공개된 개인정보의 활용 및 보호에 관한 법적 쟁점과 입법 동향

Abstract

공개된 개인정보에 대한 법적 해석에 대하여 많은 논의가 존재한다. 인터넷이나 SNS를 통해 공개한 개인정보에 대해서는 보호할 필요가 없다고 주장하는 견해가 있는 반면 공개가 되었다 하더라도 다른 사람에 의하여 그것을 수집·활용하게 하는 것을 전제로 한 것이 아니기 때문에 여전히 정보주체의 동의가 필요하다는 견해도 존재한다. 개인정보의 가치증대에 따라 공개된 개인정보를 활용하고자 하는 수요는 많아지고 있으나 아직까지 「개인정보보호법」과 관련 법률에서는 이를 명확하게 규정하고 있지 않고 있어 논의는 지속될 것으로 보인다. 이러한 상황속에서 해외의 주요국가들은 이 문제를 어떻게 해결하고 법제도적으로 대응하고 있는지에 대해서 살펴보고, 공개된 개인정보의 법적 취급과 접근방식에 대해 간략하게 제시해보고자 한다.

Ⅰ. 서론

공개된 개인정보는 정보 주체의 동의 없이 활용할 수 있을까? 이 글은 이와 같은 질문에서부터 출발한다. 최근 5-6년 사이에 인터넷이나 SNS 등을 통해서 공개된 개인정보를 인공지능기술 등을 통해 수집, 활용, 분석 등을 하고 이를 통해 수익을 창출하는 것에 대해서 이슈가 되고 있다. 이에 대하여 자신이 공개한 것이기 때문에 동의가 있는 것으로 봐야 하므로 이를 수집·사용하는 것은 법률을 위반한 것이 아니라고 한다. 반면 공개가 되었다 하더라도 다른 사람에 의하여 그것을 수집·활용하게 하는 것을 전제로 한 것이 아니기 때문에 여전히 정보 주체에게 그 의사를 물어야 한다는 견해도 존재한다. 세계 각국의 법률이나 정부의 입장도 나누어지고 있다. 법률을 통해서 일정한 조건 하에서 공개된 개인정보에 대해서는 동의를 받지 않도록 규정하기도 하고, 온라인을 통해서 광범위하게 정보수집을 하는 행위를 경계하며 사업자에게 일정한 조건을 준수하는 전제에서만 데이터를 수집하고 활용할 것을 강조하기도 한다.

빅데이터 시대의 도래로 데이터는 이제 세계에서 가장 영향력 있는 자원이 되었고, 활용 가능한 데이터 중 가장 가치 있는 데이터인 ‘개인정보’는 어떻게 활용할 수 있고, 활용해야 하는가가 늘 중요한 화두이다[1]. 데이터와 인공지능 알고리즘이 발전한 현대기술사회에서는 데이터 분석의 결과가 단순히 ‘현상의 해석’에 그치는 것이 아니라 ‘미래의 예측’을 가능하게 하기 때문이다. 이에 데이터플랫폼 기업 등 데이터를 통해 다양한 이익을 창출하고자 하는 주체들은 다량의 개인정보를 수집하고 싶어 하며, 사전동의 등 규제에 제약받지 않고 활용도를 극대화하는 것을 목표로 할 것이 예상된다. 이러한 상황에서 데이터의 활용을 핵심으로 하는 신기술과 그에 따라 창출되는 다양한 서비스들에 대해 산업적 활용 가능성과 경제적 부가가치를 저해하지 않으면서 실질적으로 개인정보 보호를 담보할 수 있는 제도적 개선 논의는 지속적으로 이어지고 있다. 유럽연합은 GDPR을 통해 개인의 정보통제권을 보장하고 보다 강력하고 통일적인 개인정보보호 규제체계를 마련함과 동시에 EU 내에서는 개인정보의 자유로운 이동을 보장함으로써 데이터 활용의 기반을 마련하고 있으며 일본은 2017년 새롭게 개정된 개인정보보호법을 통해 데이터활용을 촉진시키고자 규제를 완화하는 방향으로 끌어가고 있다. 우리나라도 주요국 대비 개인정보보호 관련 법제의 규제수준이 높다는 평가를 받았었으나, 일명 ‘데이터3법’의 개정으로 데이터의 활용과 가치를 극대화하고 국가 경제와 산업의 발전을 도모하고자 하는 노력들을 이어가고 있다[2].

Ⅱ. 공개된 개인정보 취급에 대한 법적 쟁점과 문제

2.1. 문제의 소재

개인정보보호법을 비롯한 개인정보를 보호하는 것을 내용으로 하고 있는 법률의 핵심은 개인에게 자신에 대한 정보를 통제할 수 있는 구체적인 권리를 부여하는 것이다. 이른바 ‘개인정보자기결정권’의 실현이다. 자신의 정보를 누구에게 줄 것인가, 어떻게 쓰게 할 것인가, 언제까지 보관하게 할 것인가 등을 명확하게 인지하고 그 의지에 따라 제공하고 통제할 수 있도록 하는 것이다. 개인정보의 제공은 누군가를 특정해서 제공하기도 하지만 SNS 등을 통해 누구나 볼 수 있도록 게시되기도 한다. 또는 공적 생활을 통해 이미 형성된 경우도 존재한다. 공개된 개인정보의 취급에 관한 법적쟁점은 이렇게 공개된 정보를 제3 자가수집, 활용하는 경우에 있어 해당 개인정보를 법적으로 보호할 것인가? 에 대한 것이다. 개인정보의 공개는 개인의 적극적인 공개행위에 의해 직접 이루어질 수도 있고, 제3 자에 의해서 소극적으로 이루지기도 하고 때로는 묵시적으로도, 명시적으로도 이루어질 수 있다[3].

이 문제가 본격적으로 논의되기 시작된 것은 2016년 학교 홈페이지에 게시된 대학 교수의 개인정보를 수집하여 유료로 제3자에게 제공한 회사 등에게 해당 대학 교수들이 개인정보자기결정권 등을 침해하고 개인정보보호법을 위반하였음을 이유로 소송을 제기한 사건(일명‘로앤비’사건)에서 부터이다. 이 사건 이외에 도미국의‘Clearview AI’라는 회사가 페이스북, 트위터 등을 통해 공개된 사진을 자동으로 수집하여 30억명 이상의 개인 사진을 DB로 축적하여 안면인식기술을 통해 실시간으로 개인의 신원정보를 파악하고 추적할 수 있는 서비스를 FBI 등 법집행기관에 제공하여 논란이 되었었다[4].

2.2. 현행 개인정보보호법령의 규율 상황과 쟁점

2.2.1. 개인정보보호법

현행 개인정보 보호법 은 ‘공개된 개인정보’의 취급에 대하여는 별도의 규정을 두고 있지 않다. 개인정보를 수집·활용하고 제3자에게 제공하기 위해서는 정보 주체에 대하여 ‘동의’를 받아야 하는데(법 제15조 제1항 제1호1) , 제17조 제1항 제1호2)), 정보주체가 이미 개인정보를 공개한 경우에는 묵시적으로 ‘동의’를 한 것으로도 볼 수 있다고 해석이 가능하다. 해당 규정들은 단순히 ‘동의’라고만 명시하고 있지 명시적으로 ‘동의’를 받은 경우에만 해당 동의가 유효하다고는 하고 있지 않기 때문이다[5]. 따라서 이러한 묵시적 동의가 법률에서 요구하는 동의라고 볼 수 있는지 아니면, 명확하게 동의의 의사를 표명한 경우에만 법률상 유효한 ‘동의’에 해당한다고 해석해야 하는지 논란이 발생하게 된 것이다. 또한 제22조에서는 동의를 받는 방법에 대해서 규정하고 있는데, 동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의받을 것을 요구하고 있다. 이에 더하여 정보주체의 동의를 받는 세부적 방법이 규정되어 있어 제22조의 적용을 전제로 하는 경우에는 개인정보의 공개를 적법한 동의로 해석할 수 있는 여지는 더욱 줄어든게 된다[5] 3) . 다만 개인정보 보호법은 공개된 개인정보와 관련하여 명시적 규정을 두고 있지는 않지만 법 제20조에서 개인정보처리자에게 정보주체 이외로부터 수집한 개인정보를 처리하는 경우, 정보주체의 요청이 있으면 즉시 수집출처와 처리목적, 처리정지 요구권이 있다는 사실 등을 고지하도록 규정하고 있다. 4) 따라서 공개된 개인정보처리자가 공개된 개인정보를 수집한 경우에도 정보주체 이외로부터 개인정보를 수집하는 경우에 해당할 것이므로 정보주체의 요구가 있으면 위의 내용을 고지해야 한다. 그러나 이 경우에도 정보주체가 본인이 공개한 개인정보들이 언제, 어디서, 어떻게 쓰이고 있는지를 파악하여 해당 권리를 요구한다는 것은 비현실적이기 때문에 법 제20 조의 권리는 행사를 하기 실질적으로 어려울 것이라 해석되고 있다.

2.2.2. 표준 개인정보보호지침

한편 법률은 아니지만 개인정보보호 관련 지침과 가이드라인 등이 있는데 법률의 집행 등에 관하여 상세한 내용을 규정하고 있어 함께 살펴보도록 한다. 「표준개인정보보호지침」5) 제6조 제4항에서는 “개인정보 처리자는 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사 가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다”라고 규정하고 있어 공개된 개인정보에 대해서 유일하게 명시적 언급하고 있다. 제6조 제3항의 내용도 유사한 취지로 파악될 수 있는데 정보 주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서는 개인정보 수집 및 이용이 가능하다고 규정하고 있다. 해당 지침에 근거해 개인정보처리자는 공개된 개인정보에 대해서 사회통념상 동의가 있었다고 인정되는 범위 내에서는 개인정보를 수집할 수 있을 것으로 보인다. 그러나 이 경우에도 영리적으로 활용이 가능한지, 영리적 활용이 가능하다고 판단될 경우에도 추가적으로 동의를 받아야 하는지, 특히 ‘사회통념상’ 동의가 있었다고 인정되는 범위의 의미가 무엇인지 명확하지 않다는 어려움이 존재한다[3].

2.2.3. 빅데이터 개인 정보 보호 가이드라인

‘빅데이터 개인정보보호 가이드라인’ 6)은 현재는 시행되고 있지 않지만 2014년 제정되어 2016년까지 빅데이터 활용을 위한 개인정보보호에 대하여 세부적 기준을 제시하고 있었다[6]. 빅데이터 처리와 개인정보보호에 관한 최초의 가이드라인으로 빅데이터의 활용에 있어 개인정보의 보호와 안전한 이용환경 조성을 목표로 한 것으로 동 가이드라인에서 ‘공개된 개인정보’ 관련하여 비교적 자세한 정의를 하고 있었다. 제2조에서는 ‘공개된 개인정보’를 이용자 및 정당한 권한이 있는 자에 의해 공개 대상이나 목적의 제한없이 합법적으로 일반 공중에게 공개된 부호·문자·음성·음향·영상 등의 정보라고 정의하였었다. 따라서 정보통신서비스 제공자가 개인정보가 포함된 공개된 정보를 수집·저장·조합·분석 등 처리하고자 하는 경우에는 비식별화 조치를 취한 후 수집·저장·조합·분석 등을 처리하여야 한다고 규정하였다(제4조 제1항). 또한 이 경우 공개된 개인정보를 처리하는 그 사실과 목적을 개인정보취급방침을 통해 공개하고, 이용자 등의 요구가 있으면 즉시 수집 출처와 처리 목적, 처리정지요구권을 행사할 수 있다는 사실 등을 이용자에게 고지하도록 하였다(제4조 제2항 및 제3항).

2.3. 관련 판례의 결과와 논의의 흐름

2.3.1. 주요 판례의 내용과 쟁점

2.3.1.1. ‘로앤비’ 사건

'로앤비’ 사건의 경우 공립대학교 교수로 재직 중인 원고는 종합적인 법률정보 제공 사이트를 운영하며 국내 법과대학 교수들의 개인정보를 ‘법조인’ 항목에서 유료로 제공하는 사업을 영위한 피고 로앤비에게 소를 제기한 사건이다. 피고 ‘로앤비’는 원고들이 재직 중인 학교 홈페이지에 공개된 사진, 성명, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 수집하여⁷⁾ 사이트 내 ‘법조인’ 항목에 게시한 다음 이를 유료로 제3자에게 제공(판매)하였고, 이러한 제공(판매)행위가 정보주체인 원고의 개인정보자기결정권 등을 침해하거나 「개인정보보호법법」을 위반한 위법한 행위인지가 이 사건의 쟁점이 되었다. 원심에서는 공개된 개인정보의 경우, 공개된 자료의 성질이나 공개 당시의 상황에 비추어 정 보주체의 명시적 동의가 있었다고 인정되는 범위 내에서는 비영리목적으로 수집하여 제3자에게 제공하는 행위는 특별한 사정이 없는 한 적법하다고 판단하였다. 그러나 ‘처리범위 또는 공개대상에 관한 명시적 표시가 없이 공개된 개인정보’에 대해서는 ‘영리목적’과 ‘비영리목적’을 나누어서 판단하였는데, 공개된 개인정보를 정보주체의 동의가 있었다고 인정되는 범위 내에서 ‘비영리목적’으로 수집하여 제공하는 경우에는 특별한 사정이 없는 한 ‘적법’하다고 보았으나, 공개된 개인정보를 ‘영리목적’으로 수집하여 제공하는 경우 정보 주체가 공적인 존재라 하더라도 원칙적으로 위법하다고 판시하였다. 8) 반면 대법원은 원심판결을 뒤집고 파기환송 결정을 하였다. 대법원은 이미 공개된 개인정보일지라도 개인정보자기결정권의 보호대상이라는 점은 재확인을 하였으나 원심과 다르게 개인정보를 처리하는 자에게 영리목적이 있다는 사정만으로 그 정보처리 행위를 위법한 것으로 볼 수 없다고 하였다. 즉, 위법한지 여부를 판단함에 있어 영리목적과 비영리목적을 나누어 고려할 필요는 없다는 입장이었다. 대법원은 직접 또는 제3자를 통하여 이미 공개한 개인정보는 그 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정한 범위 내에서 동의를 한 것으로 보았다. 특히 동의의 범위가 외부에 표시되지 않았다는 이유만으로 다시 정보주체에게 별도의 동의를 요구하는 것은 정보주체의 공개의사에도 부합하지 않으며, 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기 위한 비용만을 부담시키는 결과를 초래할 것이라고 우려하였다. 따라서 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위내에서는 수집·이용·제공 등의 처리를 할 때에는 정보주체의 별도의 동의는 불필요하다고 판단하였다. ⁹⁾

2.3.1.2. ‘전교조’ 사건

이 사건은 2008년 A국회의원이 교육과학기술부(현 교육부)를 상대로 교원노조가입교사 현황자료를 요청하면서 발생한 사건이다. A국회의원은 전국교직원노동 조합(이하 ‘전교조’)에 가입한 교원의 개인정보(소속학 교명, 교사명, 담당교과, 노동조합 가입현황 등)를 법률에 근거하여 교육과학기술부장관으로부터 제출받았고 이를 자신의 홈페이지에 공개하겠다고 예고하였다. 이에 전교조 소속 교사들이 공개를 금지할 것을 청구하는 내용의 가처분신청을 하였고 법원은 이를 공개하면 안된다고 하여 가처분신청을 받아들였다. 그럼에도 불구하고 A국회의원은 홈페이지에 명단을 공개하였고, B언론사는 A국회의원으로부터 위 개인정보를 제공받아 언론사 홈페이지에 이를 공개하였다. 이에 대해 전 교조 및 소속 교사들이 사생활의 비밀과 자유 또는 단결권을 침해하였다는 이유로 A국회의원과 B언론사를 상대로 손해배상청구를 하였다. 10) 이 사건에서의 쟁점은 개인정보자기결정권의 보호대상 개인정보에 이미 공개된 개인정보가 포함되는지의 여부였다. 이 사건에서 대법원은 개인정보자기결정권의 보호대상이 되는 개인정보는 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함하는 것으로 보았다. 전교조 교원의 인적사항도 개인정보자기결정권의 보호대상이 되는 개인정보의 범주에 포함되므로 원고의 개인정보자기결정권을 침해하였고, 또한 이 정보의 공개가 개별적 또는 집단적 단결권을 침해하였다고 인정하였다.

2.3.2. 판례에 대한 해석과 비판

두 판례가 확정된 이후 판례에 대하여 다음과 같은 평가가 이루어졌다. 먼저 전교조 사건의 경우 A국회의 원이 전교조에 가입한 교원의 개인정보를 정보주체의 동의없이 자신의 홈페이지에 공개하는 행위는 동의가 있어야만 적법한 것으로 판단하는 「개인정보 보호법」 에 정면으로 위반하는 것으로 A국회의원이 공개한 개인정보를 B언론사가 공개된 개인정보라고 하여 정보주체의 동의없이 다시 공개하는 것도 위법한 것이라고 보고 있다. 이러한 측면에서 법원의 판단결과에 공감을 하지만 B언론사가 이미 공개된 개인정보라는 이유로 정보주체의 동의없이 수집하고 활용하는 행위가 위법한 것으로 판단되어야 하는 근거에 대해서는 이 사건에서 교사들의 개인정보 공개는 정보주체에 의하여 이루어진 것이 아니며, 정보주체의 자유로운 공개의사에 의해 이루어진 것으로 적법하게 공개된 개인정보가 아니라는 점에 대한 위법함을 확인했어야 한다고 한다. 이에 더해 만약 교사 스스로 개인정보를 공개하였거나 자유로운 공개의사에 따라 제3자가 적법하게 공개한 것을 B언론사가 수집하여 이를 정리·공개한 것이라면 단지 정보주체의 동의를 얻지 않았다는 이유로 위법하다고 판단해서는 안된다고 한다[5].

‘로앤비 사건’에 대해서는 정보주체의 의사에 대한 과도한 해석을 한 것이라는 비판이 존재한다. 재산적 가치로 환원될 수 없는 고유의 인격적 법익을 내포하는 개인정보를 정보주체의 동의 없이 영리목적으로 이용하는 것은 그 자체가 개인정보 오·남용의 전형적인 사례에 해당하며, 이는 정보주체의 재산적 이익을 침해하는 행위에 해당한다고 보면서 공개된 개인정보라도 해당 정보에 대한 결정권한은 정보주체에 남아있는 것이고, 사회통념상 정보주체가 그 개인정보를 영리 목적에 이용하는 것에 대하여까지 동의한 것으로 보기 어려우며, 해당 정보의 공개목적 범위 내의 활용이라고 보기도 어렵다고 지적한다[7]. 또한 개인정보보호법은 개인정보의 수집·이용에 대하여 제15조에서 정보주체의 동의 등 몇가지 사유에 한하여만 예외적으로 명시하고 허용하고 있는데도 불구하고 대상 판결이 법률상 근거 없이 동의없는 수집·이용이 가능하다고 판단한 것은 법적 근거 없는 새로운 법리를 창조한 것이라고 비판하기도 한다. EU의 GDPR이나 캐나다, 호주, 뉴질랜드 등과 같이 ‘공중이 이용 가능한 정보’에는 수집 동의를 받지 않아도 되는 것으로 입법을 통해 규정하고 있는 반면, 우리의 경우 이를 법률로 규정하고 있지 않는데도 수집·이용 동의 없는 이용이 가능한 것으로 해석하였기 때문이라는 것이다. 또한 법률은 개인정보의 수집·제공에 있어 공개된 개인정보와 비공개된 개인정보를 구별하고 있지 않고 공개된 개인정보 역시 개인 정보자기결정권의 보호영역에 포함되는데도 불구하고 공개된 개인정보에 대해 이를 묵시적·추정적 동의가 있는 것으로 보는 것은 기존 법리와도 저촉된다는 것이다[8]. 개인정보의 공개행위에 대해 수집이나 제3자 제공 등의 처리에 관하여는 일정한 범위 내에서 동의를 한 것으로 간주한 해석은 우리의 개인정보보호법제가 가지고 있는 공개된 개인정보에 대해 규율상의 공백을 메우는 법창설적이고 적극적인 해석으로 의미가 있어 긍정적 평가를 할 수 있다는 견해도 존재한다. 따라서 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서는 수집·이용·제공 등의 처리를 할 때에 정보주체의 별도의 동의는 불필요하다는 판례이론은 사회 전체에 의해 존중되어야 한다고 강조하고 있다[5].

한편, 판례에 대한 해석과 비판은 아니지만 공개된 개인정보에 대해 개인정보자기결정권은 개인이 기업이나 정부에 정보를 제공하면서 겪을 수 있는 정보감시를 막기 위한 것으로 협의의 프라이버시 법익이 존재한다고 볼 수 없는 일반적으로 공개가 이루어진 정보들에 대해서는 개인정보자기결정권이 적용되지 않는 것이 옳다는 견해도 있다. 일반적으로 공개된 개인정보의 경우 추가적으로 발생할 정보감시에 의한 위축효과가 존재하지 않기 때문이라는 것이다[9].

Ⅲ. 해외의 동향과 주요내용

3.1. 유럽연합

유럽연합의 일반개인정보보호규정(General Data Protection Regulation, GDPR)에서는 공개된 개인정보에 대한 명시적 규정은 없으나 관련하여 해석이 가능한 규정은 존재한다. GDPR 제9조는 특정범주의 개인 정보 처리에 대하여 다루고 있는데, 특히 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적취향에 관한 정보의 처리를 금지하고 있다. 다만 특정한 요건하에서 이러한 정보처리가 가능한데 그 요건 중 하나가 ‘정보주체가 명백하게 공개한 개인정보와 관련된 처리’에 해당하는 경우이다. 정치적 견해, 종교적 또는 철학적 신념 등에 대한 정보를 처리하는 것을 금지하는 규정에 포함된 처리 예외요건이기 때문에 이와 관련된 공개된 개인정보를 처리하는 경우 개인정보주체가 명백히 공개하였다고 판단되면 동의없이 수집·처리할 수 있다.

GDPR 제9조 특정 범주의 개인정보의 처리

1. 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보의 처리는 금지된다.

2. 다음 각 호의 하나에 해당하는 경우 제1항은 적용되지 않는다.

⋮

(e) 개인정보주체가 명백히 공개한 개인정보와 관련된 처리인 경우

(processing relates to personal data which are manifestly made public by the data subject)

⋮

반면, GDPR 제14조는 개인정보가 정보 주체로부터 제공받은 것이 아닌 다른 방법으로 수집한 경우에 대하여 규정하고 있는데, 이 경우 개인정보처리자로 하여금 관련된 정보(개인정보처리자의 연락처, 처리 목적 또는 처리의 법적 근거, 처리하는 개인정보의 범위 등)나 정보주체의 권리(개인정보에 대한 열람, 정정, 삭제 요구권 등)에 대해 정보주체에게 고지하도록 하고 있다. 다만 ‘개인정보주체로 수집되지 않은 개인정보’에 ‘공개된 개인정보의 수집’이 포함되는지 여부가 문제될 수 있는데, 제14조 제2항 (f)에서 ‘개인정보의 출처, 가능한 경우 해당 개인정보가 공개 출처로부터 비롯되었는지 여부’가 포함되어 있는 것으로 보아 공개된 개인정보를 수집하는 경우에도 해당 규정이 적용되는 것으로 해석할 수 있다.

한편, 제14조에 따라 공개된 개인정보를 수집할 경우 부여되는 고지의무는 해당정보의 제공이 불가능하다고 입증되거나 비례적으로 과도한 노력을 필요로 하는 경우 등의 상황이 인정된다면 이를 면제받을 수 있다(제14조 제5항).

GDPR 제14조 개인정보가 개인정보주체로부터 수집되지 않은 경우 제공되는 정보

1. 개인정보가 개인정보주체로부터 수집되지 않은 경우, 개인정보처리자는 다음 각 호의 정보를 개인정보주체에게 제공해야 한다.

(a) 개인정보처리자 또는 가능한 경우, 개인정보처리자의 대리인의 신원 및 상세 연락처

(b) 해당되는 경우, 개인정보보호 담당관의 상세 연락처

(c) 해당 개인정보의 예정된 처리 목적뿐 아니라 처리의 법적 근거

(d) 관련 개인정보의 범주

(e) 해당되는 경우, 개인정보의 수령인 또는 수령인의 범주

(f) 해당되는 경우, 개인정보처리자가 제3국이나 국제기구의 수령인에게 개인정보를 이 전할 예정이라는 사실과 집행위원회가 내린 적정성 결정의 유무, 또는 제46조, 제 47조, 제49조(1)의 두 번째 단락에 명시된 이전의 경우, 적절하고 적합한 안전조치, 그 사본을 입수하기 위한 수단, 안전조치가 사용 가능하게 되는 경우에 대한 언급

2. 제1항의 정보와 함께, 개인정보처리자는 개인정보주체와 관련한 공정하고 투명한 처리를 보장하는 데 필요한, 다음 각 호의 정보를 개인정보주체에 제공해야 한다.

(a) 개인정보의 보관기간, 또는 이것이 여의치 않을 경우, 해당 기간을 결정하는 데 사용하는 기준

(b) 제6조(1)의 (f)호에 근거한 처리의 경우, 개인정보처리자 또는 제3자의 정당한 이익

(c) 개인정보처리자에게 본인의 개인정보에 대한 열람, 정정, 삭제를 요구하거나 개인정보주체 본인에 관한 처리의 제한이나 반대를 요구할 권리, 그리고 본인의 개인정보를 이전할 수 있는 권리의 유무

(d) 해당 처리가 제6조(1)의 (a)호나 제9조 (2)의 (a)호에 근거하는 경우, 철회 이전에 동의를 기반으로 한 처리의 적법성에 영향을 주지 않고 언제든지 동의를 철회할 수 있는 권리의 유무

(e) 감독기관에 민원을 제기할 수 있는 권리

(f) 개인정보의 출처, 가능한 경우 해당 개인정보가 공개 출처로부터 비롯되었는지 여부

(from which source the personal data originate, and if applicable, whether it came from publicly accessible sources)

⋮

5. 다음 각 호에 해당하는 경우 그 범위에 한하여 제1항부터 제4항까지가 적용되지 않는다.

(a) 개인정보주체가 이미 해당 정보를 보유하고 있는 경우

(b) 해당 정보의 제공이 불가능하다고 입증되거나 비례적으로 과도한 노력을 요하는 경우, 특히 제89조(1)의 조건 및 안전 조치에 따른 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적을 위한 처리에 대해 그러한 경우. 또는 본 조 제1항에 규정된 의무가 그 처리의 목적 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되는 경우. 그 경우, 개인정보처리자는 개인정보주체에게 통보해야 할 정보를 공개하는 등 개인정보주체의 권리와 자유 및 정당한 이익을 보호하기 위한 적정한 조치를 취해야 한다.

GDPR 이외에도 유럽연합은 국가기관이 수사목적으로 증거를 수집하는 과정에서 공개된 개인정보를 처리할 경우에 대하여는 ‘형사사법절차에서의 개인정보 보호지침(Directive (EU) 2016/680)’ 규정하고 있는데¹¹⁾ 동 지침 제10조는 민감정보는 적절한 보호조치를 기반으로 엄격히 필요한 경우에 활용할 수 있음을 명시하고 있으며, (c)에서 개인정보주체가 명백하게 공개한 개인정보를 처리할 경우 민감정보를 활용할 수 있도록 하고 있다[10].

Directive (EU) 2016/68012) 제10조 특정 범주의 개인정보의 처리

1. 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념, 노동조합의 가입여부를 나타내는 개인정보의 처리와 유전자 정보, 자연인을 고유하게 식별할 목적의 생체정보, 건강정보, 성생활 또는 성적 취향에 관한 정보는 데이터 주체의 권리와 자유에 대한 적절한 보호 조치를 기반으로 엄격히 필요한 경우에만 허용되며, 다음과 같은 경우에만 허용된다.

(a) 연합 또는 회원국 법률에 의해 승인된 경우

(b) 데이터 주체 또는 다른 자연인의 중요한 이익을 보호하기 위한 경우

(c) 개인정보주체가 명백히 공개한 개인정보와 관련된 처리의 경우

(where such processing relates to data which are manifestly made public by the data subject.)

이에 대해서 EU 제29조 작업반은 정보주체가 명백히 공개한 개인정보란 정보주체가 법집행 당국을 포함하여 보든 사람이 접근 가능하도록 각 개인정보가 공개되었음을 인식하고 있는 경우를 의미하는 것으로 해석해야 할 것을 강조한 바 있다. 작업반은 해당 사실이 모호할 경우 동의의 범위를 최대한 좁게 해석해야 한다고 본다. 일반적으로 개인정보를 언론, 웹사이트 등에 공개하는 경우에는 공개의 의도와 인지의 정도가 명확하여 처리의 범위를 결정하기 쉬우나 SNS 활동의 경우 대부분의 사용자들이 개인정보보호지침을 적극적으로 파악하지 않으며 자신의 정보에 수사기관이 접근 가능하다는 것을 알지 못하기에 보수적인 해석이 필요하다고 하였다[11].

3.2. 미국

캘리포니아주의 ‘소비자 프라이버시 보호법 (California Consumer Privacy Act of 2018, CCPA)’ 은 미국 내 가장 엄격하고 강력한 프라이버시법으로 평가받는다[12]. 이 법은 개인정보를 “직·간접적으로 특정 소비자 또는 가족관계(a household)를 식별 또는 설명하거나, 특정 소비자 또는 가족관계와 관련되어 있거나, 연관될 수 있거나, 합리적으로 연결될 수 있는 정보”라고 정의하면서(§1798.140. (o)(1)), ① 성명, 별칭, 주소 및 IP주소, ② 캘리포니아주나 연방법의 보호분류 의 특성, ③ 개인재산, 구매 물품 및 서비스, 소비내역, 성향을 포함한 상업정보, ④ 생체정보, ⑤ 검색기록과 같은 인터넷이나 그 밖의 전자네트워크 활동 정보¹³⁾ , ⑥ 위치정보, ⑦ 오디오, 전자, 시각, 열, 후각 또는 이와 유사한 정보, ⑧ 직업 또는 고용 관련 정보, ⑨ 교육 정보, ⑩ 소비자에 관한 파일을 생성하기 위한 식별정보로부터 유도된 추론 등이 개인정보에 포함되지만 이에 국한하는 것은 아니라고 규정하고 있다(§1798.175). CCPA상 개인정보의 범위에는 자연인뿐만 아니라 가 족관계에 관한 정보도 포함되며, 기기식별자, 행태정보, 추론정보, 추정식별자 등까지도 개인정보에 포함하고 있어 개인정보의 범위를 비교적 넓게 정의하고 있는 특징을 갖는다. CCPA는 ‘검색기록과 같은 인터넷이나 그 밖의 전자네트워크 활동정보’를 개인정보로 규정하고 있으나 적용범위에 관한 규정에서 “개인정보에는 공개적으로 이용 가능한 정보는 포함되지 않는다.”라고 하여 공개적으로 사용가능한 정보는 개인정보에서 제외하고 있다(§1798.140.(o)(2)). 여기서의 ‘공개적으로 이용가능한 정보’는 연방법 또는 주(州)법이나 지방정부의 기록들로부터 합법적으로 이용 가능한 정보를 말하며, 공개되는 목적에 부합하지 않는 목적을 위해 사용되는 경우에는 공개적으로 사용가능한 정보에 해당하지 않는다.

CCPA §1798.140.(o)(2)

“개인정보”에는 공개적으로 이용 가능한 정보는 포함되지 않는다(does not include publicly available information). 이러한 목적상, “공개적으로 이용 가능한(Publicly available)”이 라는 것은, 해당 정보와 관련된 조건이 있다면, 연방, 주, 또는 지방정부 기록들로부터 합법적으로 이용 가능한 정보를 의미한다. “공개적으로 이용 가능한”은 소비자가 모른 상태에서 사업자가 소비자에 대해 수집한 생체인식정보를 의미하지 않는다. 해당 정보가 이러한 정보가 정부 기록에 유지되어 공개되는 목적 또는 해당 정보가 공개적으로 유지되는 목적에 부합되지 않는 목적을 위해 사용되는 경우에는 “공개적으로 이용 가능한” 것이 아니다. “공개적으로 이용 가능한”에는 비식별화된 소비자 정보 또는 종합 소비자 정보는 포함되지 않는다.

3.3. 캐나다

캐나다 공공분야의 개인정보보호를 규율하는 ‘프라 이버시법(The Privacy Act)’에서는 제7절에서 개인정보의 사용 요건을, 제8절에서 개인정보의 공개 요건을 명시하고 있다. 제7절은 정부 기관이 관리하는 개인정보는 기관이 정보를 수집하거나 편집한 목적을 위해 사용하거나, 해당 목적과 일치하는 용도로 사용하는 경우, 해당 정보를 제8절(2) 14)에 따라 기관에 공개하려는 경우를 제외하고는 개인의 동의 없이 사용할 수 없다고 규정한다. 다만 법률의 적용범위를 정하고 있는 규정에서 “제7절과 제8절은 공개적으로 제공되는 개인정보에는 적용되지 않는다(Sections 7 and 8 do not apply to personal information that is publicly available.).”라고 명시하여 공개된 개인정보에 대해서는 개인정보의 사용 등에 대한 적용규정을 배제시키고 있다(Sec.69(2)).

한편, 민간분야의 개인정보보호에 관하여 규율하는 ‘개인정보보호 및 전자문서법(Personal Information Protection and Electronic Documents Act. PIPEDA)’ 은 “해당 정보가 공개적으로 입수할 수 있는 것이고 규칙에 명시되어 있는 경우”에 한해서 개인정보를 수집, 이용, 공개할 수 있도록 하고 있다.

Canada PIPEDA 제1절 개인정보의 보호

7(1) 알리지 않거나 동의를 얻지 않은 수집 부록 1의 조항 4.3의 적용에 있어서 해당 조항에 수반하는 주의사항에도 불구하고, 조직은 다음에 해당하는 경우에만 개인에게 알리지 않거나 동의 없이 개인정보를 수집(collection)할 수 있다.

(d) 해당 정보가 공개적으로 입수할 수 있는 것이고 규칙에 명시되어 있는 경우

(the information is publicly available and is specified by the regulations)

7(2) 알리지 않거나 동의를 얻지 않은 사용

부록 1의 조항 4.3의 적용에 있어서 해당 조항에 수반하는 주의사항에도 불구하고, 조직은 다음에 해당하는 경우에만 개인에게 알리지 않거나 동의 없이 개인정보를 사용(use)할 수 있다.

(c.1) 해당 정보가 공개적으로 입수할 수 있는 것이고 규칙에 명시되어 있는 경우

7(3) 알리지 않거나 동의를 얻지 않은 공개

부록 1의 조항 4.3의 적용에 있어서 해당 조항에 수반하는 주의사항에도 불구하고, 조직은 다음에 해당하는 경우에만 개인에게 알리지 않거나 동의 없이 개인정보를 공개(disclose)할 수 있다.

(h.1) 해당 정보가 공개적으로 입수할 수 있는 것이고 규칙에 명시되어 있는 경우

3.4. 뉴질랜드

뉴질랜드는 1993년 제정된 개인정보보호법을 27년 만인 2020년 개정하여(The Privacy Act of 2020) 12월 1일부터 시행 중에 있다. 동 법에서는 공개된 개인정보(publicly available information)를 ‘공개된 출판물에 포함된 개인정보(publicly available publication)’로 정 의하는데 이는 “일반인에게 무료 또는 유료로 공개되었거나 공개될, 인쇄되거나 전자형태로 된 출판물”을 의미하며(제7조 제1항), 15) 개인정보의 수집, 사용, 공개 시 예외가 적용된다. 개인정보보호 원칙에 의해 기관이 개인정보를 수집하는 경우에는 반드시 당사자로부터 동의를 받고 수집하여야 하나 해당 정보가 공개 정보(publicly available information)인 경우 이러한 의무가 면제된다(제22조 제2원칙 제2항(d)). 따라서 개인정보보호원칙에 따라 개인정보처리자는 획득한 개인정보에 대하여 동의받은 목적 범위 내에서만 사용하여야 하고 보유하고 있는 정보를 다른 처리자에게 제공하거나 공개해서는 안되지만 정보의 출처가 공개출판인 경우에는 다른 목적으로도 사용 가능하다.

New Zealand, Privacy Act 2020

제22조 개인정보 보호 원칙(Information privacy principles)

[개인정보 보호 원칙 2] 개인정보의 출처 (Source of personal information)

(1) 기관이 개인정보를 수집하는 경우에는 반드시 당사자로부터 정보를 수집해야 한다.

(2) 기관이 합리적인 근거로 다음과 같이 판단하는 경우에는 (1)항을 반드시 준수할 필요가 없다.

⋮

(d) 해당 정보가 공개 정보(publicly available information)인 경우

[개인정보 보호 원칙 10] 개인정보의 사용에 대한 제한(Collection of information from subject)

(1) 한 가지 목적으로 획득한 개인정보를 보유하는 기관은 동 정보를 다른 목적으로 사용해서는 안 된다. 단, 기관이 합리적인 근거로 다음과 같이 판단하는 경우는 예외로 한다.

⋮

(d) 정보의 출처가 공개 출판물(publicly available publication)이며, 이 특정한 경우에는 정보를 사용하는 것이 불공정하거나 불합리하지 않을 것이다.

[개인정보 보호 원칙 11] 개인정보의 공개에 대한 제한

(1) 개인정보를 보유하는 기관은 다른 기관 또는 다른 사람에게 동 정보를 공개해서는 안된다. 단, 기관이 합리적인 근거로 다음과 같이 판단하는 경우는 예외로 한다.

⋮

(d) 정보의 출처가 공개 출판물(publicly available publication)이며, 이 특정한 경우에는 정보를 공개하는 것이 불공정하거나 불합리하지 않을 것이다.

3.5. 싱가포르

싱가포르는 개인정보보호에 관하여는 ‘개인정보보 호법(Personal Data Protection Act, PDPA)’에서 규율하고 있다. 싱가포르 또한 캐나다, 뉴질랜드와 마찬가지로 ‘공개된 개인정보’에 대해서는 개인정보의 수집, 이용, 공개에 관한 규정의 적용을 배제하고 있다. ‘공개적으로 이용 가능한(publicly available)’ 개인정보를 ‘일반적으로 대중이 이용 가능한 정보’로 정의하면서 개인이 공개한 정보와 대중에 이미 공개되어 있는 정보를 포함하고 있다. 따라서 개인정보가 공개되어 이용가 능한 경우 정보주체에게 동의를 받지 않고도 수집, 이용, 공개가 가능하다.

Singapore, Personal Data Protection Act 2012

제2조 해석

(1) 이 법에서 문맥이 달리 요구하지 않는 한, 어떤 개인에 관한 개인정보와 관련하여 “공개적으로 이용 가능한(publicly available)”이란, 일반적으로 대중이 이용 가능한 개인정보를 말하며, 여기에는 다음과 같은 장소나 경우에 합리적으로 예측가능한 수단을 통해 볼 수 있는 개인정보가 포함된다.

(a) 개인이 공개한 정보(at which the individual appears)

(b) 대중에 공개된 정보(that is open to the public)

제17조 동의 없는 수집, 이용 또는 공개(use and disclosure without consent)

(1) 조직은 별표 2에 해당되는 상황이거나 조건인 경우에 한해, 동의 없이 또는 해당 개인 이외의 정보원을 통해 개인에 관한 개인정보를 수집할 수 있다.

(2) 조직은 별표 3에 해당되는 상황이거나 조건인 경우에 한해, 개인의 동의 없이 개인에 관한 개인정보를 이용할 수 있다.

(3) 조직은 별표 4에 해당되는 상황이거나 조건인 경우에 한해, 개인의 동의 없이 개인에 관한 개인정보를 공개할 수 있다.

[별표 2] 동의 없는 개인정보 수집

1. 다음에 해당될 경우 조직은 어떤 개인의 동의 없이 또는 해당 개인 외의 다른 출처를 통해 해당 개인에 관한 개인정보를 수집할 수 있다.

(c) 개인정보가 공개되어 이용 가능한 경우

[별표 3] 동의 없는 개인정보 이용

1. 다음의 경우 조직은 개인의 동의 없이 개인에 관한 개인정보를 이용할 수 있다.

(c) 개인정보가 공개되어 이용 가능한 경우

[별표 4] 동의 없는 개인정보 공개

1. 다음의 경우 조직은 개인의 동의 없이 개인에 관한 개인정보를 공개할 수 있다.

(d) 개인정보가 공개되어 이용 가능한 경우

3.6. 프랑스

2020년 4월 프랑스의 개인정보보호 기관인 CNIL (Commission Nationale de l'Informatique et des Libertés) 은 웹 스크래핑(web scraping) 등에 의해서 공개된 개인정보를 온라인에서 수집하는 것에 대하여 가이드를 마련하였다. CNIL은 온라인에서 공개적으로 사용가능한 데이터라 하더라도 연락처 등과 같은 정보는 개인정보이기 때문에 정보주체가 인식하지 못하는 상태에서 사용하거나 처리할 수 없다는 것을 강조하면서 웹 스크래핑 도구를 사용하기 전에 수행할 단계별 준수사항을 가이드를 통해 제시하고 있다. 해당 가이드에서는 ① 일부 웹 사이트에서는 정보를 추출하거나 재사용하는 것을 금지하고 있으므로 스크랩할 데이터의 특성과 출처를 확인하고, ② 데이터의 수집을 최소화하도록 하고 있다. 특히 건강정보나 성적취향과 관련된 민감정보는 수집하지 않아야 한다. ③ 웹 스크래핑 도구를 사용할 경우 정보주체에게 최초 통신시점에 이를 고지해야 하며, ④ 기업이 웹 스크래핑 서비스 제공업체와 계약을 체결할 경우 이러한 조치들을 해당 제공업체가 준수하고 있는지 등을 확인하도록 제시한다. 그리고 ⑤ 필요한 경우 데이터보호 영향평가(Data Protection Impact Assessment, DPIA)를 수행하도록 권고하고 있다[13].

Ⅳ. 공개된 개인정보의 활용과 보호에 대한 법적접근방법과 고려사항

4.1. 개인정보자기결정권과 공개된 개인정보의 관계

개인정보자기결정권은 정보주체로 하여금 개인정보의 공개와 이용을 스스로 통제하도록 함으로써 타인에게 형성될 정보주체의 사회적 인격상에 대한 결정권을 정보주체에게 유보시킨다는 의미를 가지고 있다.¹⁶⁾ 현대사회에서의 개인정보자기결정권은 인간존엄과 인격의 자유로운 발현이라는 자유민주체제의 핵심적 가치로 종래의 사생활에 대한 자유와 보호가치가 유사하지만 디지털화된 개인의 정보가 정보주체마저 인식하지 못한 채 타인에 의해 제한없이 수집·저장·처리·가공·이용·제공될 수 있는 정보환경에서 권리로서 보호받을 것이 요구되기 때문에 소극적으로 이를 보호한다는 관점보다 적극적으로 이를 통제하고 관리한다는 관점에서 그 보호법익을 이해하여야 한다[14]. 헌법재판소는 “오늘날 현대사회에서는 개인의 인적사항이나 생활상의 각종 정보가 정보주체의 의사와는 전혀 무관하게 타인의 수중에서 무한대로 집적되고 이용 또는 공개될 수 있는 새로운 정보환경에 처하게 되었고, 개인정보의 수집·처리에 있어서 국가적 역량의 강화로 국가의 개인에 대한 감시능력이 현격히 증대되어 국가가 개인의 일상사를 낱낱이 파악할 수 있게 되었다”고 지적하면서 “이러한 사회적 상황 하에서 개인정보자기결정권을 헌법상 기본권으로 승인하는 것은 현대의 정보통신기술 발달에 내재된 위험성으로부터 개인정보를 보호함으로써 궁극적으로는 개인의 결정의 자유를 보호하고, 나아가 자유민주체제의 근간이 총체적으로 훼손될 가능성을 차단하기 위하여 필요한 최소한의 헌법적 보장장치”임을 강조한 바 있다.¹⁷⁾

개인정보의 공개는 공적인 자리에서 만난 타인에게 명함을 주는 행위, 자신의 홈페이지에 개인 신상을 올려두는 경우, SNS 등에 자신의 공개된 의견을 게시하는 경우 등 다양한 형태로 이루어지며, 이에 따라 자신이 공개하지 않기를 원하는 내용이 대중에 공개된다거나, 정보주체가 개인정보를 공개할 시 생각하였던 개인정보의 활용 목적과는 전혀 다른 목적으로 정보가 활용되는 경우 등 다양한 경우에 권리침해가 발생한다. 특히 인터넷 기술의 발달로 개인정보의 정보주체는 자신에 대한 정보가 일반에게 공개되는 현상이 일상적으로 그리고 훨씬 광범위하게 일어나고 있으며, 정보의 공개범위와 사용목적 등을 자신이 알 수 없다는 문제점이 존재한다. 그러나 현대사회에서의 개인정보는 재화 또는 준공공재의 특성을 갖는 것으로, 개인정보자기결정권은 개인정보의 주체만의 권리가 아니라 공적영 역인 사회 구성원으로서 개인에 대한 정보가 오로지 그 개인만의 권리대상일 수는 없다. 따라서 이러한 사실에 의해 타인이나 국가 또는 기업 등 다른 사회 구성원의 권리 대상일수도 있다는 점을 인정하여야 한다 [15].

따라서 개인정보를 정당하게 이용하려는 타인의 법적 권리를 인정하고 정보주체에 의한 통제 및 사회에 의한 활용 측면을 조화롭게 고려하는 것이 매우 중요하다고 할 수 있다[16]. 이러한 관점에서 공개된 개인정보의 경우의 문제를 단순히 통제를 필요로 하고 반드시 사용을 금지해야하는 것으로만 해석하는 것은 지양하여야 할 것이다.

4.2. 공개된 개인정보에 대한 법적 접근에 있어서의 고려사항

‘공개된 개인정보’를 수집·처리하는 과정에서의 개인정보자기결정권에 대한 침해는 이를 실시한 주체, 범위, 개인정보의 내용, 처리목적 등에 따라 모두 다른 방식과 정도로 나타날 것이다. 앞서 살펴본 판례에서와같이 영리목적으로 사용하였는지, 공개된 개인정보가 자신의 정치적 성향을 드러내는 정보인지 또는 단순히 개인을 나타내는 성명과 이메일 주소 등과 같은 기본적 정보에 해당하는지, 정보주체의 의지로 공개되었는지 타인이 공개한 것인지 등 사유와 내용을 전부 달리한다. 이러한 상황에서 이를 일률적으로 법률에서 동의 없이 사용하는 것에 대하여 허용하거나 또는 무조건 개인정보에 해당하는 경우에는 사용을 금지시키는 것이 타당한 것인지에 대해 의문이 든다. 정보주체 스스로 SNS 등을 통해 본인의 개인정보를 공개한 행위에 대해서도 무조건적으로 보호하는 것이 「개인정보보호법」의 입법취지에 부합하는 것이라고 볼 수는 없다. 반면, 개인이 공개한 것이기 때문에 누구든지 그것을 수집하고 활용하는 것이 무조건 합법적이고 합리적이라고도 해석할 수는 없다. 자신이 한 행위가 자신에게 어떤 영향과 파급효과를 불러일으킬지 모르는 상태에서 공개하였을 수도 있으며, 타인에 의해 수집되거나 활용될 것이라는 상황적 인식도 하지 못하는 경우도 발생 가능하기 때문이다. 따라서 이러한 상황적 한계는 개별 상황에 따라 합리적이고 적정한 기준에 따라 달리 접근할 수밖에 없으며 이는 오랜 기간의 판단과 판례의 축적을 통해서 해석하는 것이 타당할 것이다.

Ⅴ. 결론

개인정보의 보호와 활용의 균형을 찾는 것은 매우 어려운 문제이고 데이터가 원유라고 평가받는 지능정보사회에서의 가장 큰 과제라 할 수 있다. 기술의 발달과 국가와 산업시장의 경쟁력 확보를 위해서는 개인정보의 활용을 용이하게 하는 것이 중요하지만 이는 곧 개인에 대한 권리침해로 이어지게 된다. 반면, 정보보호를 강조하게 되면 정보주체의 개인정보자기결정권을 강하게 보호할 수 있게 되지만 산업발전의 저해요소가 된다. 이러한 상황에서 공개된 개인정보를 활용할 수 있을 것인지 보호가 필요한 것인지 명확하게 결정하기 쉽지 않다.

많은 해외 국가들이 공개된 개인정보에 대해서 활용을 가능하게 하는 입법적 조치들을 취하고 있지만, 공개한 목적과 방식, 범위 등을 고려하고 정보주체의 권리의 침해를 최소화하는 방법으로 해석할 것을 강조하고 있다. 우리도 이 문제를 명확하게 하기 위해서는 입법을 통해 공개된 개인정보의 활용가능성을 확보하는 것이 필요할 것이다[8]. 그러나 법률에 의해서 공개된 개인정보의 활용을 허용하게 하는 경우에도 개인정보의 보호와 활용의 균형을 찾는 문제는 쉽게 해결될 것으로 보이지 않는다. 이는 결국 개인정보가 공개된 경위와 방식, 활용의 목적과 내용, 정보주체의 의사와 상황 등이 전체적으로 고려되어야 할 것이다.