유럽사법재판소, 정보보관지침 무효 결정

편집자주:
지난 4월 유럽사법재판소는 유럽연합의 “정보보관지침”에 무효를 결정했습니다. 2006년 제정된 이 지침은 통신사업자와 인터넷사업자 등에게 모든 이용자를 식별할 수 있는 정보를 보관하도록 의무화하였습니다. 이번 결정은 9.11 테러 이후 수사 편의를 위해 이루어진 주요 입법 조치에 대해 인권침해를 인정하였다는 점에서 큰 의미가 있습니다. 한국 통신비밀보호법 시행령도 유선전화 6개월, 이동통신 12개월, 인터넷 3개월씩 이용자의 통신 정보를 의무적으로 보관하도록 전기통신사업자의 의무를 규정하고 있습니다. 수사를 위해 개인정보가 필요하다고 해서, 인권의 원칙을 넘어서는 법들이 정당할 수는 없습니다.


*번역 오류는 della 골뱅이 jinbo.net 으로 알려주세요.

“반드시 필요한 경우로 제한되지 않아, 이 지침은 사생활 보장과 개인정보 보호 기본권에 대해 광범위하고 특별히 심각한 침해를 수반한다.”

정보보관지침(역주: 2006년 유럽연합이 제정한 지침 2006/24/EC 로, 통신사업자와 인터넷사업자 등에게 이용자를 식별할 수 있는 정보를 보관하도록 의무화하였다)의 주요 목적은, 공중에게 전자통신서비스나 공공통신망을 제공하는 자에 의해 발생되거나 처리되는 특정 정보를 보관하는 것과 관련한 회원국의 법률조항들을 비슷하게 맞추는 데 있다. 그러므로 이는 특히 조직범죄나 테러와 같은 중대범죄의 방지, 수사, 탐지, 기소 목적을 위해 정보가 사용되는 것을 보장하고자 한다. 따라서 이 지침은, 위에서 거론한 제공자가 가입자나 이용자를 식별하기 위해 필요한 관련 정보 뿐 아니라 트래픽과 위치 정보를 반드시 보관토록 하는 조항을 가지고 있다.

아일랜드 고등법원과 오스트리아 헌법재판소는 특별히 유럽연합기본권헌장에 서술된 두 가지 권리 측면에서 이 지침의 타당성을 심사할 것을 우리 재판소에 신청하였는데, 그 두 가지 권리는 사생활 보장 기본권과 개인정보보호 기본권이다.

아일랜드 고등법원은 전자통신 정보 보관과 관련한 국가적 조치의 합법성과 관련하여 아일랜드 회사 “정보인권 아일랜드”와 아일랜드 당국 간의 분쟁을 조정해야 한다. 오스트리아 헌법재판소에는 카린시아 지방정부 및 자이틀링어, 초흘 씨 외 11,128 명의 신청자에 의해 위헌 소송 몇이 제기되어 있다. 이 소송들은 위 지침이 오스트리아 법에 적용된 법률 조항의 무효를 구한다.

오늘의 결정으로 재판소는 지침의 무효를 결정한다.

우리 재판소는 우선 보관되는 정보로 인해 특히 (1) 가입자나 등록된 이용자가 통신하는 상대방의 정체성을 파악하는 것이 가능한지, (2) 어떤 수단으로든 해당 통신이 발생한 장소 및 시간을 시간을 식별하는 것이 가능한지, (3) 가입자나 등록된 이용자가 특정 시간 동안 특정 이용자와 통신한 빈도를 파악하는 것이 가능한지 부터 말한다. 전체적으로 볼 때 이 정보들은, 일상생활의 습관이나 영구적이거나 일시적인 주거, 매일의 혹은 예외적인 이동상황, 수행하는 활동, 사회관계와 일상적인 사회 환경 등, 정보가 보관되는 개인들의 사생활에 대해 매우 정확한 정보를 제공할 수 있다.

재판소는 그런 정보들의 보관을 요구하고 주무 국가기관이 그런 정보에 접근하는 것을 허용함으로써, 이 지침은 특히 심각한 방식으로 사생활과 개인정보 보호에 대한 기본권을 침해한다는 입장을 취한다. 나아가, 정보들이 보관되고 결과적으로 가입자나 등록된 이용자가 인지하지 못한 채 사용된다는 사실은, 개인들에게 자신의 사생활이 지속적인 감시 하에 있다는 우려감을 초래할 수 있다.

다음으로 재판소는 문제의 기본권에 대한 그러한 침해가 정당한지 여부를 검토한다.

재판소는 지침에서 요구하는 정보보관은 사생활과 개인정보 보호에 대한 기본권의 본질에 불리한 영향을 미치는 것이 아니다고 언명한다. 이 지침은 보통 말하는 전자통신 내용에 대한 지득을 허용하지 않으며, 서비스나 네트워크망 제공자가 정보 보호와 정보 보안에 대한 특정 원칙들을 반드시 준수해야 한다는 조항을 두고 있다.

나아가, 정보 보관은 주무 국가기관에 제공을 가능케 하려는 목적으로 중대범죄와의 전쟁, 또는 궁극적으로 공공안전과 같은 공익적 목표를 성실하게 충족한다.

그러나 재판소는, 유럽연합 입법부가 정보보관지침을 채택함으로써 비례의 원칙 준수를 위한 한계를 초과했다고 생각한다.

이러한 맥락에서 재판소는, 사생활 기본권 보장의 측면에서 개인정보를 보호해야 하는 중요한 역할 수행과, 지침으로 인해 초래되는 권리 침해 범위와 심각성을 고려하여, 유럽연합 입법부의 재량권이 엄격해야 하는가를 검토하였고, 그 결과 이 재량을 축소함을 발표한다.

비록 지침이 요구한 정보 보관이 그 지침이 추구하는 목표 달성에 적절한 것으로 여겨질 수 있음에도 불구하고, 지침이 문제의 기본권에 대해 광범위하고 특히 심각하게 침해할 때, 그러한 침해가 실질적으로 반드시 필요한 경우로 제한하도록 충분히 보장하고 있지 않다.

첫째, 지침은 대강의 방식으로, 모든 개인의, 모든 전자통신 수단과 모든 트래픽 정보를 어떠한 구별, 한정, 예외도 없이 중대범죄와의 전쟁이라는 목표 하에서 다루도록 하였다.

둘째, 지침은 주무 국가기관이 문제의 기본권 침해의 범위와 심각성을 고려하여, 그러한 침해를 정당화할 만큼 충분히 심각한 것으로 여겨지는 위법 행위에 대해 방지, 탐지하거나 기소하는 목적으로만 그 정보에 접근하여 사용하는 것을 보장하는 어떠한 객관적인 기준을 규정하는 데에도 실패하였다. 그 반대로, 지침은 ‘중대범죄’를 각국이 자국법에 정의한 대로 대강의 방식으로만 언급하였다. 게다가, 이 지침은 주무 국가기관이 그 정보에 접근하여 사용할 때 실질적이고 절차적인 요건을 규정하지 않았다. 특히, 이와 같은 정보에 접근할 때 법원이나 다른 어떤 독립적인 행정기관의 사전 심사를 받지 않는다.

셋째, 정보 보관 기간에 관한 한, 관련된 개인에 기초한 정보 범주 간에 어떠한 구별이나, 추구하는 목표과 관련된 정보의 유용성과 관계없이, 이 지침은 최소 6개월의 기간을 부과한다. 나아가 이 기간은 최소 6개월부터 최대 24개월 사이로 설정되어 있지만, 그 보관 기간은 반드시 필요한 경우로 한정하기 위해 결정되어야 한다는 기조에 따른 객관적인 기준을 이 지침은 거론하고 있지 않다.

재판소는 또한 이 지침이, 오남용 위험이나 불법적인 접근 및 사용으로부터 효과적으로 개인정보를 보호할 수 있는, 충분한 안전보장조치 조항을 두고 있지 않다는 사실을 발견하였다. 재판소는 그 중에서도, 서비스 제공자가 적용되는 보안 수준을 결정할 때 경제적인 고려(특히 보안 조치 실행 비용과 관련하여)를 할 수 있도록 이 지침이 허용하고 있고, 보관 기간이 종료했을 때 이 정보를 복원할 수 없도록 파기하도록 보장하고 있지 않다는 사실에 주목한다.

마지막으로, 재판소는 이 지침이 정보를 유럽연합 내에서만 보관할 것을 요구하지 않는다는 점을 언급한다. 그러므로 이 지침은, 보호와 보안 요건을 준수하도록 독립적인 기관이 통제하는 것을 완전히 보장하지 않는데, 이는 유럽연합기본권헌장의 명백히 요구하고 있는 바이다. 이러한 통제는 유럽연합 법에 기반하여 수행되는 것으로서, 개인정보 처리와 관련한 보호에 있어 본질적인 요소이다.