캐나다 데이터보호법에서 동의에 대한 접근방법

관련소송에 제출하기 위한 자료로 @ehchun께서 자원봉사로 직접 번역을 하여 주어 공유함 (다시 한 번 깊은 감사를 표하며)

 

카나다 데이터보호법에서 동의에 대한 접근방법

필리파 로슨, 메리 오도나휴

 

1. 들어가면서

 

새로운 기술이 프라이버시 문제에 대하여 제기하는 위험성을 감안하여 카나다는 개개인이 자신의 개인정보가 부적절하게 사용되거나 본인이 원하지 않는데도 사용되는 일로부터 보호하기 위해서 법을 제정한 바 있다. 공공부문의 프라이버시법은 1980년대에 제정되었으며 그에 이어 1990년대에는 민간부문의 개인정보보호법이 제정되었다. 2004년도부터 카나다의 모든 정부기관과 상업활동의 주체는 데이터 보호법을 따른다.

 

이런 모든 법은 유효한 개인정보 수집, 이용 및 공유에 대한 개인정보주체의 동의에 어느 정도 근거하고 있지만, 동의의 역할에 있어서는 부문별로 상당히 다르다. 공공부문의 법률은 데이터의 수집, 이용, 공개에 있어 당사자의 동의를 정당화(justification)의 근거로 삼고 있지만, 민간부문의 법률에서는 동의를 유효한 수집, 이용, 공개의 요건(requirement)으로 간주한다. 민간부문의 보호법률은 개개인이 프라이버시 보호를 위해서 협상할 수 있는 여지를 좀 더 제공하긴 하지만 이러한 통제력이 실제로 유효한지 여부는 의문으로 남아있다. 동의가 차지하는 역할은 고용이나 보건과 같은 부문에서는 좀 더 차별화되고 있지만 이런 문제는 이 글에서는 검토하지 않는다.

 

이 글에서는 카나다의 데이터보호법에서 공공부문과 민간부문에서 동의에 대한 접근방법이 어떠한지에 대해서 기술한다. 특히 각 부문별 법에서 동의가 수행하는 상이한 역할에 대하여 주목하며 그러한 차이가 생겨나는 원리를 밝힐 것이다. 데이터 보호규칙을 만들 때 특정 맥락(context, 예, 공공부문에서는 시민 vs. 민간부문에서는 소비자)을 고려하게 된다는 점을 인정하지만 정부와 시민간의 관계에 대해서 좀 더 섬세하게 이해하게 되면 바로 그 맥락에서 동의에 대해서도 좀 더 큰 역할을 부여할 수 있게 될 것이다. 그럼에도 불구하고 우리는 동의를 이런 식으로 행사하는 것이 실질적이라기 보다는 보통 명목상으로만 그렇다는 점을 감안하여 동의에 대하여 너무 지나치게 비중을 두지는 않을 것이다.

 

 

2. 두가지 서로 다른 접근방법 : 인권 vs 공정한 정보이용 실제(Fair Information Practices)

 

여러 국제협약에서 프라이버시는 하나의 인권으로 간주된다. 여기에는 ‘유엔인권선언’(Universal Declaration of Human Rights, 1948), ‘인권 및 기본권적 자유의 보호를 위한 유럽협약’(European Convention for the Protection of Human Rights and Fundamental Freedoms, 1950), ‘민권과 정치적 권리에 관한 국제협약’(International Covenant on Civil and Political Rights, 1966)이 포함된다. 프라이버시 문제를 인권으로 보는 접근방법에서는 프라이버시는 도덕적인 지상명령이자 단순한 데이터보호 이상의 의미를 가진다.

 

카나다는 유엔인권선언에 서명하였지만 여타 영미법계통의 국가들과 마찬가지로 헌법에 강력한 프라이버시 관련 보호조항을 갖고 있지도 않고 프라이버시 보호법을 인권범주에 넣지도 않는다. 이와는 대조적으로 퀘벡주의 인권 및 자유헌장(1975)에서는 퀘벡주 거주민들의 프라이버시권을 인정하고 있으며, 민법 개정조항(1991)에서도 프라이버시권을 광범위하게 인정하고 있다.

 

프라이버시문제를 이와는 달리 실용적으로 접근하는 경우에는 데이터보호에 초점을 맞춘다. 카나다에서 프라이버시법률은 이런 접근방법을 따르는 추세인데 Alan Westin이 처음 제창했고 OECD가 1980년에 ‘프라이버시보호지침’(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)에서 채택한 바 있는 “공정한 정보이용 실제”(Fair Information Practices)에 바로 이러한 접근방법이 반영되어 있다.

 

이러한 접근방법에서는 동의는 중심적인 요건이긴 하지만 “적절성”(appropriateness)이라고 하는 보다 넓고 규정되어 있지 않은 또다른 개념의 검토를 받지 않으면 안된다. 하지만 인권에 의거한 접근방법의 중요한 몇가지 요소들은 카나다의 민간부문 데이터보호법령에도 이미 반영되어 있다. 즉, 프라이버시는 비즈니스의 “필요”에 따르는 것이지만 또한 “포기할 수 없는 권리”(non-waivable rights)로 규정되어 있다. 이같이 두가지 접근 방법을 병치시켜 놓은 것은 이상하기도 하고 때로는 법적 판단을 혼란시키는 결과를 초래하기도 한다.

 

OECD 프라이버시보호지침과 여기서 논의되는 카나다의 프라이버시 보호입법은 적용범위를프라이버시 일반이 아닌 데이터보호(식별가능한 개개인의 “기록된 정보”)로 제한하고 있다. 공간상의 프라이버시, 신체상의 프라이버시, 수색과 인신구속 및 감시와 같은 프라이버시 문제들은 데이터보호법률에서는 제외되어 있으며 따라서 이 글의 범위에서도 제외한다.

 

 

3. 공공부문 프라이버시법에서의 동의

 

A. 카나다에서 공공부문 프라이버시법의 전개과정

 

1980년대부터 카나다는 개인정보를 취급하는 규칙을 제정하였는데 처음에는 공공부문에만 적용하였으며 OECD의 프라이버시보호지침을 자발적으로 따르도록 하는 것이었다. 이 지침은 “공정한 정보이용 실제”의 최소 기준을 설정하여 프라이버시 보호와 국경간 비즈니스와 관련되는 개인정보의 유통 사이에 균형을 추구하였다. 프라이버시 보호와 함께 “회원 국가들 간에 개인정보가 유통되는 것에 대하여 부당한 간섭을 막아야 할 필요”가 늘 함께 따라왔다.

 

연방 프라이버시법(Privacy Act)은 1982년 연방 정보접근법(Access to Information Act)과 함께 짝으로 통과되었다. 이들 법률에서는 카나다 정보커미셔너와 카나다 프라이버시 커미셔너라는 두 개의 별개의 감독기구를 두고 있다. 온타리오주와 여타 주도 이를 따랐으며 일반적으로 이 주들은 프라이버시보호와 정보접근을 하나의 단일한 조례로 묶고 단수의 감독 커미셔너를 두었다. 나중에 생긴 주들의 조례는 중요한 부분에서 온타리오주의 정보접근과 프라이버시보호체계를 따왔으며 매우 유사한 구조와 면제사례를 두고 있다. 이들 법률은 상당한 범위에서 연방과 주, 자치시 기구에 적용된다.

 

B. 입법목적

 

카나다의 프라이버시법령은 일반적으로 분명한 목적 문구를 갖고 있다. 카나다 대법원은 정부정보에 대한 접근과 프라이버시보호의 목적을 중요한 민주적 가치와 연결시키고 있는데 이러한 가치에는 책임성(accountability)과 시민들의 정부참여, 시민의 프라이버시기본권이 포함된다. 실제로 대법원은 프라이버시법을 헌법에 준하는 입법(quasi-constitutional enactment)이라고 특징지우고 있다.

 

“프라이버시법 역시 카나다의 법체계에서 기본적인 것입니다. … 그 목적은 우선 정부기관이 보유하고 있는 개인정보를 보호하는 것이고 그 다음으로는 개개인에게 자신의 개인정보에 대한 접근권한을 부여하는 것입니다. … 공용어법(Official Language Act)과 프라이버시법은 헌법이 기초하고 있는 여러 가치와 권리들과 긴밀하게 연결되어 있습니다. 바로 이 점이 대법원이 이들 법률이 갖고 있다고 인정해 온 준헌법적인 지위(quasi-constitutional status)를 설명해 줍니다. 그러나 그러한 지위가 법해석에 대한 전통적인 접근방법을 변경하는 식으로 작용하는 것은 아닙니다. … 공용어법과 프라이버시법의 준헌법적인 지위는 이들 법률을 해석할 때 고려해야 하는 하나의 지표이긴 하지만 본질적으로 결정적인 것은 아닙니다. 대법원이 이들 두가지 법률을 기술할 때 “준헌법적”이라는 표현을 씀으로써 얻게 되는 유일한 효과는 이들 법률이 지니고 있는 특별한 목적을 인식하는 데에 있습니다.“

 

프라이버시법이 부여하고 있는 권리에 대한 몇가지 예외들은 따라서 좁게 해석해야 하며 입법의 포괄적인 목적을 훼손하는 방식으로 이용되어서는 안된다. 구성요건이 엄격하다는 것은 아주 분명한 사례가 아닌 한 원래 목적이 준수되어야 한다는 것이며, 입증의 부담은 예외를 주장하는 쪽에서 져야 한다는 것이다.

 

온타리오주의 ‘정보자유 및 프라이버시보호법’(Freedom of Information and Protection of Privacy Act, FIPPA)은 대체로 1980년에 나온 윌리엄스위원회 보고서(Williams Commission Report)의 건의사항들에 기초하여 작성되었다. 이 보고서는 프라이버시의 중요성을 인권용어로 표현하였는데 프라이버시를 준수하는 것은 “인간존엄성과 인격의 자유를 보존하기 위한 기본적인 관심사와 연관”되어 있으며, “개개인의 긴요한 관심사항”을 확인하는 것인 바, 이는 곧 자신에 관한 정보의 공개를 제한하고 자신의 개인정보를 연속하여 사용하는 것을 제한하는 권리를 유지하는 것이라고 하였다. 이 보고서는 Alan Westin의 정보프라이버시에 대한 정의를 채택하였는데 이를 “개개인이 자신에 관한 정보를 언제, 어떠한 방식으로, 어느 정도까지 타인에게 알려져도 되는지에 대하여 스스로 결정할 권리”라고 규정하였다. 이 위원회는 개개인이 정부가 보유한 자신의 개인정보에 대하여 통제를 강화할 수 있는 조항을 둘 것을 권고하였으나 “정부가 개인정보를 수집하는 것은 개개인이 문제의 정보를 제공하기를 거부할 것을 선택할 수 있는 정황과는 다를 수 있다”는 점은 인정하였다. 이 위원회는 개개인이 갖고 있는 프라이버시 이해와 정부의 정당한 필요 사이에 균형을 맞출 것을 권고하고 있다.

 

“정보 프라이버시라는 가치가 중요하긴 하지만 그것은 단지 수많은 상충하는 갈등요소를 내포한, 주의를 요하는 가치들 중의 하나일 뿐이다. 정부는 공익의 필요성을 인지하고 그에 대응하여 채택하는 사회경제적인 프로그램을 성공적으로 그리고 효율적으로 운영하기 위해서 필요하다면 개인정보를 수집해야 한다. 예컨대 만일 정부가 운영하는 의료보험제도가 있어야 한다면 개인정보 수집행위가 있어야 하는 것은 불가피하다. 이와 마찬가지로 법집행당국이 감시기술을 사용하는 문제에 대한 논란은 효과적인 법집행의 필요성을 고려하면서 판단해야 한다. 사회보험번호와 같은 식별번호를 사용할 때 나타날 수 있는 문제 역시 개개인에 관한 정확한 기록확인의 필요성이나 의학연구 목적으로 개인의 데이터를 사용할 때 얻을 수 있는 편익을 고려하면서 판단해야 한다.”

 

동의가 통제력을 부여하기 위해서 제시된 우선적인 수단은 아니다. 오히려 위원회는 개개인의 개인정보에 대한 통제력은 다음과 같은 방법을 통해서 이루어질 수 있다고 건의하였다.

 

● 개개인에게 개인정보를 수집한다는 사실을 고지

● 개개인으로부터 직접 개인정보를 수집

● 자신의 개인정보에 접근할 수 있도록 하고, 독립적인 평가기구에 민원을 제기할 수 있는 권리

● 내용을 정정할 수 있는 권리와 의견이 다르다는 진술내용을 첨부할 수 있는 권리

● 자신의 개인정보가 이미 공개된 사람들에게 지속적으로 자신이 정정한 내용을 공개하도록 하는 것

● 정보의 자유 위원회가 요구하는 사항을 공지해야 할 권리와 이에 대하여 반대, 민원을 제기할 수 있는 권리

● 아래 사항에 대하여 동의를 거부할 수 있는 기회 부여

ㄱ. 정보의 자유 위원회가 요구하는 사항에 따라 개인정보를 공개

ㄴ. 일관성 없는 개인정보 이용 및 공개

ㄷ. 개인정보의 조속한 파기

 

법에 반영된 여타 권고사항들 중에는 정부의 개인정보 수집제한, 개인정보 이용 및 공개 제한, 정확성과 현행화의 기준, 개인정보의 안전한 유지 및 파기 등이 포함된다.

 

규칙 일부를 준수하지 않아도 되도록 법에서 허용하는 바 이것은 정부에게 유연성을 보장한다. 그러나 개인정보를 보다 더 잘 보호할 수 있도록 각급 정부는 프라이버시영향평가를 실시하도록 요청받을 수 있는데 이것을 카나다 프라이버시 커미셔너는 리스크를 완화할 수 있는 수단이라고 기술한 바 있다. 연방정부는 모든 연방기관들이 프라이버시에 영향을 미칠 수 있는 프로젝트나 프로그램들에 대해서 프라이버시영향평가를 수행할 것을 지시하는 명령서를 발표하였다. 프라이버시 커미셔너는 프라이버시영향평가서를 검토하고 의견을 제시할 수 있으며 건의안을 제출할 수 있다. 하지만 건의안의 채택여부는 정부부처에 달려있다.

 

정부가 개인정보를 처리하는 것에 대하여 개개인이 어느 정도 수준에서 통제력을 가져야 하는지에 대한 논쟁이 2003년에 제기되었다. 사스캐치웬(Saskatchewan) 주정부는 개인정보를 취급하는 기본틀(framework)을 개발했는데 이것은 동의에 대해서 좀 더 여지를 부여하는 것이었다. 정보및 프라이버시 커미셔너는 이 기본틀이 정보자유 및 프라이버시보호법이 제시하는 요건을 넘어서고 있다고 비판하는 보고서를 발표했다. 그는 이 법에서 “동의는 정부기관이 그 자체의 핵심적인 목적과 관련되어 있는 목적들을 위해서만 수집하거나 사용하거나 공개한다면 이러한 수집이나 사용, 공개를 위해서는 보통 동의를 요건으로 하지 않는다. … 우리가 알고 있는 한 어떠한 카나다의 재판관할권에서도 공공부문의 프라이버시 관련 규제에서 동의에 기초한 접근방법을 규칙으로 선택한 적이 없다.”고 강조하였다. 그가 쓴 이 고도로 비판적인 보고서에서 커미셔너 디킨슨은 프라이버시 평가 및 기본틀이 CSA 모델 법률에 기초를 두고 있지만, 이 모델법률에서는 “자발적인 동의에 따르게 한 것으로서 정부가 쓸 수 있도록 고안된 것이 아니다”고 진술하였다. “공공부문의 현실”은 동의에 기초한 시스템에는 불리하다. 사업을 진행할 때 정부는 상당한 양의 개인정보를 필요로 하는데 동의 요건은 서비스를 효율적으로 제공하는 데 장애가 되고 비용을 증대시킨다. 이외에 다른 기제들은 개인정보와 관련된 정부의 행위가 정부 사업에 꼭 필요한 것에 한정하도록 했다. “결과적으로, 공공부문 프라이버시 규칙은 동의에 기반하고 있지 않다.”

 

C. 공공부문 입법에서 동의의 역할

 

공공부문에서 동의는 두가지 서로 다른 정황에서 생겨난다. 하나는 제3자로부터 정보자유법에 따라 정보접근 요청이 있을 때 개인정보를 공개하는 것에 대해서 당사자의 동의를 받는 것이고, 다른 하나는 정부가 해당 개인정보를 수집, 이용, 공개, 보존하는 것을 정당화하기 위한 경우인데 이것은 다른 여러 정당화 이유 중 하나일 뿐이다. (어떤 상황에서는 정부의 장(長)은 위중한 보건이나 공공안전 혹은 환경위난과 관련해서 꼭 필요한 경우 당사자의 동의없이 개인정보를 공개해야 하는 의무가 있다.)

 

개개인의 동의는 공공부문 데이터보호법에서 상대적으로 아주 작은 역할을 한다. 데이터가 이용되고 공개되는 경우에 따라 달라지지만, 실제로 동의가 요구되는 경우는 거의 없다. 당사자의 동의를 받는 것은 정부에게 기본적인 규칙의 예외를 허용하는 법률상의 여러 요인들 중의 하나일 뿐이어서 정부가 법에 열거되어 있는 여러 다른 예외 허용 요인의 조건하에서 업무를 수행할 경우에는 보통 이것을 따르지 않게 된다. 일반적으로 정부는 다른 여러 예외요인의 조건하에서 이루어지는 행정업무에 해당하지 않을 경우이거나 해당 업무가 민원인과의 합의를 추구하는 성격이라는 점을 강조하고자 할 경우에 개개인의 동의를 고려하게 된다.

 

대법원은 연방 프라이버시법이 “준헌법적인” 지위를 갖는다고 판시했지만, 온타리오주의 FIPPA는 이 법이 창설한 프라이버시권이 거래할 수 없는 것임을 확언하는 명백한 문구가 빠져 있다. 어떤 조항들은 개인정보의 수집, 이용, 공개와 관련된 문구들을 포함해서 “누구도 수집해서는 안된다”와 같은 단정적인 문구를 포함하고 있어 동의가 있다 하더라도 규칙을 준수해야 한다는 것을 규정하고 있다. 온타리오주 항소법원은 개인정보를 수집할 수 있는 법령상의 요건이 존재하지 않을 때에는 동의가 대체수단이 될 수 없다는 것을 적시한 바 있다.

 

개인정보를 수집해도 되는 조건에는 법이 명시적으로 승인하는 경우, 법집행을 위해서 수집해야 하는 경우, 혹은 합법적으로 승인된 적절한 행정행위를 수행하기 위해서 꼭 필요한 경우가 포함된다. 이외에 목적에 대한 관련성이 한정적인 추가적인 개인정보는 동의 여하에 관계없이 수집하지 않는다. 이 법의 구제책으로서의 성격을 감안하면, 당사자 동의를 받아 보호를 유예하는 것이 적법하다고 볼 수는 없고, 정부가 당사자의 동의를 받았다고 해서 용인되는 것은 아니다.

 

D. 동의보류권 및 동의철회권

 

공공부문 입법은 동의보류권이나 동의철회권에 대해서는 거의 아무런 언급을 하지 않고 있다. 동의 보류는 따라야 하는 법령상의 요건이나 판례법의 원리 또는 개개인이 협상할 수 있는 능력이나 개개인이 동의를 하지 않았을 때 시행이 보류될 수 있는 정부프로그램의 중요성 같은 요인들에 따라 달라진다. 온타리오주의 프라이버시 커미셔너는 정부와의 협상에 대해서 다음과 같이 이야기한 적이 있다.

 

““선택”문제에 대해서 논의할 때에는 언제나 개개인이 갖고 있는 상대적인 협상력(bargaining power)이나 여러 상황에서 이용할 수 있는 여타 선택방안들의 범위에 대해서 우선 분석해야 한다. 공공부문(정부)의 기관과의 접촉에서 개개인은 전형적으로 자신이 협상력에 있어서 비대칭상태에 있다는 상황에 직면하게 된다.”

 

다음에서 보는 것처럼 공개하는 것에 동의할 것을 거부하는 것은 결정적이지 않다.

 

일반적으로 이 법의 프라이버시 보호조항에 따르더라도 누군가가 특정한 정보에 대해서 기밀을 유지할 것을 요청했다고 하는 사실이 본질적으로 해당 정보의 공개가 절대적으로 금지된다는 것을 뜻하는 것은 아니다. 이러한 원리는 이 법률의 문구에 반영되어 있으며 (이 법은 개인정보의 모든 공개에 대해서 동의를 요구하지 않는다.) 공공정책을 위한 고려라는 측면에서 지지를 받고 있다. 다르게 결론을 내린다면 그것은, 개개인이 기밀을 요청해 오는 경우, 기밀을 보장하기 위해서 법적 요건이나 여타 다른 고려들 때문에 개인정보를 공개하는 것을 어차피 신중하게 하거나 교정할 수 있는 정부기관의 능력을 부당하게 제한하는 일이 될 것이다. [온타리오주 조사보고서에서 인용]

 

반면 개개인에게 불필요한 개인정보를 제공하도록 요구하는 것은 비합법적인 수집이 된다. 실제로 개개인이 개인정보수집을 거부하고자 하는 부분에서는 통상적으로 사전에 정해져있는 규칙은 없고, 수집범위에 대한 재량이 행정책임자에게 달려 있어 개개인이 “당장은 따르되 후에 민원을 제기할 수 있도록”(“comply now and grieve later”) 하고 있다.

 

E. 공지

 

수집에 대한 공지는 가장 중요한 공공부문 권리중의 하나이다. 개인정보에 대한 직접수집의 기본 요건에 따라 개인정보의 수집 내용과 범위는 투명해야 하며, 접근권과 수정권을 보장하고, 충분한 내용인지에 따른 동의를 할 수 있도록 도와야 한다. 온타리오주의 FIPPA는 당국이 개인정보를 수집하려면, 공지에서 수집된 정보가 사용되는 목적과 여러 질문에 대해서 답변할 수 있는 공무원의 이름과 연락처를 포함할 것을 요구한다.

 

인지(공지)와 수집, 이용 및 공개에 대한 동의의 근거로 제공되는 정부의 표준적인 동의양식은 가장 넓고 가장 일반적인 용어로 수집하는 정보, 수집원, 사용되는 곳과 공개되는 내용에 대하여 기술한다. 표준양식에서 중요한 이슈는 내용인지에 따른 동의, 동의의 범위, 동의 양식을 다변화하거나 수정할 수 있는 권한, 동의 보류의 자유 등이 있다. FIPPA 하에서, 정부가 동의여부에 따라 개인정보를 공개하는 곳에서는 동의가 충분히 인지할 수 있는 방식으로 명시적으로 요구된다. – 개개인은 (수집하고자 하는)“특정 정보”(information in particular)와 그것을 공개하는 것에 대하여 동의해야 하는지 여부를 확인할 수 있어야 한다. 따라서 표준적인 동의 양식이 너무 일반적으로 작성되어 있어서 개개인이 (수집하고자 하는)“특정 정보를 확인”할 수 없어서는 안된다.

 

F. 결론 – 공공부문에서의 동의

 

정부가 개개인의 동의 없이 개인정보를 수집, 이용하고 공개할 수 있다는 사실을 고려할 때 개개인이 정부와 개인정보를 주고받는 절차를 차단하거나 수정할 수 있도록 협상할 수 있도록 하는 문제는 생각해 봐야 할 문제이다. 대신에 공공부문 입법은 개개인이 주장할 수 있는 일련의 “프라이버시권” 보다도 성격상 정부와 공직자의 의무를 더 많이 부여하고 있다. 개개인의 자기 정보에 대한 통제가 데이타보호에 있어 중심적인 위치를 차지하는 만큼, 공공부문의 이러한 현실은 프라이버시 보호라는 측면에서는 상대적으로 약하다는 결과가 된다.

 

각급 정부는 개인정보에 관한 개개인의 동의나 통제력에 대하여 보다 다양한 방식의 접근방법을 개발함으로써 그들이 보유하는 개인정보의 민감성이나 개개인의 프라이버시권의 헌법적 차원에 대하여 보다 더 높은 인식을 보여줄 수 있다.

 

 

IV. 사적부문의 프라이버시 입법에서의 동의

 

퀘벡주는 1994년에 카나다 최초로 민간부문의 데이타보호법을 도입했다. 이 법이 “민간부문 개인정보보호에 관한 법”(Act Respecting the Protection of Personal Information in the Private Sector [Quebec Act])이다. 연방 “개인정보보호 및 전자문서법”(Personal Information Protection and Electronic Documents Act [PIPEDA])은 2001년에 나왔고, “브리티쉬 컬럼비아 개인정보보호법”(British Columbia Personal Information Protection Act [BC PIPA])는 2004년에 나왔다. 이들 법률들은 민간기관이 개인정보를 수집, 이용, 공개하는 문제에 초점을 맞추고 있다. 연방법은 상업적인 행위에만 적용되지만, 여타 세가지 주법률들은 비상업적인 행위에도 적용된다. 이 네가지 법률은 모두 고용관계에 적용되지만, 저널리즘이나 예술 및 문학, 그리고 역사자료나 족보와 같은 종류의 행위부분은 범위에서 제외한다.

 

A. 입법 목적

 

입법 목적에 있어서는 이들 법률들간에 아주 흥미로운 차이들이 있다. 퀘벡주법은 민법 제35조에서 제40조에서 규정하고 있는 정보 프라이버시권리를 특정화하는 것을 명백한 목적으로 하여 작성되었다. 민법에는 “모든 사람은 자신의 명성과 프라이버시를 존중받을 권리를 갖는다”고 되어 있다. 이와는 대조적으로 PIPEDA와 두 주의 법률은 개개인의 프라이버시권 뿐만 아니라 이성적인 인간이 여러 정황에서 적절하다고 간주하는 목적을 위하여 민간기관이 개인정보를 수집, 이용, 공개하도록 할 필요에 대해서도 언급하는 목적문구를 함께 갖고 있다. 이러한 비즈니스의 필요에 대한 언급이 있기 때문에 이 법률을 적용할 때에는 합리적이나 적절성을 평가해야 하는 불편한 “균형 테스트”(balancing test)를 거쳐야 하게 되었다. 즉, 개개인의 프라이버시권에 초점을 맞추고 정당한 비즈니스상의 필요를 프라이버시권에 대한 여러 있을 수 있는 제한중의 하나로 고려하는 것이 아니어서, 합법성을 평가할 때에는 “정당한” 비즈니스상의 요구를 일차적으로 고려하게 된다. 연방항소법원은 “PIPEDA의 section 3에 있는 목적 문구로 볼 때 균형을 고려해야 할 필요성은 명백하다”고 하면서 다음과 같이 말한 바 있다.

 

“이 법의 1부와 스케쥴 1부가 프라이버시권의 보호와 관련되긴 하지만, 이들 조항은 또한 민간부문의 개인정보에 대한 수집, 이용 및 공개를 가능하게 하는 조항이기도 하다. 이 법을 해석할 때 법원은 이 두가지 서로 상치되는 이해들간에 균형을 맞추어야 한다.”

 

권리가 구현되는 정황에 대해서 이처럼 명확한 인식을 갖는 것은 – 즉, 이러한 권리를 법제화하게 만든 프라이버시에 대한 여러 위협들에 대한 인식을 갖는 것은 – 통상적인 것이 아니다. 공공부문의 법령은 이와는 대조적으로 개인정보를 이용해야 할 정부의 정당한 필요에 대해서는 명확한 인식을 보여주지 않는다. 다만 법령에 함축되어 있기만 할 뿐이다.

 

B. 민간부문 데이터보호법률에서의 동의의 역할

 

개인정보의 수집, 이용 및 공개에 대한 동의 요건은 이들 세가지 법률에 의한 개인정보보호제도의 시금석이다. 동의에 대한 정보가 제공되어야 하며 동의는 자발적으로 이루어져야 한다. 이들 모든 법령은 공지 요건과, 거래의 조건으로 불필요한 개인정보 수집, 이용 및 공개에 대한 동의를 요구하는 것을 금지하는 “거래 거부” 조항을 포함하고 있다. 이러한 제도에서는 목적이 다른 경우에는 해당 개인정보의 이용과 공개를 위해서는 추가적인 동의가 필요하다. 어떤 경우에는 사업자들은 자신들이 이용하고자 하는 의도에 대해서 지나치게 모호하거나 아니면 부적절한 공지를 사용함으로써 동의요건의 기준을 피해왔다.

 

퀘벡주에서는 동의가 그렇게 중심적이지는 않지만 여전히 중요한 역할을 한다. 퀘벡주에서는 원래의 수집목적과 무관하게 개인정보를 사용하거나 공개하려면 동의가 있어야 한다. 그리고 원래 수집목적과 무관한 경우에는 대신에 공지의무에 따라야 하는데 그 때에는 거부할 수 있는 권리와 “반드시 필요한 경우”(necessity)의 요건이 무엇인지 밝혀야 한다. 앨버타 주와 브리티쉬 컬럼비아 주의 법에서는 동의는 고용에서는 제한된 역할만 하는데 이들 경우에는 “합리성”(reasonableness)이 보다 더 자주 적용기준이 된다.

 

동의요건은 이들 네가지 법제도에서 모두 OECD의 개인정보보호원칙과 “공정한 개인정보이용 실제”(Fair Information Practices)에서 유래한 여타 의무들을 수반한다. 여기에는 안전에 대한 보장, 데이터의 정확성, 책임성, 개방성 및 자신의 정보에 대한 당사자의 접근 등이 포함된다. 더 나아가 동의는 상당한 중요성을 갖게 된다. 각각의 법령은 법집행과 긴급시, 연구목적이나 당사자간의 합의가 없이도 수집이나 이용 및 공개가 사회적으로 바람직하다고 간주되는 여타 예외들에 대해서 기술한 긴 목록을 갖고 있다.

 

동의와 무관하게 적용되는 법령상의 권리와 의무는 잘 인식되지 않고 있다. 이들 모든 법령들은 동의와 무관하게 수집에 대한 제한 내용을 포함하고 있다. PIPEDA와 퀘벡주 법령은 개인정보 수집을, 특정한 목적을 위해 “꼭 필요한”(necessary) 경우로 한정할 것을 요구한다. (이들 모든 법제도에서 동의는 특정된 목적을 위한 것이다.) 퀘벡주법은 더 나아가 “불분명한 경우에는 개인정보는 꼭 필요하지 않은 것으로 간주한다”고 되어 있다. 앨버타주의 PIPA는 수집이 특정된 목적을 위해 “합리적”일(reasonable) 것을 요구하고 있는 반면, 브리티쉬 컬럼비아주의 PIPA는 단지 수집이 특정된 목적을 반드시 충족할 것만을 요구한다. 이것은 서부지구에서는 개인정보보호에 대해서 보다 낮은 기준을 적용한다는 것을 암시하지만 실제로 그렇게 나타나지는 않는다. 앨버타주의 “합리성” 요건은 사실상 “꼭 필요한” 것으로 해석되고 있기 때문이다. 반면에 브리티쉬 컬럼비아주의 PIPEDA와 퀘벡주의 사례들에서 아직 제기되지 않고 있는 문제는 본인인증을 위한 수집이나 피고용인에 대한 체크 혹은 여타 목적으로 불필요한 개인정보 수집이 이루어지는 데서 나타나는 법령 비준수의 문제이다.

 

이 모든 법제도들은 또한 특정된 목적이나 실제 사용례가 합리성(reasonableness)이나 적절성(appropriateness) 혹은 기본권을 기준으로 하는 테스트를 충족시킬 것을 요구한다. 이러한 권리들은 동의와 무관하게 작용하면서 동의에 기반한 분석을 보완하는 역할을 한다. PIPEDA의 서브섹션 5(3)은 민간기관이 여러 목적에 따라 개인정보를 정당하게 수집, 이용, 공개할 수 있지만, 그러한 목적들은 “합리적인 사람이 정황상 합리적이라고 생각할 수 있는” 것으로 제한한다. 이 구절은 PIPEDA가 적용된 여러 사례에서 동의와는 별개로 주어지는 질문이자 동의에 대하여 분석할 때 함께 주어지는 질문으로서, 동의가 있었는지 없었는지를 확인하는 기준이 되고 있다.

 

명백히 “목적들”로 제한하지만, 이 조항은 실제 이용실례로 확장되는 것으로 해석되어 왔다. 예컨대 채권 추심이라는 목적은 명백하게 정당하지만, 지나치게 침해적인 채권추심 사례는 PIPEDA를 위반하는 것으로 판정을 받았다. 서브섹션 5(3) 구절에 대한 이와 같은 넓은 해석이 나옴에 따라 동의라는 제한은 데이터보호의 효율적인 원리로 인정하게 되었다. 이 구절이 없었다면 PIPEDA는 동의가 요구되지 않는 부분에서조차 과도한 개인정보 공개가 이루어지거나 혹은 여타 부적절한 이용실례가 나타나는 것에 대하여 개인정보를 보호할 수 없었을 것이다. 이러한 차이를 인식할 때, 앨버타와 브리티쉬 컬럼비아 주법은 둘 다 이처럼 동의에 기초해 있는 법제도를 개인정보 수집, 이용, 공개의 이용실례 뿐 아니라 그 배후에 있는 수집목적에 대해서도 이러한 요소들이 합리적일 것을 요구하는 절차규칙으로 보완하고 있다.

 

퀘벡주의 법령은 “합리성”(reasonableness) 기준 자체를 갖고 있지 않지만, 이 법의 명시적인 목적이 “민법 35조에서 40조에서 주어진 권리의 행사를 위한” 규칙을 수립하는 것으로 되어 있다. 민법 제37조는 다른 사람에 관한 파일을 만들 때 “진정하며 정당한 이유”(serious and legitimate reasons)가 있어야 함을 적시하고 있으며, “이 파일을 만들거나 이용할 때, 관련된 사람의 프라이버시를 침해하거나 명성에 손상을 가해서는” 아니된다고 기술하고 있다. 더 나아가 퀘벡주 인권 및 자유헌장은 “모든 사람은 자신의 사적인 생활에 대하여 존중받을 권리를 갖는다”고 기술함으로써 프라이버시를 하나의 인권으로 설정하고 있다. 이 조항들은 퀘벡주법을 어긴 것으로 간주되는 사례에서, R. v. Oakes 소송에서 카나다 대법원이 개발한 것과 유사한 합리성/비례성 테스트를 적용하는 근거로 여러차례 언급된 바 있다.

 

동의를 지나치게 강조한 결과로서 PIPEDA 법제하에서는 “안정성있는 합리적 목적을 기준으로 하는 테스트가 개발되지 못했다”는 주장이 있어왔다. 이것이 사실이라면, 그러한 결과는 “동의에 대한 지나친 강조” 그 자체의 결과가 아니라 오히려 일부 정책결정자들이 동의와 합리적인 목적을 합성해놓은 결과라고 우리는 주장한다. 어느 경우든, 이 문제에 대하여 우리가 검토한 바로는 놀랄만큼 안정적인 “합리적인 목적”여부를 검토하는 테스트가 사실상 오늘까지 PIPEDA 판례법에서 이루어졌기 때문이다. 이 테스트는 R. v. Oakes 판례에서 카나다 대법원이 수립한 바 있는, 헌장에서 보장한 권리를 침해하는 행위를 정당화하기 위해서 사용하는 테스트와 동일한 방식으로 적용되어 왔다. 이것은 다음과 같이 네가지 범주에서 명확하고 논리적인 방식으로 정리되어 있다.

 

1) 특정된 요구를 충족시키기 위해 필수적임을 제시해야 하고

2) 그러한 요구를 충족함에 있어 효율적이어야 하며

3) 프라이버시 손실과 얻을 수 있는 편익 사이의 비례성이 있어야 하며

4) 동일한 목적을 성취하는데 가장 약한 프라이버시 침해적인 수단이어야 한다

 

이것은 피고용인에 대한 모니터링과 감시와 같은 정황뿐 아니라 생체정보나 GPS 시스템을 고용자가 이용하는 정황에서 가장 명확하게 그리고 확실하게 세부적으로 규정된 바 있다.

 

이와 유사한 균형 테스트는 퀘벡주법에서 적용되어 왔다. 퀘벡주의 사법부에서도 동의와 필수성 두가지 요건을 분리한다. 퀘벡주에서는 개인정보의 유효한 수집, 이용, 공개를 위해서는 이 두가지 범주가 둘 다 충족되어야 한다.

 

C. 프라이버시권을 위반하는 계약에 대한 제한

 

동의에 기반한 데이터보호에 대한 이같은 중요한 보완요소들에 더하여 일부 법령은 법적 의무를 벗어난 계약시도를 무효로 하는 명시적인 조항들을 포함하고 있다. 앨버타주의 PIPA는 이 법에서 규정하고 있는 보호들을 포기하거나 제한하는 것은 공공정책에 반하는 것이며 따라서 무효라고 기술하고 있다. 브리티쉬 컬럼비아 주법은 동의 철회권을 계약에서 포기하는 것에 대해서만 명시적으로 금지하고 있지만, 브리티쉬 컬럼비아의 프라이버시 커미셔너는 “PIPEDA가 제시하고 있는 최소기준이나 보호내용중 [어느 한가지라도] 계약에 의해 예외로 할 수 있다는 어떠한 주장에 대해서도 진지한 유보”를 표명한 바 있다.

 

이와 마찬가지로 퀘벡주법은 계약에 의한 권리포기를 무효화하는 명시적인 조항은 갖고 있지 않지만, 퀘벡주의 민법 8조는 “누구라도 법령의 범위에 해당하는 경우를 제외하고는 민권을 행사하는 것을 거부할 수 없다”고 되어 있어서 퀘벡주 법원과 프라이버시 커미셔너는 “필수성” 범주가 개개인의 동의에 의해 대치될 수 없음을 밝힌 바 있다.

 

이와는 대조적으로, PIPEDA는 “권리포기 금지”(non-waivability) 조항도 없을 뿐만 아니라, 동의철회권의 포기도 명시적으로 허용하고 있다. 4.3.8의 원칙은 다음과 같이 기술하고 있다.

 

“개개인은 언제라도 동의를 철회할 수 있으나 법이나 계약에 의한 제한 여부나 합리적인 공지인지 여부에 따라서 권리행사가 제한을 받는다. 개인정보를 수집한 기관은 해당 개인에게 그러한 철회의 의미를 반드시 알려야 한다.”

 

여타 데이터보호 법제도에서는 벗어나지만, 이러한 특정한 허용조항이 있다는 것은 PIPEDA 법제하에서 여타 다른 권리는 그처럼 포기될 수 없다는 것을 보여준다. 더 나아가서, 브리티쉬 컬럼비아의 프라이버시 커미셔너가 확인했듯이, 프라이버시 권리의 공공정책적인 성격 때문에 이들 권리를 계약에 의해 포기하는 것은, 특별히 불공정 계약(contracts of adhesion)과 같은 상황에서는, 무효임을 강하게 주장하게 된다. 데이터보호법에서 규정하고 있는 권리가 예외적인 상황 이외에는 개개인에 의해서 포기될 수 없다는 사실은 법령의 불법성 여부에 관한 카나다의 판례법 전통과 일치한다.

 

D. 동의의 형식 – 인정되기 위해서 갖춰야 하는 범주들

 

퀘벡주법은 유효하기 위해서는 동의를 “명시”(manifest)할 것을 요구한다. 이처럼, 그것이 개개인의 행동에서 논리적으로 추론될 수 없는 것이라면, 동의는 옵트인(opt-in) 절차를 통해서 적극적으로 알려져야 한다. 그러나 이 법의 섹션 17에서는 이 규칙에 중대한 예외를 규정하고 있다. 즉, “기명 목록”(nominative lists, 이름과 연락처)의 경우에는 기업은 이 정보를 해당 목록에 올라와 있는 개개인에게 자신의 개인정보를 사용하는 것에 대하여 “거부할 수 있는 기회”(valid opportunity to refuse)를 부여하는 한, 해당 개인의 정보를 상업적이거나 비상업적인 목적으로 제3자에게 전달할 수 있다는 것이다.

 

이와는 대조적으로, 세가지 불문 법령은 특정한 조건이 충족된다면 일반적으로 옵트아웃 동의(opt-out consent)를 허용한다. 앨버타주와 브리티쉬 컬럼비아주 법령은 개인에게 고지가 있고, 합리적인 철회 기회가 주어지고, 일정한 합리적인 시간 주기가 지난 후에는 철회하지 못하며, 문제의 개인정보 수집, 이용, 공개가 정보민감성을 고려할 때 합리적이라면 옵트아웃 동의를 허용한다. PIPEDA는 “민간기관은 정보가 민감한 것으로 여겨질 경우, 일반적으로 명시적인 동의를 구해야 한다”고 기술함으로써 단지 일반적인 가이드만 제공한다. 그러나 연방 커미셔너는 한정적이며 잘 규정된 목적과, 정보수집시에 해당 개인의 주의를 끌 수 있는 분명한 공지, 그리고 이차적 목적을 옵트 아웃할 수 있는 편리한 절차를 포함해서 옵트아웃이 유효한 고지의 범주를 세분하였다. 하지만 2006년에 실시한 온라인 소매사업자들을 대상으로 한 CIPPIC의 연구에서는 대다수의 업체들이 이차적 사용및 공개를 위해 옵트아웃 동의를 채용했지만, 대부분은 유효한 옵트아웃 동의를 위한 이같은 범주요건에서 하나 이상을 충족하지 못한 것으로 나타났다.

 

유효한 옵트아웃 동의에서 한가지 중요한 범주는 공지이다. 그러나 네가지 법령중에서 어떤 것도 공지가 개개인의 주의를 끌어야 한다고 특정하여 요구하지 않고 있다. PIPEDA는 단지 개인에게 “수집되는 정보가 어떤 목적을 위해 사용될 것이라는 것을 확실하게 알려줄 수 있는 합리적인 노력”만을 요구한다. 앨버타주와 브리티쉬 컬럼비아의 PIPA는 단지 공지가“개개인이 이해할 것으로 합리적으로 기대할 수 있는 형식으로” 주어질 것을 요구한다. 법원과 커미셔너들은 이러한 조항이 수집목적과 옵트아웃 선택권에 대한 공지가 개인정보 수집시에 개개인의 주의를 끌 것을 요구하는 것으로 해석하고 있지만, 여러 연구들은 여러 사업자들이 그렇게 하지 않고 있음을 보여준다. “효과적인”(effective) 공지(그리고 그러한 공지의 실시)에 대한 명백한 요건이 없다면, 옵트아웃 동의는 의미가 없게 된다. 그런 경우라 할지라도, 심리학과 경제학 분야의 이론적, 경험적인 연구들은 옵트아웃 동의라는 프로토콜은 항상 동의가 그릇되게 취해지는 상당히 많은 사례들을 결과할 것임을 보여준다.

 

E. 유보할 권리와 협상할 권리, 동의철회권

 

이 모든 세가지 불문법령은 개개인에게 불필요한 목적에 대해서는 동의를 유보할 수 있는 권리를 부여한다. 반면 퀘벡주법은 동의가 “자유로와야”(free) 할 것을 요구하며, 옵트아웃동의를 따르고 있는 민간기관은 “해당 개인에게 거부할 수 있는 유효한 기회를 주어야 한다”고 요구하고 있다.

 

이에 더하여, 앨버타 주법은 개개인이 자기 동의의 조건을 협상할 수 있도록 허용하는 통상적이지 않은 조항을 갖고 있다. 이 법의 서브섹션 7(3)은 다음과 같다.

 

“개개인은 어떠한 합리적인 조건, 개개인이 직접 승인하거나, 설정한 조건, 아니면 개개인에게 수용할만한 조건이나 자격조건을 갖추었는지 여부에 따라서 동의를 제공할 수 있다.”

 

이 조항은, 합리적이기만 하다면, 데이타의 수집, 이용 및 공개에 관한 표준적인 협약양식에 대하여 개별 소비자가 유효한 수정을 할 수 있음을 보여준다.

 

PIPEDA에는 합리적인 공지에 따라서, 그러나 “법적인 혹은 계약에 의한 제한” 여부에 따라서는 권리행사가 제한되는, 언제라도 동의를 철회할 수 있는 권리가 포함되어 있다. 앨버타주와 브리티쉬 컬럼비아주는 철회로 인하여 법적인 의무이행이 어려워지는 경우에는 권리행사를 제한하는, 보다 견고하며 세부적인 철회권한을 제공한다. PIPEDA와는 대조적으로, 브리티쉬 컬럼비아 주법의 조항은 명시적으로 민간기관이 동의철회를 금지하지 못하게 하고 있으며 앞에서 강조한 대로 앨버타주의 PIPA는 계약에 의한 권리포기를 일반적으로 금지하는 조항을 갖고 있다. 퀘벡주법에는 일반적인 동의철회권은 없지만 개개인에게 기명목록에서 자신의 이름을 뺄 수 있는 권리를 부여하고 있으며, 권리포기를 금지하는 문구가 포함되어 있는 퀘벡주 민법에 따라야 한다.

 

철회권은 우리가 보았듯이 이러한 권리의 목적이 개개인에게 자신의 개인정보에 대한 통제력을 부여하는 것이기 때문에 동의권에서 긴요한 요소이다. 그러나 철회권은 현상유지를 쉽게 수용하는 인간적 경향을 고려한다면 실재하는 것이라기 보다는 환상에 그칠 수 있다.

 

F. 결론 – 민간부문 데이타보호법에서의 동의

 

여러 중요한 점에서 차이가 있으나, 네가지 카나다 민간부문 데이타보호법률 모두는 동의를 데이타의 수집, 이용 및 공개의 유효성을 결정하는 두가지 테스트의 한 부분으로 다루고 있다. 가장 기본적인 테스트는 합리성 테스트이며, 이것은 동의가 요구되는지 혹은 동의를 받았는지 여부와 무관하게 이루어진다. 최소한 이론상으로는 이 기준은 개개인에게 동의를 요구하지 않거나 충분한 인식없이 동의가 주어졌다 하더라도 개개인은 자신의 개인정보의 부적절한 이용과 공개로부터 보호받을 수 있도록 보장한다. 더 나아가 동의가 일반적으로 법령에서 규정하고 있는 프라이버시권을 훼손하는데 이용될 수 없다.

 

이러한 맥락에서 동의의 역할은 명백하게 개개인에게, 기업의 데이타의 처리행위에 대하여 합리성을 기준으로 하여 여러 제한이 부과되어 개개인이 프라이버시침해를 방지하는 보호를 향유하게 되지만 그러한 것 이상으로 자신의 개인정보에 대한 보다 더 큰 통제력을 제공하는 데에 있다. 동의가 통제력을 제공하기 위하여 고안되었다는 사실을 잘 보여주는 사례에는 앨버타주법에서 개개인이 자신의 동의 조건을 정할 수 있도록 허용하는 조항, 퀘벡주의 동의의 시효제한, 앨버타주법과 브리티쉬 컬럼비아주법 그리고 PIPEDA의 동의철회권, 그리고 이 세 주의 제3자의 수집제한 등이 있다.

 

그러나 이러한 동의조항이 실제로 개개인에게 제공하는 통제력의 효율성에 대하여 의문을 제기할만한 이유가 있다. 즉, 한편으로는 각각의 법령에 동의에 대한 여러가지 예외들이 있으며, 그보다 더 큰 이유로는 각각의 법제도하에서도 비즈니스의 “필요”(needs)를 명시적으로 인정하거나 옵트아웃 동의를 재가하고 있기 때문이다. 이론적, 경험적 연구들은 옵트아웃 동의의 유효성과 효율성에 대하여 의문을 제기해왔다. 사실 우리는 옵트아웃 방식이 유효하다면 그것은 곧 동의가 제공하는 바로 그 통제력을 제거하는데 있다고 주장할 수 있다. 동의는 그 동의가 이루어지는 대상에 대한 인식이 없다면 무의미하다. 이런 이유로 해서 우리는 정보 프라이버시는 궁극적으로 동의 요건에 의해서 보다 각각의 법령에 포함되어 있는 권리에 기반한 합리성 테스트에 의해서 더 잘 보호된다고 믿는다.

 

 

V. 결론

 

동의는 개개인에게 자신의 정보프라이버시에 대한 통제력을 제공하기 때문에 데이타보호에서 중요한 요소이다. 그러나 인간의, 정부의, 그리고 시장의 행태 현실을 고려한다면 동의가 그 자체로 충분한 보호를 제공하는 것은 아니다. 이것은 공공부문이나 민간부문 모두 그러하다. 즉 이런 모든 부문에서 동의요건은 효율적인 데이타 보호를 위해서는 “합리성 기준”으로 보완되어야 할 필요가 있다.

 

공공부문과 민간부문 제도에서 가장 현저한 차이는 동의가 갖는 상대적인 중요성과 역할이다. 동의는 민간부문 보호제도에서는 중심적인 위치를 차지하지만, 공공부문에서는 아주 작은 역할을 한다.

 

카나다의 법령이 갖고 있는 문제점들에도 불구하고, 앞에서 본 네가지 민간부문의 데이타보호 법령들은 동의가 중요하지만 결정적이지는 않은 역할을 하는 합리적인 제도를 구축하고 있다. 우리가 주장하기로는 이들 법령이 안고 있는 가장 큰 흠결은 효과적인 공지요건도 없이 비즈니스의 필요성을 명시적으로 인정하고 결과적으로 옵트아웃 동의를 재가하고 있는 점이다. 이들 법령에서 동의 요건은 보다 강력한 공지요건 뿐 아니라 보다 효과적인 법집행제도를 함께 가지고 있어야 한다.

 

이와는 대조적으로 공공부문의 데이타보호법은 동의보다도 프라이버시 보호규칙이나 정부가 요구하는 절차에 더 의존하고 있다. 그러나 오늘날 정부가 시민을 추적하고 감시할 수 있는 기술적인 능력은 이러한 법률이 만들어지던 시점에 생각할 수 있었던 정도를 넘어서고 있다. 프라이버시법은 이러한 기술의 진보를 따라잡지 못했다. 이러한 맥락에서 공공부문에서 개개인의 자기 정보에 대한 통제력을 박탈하는 것은 정부 이해를 보호하는 데에서 너무 나아간 것일 수 있으며, 이것은 개인의 자치와 존엄을 무시하는 것이다. 이는 또한 수집되는 개인정보의 민감한 성격과 프라이버시 보호의 헌법적인 측면을 무시하는 것이기도 하다. 개개인의 동의가 (세무행정과 같은) 어떤 상황에서는 분명히 부적절하지만, 공공부문이라는 맥락에서 항상 부적절한 것은 아니기 때문이다. 우리가 보기에는 어떤 사례분석에서는 개인쪽에 더 많은 선택이 보장되는 분야들이 있음을 보여준다.

 

자유민주주의 체제에서 참여민주주의와 시민자치라는 가치는 바로 시민들이 갖는 자신의 개인정보에 대한 보다 더 큰 통제력과 연결된다. 그러나 그러한 통제력은 환상이 아니라 실재여야 한다. 민간부문 데이타보호법에 대한 그간의 경험을 보면 동의가 완전히 효율적인 것은 아니었음을 보여준다. 정부가 보유하고 있는 개인정보에 대하여 시민에게 보다 더 큰 통제력을 부여하기 위한 여러 개혁적인 시도들은 이러한 경험에 주목해야 한다.

 

 

 

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s