개인영상정보 보호 위한 법률 필요성과 영상정보 관리 이슈 집중 분석
[보안뉴스= 임수용 연세대학교 법무대학원] 서울 강남구가 우리나라에서 최초로 방범용 CCTV를 도입한 이래 민간분야까지 급격히 확대되고 있다. 개인정보보호법은 공공기관과 민간분야를 합쳐 최소 1,000만대 이상의 CCTV가 운영되기 시작한 그 후에야 제정됐다. 최근에는 영상에 특정한 개인영상정보보호법도 마련되고 있다. 여기에서는 관련 법률과 CCTV 운영의 상관관계를 살펴본다.
[이미지=iclickart]
강남경찰서는 우리나라에서 최초로 누구나 출입이 가능한 곳에 방범용 CCTV를 설치한 자치구다. 2002년 12월 논현1동 주택가 뒷골목 등에 방범용 CCTV 5대를 설치한 것을 기점으로 강남구의 범죄 취약 지역에 총 4차례에 걸쳐 372개의 방범용 CCTV를 설치했다.
당시 인권과 사생활 침해 등 우려의 목소리와 반대의 목소리도 있었지만, 강남구는 다른 자치구에 비해 빈번히 발생하는 강도·절도, 성범죄 등 강력 범죄를 예방하고 적극적으로 대처하기 위한 일환으로 방범용 CCTV 설치를 적극 추진했다.
초기에는 이렇게 도입된 방범용 CCTV의 인식과 효과에 대한 강남구민들의 인식과 실제 범죄율의 변동 추이에 대한 연구가 진행되기도 했다. 이후 강남구청과 강남경찰서는 공개된 장소에 방범용 CCTV가 설치된 1년 남짓 되는 시점인 2004년 강남구청 웹사이트에서 강남구민과 서울시민을 대상으로 범죄예방을 위한 공공장소의 CCTV 도입에 대한 적합성과 이에 대한 시민들의 의식을 조사했다.
그 결과 강남구민의 87%, 서울시민의 74%가 긍정적인 답변을 했다. 단순히 시민들의 긍정적인 의식이 제고됐을 뿐 아니라 실제 범죄율에서도 효과가 컸다. CCTV의 도입 후 강남구에서는 5대 범죄(살인·강도·강간·절도·폭력)이 감소했다.
여기에서 볼 수 있듯이 공공기관에서 운영하는 방범용 CCTV는 경찰의 치안 및 국민의 안전보장 기능면에서 볼 때 부족한 인력과 장비를 보완해 주는 중요한 역할을 수행하고 있다. 범죄의 예방과 통제에서도 가장 효과적인 수단 중에 하나로 인정받고 있다. 경찰은 범죄의 예방과 발생한 범죄의 효과적인 수사를 위한 목적으로 지방자치단체에서는 지역 주민에 대한 안전관련 민원 해결과 치안방범이라는 공공의 서비스 제공을 목적으로 공공장소에서의 방범용 CCTV를 확충하고 있다.
지금은 커피숍, 편의점, 식당 등에 CCTV가 설치되는 이상하게 느껴지지 않을 만큼 보편화됐다. 초기에는 민간에서 CCTV를 운영하는 것이 활발하지 않았다. 감시에 대한 트라우마가 있는 사회적 분위기로 CCTV에 대한 거부감도 높았기 때문이다. 가격적인 측면과 운영적인 측면에서 볼 때도 개인이 CCTV를 운영하는 것은 쉽지 않았다.
그러나 기계경비업 시장이 활성화되면서 기계경비업자가 CCTV를 기계경비 서비스와 접목하면서 민간에서도 CCTV를 운영하는 것이 급증했다. 기계경비란 경비대상물에 감지기 등을 설치하고 신호를 받아 이상이 생겼다고 판단되는 경우에는 대원을 출동시켜 이상 유무를 확인하는 서비스를 가리킨다.
처음에는 단순한 신호 접수였으나 관련 기술이 발달하면서 신호 외에 CCTV로 직접 상황을 볼 수 있게 됐고, 이제는 인터넷과 스마트폰의 발달로 CCTV 운영자가 언제 어디서나 자신의 스마트폰으로 영상을 확인할 수도 있게 됐다.
이 가운데 국회에서는 개인정보보호법 제정에 대한 논의가 시작됐다. 2007년 행정안전부(이하 행안부)의 조사에 따르면 공공기관에서 200만대, 민간 분야에서는 500만대의 CCTV가 운영됐다.7) 통계청은 2013년 기준 공공기관에서 운영하는 CCTV의 수가 500만대를 넘겼으며, 민간이 운영하는 CCTV의 수는 정확히 파악이 힘들다고 밝혔다.
다만 과거 자료로 볼 때 민간에서 운영하고 있는 CCTV의 수는 공공기관의 약 2배로, 대략 1,000만대 이상 추정된다. 개인정보보호법은 2011년 9월 30일부터 시행됐는데, 이미 공공기관과 민간분야를 합쳐 최소 1,000만대 이상의 CCTV가 운영된 후에야 이를 규제하는 기본법인 개인정보보호법이 마련된 것이다.
개인정보보호법의 제정과 목적
개인정보보호법 이전의 규율
개인정보보호법이 제정되기 전에도 개인정보보호와 관련된 법률은 있었다. 개별 사안에 따라 규율하는 개별법적 성격이었다.
행안부 소관의 ‘공공기관 개인정보보호에 관한 법률’과 방송통신위원회 소관의 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, 금융위원회의 ‘신용정보의 이용 및 보호에 관한 법률’, 교육과학기술부의 ‘교육기본법’, 보건복지부의 ‘의료법’, 지식경제부의 ‘전자상거래 등에서의 소비자보호에 관한 법률’, 공정거래위원회의 ‘소비자기본법’, 법무부의 ‘통신비밀보호법’ 등으로 부문마다 개별적인 체계로 보호 및 관리 법익이 있는 개인정보에 대한 정책 수립과 집행이 이뤄졌다.
이처럼 통합 법률이 없고 17개 부처에서 각자 기준에 따른 38개의 법률에 따라 규율을 하다 보니 법의 사각지대에 놓이게 되는 경우가 빈번히 발생했다.
개인정보보호법의 목적과 내용
개인정보보호법을 대략적으로 살펴보면, 정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수집과 이용이 보편화된 것을 볼 수 있다. 반면, 국가사회 전반을 규율하는 개인정보 보호의 사각지대가 발생하고 최근 개인정보의 유출과 오남용 등의 피해 사례가 속출함에 따른 국민들의 피해 구제를 강화하고 사전에 방지하려는 목적도 있다.
개인정보보호법은 총 9장으로 구성됐다. 총칙에서는 개인정보, 정보주체, 개인정보처리자의 정의와 개인정보 보호원칙, 정보주체의 권리, 국가 등의 책무 등을 정하고 있다. 제2장에서는 개인정보의 보호정책의 수립에 관한 사항으로 개인정보 보호정책의 추진체계에 관하여 개인정보보호위원회, 기본계획, 시행계획에 관한 사항을 정하고 있다. 제3장은 개인정보의 처리에 관한 사항으로 ‘공공기관의 개인정보보호에 관한 법률’에 따른 수집·이용·제공의 절차에 따라 개인정보 보호에 필요한 최소한의 요건을 정하고 있다.
여기에서 특히 구체적으로 다루고자 하는 CCTV관련 조항은 3장 제25조에 규정하고 있다. 제4장에서는 개인정보의 안전한 관리에 관한 사항으로 주로 시스템 및 물리적 보호조치에 관한 사항을 정하고 있고, 제5장은 정보주체의 권리보장에 관한 사항으로 ‘공공기관의 개인정보보호에 관한 법률’을 따른다. 제6장은 개인정보분쟁조정위원회에 관한 사항을 정하고 있고, 제7장에서는 개인정보 단체소송을 신설해 정하고 있다.
다른 장에서는 각각 보칙과 벌칙을 정하고 있다. ‘개인정보보호법’은 총 75개 조문으로 구성 및 재정돼 헌법상 보장된 ‘개인정보 자기결정권’의 실현과 개인정보보호에 관한 일반법의 위치에 있다.
개인정보보호법의 영상에 대한 문제
영상의 특성을 고려하지 않은 개념 정의
개인정보보호법 제2조에 따르면 개인을 알아볼 수 있는 정보, 해당정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 것이 개인정보라고 규정한다. 또한, 영상을 성명과 주민등록번호와 동일하다고 규정하고 있다.
글자의 조합인 성명과 숫자의 조합인 주민등록 번호와 영상을 동일하게 취급해 개인을 식별할 수 있으면 영상도 개인정보가 될 수 있다는 취지로 해석된다. 또한, 개인정보보호법 제12조에 따라 재정된 ‘표준 개인정보보호지침(고시)’ 제2조 정의에 따르면 영상정보처리기기에 의해 촬영·처리되는 영상 정보 중 개인의 초상이나 행동 등과 관련된 것으로 해당 개인을 식별할 수 있는 정보를 ‘개인영상정보’로 규율한다.
개인정보보보호법과 지침의 취지를 살펴보면 영상 중에 개인을 식별할 수 있다고 하면 개인정보로 분류돼 개인정보보호법에 적용을 받는다. 그 중에서도 영상정보처리기기에 처리된 영상 중 개인 식별이 가능하면 개인영상정보로 분류된다. 일반적인 영상 중 개인정보로 볼 수 있으면 개인정보보호법에 규율된다. 그 중에서도 영상정보처리기기에 의한 개인영상정보는 지침에 따라 별도 관리해 보다 확실히 관리 및 보호를 한다는 취지다.
그러나 개인정보보호법상 개인정보로 분류되는 영상과 지침에서의 개인영상정보의 기준은 ‘개인 식별 유무’다. 식별이 가능하다는 개념이 문자와 숫자로 지정되는 경우에도 정보 수령자에 따라 달라질 수 있다.
그런데 영상까지도 단순히 식별이라는 기준을 문자·숫자와 동일한 기준으로 개인정보 여부를 판단하는 기준으로 한 것이 수령자 또는 정보처리자 입장에서는 지극히 주관적일 수밖에 없는 모호한 기준이다. 예를 들면, 많은 사람들이 모여 있는 장소의 영상이나 영상정보처리기기의 개인영상정보가 유출이 된 경우 문자와 숫자와는 달리 화면에서 개인을 식별할 수 있느냐는 화질과 화면의 크기, 선명도 등 여러 기술적인 요소들로 인해 식별 여부를 쉽게 결정할 수가 없다.
이러한 다양한 선정 어려움이 있음에도 개인정보보호법 등에서는 단순히 영상도 문자와 숫자와 같이 ‘식별’이라는 기준으로 영상정보를 개인정보가 되는지, 개인영상정보가 되는지를 판단해 개인정보보호법 시행 이후 오히려 적용에 어려움이 있다.
영상정보처리기기의 정의
개인정보보호법에서 규정하고 있는 영상정보처리기기에 대해서는 시행령에서 구체적으로 규정하고 있다. 시행령에서 정한 바에 따르면 영상정보처리기기는 폐쇄회로 텔레비전과 네트워크 카메라로 구분하는데 둘 다 ‘일정한 공간에 지속적으로 설치된 기기’라는 공통점이 있다.
둘의 차이점은 연결이 폐쇄됐느냐와 인터넷에 연결돼 쉽게 확인이 가능하냐다. 이 정의도 상당히 주관적이어서 불명확한 점이 있다. ‘일정한 공간’이라는 개념은 공개된 장소가 아니어야 한다는 것으로 해석될 수 있고, 카메라 화각에서 잡히는 공간을 지칭하는 것으로도 해석이 가능하다.
장소적 개념으로 생각을 한다면 현재 공개된 장소를 찍고 있는 카메라를 본 법에서 규율할 수 없는 문제가 발생하고, 카메라 화각으로 한정을 하면 고정된 모든 카메라가 전부 해당이 된다고 볼 수 있다. ‘지속적’이라는 개념도 고정적인지, 탈부착이 가능한지에 대한 여부가 명확하지가 않다. 이러한 해석에 따르면 블랙박스는 개인정보보호법이 적용되지 않는 기기다.
경비업체나 카메라 제조사에서 내놓은 상품들 중에서 탈부착이 가능한 카메라나 이동형 촬영기기, 드론 카메라 등이 개인정보보호법에서 규정하고 하고 있는 ‘일정한 공간’과 ‘지속성’의 범주에 포함돼 과연 본 법에 적용을 받는 영상정보처리기기로 볼 수 있느냐에 대한 의구심이 든다.
영상정보처리기기의 운영과 취급
개인정보보호법에서 개인정보의 처리에 관한 사항을 타인에게 위탁하게 하는 업무 위탁에 대해서는 제26조에서 그 내용을 제한한다. 개인정보의 재산적 가치로 인해 제3자에게 제공하는 것에 대해서는 제17조에서 규정한다.
개인정보의 위탁은 크게 둘로 나눌 수 있는데, 일반적으로 계약 이행을 위한 업무를 위해 개인정보를 위탁하는 경우가 있고, 회사에서 마케팅 목적으로 개인정보를 위탁하는 경우다.16? 제3자 제공은 제공받는 자의 이익을 위해 이전 또는 처리 되는 것으로 기본적으로 제공되는 정보주체의 동의가 필요하다.
개인정보보호법에서 정한 두 가지 경우를 영상정보처리기기의 운영에 대해서 살펴보면, 아파트·연구소·공장 등의 보안은 일반 경비업체와 도급 계약을 하고, 그 업체에서 경비가 필요한 경비구역에 영상정보처리기기를 설치한 후 경비업체의 직원이 그 영상을 처리하는 경우에는 경비업체에 영상정보처리기기의 운영을 위수탁했다고 볼 수 있다.
따라서, 경비업체가 고의 또는 과실로 처리하고 있었던 개인영상정보가 유출되는 경우에는 경비업체와 계약을 체결한 업체도 동일하게 개인정보보호법의 처벌의 대상이 된다. 그러나 이 영상을 처리가 아닌 경비업체 또는 다른 업체의 홍보용, 마케팅 자료로 활용하기 위해 제공할 경우에는 기본적으로 업체뿐 아니라 제공되는 개인정보 주체의 동의가 필요하다. 정보 주체가 동의를 하지 않는다면 활용뿐 아니라 제공도 할 수 없다.
행안부에서 민간 분야에서 개인정보보호법을 위반하지 않고 영상정보처리기기를 운영할 수 있도록 배포한 ‘민간분야 영상정보처리기기 설치·운영 가이드라인’은 영상정보처리기기의 직접 운영과 위수탁 경우를 자세히 설명하고 있다.
이 가이드라인에 따르면 공개된 장소에는 개인정보보호법 및 이 가이드라인에 따라 게시판 등을 설치해야 하나 일반 도로, 타인의 대문 등은 타인의 사생활이 침해될 가능성이 높으므로 최대한 찍히지 않도록 하라고 규정하고 있다. 그런데 이 기준도 너무 모호해 실무적으로는 다툼이 많다.
즉, 주차장 또는 내부에 설치한 영상정보처리기기가 그 활용을 위하여 어쩔 수 없이 일반도로가 촬영되어야 하는 경우가 있다. 그런데 일반도로 등은 공공경비에 속하므로 경찰서 및 관공서 등에서 특별한 법률에 따라 영상정보처리기기를 운영한다. 따라서, 일반인들은 최대한 일반도로를 촬영하지 않도록 카메라 각도를 조절해야 한다. 이렇다 보니 어떠한 사건이 발생한 경우 위탁자와 수탁자 사이에서도 계약 이행에 대한 부분과 사건 당사자 사이에서도 영상정보처리기기가 제 역할을 하지 못하는 경우가 발생한다.
범인 추적을 위해 경찰이 수사과정에서 CCTV 영상을 요구할 때는 경찰도 가이드라인을 위반한 경우를 찾는 것으로 위반한 경우가 오히려 범죄 수사에 도움을 주는 아이러니한 상황이 발생하기도 한다.
영상정보처리기기 운영에 대한 부분을 다시 살펴보면, 직접 구매해 독자적으로 사용하는 경우도 있으나 경비업체의 서비스와 결합해 사용하는 경우와 기기의 유지관리를 위하여 업체에 렌탈 서비스 등으로 운영하는 경우가 종종 있다. 이렇게 경비업체 또는 렌탈 업체에서 영상정보처리기기를 운영하는 것에 대해서는 어떻게 정의할 것인지가 현재 개인정보보호법 상에서 공백인 부분이다.
영상정보처리기기를 렌탈하거나 경비업체로부터 서비스를 받는 소비자의 경우에는 자신의 필요에 따라 자유롭게 영상을 확인할 수 있고, 직접 운영자로서 관련법 및 가이드라인에 따라 이를 운영해야 한다. 그런데 기기에 문제가 발생하거나 기기의 작동을 위하여 업체에 요청할 때 업체에서는 직접 A/S 기사가 방문해 점검하거나 원격으로 접속해 이를 확인하는 서비스를 제공하고 있다.
기계경비업체는 경비신호를 수신하면 순찰 대원을 보내 확인하기 전 직접 영상정보처리기기에 접속해 실시간으로 이상 유무를 확인하기도 한다. 이러한 일련의 서비스를 위수탁으로 볼 것인지, 제3자 제공으로 볼 것인지에 대하여 문제점이 있다. 위수탁으로 본다면 경비업체의 고의 또는 과실이 소비자에게 그대로 전가되는 문제점이 있고, 제3자 제공으로 본다면 제3자 제공의 기본 원칙인 ‘정보주체로부터의 동의’가 불가능하기 때문이다.
현실적인 관리의 문제점
개인정보보호법은 법에서 정한 사항을 위반하면 각종 벌칙과 과태료 등을 부과할 수 있도록 규정하고 있다. 영상정보처리기기의 운영에 대하여 별도로 규정한 내용도 있고, 영상정보가 개인정보로 분류될 경우는 일반 개인정보 유출과 똑같이 취급돼 법 적용을 받는다. 그러나 법이 재정될 때에는 이미 민간 분야에서 1,000만대 이상의 영상정보처리기기가 운영되고 있었고, 설치 후에 제정된 법에 따라 이를 관리하는 것에는 많은 인력과 비용이 발생했다.
행안부에서도 여러가지 가이드라인을 마련해 민간분야에서 바르게 영상정보처리기기를 운영할 수 있도록 유도하고 있지만, 과연 이러한 것들이 얼마나 지켜지고 있는지 의문이다. 지켜지지 않더라도 강제할 방법이 있는지는 문제다. 개인정보보호법 재정 후 영상정보처리기기에 대하여 실생활에 가장 큰 영향을 준 것이 누구나 출입이 가능한 곳에 게시판을 설치하도록 한 것이다. 처음에는 계도기간을 가졌고, 영상정보처리기기를 렌탈하는 경비업체 또는 기기 업체에서도 설치할 때 게시판을 함께 설치해 주는 것이 어느 정도 일반화됐다.
그런데 이러한 게시판 게재가 다른 분쟁으로 인해 상대편을 공격하기 위한 방편으로 악용되고 있는 경우가 더 많다.카메라 각도, 촬영되는 범위에 대해서 개인정보보호법과 가이드라인 등에서도 뚜렷하게 규정할 수 없어 법 목적에서 의도한 바와 다른 분쟁을 일으키기도 한다.
영상정보 및 처리기기 개별법 재정의 필요
개인정보와 영상정보에 대한 개념적 분리
영상정보는 개별법에서 일반 개인정보와는 다른 방법으로 규율해야 한다. 앞에서도 언급하였듯이 ‘식별’이라는 기준으로 문자와 숫자로 표시되는 개인정보와 화질, 각도, 거리 등등 기술적 문제와 정보 주체의 주관적 개입이 가능한 영상정보를 함께 ‘식별’로 개인정보의 분류 기준으로 같이 쓰는 것은 현실적으로 맞지 않는다.
개인정보의 처리에는 ‘보유’하는 것도 처리에 범주에 속하는데, 전 국민이 카메라를 주머니에 가지고 다니는 현실에서는 이러한 기준이 맞지 않는다. 예를 들어 사람들이 많이 모인 관광지에서 휴대폰으로 친구들의 사진을 찍는 경우 그 옆에서 의도하지 않게 찍힌 사람이 있다면 그 사람에게 동의를 받아야만 그 사진을 내 핸드폰에 저장할 수 있다.
만약 의도하지 않게 찍힌 사람이 삭제를 요청한다면 개인정보주체의 정당한 권리이므로 삭제해야 하고 이를 확인시켜줘야 한다. 물론 ‘초상권’이라는 권리가 법 조항에서 규정하고 있지는 않지만, 헌법상 파생된 권리로 사회 일반적으로 통용되고 있으므로, 식별 가능한 상태로 나의 영상을 타인이 보유하고 있는 것에 대해서 불쾌하게 느껴진다면 삭제를 요구할 수도 있겠으나 추억을 담고자 하는 일반적인 행동들을 자칫 타인의 권리 침해행위로 보게 할 수 있는 위험성이 있다.
영상의 경우에는 별도의 개념 정의와 처리에 대해서도 ‘촬영’ ‘보관’ 등 성격상 맞지 않는 부분에 대해서는 처리에 대한 개념을 별도로 정의할 필요가 있다. 따라서 영상의 주관적 성격으로 인하여 개인 정보성이 문제가 되므로 촬영된 영상이 개인정보가 되는 것에 집중하기보다는 촬영을 하는 목적과 요즘 문제가 되는 SNS 등 유포에 대한 부분을 법적으로 안내 또는 규율을 하는 방안을 모색해야 한다.
영상정보처리기기의 정의 및 분류에 대한 부분
개인정보보호법 시행령은 영상정보처리기기를 폐쇄회로 텔레비전(CCTV)과 네트워크 카메라(IP 카메라)로 분류한다. 이들의 공통점은 ‘일정한 공간에 지속해서 설치된 카메라 또는 기기’라는 것이다. 폐쇄회로 텔레비전은 폐쇄회로 등의 전송로를 통해 특정 장소에 전송하거나 전송된 영상정보를 녹화·기록할 수 있도록 하는 장치를 지칭하고, 네트워크 카메라는 기기를 설치·관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집·저장 등의 처리를 할 수 있도록 하는 장치를 말한다. 큰 차이점은 어떻게 영상을 확인하느냐다.
카메라는 ‘일정 공간에 지속적으로 설치’된 것으로 한정하고, 확인 방법으로만 나누고 있다. 하지만 그 영상이 어떻게 촬영하고 있느냐에 대해서도 살펴봐야 한다. 요즘 문제가 되는 근로 모니터링이나 사생활 침해의 문제가 되는 부분은 카메라의 각도와 방향이다.
카메라를 기술적으로 자유롭게 움직이게 하면서 그 각도와 방향만을 가이드라인에서 규제하려고 하니 현실적 적용에 어려움이 발생하는 것이다. 개인정보보호법 개념적으로 카메라에 대해서도 분류해야 한다.
예를 들면 관찰자의 의지에 따라 카메라의 각도를 바꿀 수 있는 것을 ‘의지 카메라’, 그 각도를 바꿀 수 없는 경우에는 ‘무의지 카메라’로 분류해 사생활 침해가 우려되나 반드시 영상정보처리기기를 설치해야만 하는 곳은 무의지 카메라를 설치하고, 사생활 침해가 현저히 덜 한 곳이나 사생활 공간 등의 장소에만 의지 카메라를 설치하는 것이다.
원래 영상정보처리기기를 설치하는 목적이 범죄 등 어떠한 사건의 발생 시 목격자를 확보하는 것에 있다고 본다면 무의지 카메라의 경우에는 각도를 조절하진 못해도 화각을 넓히거나 화소 수를 높일 수 있도록 하고, 경찰서 및 국가기관에서 미처 설치하지 못하는 방범용 카메라를 개인이 자기 집 앞 도로에 설치할 수 있도록 하는 것이다.
그래서 범죄예방 및 목격자 확보의 원래 취지에 좀 더 부합하게 운영될 수 있도록 하면 국가기관에서는 많은 부분 비용을 절약할 수 있고 민간에서는 보다 자유롭게 영상정보처리기기를 운영할 수 있다. 촬영 자체만은 사생활 침해가 되지는 않는다. 촬영할 때 운영자가 타인의 사생활을 침해할 목적으로 영상 확인도 아무런 제재를 받지 않는 것이 사생활 침해 위험을 높이는 것이다. 이에 대해서는 ‘관리’의 개념에서 다시 한 번 논하기로 한다.
영상정보처리기기의 ‘관리’ 개념 도입해야
민간분야에서 운영하는 영상정보처리기기의 경우에는 크게 경비업자가 제공하는 경비 서비스에 부가상품으로 영상정보처리기기를 운영하거나 경비업자 또는 기기판매업자로부터 기기만을 별도 구입해 운영하는 경우로 나눌 수 있다.
이 경우 촬영된 영상을 폐쇄회로로 확인하든지 인터넷으로 확인하거나 업체에서 제공하는 프로그램을 사용해야만 확인할 수 있다. 그리고 업체들은 자신이 판매 또는 관리하는 영상정보처리기기만 확인하기 위해 타 업체의 영상정보처리기기는 확인할 수 없도록 장치를 하기도 한다.
그러나 확인을 하는 부분은 특별하게 규율을 하지 못한다. 업체가 녹화된 영상정보처리기기를 확인하는 그 행위를 개인정보보호법 상에서 위수탁으로 볼 것인지 제3자 제공으로 볼 것인지에 대한 의문이 있다. 영상정보처리기기를 통해 촬영된 영상의 소유권이 운영자 즉 일반 사용자에게 있다고 볼 때, 경비업체를 이용하거나 기기를 판매한 회사의 프로그램을 이용하여 영상정보처리기기를 운영하거나 확인을 하고 문제가 발생했을 경우는 원격으로 문제를 처리하기도 한다.
그 영상저보처리기기의 운영은 업체 프로그램으로 하고 영상 및 사용자의 로그 기록 등은 프로그램에 그대로 저장이 되므로, 넓게 보면 이를 위수탁 관계로도 볼 수 있다. 위수탁은 수탁자의 개인정보 유출에 대한 책임에 위탁자가 책임을 지는 것으로 업체의 책임이 일반 소비자에게 전가되는 구조다.
따라서 이를 위수탁 관계로만 볼 수 없다. 그렇다고 제3자 제공으로 본다고 한다면 정보의 처리에 대한 수익은 소비자에게 있으므로 제3자가 이익으로 하는 제3자 제공과도 맞지 않는다. 이런 구조 때문에 경비업체가 영상정보처리기기를 설치해 운영을 하는 것과 기기판매 업체가 기기 운영에 대한 프로그램을 제공하는 것에 대해서 개인정보호보법에서 이를 정확하게 규제할 수 없다.
오히려 업체들은 되도록 이러한 관계에 속하지 않기 위해 영상정보처리기기를 마치 정수기 렌탈 서비스와 같은 서비스 제공 모델로 삼아 사용자의 불법적 사용에 책임을 회피하려고 한다. 현재와 같이 경비업체를 사용하거나 기기판매 업체가 제공하는 프로그램을 통해 영상정보처리기기를 운영하는 것을 규율하는 개념인 ‘관리’를 새롭게 도입할 필요가 있다.
영상정보처리기기를 판매·렌탈하는 업체에서 기기를 관리할 뿐 아니라 기기의 운영이 법 취지에 맞도록 그들의 고객 즉 소비자를 안내하도록 하는 것이다. 그렇지 못할 경우에는 소비자 외에 업체도 함께 규제를 한다면 업체에서도 보다 적극적으로 법 규정에 맞게 사용이 되도록 할 것이다.
앞에서 카메라를 찍히는 것 자체가 사생활 침해가 될 수 있지만 그 확인을 쉽게 할 수 있고, 이에 대한 제재가 없는 것이 사생활 침해가 될 수 있다고 언급한 바 있다. 따라서 국가기관에서 일정한 프로그램을 통하여 촬영된 영상을 확인하도록 하고, 업체가 이러한 영상을 관리하도록 하는 것이다. 영상정보처리기기의 운영이 잘 되고 있는지, 확인을 어떠한 목적으로 하고 있는지 등 이러한 영상 확인을 업체에서 관리하도록 하고, 국가기관에서는 그 업체를 관리하는 것이다.
예를 들면 경비업자의 경우에는 경비업법에 따라 상·하반기로 모든 경비업자를 지도 및 감독을 하고 있다. 이 경우처럼 관련 기관에서는 민간 분야에 영상정보처리기기의 운영을 직접 하는 것은 물리적으로 불가능하므로 외부에 노출되는 영상정보처리기기의 운영부터 경비업체 등 유관 업체가 이를 관리하고, 이 업체들을 정기 또는 부정기적으로 감독하는 것이다. 처음에는 사생활 침해가 우려되는 공간의 영상정보처리기기 운영을 업체가 관리도록 하고, 점점 그 범위를 확대하여 현재 커피숍, 학원 등 누구나 출입이 가능한 공간에서 운영되는 영상정보처리기기에 대한 관리도 업체가 하게 하는 것이다.
물론 일반 소비자 입장에서는 그 비용이 올라간다. 비용이 문제가 되는 경우에는 직접 관련 기관에서 관리 프로그램을 운영하고 카메라를 등록하고 관리하는 방법을 모색해야 한다. 영상정보처리기기가 사생활 침해의 위험성을 강조하면서 그 운영은 자율에 맞기고 적발됐을 때에만 크게 처벌을 하겠다는 것은 수범자의 입장에서는 이해할 수가 없다.
자율로만 일임하기 보다는 업체 또는 국가기관의 프로그램 등록 등 사전의 관리 방법을 모색하여 사전 관리를 한다면 문제는 어느 정도 해결되고 수범자의 준법 의지도 차츰 높아질 것이다.
개인영상정보보호법 제정의 필요성
개인정보보호법이 시행전, 무문별하게 요구되는 주민등록번호, 전화번호 등에 대한 관리 및 통제 여부에 대해 회의적인 시각이 많았었다. 그러나 시행 후 몇 년이 지난 지금은 어느 정도 통제가 되고 있고 개인정보주체들이 자신의 개인정보의 중요성을 인식하고 업체로부터 처리 및 확인 요구를 하는 것이 일반화되고 있다.
그러나 유독 영상에 대한 부분에서는 오히려 혼란이 가중되고 있고 법 취지에 맞게 정착을 못하고 있는 형편이다. 유관기관에서는 가이드라인 형식으로 안내를 하고 있지만 명확한 기준을 제시하지 못하고 있다.
이러한 현상이 발생하는 큰 이유 중의 하나가 영상정보는 숫자와 문자와는 달리 화질, 선명도 등에 외부적·주관적 요소가 결합함에 따라 정보가 달라질 수 있음에도 불구하고 ‘식별’이라는 동일한 기준으로 같이 개인정보 여부를 정의하고 있는 개인정보보호법의 출발에서부터 잘못이 있다.
영상의 다른 점을 인식하고 개별법으로 이를 규율하고, 카메라에 대해서도 별도의 기준으로 관찰자의 의지가 반영되느냐에 따른 분류를 하여 그 사용 범위를 규제해야 한다. 또한, 촬영 그 자체만으로 사생활 침해를 판단할 것이 아니라 통제없이 확인하는 것 자체가 사생활 침해가 될 수 있으므로 이를 민간 분야에 자율적으로 맡기기보다는 ‘관리’라는 개념으로 업체에서 이를 관리하도록 하고, 유관기관은 업체를 지도 감독한다면 보다 효율적으로 법 취지에 맞게 영상정보처리기기가 운영될 수 있을 것이다.
[글_ 임수용 연세대학교 법무대학원 경영법무 전공 석사과정]
[보안뉴스= 임수용 연세대학교 법무대학원] 서울 강남구가 우리나라에서 최초로 방범용 CCTV를 도입한 이래 민간분야까지 급격히 확대되고 있다. 개인정보보호법은 공공기관과 민간분야를 합쳐 최소 1,000만대 이상의 CCTV가 운영되기 시작한 그 후에야 제정됐다. 최근에는 영상에 특정한 개인영상정보보호법도 마련되고 있다. 여기에서는 관련 법률과 CCTV 운영의 상관관계를 살펴본다.
[이미지=iclickart]
강남경찰서는 우리나라에서 최초로 누구나 출입이 가능한 곳에 방범용 CCTV를 설치한 자치구다. 2002년 12월 논현1동 주택가 뒷골목 등에 방범용 CCTV 5대를 설치한 것을 기점으로 강남구의 범죄 취약 지역에 총 4차례에 걸쳐 372개의 방범용 CCTV를 설치했다.
당시 인권과 사생활 침해 등 우려의 목소리와 반대의 목소리도 있었지만, 강남구는 다른 자치구에 비해 빈번히 발생하는 강도·절도, 성범죄 등 강력 범죄를 예방하고 적극적으로 대처하기 위한 일환으로 방범용 CCTV 설치를 적극 추진했다.
초기에는 이렇게 도입된 방범용 CCTV의 인식과 효과에 대한 강남구민들의 인식과 실제 범죄율의 변동 추이에 대한 연구가 진행되기도 했다. 이후 강남구청과 강남경찰서는 공개된 장소에 방범용 CCTV가 설치된 1년 남짓 되는 시점인 2004년 강남구청 웹사이트에서 강남구민과 서울시민을 대상으로 범죄예방을 위한 공공장소의 CCTV 도입에 대한 적합성과 이에 대한 시민들의 의식을 조사했다.
그 결과 강남구민의 87%, 서울시민의 74%가 긍정적인 답변을 했다. 단순히 시민들의 긍정적인 의식이 제고됐을 뿐 아니라 실제 범죄율에서도 효과가 컸다. CCTV의 도입 후 강남구에서는 5대 범죄(살인·강도·강간·절도·폭력)이 감소했다.
여기에서 볼 수 있듯이 공공기관에서 운영하는 방범용 CCTV는 경찰의 치안 및 국민의 안전보장 기능면에서 볼 때 부족한 인력과 장비를 보완해 주는 중요한 역할을 수행하고 있다. 범죄의 예방과 통제에서도 가장 효과적인 수단 중에 하나로 인정받고 있다. 경찰은 범죄의 예방과 발생한 범죄의 효과적인 수사를 위한 목적으로 지방자치단체에서는 지역 주민에 대한 안전관련 민원 해결과 치안방범이라는 공공의 서비스 제공을 목적으로 공공장소에서의 방범용 CCTV를 확충하고 있다.
지금은 커피숍, 편의점, 식당 등에 CCTV가 설치되는 이상하게 느껴지지 않을 만큼 보편화됐다. 초기에는 민간에서 CCTV를 운영하는 것이 활발하지 않았다. 감시에 대한 트라우마가 있는 사회적 분위기로 CCTV에 대한 거부감도 높았기 때문이다. 가격적인 측면과 운영적인 측면에서 볼 때도 개인이 CCTV를 운영하는 것은 쉽지 않았다.
그러나 기계경비업 시장이 활성화되면서 기계경비업자가 CCTV를 기계경비 서비스와 접목하면서 민간에서도 CCTV를 운영하는 것이 급증했다. 기계경비란 경비대상물에 감지기 등을 설치하고 신호를 받아 이상이 생겼다고 판단되는 경우에는 대원을 출동시켜 이상 유무를 확인하는 서비스를 가리킨다.
처음에는 단순한 신호 접수였으나 관련 기술이 발달하면서 신호 외에 CCTV로 직접 상황을 볼 수 있게 됐고, 이제는 인터넷과 스마트폰의 발달로 CCTV 운영자가 언제 어디서나 자신의 스마트폰으로 영상을 확인할 수도 있게 됐다.
이 가운데 국회에서는 개인정보보호법 제정에 대한 논의가 시작됐다. 2007년 행정안전부(이하 행안부)의 조사에 따르면 공공기관에서 200만대, 민간 분야에서는 500만대의 CCTV가 운영됐다.7) 통계청은 2013년 기준 공공기관에서 운영하는 CCTV의 수가 500만대를 넘겼으며, 민간이 운영하는 CCTV의 수는 정확히 파악이 힘들다고 밝혔다.
다만 과거 자료로 볼 때 민간에서 운영하고 있는 CCTV의 수는 공공기관의 약 2배로, 대략 1,000만대 이상 추정된다. 개인정보보호법은 2011년 9월 30일부터 시행됐는데, 이미 공공기관과 민간분야를 합쳐 최소 1,000만대 이상의 CCTV가 운영된 후에야 이를 규제하는 기본법인 개인정보보호법이 마련된 것이다.
개인정보보호법의 제정과 목적
개인정보보호법 이전의 규율
개인정보보호법이 제정되기 전에도 개인정보보호와 관련된 법률은 있었다. 개별 사안에 따라 규율하는 개별법적 성격이었다.
행안부 소관의 ‘공공기관 개인정보보호에 관한 법률’과 방송통신위원회 소관의 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, 금융위원회의 ‘신용정보의 이용 및 보호에 관한 법률’, 교육과학기술부의 ‘교육기본법’, 보건복지부의 ‘의료법’, 지식경제부의 ‘전자상거래 등에서의 소비자보호에 관한 법률’, 공정거래위원회의 ‘소비자기본법’, 법무부의 ‘통신비밀보호법’ 등으로 부문마다 개별적인 체계로 보호 및 관리 법익이 있는 개인정보에 대한 정책 수립과 집행이 이뤄졌다.
이처럼 통합 법률이 없고 17개 부처에서 각자 기준에 따른 38개의 법률에 따라 규율을 하다 보니 법의 사각지대에 놓이게 되는 경우가 빈번히 발생했다.
개인정보보호법의 목적과 내용
개인정보보호법을 대략적으로 살펴보면, 정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수집과 이용이 보편화된 것을 볼 수 있다. 반면, 국가사회 전반을 규율하는 개인정보 보호의 사각지대가 발생하고 최근 개인정보의 유출과 오남용 등의 피해 사례가 속출함에 따른 국민들의 피해 구제를 강화하고 사전에 방지하려는 목적도 있다.
개인정보보호법은 총 9장으로 구성됐다. 총칙에서는 개인정보, 정보주체, 개인정보처리자의 정의와 개인정보 보호원칙, 정보주체의 권리, 국가 등의 책무 등을 정하고 있다. 제2장에서는 개인정보의 보호정책의 수립에 관한 사항으로 개인정보 보호정책의 추진체계에 관하여 개인정보보호위원회, 기본계획, 시행계획에 관한 사항을 정하고 있다. 제3장은 개인정보의 처리에 관한 사항으로 ‘공공기관의 개인정보보호에 관한 법률’에 따른 수집·이용·제공의 절차에 따라 개인정보 보호에 필요한 최소한의 요건을 정하고 있다.
여기에서 특히 구체적으로 다루고자 하는 CCTV관련 조항은 3장 제25조에 규정하고 있다. 제4장에서는 개인정보의 안전한 관리에 관한 사항으로 주로 시스템 및 물리적 보호조치에 관한 사항을 정하고 있고, 제5장은 정보주체의 권리보장에 관한 사항으로 ‘공공기관의 개인정보보호에 관한 법률’을 따른다. 제6장은 개인정보분쟁조정위원회에 관한 사항을 정하고 있고, 제7장에서는 개인정보 단체소송을 신설해 정하고 있다.
다른 장에서는 각각 보칙과 벌칙을 정하고 있다. ‘개인정보보호법’은 총 75개 조문으로 구성 및 재정돼 헌법상 보장된 ‘개인정보 자기결정권’의 실현과 개인정보보호에 관한 일반법의 위치에 있다.
개인정보보호법의 영상에 대한 문제
영상의 특성을 고려하지 않은 개념 정의
개인정보보호법 제2조에 따르면 개인을 알아볼 수 있는 정보, 해당정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 것이 개인정보라고 규정한다. 또한, 영상을 성명과 주민등록번호와 동일하다고 규정하고 있다.
글자의 조합인 성명과 숫자의 조합인 주민등록 번호와 영상을 동일하게 취급해 개인을 식별할 수 있으면 영상도 개인정보가 될 수 있다는 취지로 해석된다. 또한, 개인정보보호법 제12조에 따라 재정된 ‘표준 개인정보보호지침(고시)’ 제2조 정의에 따르면 영상정보처리기기에 의해 촬영·처리되는 영상 정보 중 개인의 초상이나 행동 등과 관련된 것으로 해당 개인을 식별할 수 있는 정보를 ‘개인영상정보’로 규율한다.
개인정보보보호법과 지침의 취지를 살펴보면 영상 중에 개인을 식별할 수 있다고 하면 개인정보로 분류돼 개인정보보호법에 적용을 받는다. 그 중에서도 영상정보처리기기에 처리된 영상 중 개인 식별이 가능하면 개인영상정보로 분류된다. 일반적인 영상 중 개인정보로 볼 수 있으면 개인정보보호법에 규율된다. 그 중에서도 영상정보처리기기에 의한 개인영상정보는 지침에 따라 별도 관리해 보다 확실히 관리 및 보호를 한다는 취지다.
그러나 개인정보보호법상 개인정보로 분류되는 영상과 지침에서의 개인영상정보의 기준은 ‘개인 식별 유무’다. 식별이 가능하다는 개념이 문자와 숫자로 지정되는 경우에도 정보 수령자에 따라 달라질 수 있다.
그런데 영상까지도 단순히 식별이라는 기준을 문자·숫자와 동일한 기준으로 개인정보 여부를 판단하는 기준으로 한 것이 수령자 또는 정보처리자 입장에서는 지극히 주관적일 수밖에 없는 모호한 기준이다. 예를 들면, 많은 사람들이 모여 있는 장소의 영상이나 영상정보처리기기의 개인영상정보가 유출이 된 경우 문자와 숫자와는 달리 화면에서 개인을 식별할 수 있느냐는 화질과 화면의 크기, 선명도 등 여러 기술적인 요소들로 인해 식별 여부를 쉽게 결정할 수가 없다.
이러한 다양한 선정 어려움이 있음에도 개인정보보호법 등에서는 단순히 영상도 문자와 숫자와 같이 ‘식별’이라는 기준으로 영상정보를 개인정보가 되는지, 개인영상정보가 되는지를 판단해 개인정보보호법 시행 이후 오히려 적용에 어려움이 있다.
영상정보처리기기의 정의
개인정보보호법에서 규정하고 있는 영상정보처리기기에 대해서는 시행령에서 구체적으로 규정하고 있다. 시행령에서 정한 바에 따르면 영상정보처리기기는 폐쇄회로 텔레비전과 네트워크 카메라로 구분하는데 둘 다 ‘일정한 공간에 지속적으로 설치된 기기’라는 공통점이 있다.
둘의 차이점은 연결이 폐쇄됐느냐와 인터넷에 연결돼 쉽게 확인이 가능하냐다. 이 정의도 상당히 주관적이어서 불명확한 점이 있다. ‘일정한 공간’이라는 개념은 공개된 장소가 아니어야 한다는 것으로 해석될 수 있고, 카메라 화각에서 잡히는 공간을 지칭하는 것으로도 해석이 가능하다.
장소적 개념으로 생각을 한다면 현재 공개된 장소를 찍고 있는 카메라를 본 법에서 규율할 수 없는 문제가 발생하고, 카메라 화각으로 한정을 하면 고정된 모든 카메라가 전부 해당이 된다고 볼 수 있다. ‘지속적’이라는 개념도 고정적인지, 탈부착이 가능한지에 대한 여부가 명확하지가 않다. 이러한 해석에 따르면 블랙박스는 개인정보보호법이 적용되지 않는 기기다.
경비업체나 카메라 제조사에서 내놓은 상품들 중에서 탈부착이 가능한 카메라나 이동형 촬영기기, 드론 카메라 등이 개인정보보호법에서 규정하고 하고 있는 ‘일정한 공간’과 ‘지속성’의 범주에 포함돼 과연 본 법에 적용을 받는 영상정보처리기기로 볼 수 있느냐에 대한 의구심이 든다.
영상정보처리기기의 운영과 취급
개인정보보호법에서 개인정보의 처리에 관한 사항을 타인에게 위탁하게 하는 업무 위탁에 대해서는 제26조에서 그 내용을 제한한다. 개인정보의 재산적 가치로 인해 제3자에게 제공하는 것에 대해서는 제17조에서 규정한다.
개인정보의 위탁은 크게 둘로 나눌 수 있는데, 일반적으로 계약 이행을 위한 업무를 위해 개인정보를 위탁하는 경우가 있고, 회사에서 마케팅 목적으로 개인정보를 위탁하는 경우다.16? 제3자 제공은 제공받는 자의 이익을 위해 이전 또는 처리 되는 것으로 기본적으로 제공되는 정보주체의 동의가 필요하다.
개인정보보호법에서 정한 두 가지 경우를 영상정보처리기기의 운영에 대해서 살펴보면, 아파트·연구소·공장 등의 보안은 일반 경비업체와 도급 계약을 하고, 그 업체에서 경비가 필요한 경비구역에 영상정보처리기기를 설치한 후 경비업체의 직원이 그 영상을 처리하는 경우에는 경비업체에 영상정보처리기기의 운영을 위수탁했다고 볼 수 있다.
따라서, 경비업체가 고의 또는 과실로 처리하고 있었던 개인영상정보가 유출되는 경우에는 경비업체와 계약을 체결한 업체도 동일하게 개인정보보호법의 처벌의 대상이 된다. 그러나 이 영상을 처리가 아닌 경비업체 또는 다른 업체의 홍보용, 마케팅 자료로 활용하기 위해 제공할 경우에는 기본적으로 업체뿐 아니라 제공되는 개인정보 주체의 동의가 필요하다. 정보 주체가 동의를 하지 않는다면 활용뿐 아니라 제공도 할 수 없다.
행안부에서 민간 분야에서 개인정보보호법을 위반하지 않고 영상정보처리기기를 운영할 수 있도록 배포한 ‘민간분야 영상정보처리기기 설치·운영 가이드라인’은 영상정보처리기기의 직접 운영과 위수탁 경우를 자세히 설명하고 있다.
이 가이드라인에 따르면 공개된 장소에는 개인정보보호법 및 이 가이드라인에 따라 게시판 등을 설치해야 하나 일반 도로, 타인의 대문 등은 타인의 사생활이 침해될 가능성이 높으므로 최대한 찍히지 않도록 하라고 규정하고 있다. 그런데 이 기준도 너무 모호해 실무적으로는 다툼이 많다.
즉, 주차장 또는 내부에 설치한 영상정보처리기기가 그 활용을 위하여 어쩔 수 없이 일반도로가 촬영되어야 하는 경우가 있다. 그런데 일반도로 등은 공공경비에 속하므로 경찰서 및 관공서 등에서 특별한 법률에 따라 영상정보처리기기를 운영한다. 따라서, 일반인들은 최대한 일반도로를 촬영하지 않도록 카메라 각도를 조절해야 한다. 이렇다 보니 어떠한 사건이 발생한 경우 위탁자와 수탁자 사이에서도 계약 이행에 대한 부분과 사건 당사자 사이에서도 영상정보처리기기가 제 역할을 하지 못하는 경우가 발생한다.
범인 추적을 위해 경찰이 수사과정에서 CCTV 영상을 요구할 때는 경찰도 가이드라인을 위반한 경우를 찾는 것으로 위반한 경우가 오히려 범죄 수사에 도움을 주는 아이러니한 상황이 발생하기도 한다.
영상정보처리기기 운영에 대한 부분을 다시 살펴보면, 직접 구매해 독자적으로 사용하는 경우도 있으나 경비업체의 서비스와 결합해 사용하는 경우와 기기의 유지관리를 위하여 업체에 렌탈 서비스 등으로 운영하는 경우가 종종 있다. 이렇게 경비업체 또는 렌탈 업체에서 영상정보처리기기를 운영하는 것에 대해서는 어떻게 정의할 것인지가 현재 개인정보보호법 상에서 공백인 부분이다.
영상정보처리기기를 렌탈하거나 경비업체로부터 서비스를 받는 소비자의 경우에는 자신의 필요에 따라 자유롭게 영상을 확인할 수 있고, 직접 운영자로서 관련법 및 가이드라인에 따라 이를 운영해야 한다. 그런데 기기에 문제가 발생하거나 기기의 작동을 위하여 업체에 요청할 때 업체에서는 직접 A/S 기사가 방문해 점검하거나 원격으로 접속해 이를 확인하는 서비스를 제공하고 있다.
기계경비업체는 경비신호를 수신하면 순찰 대원을 보내 확인하기 전 직접 영상정보처리기기에 접속해 실시간으로 이상 유무를 확인하기도 한다. 이러한 일련의 서비스를 위수탁으로 볼 것인지, 제3자 제공으로 볼 것인지에 대하여 문제점이 있다. 위수탁으로 본다면 경비업체의 고의 또는 과실이 소비자에게 그대로 전가되는 문제점이 있고, 제3자 제공으로 본다면 제3자 제공의 기본 원칙인 ‘정보주체로부터의 동의’가 불가능하기 때문이다.
현실적인 관리의 문제점
개인정보보호법은 법에서 정한 사항을 위반하면 각종 벌칙과 과태료 등을 부과할 수 있도록 규정하고 있다. 영상정보처리기기의 운영에 대하여 별도로 규정한 내용도 있고, 영상정보가 개인정보로 분류될 경우는 일반 개인정보 유출과 똑같이 취급돼 법 적용을 받는다. 그러나 법이 재정될 때에는 이미 민간 분야에서 1,000만대 이상의 영상정보처리기기가 운영되고 있었고, 설치 후에 제정된 법에 따라 이를 관리하는 것에는 많은 인력과 비용이 발생했다.
행안부에서도 여러가지 가이드라인을 마련해 민간분야에서 바르게 영상정보처리기기를 운영할 수 있도록 유도하고 있지만, 과연 이러한 것들이 얼마나 지켜지고 있는지 의문이다. 지켜지지 않더라도 강제할 방법이 있는지는 문제다. 개인정보보호법 재정 후 영상정보처리기기에 대하여 실생활에 가장 큰 영향을 준 것이 누구나 출입이 가능한 곳에 게시판을 설치하도록 한 것이다. 처음에는 계도기간을 가졌고, 영상정보처리기기를 렌탈하는 경비업체 또는 기기 업체에서도 설치할 때 게시판을 함께 설치해 주는 것이 어느 정도 일반화됐다.
그런데 이러한 게시판 게재가 다른 분쟁으로 인해 상대편을 공격하기 위한 방편으로 악용되고 있는 경우가 더 많다.카메라 각도, 촬영되는 범위에 대해서 개인정보보호법과 가이드라인 등에서도 뚜렷하게 규정할 수 없어 법 목적에서 의도한 바와 다른 분쟁을 일으키기도 한다.
영상정보 및 처리기기 개별법 재정의 필요
개인정보와 영상정보에 대한 개념적 분리
영상정보는 개별법에서 일반 개인정보와는 다른 방법으로 규율해야 한다. 앞에서도 언급하였듯이 ‘식별’이라는 기준으로 문자와 숫자로 표시되는 개인정보와 화질, 각도, 거리 등등 기술적 문제와 정보 주체의 주관적 개입이 가능한 영상정보를 함께 ‘식별’로 개인정보의 분류 기준으로 같이 쓰는 것은 현실적으로 맞지 않는다.
개인정보의 처리에는 ‘보유’하는 것도 처리에 범주에 속하는데, 전 국민이 카메라를 주머니에 가지고 다니는 현실에서는 이러한 기준이 맞지 않는다. 예를 들어 사람들이 많이 모인 관광지에서 휴대폰으로 친구들의 사진을 찍는 경우 그 옆에서 의도하지 않게 찍힌 사람이 있다면 그 사람에게 동의를 받아야만 그 사진을 내 핸드폰에 저장할 수 있다.
만약 의도하지 않게 찍힌 사람이 삭제를 요청한다면 개인정보주체의 정당한 권리이므로 삭제해야 하고 이를 확인시켜줘야 한다. 물론 ‘초상권’이라는 권리가 법 조항에서 규정하고 있지는 않지만, 헌법상 파생된 권리로 사회 일반적으로 통용되고 있으므로, 식별 가능한 상태로 나의 영상을 타인이 보유하고 있는 것에 대해서 불쾌하게 느껴진다면 삭제를 요구할 수도 있겠으나 추억을 담고자 하는 일반적인 행동들을 자칫 타인의 권리 침해행위로 보게 할 수 있는 위험성이 있다.
영상의 경우에는 별도의 개념 정의와 처리에 대해서도 ‘촬영’ ‘보관’ 등 성격상 맞지 않는 부분에 대해서는 처리에 대한 개념을 별도로 정의할 필요가 있다. 따라서 영상의 주관적 성격으로 인하여 개인 정보성이 문제가 되므로 촬영된 영상이 개인정보가 되는 것에 집중하기보다는 촬영을 하는 목적과 요즘 문제가 되는 SNS 등 유포에 대한 부분을 법적으로 안내 또는 규율을 하는 방안을 모색해야 한다.
영상정보처리기기의 정의 및 분류에 대한 부분
개인정보보호법 시행령은 영상정보처리기기를 폐쇄회로 텔레비전(CCTV)과 네트워크 카메라(IP 카메라)로 분류한다. 이들의 공통점은 ‘일정한 공간에 지속해서 설치된 카메라 또는 기기’라는 것이다. 폐쇄회로 텔레비전은 폐쇄회로 등의 전송로를 통해 특정 장소에 전송하거나 전송된 영상정보를 녹화·기록할 수 있도록 하는 장치를 지칭하고, 네트워크 카메라는 기기를 설치·관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집·저장 등의 처리를 할 수 있도록 하는 장치를 말한다. 큰 차이점은 어떻게 영상을 확인하느냐다.
카메라는 ‘일정 공간에 지속적으로 설치’된 것으로 한정하고, 확인 방법으로만 나누고 있다. 하지만 그 영상이 어떻게 촬영하고 있느냐에 대해서도 살펴봐야 한다. 요즘 문제가 되는 근로 모니터링이나 사생활 침해의 문제가 되는 부분은 카메라의 각도와 방향이다.
카메라를 기술적으로 자유롭게 움직이게 하면서 그 각도와 방향만을 가이드라인에서 규제하려고 하니 현실적 적용에 어려움이 발생하는 것이다. 개인정보보호법 개념적으로 카메라에 대해서도 분류해야 한다.
예를 들면 관찰자의 의지에 따라 카메라의 각도를 바꿀 수 있는 것을 ‘의지 카메라’, 그 각도를 바꿀 수 없는 경우에는 ‘무의지 카메라’로 분류해 사생활 침해가 우려되나 반드시 영상정보처리기기를 설치해야만 하는 곳은 무의지 카메라를 설치하고, 사생활 침해가 현저히 덜 한 곳이나 사생활 공간 등의 장소에만 의지 카메라를 설치하는 것이다.
원래 영상정보처리기기를 설치하는 목적이 범죄 등 어떠한 사건의 발생 시 목격자를 확보하는 것에 있다고 본다면 무의지 카메라의 경우에는 각도를 조절하진 못해도 화각을 넓히거나 화소 수를 높일 수 있도록 하고, 경찰서 및 국가기관에서 미처 설치하지 못하는 방범용 카메라를 개인이 자기 집 앞 도로에 설치할 수 있도록 하는 것이다.
그래서 범죄예방 및 목격자 확보의 원래 취지에 좀 더 부합하게 운영될 수 있도록 하면 국가기관에서는 많은 부분 비용을 절약할 수 있고 민간에서는 보다 자유롭게 영상정보처리기기를 운영할 수 있다. 촬영 자체만은 사생활 침해가 되지는 않는다. 촬영할 때 운영자가 타인의 사생활을 침해할 목적으로 영상 확인도 아무런 제재를 받지 않는 것이 사생활 침해 위험을 높이는 것이다. 이에 대해서는 ‘관리’의 개념에서 다시 한 번 논하기로 한다.
영상정보처리기기의 ‘관리’ 개념 도입해야
민간분야에서 운영하는 영상정보처리기기의 경우에는 크게 경비업자가 제공하는 경비 서비스에 부가상품으로 영상정보처리기기를 운영하거나 경비업자 또는 기기판매업자로부터 기기만을 별도 구입해 운영하는 경우로 나눌 수 있다.
이 경우 촬영된 영상을 폐쇄회로로 확인하든지 인터넷으로 확인하거나 업체에서 제공하는 프로그램을 사용해야만 확인할 수 있다. 그리고 업체들은 자신이 판매 또는 관리하는 영상정보처리기기만 확인하기 위해 타 업체의 영상정보처리기기는 확인할 수 없도록 장치를 하기도 한다.
그러나 확인을 하는 부분은 특별하게 규율을 하지 못한다. 업체가 녹화된 영상정보처리기기를 확인하는 그 행위를 개인정보보호법 상에서 위수탁으로 볼 것인지 제3자 제공으로 볼 것인지에 대한 의문이 있다. 영상정보처리기기를 통해 촬영된 영상의 소유권이 운영자 즉 일반 사용자에게 있다고 볼 때, 경비업체를 이용하거나 기기를 판매한 회사의 프로그램을 이용하여 영상정보처리기기를 운영하거나 확인을 하고 문제가 발생했을 경우는 원격으로 문제를 처리하기도 한다.
그 영상저보처리기기의 운영은 업체 프로그램으로 하고 영상 및 사용자의 로그 기록 등은 프로그램에 그대로 저장이 되므로, 넓게 보면 이를 위수탁 관계로도 볼 수 있다. 위수탁은 수탁자의 개인정보 유출에 대한 책임에 위탁자가 책임을 지는 것으로 업체의 책임이 일반 소비자에게 전가되는 구조다.
따라서 이를 위수탁 관계로만 볼 수 없다. 그렇다고 제3자 제공으로 본다고 한다면 정보의 처리에 대한 수익은 소비자에게 있으므로 제3자가 이익으로 하는 제3자 제공과도 맞지 않는다. 이런 구조 때문에 경비업체가 영상정보처리기기를 설치해 운영을 하는 것과 기기판매 업체가 기기 운영에 대한 프로그램을 제공하는 것에 대해서 개인정보호보법에서 이를 정확하게 규제할 수 없다.
오히려 업체들은 되도록 이러한 관계에 속하지 않기 위해 영상정보처리기기를 마치 정수기 렌탈 서비스와 같은 서비스 제공 모델로 삼아 사용자의 불법적 사용에 책임을 회피하려고 한다. 현재와 같이 경비업체를 사용하거나 기기판매 업체가 제공하는 프로그램을 통해 영상정보처리기기를 운영하는 것을 규율하는 개념인 ‘관리’를 새롭게 도입할 필요가 있다.
영상정보처리기기를 판매·렌탈하는 업체에서 기기를 관리할 뿐 아니라 기기의 운영이 법 취지에 맞도록 그들의 고객 즉 소비자를 안내하도록 하는 것이다. 그렇지 못할 경우에는 소비자 외에 업체도 함께 규제를 한다면 업체에서도 보다 적극적으로 법 규정에 맞게 사용이 되도록 할 것이다.
앞에서 카메라를 찍히는 것 자체가 사생활 침해가 될 수 있지만 그 확인을 쉽게 할 수 있고, 이에 대한 제재가 없는 것이 사생활 침해가 될 수 있다고 언급한 바 있다. 따라서 국가기관에서 일정한 프로그램을 통하여 촬영된 영상을 확인하도록 하고, 업체가 이러한 영상을 관리하도록 하는 것이다. 영상정보처리기기의 운영이 잘 되고 있는지, 확인을 어떠한 목적으로 하고 있는지 등 이러한 영상 확인을 업체에서 관리하도록 하고, 국가기관에서는 그 업체를 관리하는 것이다.
예를 들면 경비업자의 경우에는 경비업법에 따라 상·하반기로 모든 경비업자를 지도 및 감독을 하고 있다. 이 경우처럼 관련 기관에서는 민간 분야에 영상정보처리기기의 운영을 직접 하는 것은 물리적으로 불가능하므로 외부에 노출되는 영상정보처리기기의 운영부터 경비업체 등 유관 업체가 이를 관리하고, 이 업체들을 정기 또는 부정기적으로 감독하는 것이다. 처음에는 사생활 침해가 우려되는 공간의 영상정보처리기기 운영을 업체가 관리도록 하고, 점점 그 범위를 확대하여 현재 커피숍, 학원 등 누구나 출입이 가능한 공간에서 운영되는 영상정보처리기기에 대한 관리도 업체가 하게 하는 것이다.
물론 일반 소비자 입장에서는 그 비용이 올라간다. 비용이 문제가 되는 경우에는 직접 관련 기관에서 관리 프로그램을 운영하고 카메라를 등록하고 관리하는 방법을 모색해야 한다. 영상정보처리기기가 사생활 침해의 위험성을 강조하면서 그 운영은 자율에 맞기고 적발됐을 때에만 크게 처벌을 하겠다는 것은 수범자의 입장에서는 이해할 수가 없다.
자율로만 일임하기 보다는 업체 또는 국가기관의 프로그램 등록 등 사전의 관리 방법을 모색하여 사전 관리를 한다면 문제는 어느 정도 해결되고 수범자의 준법 의지도 차츰 높아질 것이다.
개인영상정보보호법 제정의 필요성
개인정보보호법이 시행전, 무문별하게 요구되는 주민등록번호, 전화번호 등에 대한 관리 및 통제 여부에 대해 회의적인 시각이 많았었다. 그러나 시행 후 몇 년이 지난 지금은 어느 정도 통제가 되고 있고 개인정보주체들이 자신의 개인정보의 중요성을 인식하고 업체로부터 처리 및 확인 요구를 하는 것이 일반화되고 있다.
그러나 유독 영상에 대한 부분에서는 오히려 혼란이 가중되고 있고 법 취지에 맞게 정착을 못하고 있는 형편이다. 유관기관에서는 가이드라인 형식으로 안내를 하고 있지만 명확한 기준을 제시하지 못하고 있다.
이러한 현상이 발생하는 큰 이유 중의 하나가 영상정보는 숫자와 문자와는 달리 화질, 선명도 등에 외부적·주관적 요소가 결합함에 따라 정보가 달라질 수 있음에도 불구하고 ‘식별’이라는 동일한 기준으로 같이 개인정보 여부를 정의하고 있는 개인정보보호법의 출발에서부터 잘못이 있다.
영상의 다른 점을 인식하고 개별법으로 이를 규율하고, 카메라에 대해서도 별도의 기준으로 관찰자의 의지가 반영되느냐에 따른 분류를 하여 그 사용 범위를 규제해야 한다. 또한, 촬영 그 자체만으로 사생활 침해를 판단할 것이 아니라 통제없이 확인하는 것 자체가 사생활 침해가 될 수 있으므로 이를 민간 분야에 자율적으로 맡기기보다는 ‘관리’라는 개념으로 업체에서 이를 관리하도록 하고, 유관기관은 업체를 지도 감독한다면 보다 효율적으로 법 취지에 맞게 영상정보처리기기가 운영될 수 있을 것이다.
[글_ 임수용 연세대학교 법무대학원 경영법무 전공 석사과정]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
