의 자

유와도 관련이 있다. 개인정보에 대한 무제한적 접근이 허용된다면, 정보주체의 표현의 자

유가 위축될 수 있다. 가령 어떤 사람이 인터넷에서 익명으로 글을 남기고자 하더라도 그

인터넷 게시판 운영자가 그의 개인정보를 공개하거나 유통하는 것을 통제하지 못한다면

그가 행사한 익명의 표현의 자유는 실질적으로 침해된다. 물론 후술하듯 개인정보에 대한

통제는 개인정보를 이용하고자 하는 자가 누려야 할 표현의 자유와도 연결되지만 동시에

정보주체의 표현의 자유와도 밀접한 관련이 있다. 그 점에서 개인정보 자기결정권은 자유

로운 민주정치 체제의 필수불가결한 구조적 요소이다.22)

19) 헌재 2005. 5. 26, 99헌마513, 2004헌마190.

20) 대판 1998. 7. 24, 96다42789.

21) 대판 2014. 7. 24, 2012다49933.

22) J. Cohen, Configuring the Networked Self, Yale University Press, 2012, p. 148.


2) 사법상 인격권

그런데 위 헌법 조항들은 기본적으로 국가와 사인 사이의 관계를 규율하는 조항들이다.

그러므로 위 헌법 조항들로부터 바로 사인과 사인 사이에 적용되는 개인정보 자기결정권

이 도출되는 것은 아니다.

따라서 헌법의 기본권 조항을 통하여 사인 간의 개인정보 보호 문제를 해결하기 위해

서는 헌법과 사법관계(私法關係)를 이어주는 가교가 필요하다. 그 규범적 가교가 바로 인

격권이다. 인격권은 인간이라는 존재의 핵심 요소인 인격을 보호하는 권리이다. 인간의 존

엄과 가치가 실현되려면 인간이 인간이기에 가지는 인격적 이익과 가치가 보호되어야 한

다. 이는 비단 국가에 대한 명령일 뿐만 아니라 각 사회 구성원에 대한 명령이기도 하다.

이러한 헌법 정신에 비추어 사법관계에서도 인격권이 인정되는 것이다.

우리나라의 개인정보 보호법을 비롯한 개인정보 관련 법령들도 개인정보 보호의무가 국

가와 사인뿐만 아니라 사인과 사인 사이에도 존재한다는 점을 당연한 전제로 하여 입법되

어 있다. 가령 개인정보 보호법 제2조 제5호에서 개인정보처리자의 범위에 공공기관 외에

도 법인, 단체 및 개인 등을 포함시키면서 이들에게 다양한 개인정보 보호의무를 부담시

키고 그 의무에 위반한 경우 손해배상책임이나 형사제재를 받도록 하는 것은 모두 개인정

보 자기결정권이 공권뿐만 아니라 사권의 성격도 가진다는 점을 전제한 것이다. 이처럼

개인정보 자기결정권이 공권 및 사권의 성격을 겸유하는 것은 사인 간에 인정되는 인격권

이라는 개념이 존재하기 때문이다. 헌법재판소도 개인정보 자기결정권이 헌법 제10조 제1

문에서 도출되는 일반적 인격권에 의하여 보장되는 것이라고 한다.23)

인간을 법질서와 사회제도의 중심에 위치시키는 것은 근대 사회의 특징이지만, 이를 인

격권이라는 사법상 권리의 개념으로 담아 낸 역사는 그리 오래되지 않았다. 우리나라의

인격권 개념은 독일의 일반적 인격권(allgemeines Persönlichkeitrecht) 개념에서 유래하

였다. 독일 기본법(Grundgesetz)의 제정자들은 나치(Nazi)의 전체주의 경험에 대한 통렬

한 반성 위에서 기본법 제1조와 제2조에서 인간의 존엄(Würde des Menschen Recht)

과 자유로운 인격발현권(Recht auf freie Entfaltung der Persönlichkeit)을 특별히 강조

하였다.24) 또한 독일 연방대법원은 이른바 ‘독자편지 판결(Leserbrief Entscheidung)’에서

위 기본법상 권리들을 토대로 일반적 인격권을 사법적 권리로 인정하였다.25) 그리하여

23) 헌재 2005. 7. 21, 2003헌마282 등.

24) Heinrich Hubmann, Das Persönlichkeitsrecht, 2. Aufl, 1967, S. 2.


개별적이고 파편적으로 보호되어 오던 개별적 인격권들을 포괄하는 상위 개념으로서의 일

반적 인격권을 통해 포괄적이고 체계적인 인격적 이익 보호를 위한 개념 체계를 완성하였

다. 이러한 일반적 인격권과 개별적 인격권의 구별과 보호 체계는 우리나라에도 그대로

영향을 미쳤다.

우리나라 민법에는 인격권에 대한 명문의 규정이 없다.26) 하지만 『언론중재 및 피해구

제 등에 관한 법률』 제5조 제1항은 “타인의 생명, 자유, 신체, 건강, 명예, 사생활의 비밀

과 자유, 초상(肖像), 성명, 음성, 대화, 저작물 및 사적(私的) 문서, 그 밖의 인격적 가치

등에 관한 권리”를 인격권이라고 일컫고 있고, 저작권법 제11조 내지 제13조는 저작인격

권에 해당하는 공표권, 성명표시권, 동일성유지권에 관하여 규정한다.27) 대법원28)과 헌법

재판소29)는 한 걸음 더 나아가 인격적 가치를 포괄적으로 보호하는 인격권의 개념을 명

시적으로 승인한다.

개인정보 자기결정권은 이러한 인격권의 일종이다. 개인정보 자기결정권, 또는 더 넓게

는 개인정보에 관한 권리가 꼭 인격권에만 해당하는지, 이를 재산권이라고 파악할 수는

없는지에 대해서는 논란의 여지가 없지 않다.30) 개인정보가 실제로 상품이나 서비스처럼

거래되는 현실에 비추어 보면 개인정보에 대한 처분권이 재산권적 성격을 가진다고 주장

할 수도 있기 때문이다. 그러나 적어도 우리나라의 법제 내에서는 개인정보 자기결정권을

재산권으로 파악하기 어려울 것이다. 왜냐하면 개인정보를 활용하여 얻는 재산적 이익이

있다고 하여 개인정보 자체가 재산인지 의문이 있을 뿐만 아니라,31) 이러한 권리를 물권/

채권의 재산권 체계 속에 위치시키는 것은 이론적으로도 곤란하기 때문이다. 개인정보를

둘러싼 재산적 이익이 있다고 하여 개인정보 자기결정권이 곧 재산권이라고 이야기하는

25) BGHZ 13, 334.

26) 이러한 인격권의 개념을 민법에 명문으로 규정한 나라들도 있다. 예컨대 스위스민법 제31조 제1항은 “인격권은

출생의 완성시점에 시작하여 사망으로 소멸한다.”라고 규정하여 인격권이 인간의 존재와 운명을 같이 한다는 점

을 밝히는 한편, 제28조 제1항은 “인격권이 위법하게 침해된 자는 법원에 그 침해자로부터의 보호를 구할 수 있

다.”라고 하여 인격권의 보호를 천명한다.

27) 그 외에도 대중문화예술산업발전법 제21조는 청소년 대중문화예술인의 “인격권” 보장 필요성에 대해 규정한다.

28) 대법원은 타인의 성명 등에 대한 상표등록금지를 다룬 1971년 판결에서 인격권에 대해 최초로 언급한 것으로

보인다(대판 1971. 3. 23, 71후1 참조). 그 외에 인격권에 관한 대법원 판례들의 숫자는 매우 많은데, 그 중

가장 널리 알려진 판결은 인격권에 대한 침해금지청구권을 최초로 인정한 대판 1996. 4. 12, 93다40614,

40621일 것이다.

29) 헌재 1990. 9. 10, 89헌마82 등 다수.

30) 이에 관한 미국의 논의에 대해서는 정상조・권영준, “개인정보의 보호와 민사적 구제수단”, 법조 통권 제630호 (2009. 3). 15-19면 참조. 또한 이에 관한 독일의 논의에 대해서는 Benedikt Buchner, Informationelle

Selbstbestimmung im Privatrecht, Mohr Siebeck, 2006, S. 208 ff. 참조.

31) 가령 주민등록번호나 질병정보 등은 정보일 뿐 재산이라고 하기는 어렵다.


것은 논리의 비약이기도 하다. 다만 개인정보 자기결정권을 인격권으로 파악한다고 하여

개인정보의 재산적 가치를 부정해야 하는 것은 아니다.

다. 개인정보 보호법에 반영된 개인정보 자기결정권

개인정보 보호법은 법 명칭에 드러나 있듯이 개인정보 보호에 초점을 맞춘 법이다.32)

개인정보 보호법의 표현을 빌리자면 이 법은 “개인정보의 처리 및 보호에 관한 사항을 정

함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적”으

로 한다(동법 제1조). 이러한 취지에 걸맞게 개인정보 보호법은 개인정보를 보호하기 위

한 다양한 법적 장치들을 포함하고 있다.

1) 개인정보 자기결정권의 대상

개인정보 보호법은 개인정보의 개념을 폭넓게 파악한다. 개인정보 보호법 제2조 제1호

는 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하

여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른

정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)”라고 정의한다. 이처럼 우리 개인정

보 보호법은 그 정보 자체만으로 개인을 식별할 수 있는 정보뿐만 아니라 다른 정보와 쉽

게 결합하여 개인을 식별할 수 있는 정보까지 개인정보의 범주에 포함시키고 있기 때문

에, 개인정보의 범위가 넓어질 여지가 있다. 이는 우리나라 개인정보 보호법만의 특징은

아니다. 그 정보 자체만으로 개인을 바로 식별하게 되는 정보 외에도 개인을 식별할 가능

성이 있는 정보까지 개인정보의 개념에 포함시키는 것은 대체로 공통된 입법 태도이다.

그런데 개인정보 보호법 제2조 제1호는 이러한 결합이 쉽게 이루어질 수 있을 것을 요

건으로 하지만, 결합의 용이성은 상대적인 개념이어서 그 판단 기준을 명확하게 파악하기

어렵다. 개인정보 보호법상 개인정보의 정의는 그 개념이나 범위가 불명확할 뿐만 아니라,

해석 여하에 따라서는 개인정보의 범위가 지나치게 확장될 수 있다는 문제점이 있다. 개

인정보 보호법은 단순한 행정 법률이 아니라 벌칙 규정을 둔 형사 법률의 성격까지 띤

다(동법 제70조 내지 제74조의2). 이러한 벌칙 규정에 따르면 개인정보 보호법 위반은

32) 이 점에서 「신용정보의 이용 및 보호에 관한 법률」이나 「위치정보의 보호 및 이용에 관한 법률」 등 보호와 이용을 함께 법 명칭에 나타내는 다른 개인정보 관련 법률들과 다르다. 입법론으로서는 개인정보 보호법의 법 명

칭에도 보호와 이용이라는 두 가지 목표가 함께 반영되도록 고치는 것이 바람직하다.


징역형에도 처할 수 있는 범죄이다. 이는 개인정보를 강력하게 보호하는 법적 장치이지만,

그 법적 장치를 운용하기에 따라서는 개인정보와 관련된 범죄를 양산하는 결과로 이어

질 위험도 수반한다. 특히 개인정보의 범위가 불분명한 현실에서는 이러한 위험이 더욱

커진다.

이른바 ‘증권통 판결’33)은 이러한 느슨한 해석론이 초래하는 문제점을 잘 드러낸 판결이

다. 사건과 판결의 내용은 다음과 같다. 앱 개발업체가 ‘증권통’이라는 이름을 가진 증권정보

제공 앱을 개발하여 판매하였는데, 이 앱은 사용자의 동의 없이 IMEI나 USIM 일련번호의

조합정보를 자동으로 전송하거나 서버에 저장하였다. 이는 이용자가 그 앱을 다시 이용하는

경우 그 이용자를 식별하여 이용자의 관심 종목에 대한 정보를 제공하는 용도로 활용하였

다. 여기에서 IMEI나 USIM 일련번호가 개인정보에 해당하는지가 쟁점이 되었다. 법원은 다

른 정보와 쉽게 결합하여 개인을 식별할 수 있는 경우에는 당해 정보가 개인정보에 해당한

다고 전제한 뒤, 여기에서의 결합 용이성은 쉽게 다른 정보를 구할 수 있다는 의미가 아니

라 객관적으로 당해 정보가 다른 정보와 쉽게 결합할 수 있다는 의미라고 하면서, 위와 같

은 기계적인 정보 자체에 개인식별성이 없더라도 휴대폰 가입신청서 등 가입자정보에 나타

난 다른 정보와 쉽게 결합하여 개인을 특정할 수 있으므로 개인정보라고 판단하였다. 이 판

결은 개인정보의 결합 용이성에 대한 최초의 판결로 주목을 끌었다. 하지만 개인에 관한 대

부분의 정보는 어떤 주체가 가지고 있는 이 세상에 존재하는 다른 정보와 결합하면 개인의

식별에 이를 수 있으므로, 이처럼 객관적인 정보의 결합가능성으로 개인정보 여부를 판단한

다면 개인정보의 범주가 무한하게 넓어질 수 있다.34) 이러한 개인정보 범주의 지나친 확장

은 대부분의 정보를 개인정보 보호 법제의 규제 하에 놓음으로써 정보의 유용성을 심각하게

제한하게 된다.35) 결합 용이성을 판단할 때에는 그 결합을 위한 노력의 주체를 재식별하려

는 주체로 제한하고, 결합 대상 정보를 이 세상에 존재하는 모든 정보가 아니라 위 주체가

합리적인 범위 내에서 입수할 수 있는 정보로 제한하는 해석론이 요구된다.

33) 서울중앙지판 2011. 2. 23, 2010고단5343.

34) 일본 개인정보의 보호에 관한 법률(個人情報の保護に関する法律) 제2조 제1항에서도 개인정보를 생존하는 개인에 관한 정보로서 특정한 개인을 식별할 수 있는 정보(다른 정보와 쉽게 대조하여 특정한 개인을 식별할 수 있는

정보를 포함한다)라고 규정한다. 한편 결합 용이성의 개념에 대해서는 사업자가 스스로 조회 가능한 정보는 결합

이 용이한 정보인 반면, 다른 사업자의 조회가 요구되는 경우에는 그렇지 않다고 보는 것이 일반적인 견해이다.

経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（2014. 12), 宍戸常寿, 個人情報保護法制-保護と利活用のバランス, 論究シユリスト No. 13 (2015), 39면에서 재인용. 이는 증권통 판결이 채용한 개인정보의 개념보다는 합리적으로 제한된 개념이다.

35) Omer Tene & Jules Polonetsky, Privacy in the Age of Big Data: A Time for Big Decision, 64 Stan. L.

Rev. Online 63, 66 (2012).


2) 개인정보 자기결정권의 존재 형태

개인정보 보호법은 개인정보주체의 권리를 강하게 보장한다. 개인정보 보호법은 개인

정보의 처리에 관한 정보를 제공받을 권리, 개인정보의 처리에 관한 동의 여부, 동의 범

위 등을 선택하고 결정할 권리, 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열

람을 요구할 권리, 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리, 개인정보의

처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리를 각각 보장

한다(제4조). 이러한 일련의 권리들은 개인정보 자기결정권과 밀접한 관련이 있다. 이들

은 넓은 의미의 개인정보 자기결정권을 구성하는 권리의 다발(bundle of rights)인 셈

이다.

첫째, 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리, 즉

동의권은 개인정보 자기결정권을 가장 잘 발현하는 권리이다. 정보주체에게 개인정보의

처리에 대한 최초의 결정권을 부여하기 때문이다. 이러한 동의권은 개인정보 처리를 사전

에 통제한다는 의미에서 사전적 통제권 또는 사전적 결정권의 성격을 가진다. 일단 개인

정보의 처리에 동의하면 그 후 개인정보 처리 권한이 현실적으로 개인정보처리자에게 넘

어간다는 점을 감안할 때, 사전적 통제권으로서의 동의권은 현행 개인정보 보호 법제에서

정보주체가 실제로 정보에 대한 통제권을 강력하고 실효성 있게 행사할 수 있도록 하는

핵심적인 권리이다.

둘째, 개인정보의 처리를 확인하고 개인정보에 대하여 열람을 요구할 권리는 한편으로

는 개인정보의 사전적 동의권의 실효성을 높이고, 다른 한편으로는 개인정보의 사후적 통

제권 행사를 용이하게 하여 주는 보조적 권리이다. 사전에 개인정보의 처리에 동의하였더

라도 그 동의 취지와 범위에 따라 개인정보가 제대로 처리되고 있는지를 확인하거나 열람

할 방법이 없다면 동의권은 무색하게 될 것이다. 또한 이러한 방법이 없다면 정보주체가

개인정보를 사후적으로 통제하기도 어려워질 것이다. 따라서 이는 개인정보 자기결정권의

사전적 또는 사후적 행사를 지원하여 주는 법적 도구라고 볼 수 있다.

셋째, 개인정보의 처리 정지, 정정 ‧삭제 및 파기를 요구할 권리는 개인정보 자기결정권의 사후적인 발현이다. 또한 위와 같은 권리는 개인정보 자기결정권의 사전적 발현인 동

의권 행사의 결과를 재고하여 이를 수정할 수 있도록 허용하는 것이기도 하다. 최근 국내

외에서 자주 논의되는 이른바 ‘잊혀질 권리(right to be forgotten)’가 부분적으로 실현된


제도이기도 하다. 그러한 점에서 개인정보 자기결정권은 개인정보에 대한 사후적인 관리

권 또는 통제권을 포함하는 개념이다. 다만 이러한 사후적 통제권으로서의 개인정보 자기

결정권은 어디까지나 정보주체가 개인정보의 처리 상황을 알고 있을 때 행사될 수 있다.

그러므로 개인정보 보호법은 정보주체가 이를 용이하게 할 수 있도록 앞서 살펴 본 개인

정보 열람청구권 등을 인정한 것이다.

넷째, 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을

권리는 앞서 설명한 개인정보 자기결정권이 제대로 구현되지 못하여 침해된 때에 그 피해

를 회복하기 위한 권리이다. 권리가 권리로 기능하려면 단순히 권리를 부여하는 데에 그

칠 것이 아니라 그 권리를 행사하도록 허용하고 그 권리를 침해로부터 보호하며 나아가

그 권리가 침해되어 손해가 발생하였을 때 그 손해를 회복할 수 있도록 하여야 한다. 즉

권리는 권리의 구제와 밀접한 관련을 가진다. 그 점에서 개인정보 침해에 대한 구제는 개

인정보 자기결정권 그 자체는 아니지만 개인정보 자기결정권이 제대로 보호될 수 있도록

도와준다는 점에서 개인정보 자기결정권과 직결된다. 이를 위해 개인정보 보호법은 개인

정보 침해에 대한 구제를 용이하게 한다. 가령 개인정보 보호법 제39조 제1항은 이 법을

위반한 행위로 손해를 입은 정보주체는 개인정보처리자에게 손해배상을 청구할 수 있다고

규정하면서, 고의 또는 과실이 없다는 증명책임을 개인정보처리자에게 지우고 있다.36) 이

는 일반적인 불법행위로 인한 손해배상청구에서 이러한 증명책임을 가해자가 아닌 피해자

가 지도록 하는 것(민법 제750조 참조)에 비해 정보주체에게 훨씬 유리한 것이다. 또한

같은 조 제3항은 개인정보처리자의 고의 또는 중과실로 피해가 발생하였다면 법원이 그

손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다고 규정하여 법정손

해배상제도를 채택하고 있다.37) 이러한 법정손해배상제도는 손해가 생긴 만큼만 회복하

여 주는 우리 불법행위법의 대원칙에서 보면 매우 이례적인 제도이다. 이는 개인정보를

강하게 보호하겠다는 입법적 결단이고, 결국 개인정보 자기결정권에 대한 강한 보호로 이

어진다.

36) 본래 개인정보 보호법 제39조 제2항은 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을

게을리하지 아니한 경우에는 손해배상책임을 감경받을 수 있다고 규정하였었다. 그런데 이는 문면상으로 보면 개

인정보처리자가 주의의무를 다하여도 손해가 발생하면 일단 손해배상책임을 부담하는 전제 위에 서 있는 것으로

서 과실책임주의에 기반한 제1항과 모순된다는 비판을 받았다. 권영준, “해킹(hacking) 사고에 대한 개인정보처

리자의 과실판단기준”, 저스티스 통권 제132호 (2012. 10), 40면 참조. 그 후 이 조항은 개인정보 보호법이

2015. 7. 24. 법률 제13423호로 개정되면서 삭제되었다.

37) 이는 2015. 7. 24. 법률 제13423호로 개정하면서 추가된 조항이다.


라. 개인정보 자기결정권의 보호 범위

1) 고민의 필요성

개인정보 자기결정권은 개념상 ‘강한’ 권리이다. 개인정보를 정보주체의 절대적이고 배

타적인 통제권 안에 온전히 놓아두는 개념이기 때문이다. 이러한 배타적 권리의 전형(典

型)은 소유권이다. 소유권은 가장 강력하고 명확한 전면적 지배권이다. 다른 배타적 권리

들에 관한 법리도 소유권에 관한 법리를 모범으로 삼는 경우가 많다. 가령 지식재산권이

나 인격권은 모두 소유권과 같은 배타성과 절대성을 가지는데, 이 때문에 소유권과 같이

권리침해에 대한 구제수단으로서 침해금지청구권이 허용된다. 개인정보 자기결정권 역시

배타적 권리로서, 개인정보 관련 법리에도 소유권의 강고한 이미지가 투영되어 있다.

문제는 이러한 소유권의 강고함이 필요한 범위를 벗어나서 소유권과는 본질적으로 차이

가 있는 기타 배타적 권리에도 영향을 미친다는 점이다. 예를 들어 강한 저작권은 법리적

으로 강한 소유권의 영향 때문에 발생한 것이다.38) 그런데 저작권은 일반적인 소유권에

비해 사회적 구속성이 큰 권리이다. 저작권의 객체인 저작물은 소유권의 객체인 물건과

달리, 다수의 사람들이 이를 동시에 이용할 수 있고 또 그렇게 하더라도 그 가치가 감소

하지 않는다. 오히려 다수의 사람들이 저작물을 자유롭게 이용하면 학문, 기술, 문화 발전

을 도모할 수 있다. 따라서 저작권을 강하게 보호하는 법제는 저작물을 자유롭게 이용함

으로써 공동체가 얻을 수 있는 이익을 저해하게 될 우려가 있다. 개인정보 자기결정권도

그 권리객체인 개인정보의 특성에 비추어, 이를 소유권처럼 강고한 권리로 바라보는 것이

과연 바람직한 것인지 생각해볼 필요가 있다.

마치 소유권과 같이 개인정보 자기결정권을 강고한 권리로 보는 사고방식 아래에서 개

인정보 자기결정권은 강력한 위치를 차지하게 되고, 개인정보 자기결정권의 보호범위는

넓은 것으로 이해된다. 가령 독일에서 이 권리는 광범위하고 강력하게 보호되고, 그 제한

은 압도적인 공익(überwiegenden Allgemeininteresse)이 존재하는 경우에만 정당화된다

고 보고 있다.39) 이러한 ‘강력한 개인정보 자기결정권’은 후술하듯 ‘강력한 동의 제도’로

연결되고, ‘강력한 개인정보 보호 법제’로 연결된다. 즉 보호가 우위에 서고 이용은 열위에

서는 이론적 구도로 이어진다. 이는 의식하건 의식하지 않건 개인정보를 개인의 소유물과

38) 이에 대해서는 권영준, “저작권과 소유권의 상호관계: 독점과 공유의 측면에서”, 경제규제와 법 제3권 제1호

(2010. 5) 참조.

39) Maunz/Dürig (註 10), Rn. 181.


유사하게 취급하는 논리와 맞닿아 있다.40) 개인정보를 소유물처럼 생각할수록 개인정보에

대한 강력한 사전적 통제권은 정당화된다. 개인정보를 소유물처럼 생각할수록 개인정보는

국가의 후견적 관여 없이 오로지 정보주체와 개인정보처리자 사이에서 거래되어야 한다.

그렇다면 개인정보는 개인의 소유인가? 우리 민법적 사고에 따르면 개인정보가 개인의

소유가 아님은 분명하다. 정보를 소유한다는 표현을 쓰는 경우도 있지만 이는 정확한 표

현이 아니다. 소유권은 민법 제211조에 의해 인정되는 물권의 일종이고, 물권은 문자 그

대로 물건을 객체로 하는 권리이다. 민법 제98조에 따르면 물건은 “유체물 및 전기 기타

관리할 수 있는 자연력”이다. 그러나 개인정보를 포함한 정보는 유체물이 아니고, 전기 기

타 관리할 수 있는 자연력도 아니다. 따라서 정보는 물건이 아니어서 물권의 일종인 소유

권의 대상이 될 수도 없다.41) 물론 정보 중에는 특허발명 또는 저작물에 해당하여 준물권

적(準物權的)인 보호를 받는 정보도 있다. 이 경우에는 그 정보가 특허권자 또는 저작권

자에게 전속한다고도 말할 수 있다. 하지만 개인정보는 특허발명 또는 저작물과 같이 개

인이 노력하여 얻거나 만든 것도 아니고 돈을 주고 산 것도 아니다. 사실 개인정보는 개

인의 것이라고 하기 어렵다. 오히려 상당수의 개인정보는 타인이 개인을 식별할 수 있도

록 하는 표지로서 이미 개념 그 자체에서 다분히 공유재산적 성격을 가진다. 이처럼 개인

정보는 공동체 지향성을 띠고 있는 권리객체이므로, 개인정보 자기결정권의 문제를 소유

권적 방식으로 파악하는 것은 타당하지 않다.

또한 이처럼 ‘강한 권리’로서의 개인정보 자기결정권이 주는 인상과는 달리 이 권리는

다른 권리에 비해 현저히 짧은 역사를 가지고 있다. 가령 미국에서는 개인정보와 가장 밀

접한 관련성을 가지는 프라이버시권은 1890년 Samuel D. Warren과 Louis D.

Brandeis가 집필한 논문인 “The Right to Privacy”42)를 통해 비로소 공론화되기 시작하

였다. 대륙법계 국가에서 개인정보 자기결정권은 인격권의 한 표현으로 인정되고 있는데,

인격권의 역사 역시 길지 않다. 이들 국가에서 인간이 자기 스스로에 대해서 가지는 인격

권을 권리의 개념으로 본격적으로 논의하기 시작한 것은 20세기 이후였다.43) 순수한 인

격적 이익에 대한 보호는 중세 때부터 법적 문제로 다루어진 명예훼손 정도를 제외하면

40) J. Litman, Information Privacy/Information Property, 52 Stanford. L. Rev. 1283, 1287 (2000); V.

Bergelson, It’s Personal but Is It Mine? Toward Property Rights in Personal Information, 37 U.C.

Davis L. Rev. 379, 383 (2003) 참조.

41) 대판 2002. 7. 12, 2002도745는 컴퓨터에 저장된 정보는 절도죄의 객체인 재물에 해당하지 않는다고 한다.

42) Samuel Warren, Louis Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193 (1890).

43) 임종수, “인격권의 법적 성질과 전개과정에 관한 소고”, 홍익법학 제13권 제3호 (2012), 272면.


그다지 오랜 역사를 가지고 있지 않다.44) 독일에서는 명예권이나 성명권, 초상권 등 개별

적 인격권에 대한 규율이 먼저 이루어지기 시작했고, 이를 포괄하는 일반적 인격권

(allgemeine Persönlichkeitsrecht)에 대한 규율은 1950년대 이후에 비로소 이루어지기

시작했다.45) 정보보호에 관한 최초의 법률은 독일 헤센 주의 1970년 정보보호법

(Datenschutzgesetz von 1970)이고,46) 개인정보 자기결정권에 대한 최초의 언급은

1971년대에 이루어진 것으로 추정된다. 이 개념을 독일 연방대법원이 받아들인 것도

1983년의 일이다. 그러므로 다른 인격권과 비교하면, 개인정보 자기결정권에 대한 논의는

상대적으로 덜 숙성되어 있다. 그렇다면 개인정보 자기결정권이라는 개념 자체에서 도출

되는 지배권적 성격을 강조하는 것이 과연 거시적인 이론 차원에서 볼 때 타당한지에 대

해서는 더욱 풍부한 논의가 이루어져야 하고, 그 논의 결과가 개인정보 보호 법제의 설계

와 운영에 반영되어야 한다.

물론 개인정보 자기결정권이 가지는 고유한 가치를 의심할 수는 없다. 특히 오늘날 개

인정보의 수집과 이용은 일상 속에 미세하게 파고들고 있어 개인정보 자기결정권의 보호

필요성은 더욱 커지고 있다. 개인정보 자기결정권은 개인정보 보호의 개념적 토대이자 핵

심적인 해법이다.47) 따라서 개인정보 보호 법제에서 개인정보 자기결정권의 개념 자체는

공고한 위상을 차지한다. 그러나 이러한 개념을 인정하는 것과 그 권리의 보호범위를 설

정하는 것은 별도의 문제이다.

그런데 개인정보 자기결정권을 절대권 내지 지배권으로 규정하는 이론적 구도 하에서

개인정보 자기결정권의 보호 범위를 제한하려는 시도는 의심의 눈초리를 받기 십상이다.

개인정보 자기결정권은 인간의 존엄과 가치라는 헌법 최고의 이념으로부터 도출되는 것이

므로, 개인정보 자기결정권을 제한하려는 시도는 곧 헌법 최고 이념에 대한 도전으로

44) 가령 13세기 초 영국에서에는 봉건영주가 다른 봉건 영주의 명예와 평판을 해하는 것은 범죄로 취급되었다.

Statute of Westminster I, 1275, 3 Edw., ch. 34, reprinted in C.H.S. Fifoot, History and Sources of

the Common Law--Tort And Contract 128 (1970). Kay L. Reamey, TORTS--DEFAMATION--PRIVATE

FIGURE PLAINTIFF MUST SHOW NOT ONLY FAULT AS TO FALSITY BUT ALSO FALSITY ITSELF TO

RECOVER DAMAGES FOR DEFAMATORY STATEMENTS MADE BY MEDIA DEFENDANT ON MATTERS

OF PUBLIC CONCERN, 18 St. Mary’s J.J. 581, 584 (1986)에서 재인용.

45) BGHZ 13, 334.

46) Hans Peter Bull, Informationelle Selbstbestimmung-Vision oder Illusion?, 2. Aufl., Mohr Siebeck,

2011, S. 22에서는 Spiros Simitis, in: ders.(Hrsg), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl.

Baden-Baden 2003, Einleitung Rn. 1.을 인용하며 이 법이 아마도 세계적으로 첫 번째 정보보호법일 것이라

고 서술한다.

47) S. P. Peppet, Unraveling Privacy: The Personal Prospectus and the Threat of a Full-Disclosure Future,

105 Northwestern Univ. L. Rev. 1153, 1183 (2011).


치부될 수 있다.48) 우리나라 개인정보 보호법 제1조도 “개인의 존엄과 가치를 구현함”을

그 목적으로 설정하고 있다. 하지만 개인정보 자기결정권의 보호범위에 직간접적으로 영

향을 미치는 위와 같은 이론적 구도는 절대 불변의 도그마가 아니다. 인간의 존엄과 가치

는 개인정보 자기결정권을 정당화하기에는 너무 멀리 떨어져 있는 최상위 이념이다. 사생

활의 비밀과 자유는 개인정보 자기결정권과 밀접한 관련이 있지만 개인정보의 보호가 항

상 사생활의 보호와 겹치는 것이 아니라는 한계가 있고, 양자가 겹치는 영역에서는 기존

의 사생활의 보호 법리에 의하면 충분하다는 의문까지 제기된다. 개인정보 자기결정권에

관한 이러한 사항들은 그 보호범위를 설정할 때 세심하게 고려되어야 한다.

2) 보호 범위 설정에서 고려할 사항

① 정보 통제권으로서의 개인정보 자기결정권

본래 정보는 유통될 때 정보로서의 사회적 효용이 높아진다. 현대의 많은 법제도들은

정보 유통을 촉진시키는 방향으로 설계되어 있다. 가령 공공기관이 보유 ․관리하는 정보는 공개하는 것이 원칙이다. 「공공기관의 정보공개에 관한 법률」 제3조는 “공공기관이 보유 ‧관리하는 정보는 국민의 알권리 보장 등을 위하여 이 법에서 정하는 바에 따라 적극적으

로 공개하여야 한다.”라고 규정한다. 사인이 보유 ‧관리하는 정보도 그 정보의 유통이 자기 또는 타인의 법익을 해치지 않는 한 공개하거나 유통하는 것이 정보의 사회적 효용을 높

이는 길이다. 가령 특허법을 비롯한 지식재산 법제도 개인의 수중에 머물러 있는 가치 있

는 정보를 공개하도록 하는 법제이다. 이러한 맥락에서 지식재산 기본법 제2조는 지식재

산 관련 정책의 이념을 “지식재산의 창출 ‧보호 및 활용을 촉진”하고, “지식재산의 가치가 최대한 발휘될 수 있도록 함”이라고 천명한다.

개인정보는 개인의 사적인 영역에 속하는 정보일 수 있다는 점에서 위와 같은 정보와

는 다르다. 그 점에서 공개를 원칙으로 하는 지식재산을 개인정보와 동일선상에 올려놓고

비교할 수는 없다. 하지만 개인정보는 오로지 개인에게 속하는 정보라기보다는 공동체와

개인을 연결시켜 주는 정보이다. 가령 주민등록번호는 공동체 속에서 개인을 특정하는 도

구이다. 전화번호는 공동체와 개인을 연결해 주는 도구이다. 신용정보는 공동체가 개인에

대하여 가지는 경제적 신뢰를 나타내는 척도이다. 이러한 개인정보를 보유한 주체는 개인

48) Bull (註 46), S. 2에서도 개인정보보호가 헌법 최고 가치인 인간의 존엄성과 결부되면서 정보보호원리를 등한시하는 것은 곧 인간의 존엄성에 대한 침해로 치부될 수 있음을 지적한다.


정보를 매개로 그 정보주체에게 연결된다. 정보주체에게 연결된다는 것은 곧 그에게 접근

할 수 있고 이를 통해 그로부터 더 많은 정보를 알아낼 수 있다는 것을 의미한다. 가령

아마존(amazon)은 회원들의 개인정보를 수집하고 이를 토대로 회원들의 선호도와 관심사

를 탐색한다. 이러한 활동을 통해 아마존은 회원들이 아마존에 접속할 때 그가 선호하거

나 관심을 가질 만한 책들을 화면에 보여준다. 회원들은 손쉽게 자신의 관심 영역에 접근

할 수 있고, 아마존은 회원들에게 손쉽게 책을 팔 수 있다. 이처럼 개인정보의 활용은 정

보주체나 정보 보유자, 나아가 사회 전체에 유익을 준다.

물론 개인정보의 공동체 관련성에도 한계가 있다. 가령 전화번호는 공동체와 개인을 연

결시켜 주는 정보이지만 그 공동체가 나와 무관한 모든 사람을 포함하는 넓은 의미라야

할 필요는 없기 때문이다. 또한 질병정보와 같은 민감한 개인정보의 이용은 이보다 훨씬

신중하게 접근하여야 한다. 이러한 민감정보야말로 사생활과 밀접한 관련을 가지기 때문

이다. 그럼에도 불구하고 개인정보의 축적이 지속적으로 이루어져 매우 큰 정보의 덩어리

가 형성된다면, 이로부터 사회에 의미 있는 경향성과 흐름을 추출할 수 있는 가능성은 커

지는 반면, 개별 정보의 개인 식별성은 약화되어 정보주체의 권리가 침해될 가능성은 줄

어든다. 이 점에서 개인정보도 적절하게 활용되기만 하면 다른 정보와 마찬가지로 사회적

효용이 높아지는 측면이 있다. 그것이 정보가 본래 가지는 기능이기 때문이다. 이러한 생

각을 발전시키면, 정보의 수집과 활용의 자유를 보장하는 것이 원칙이고 이를 제한하는

것이 예외가 아닌가, 또는 적어도 두 가지 가치가 동등하게 취급되어야 하는 것이 아닌가

하는 사고에까지 이를 수 있다.49)

참고로 일본 개인정보의 보호에 관한 법률(個人情報の保護に関する法律) 제1조는 법의 목적을 “…개인정보의 유용성을 배려하면서 개인의 권리이익을 보호하는 것을 목적으로

한다.”라고 규정함으로써 개인정보의 이용과 보호를 함께 고려해야 한다는 점을 명시하는

데 이 중 “개인정보의 유용성을 배려”한다는 문구는 2015년 법 개정 시에 추가된 부분이

다. 개인정보를 활용하여 새로운 비즈니스와 서비스를 창출하고 공익에 이바지하도록 관

련 제도 개선을 추진한 결과이다. 이러한 균형 있는 입법 태도는 향후 우리나라 입법에도

참고하여야 할 점이다.

② 인격권으로서의 개인정보 자기결정권

개인정보 자기결정권이 가지는 인격권적 속성도 그 보호 범위를 설정함에 있어서 고려

49) Buchner (註 30), S. 83, 93 참조.


해야 할 사항이다. 인격권은 인간의 존엄과 가치라는 이념에 직접적으로 봉사하는 중요한

개념이지만, 인격권의 보호범위를 어떻게 설정할 것인가는 매우 미묘한 문제이다. 이 점에

대해서는 아래의 설명을 참조해 보자.50)

인격권은 물권과 비교할 때 그 권리의 내포(內包)와 외연(外延)에 불명확성이 크다.

토지소유권을 예로 들어보자. 우선 권리의 객체라는 면에서 토지는 명확하게 특정된다.

토지등기부는 토지를 지번으로 특정하고, 지적공부(地籍公簿)는 �

Documents

개인정보 자기결정권과 동의 제도에 대한 고찰 - Naver · 개인정보 자기결정권과 동의 제도에 대한 고찰 _ 81 2. 개인정보 자기결정권 분석