| 개인영상정보, 어떻게 보호해야 하나? | 2013.08.13 |
프라이버시 침해 막기 위한 내부통제 시스템 구축 필수
개인정보보호법과 개인영상정보 개인정보 중 영상의 지위는 주민등록번호로 대표하는 기존 텍스트 기반의 정보와 대등하거나 우위에 있다. 모든 개인을 촬영한 영상이 모두 개인정보가 될 수 있는가에 대하여는 기존 텍스트 기반의 정보와 같이 개인을 특정할 수 있는 정도의 영상이어야 하지만, 그 외 장소, 시간, 소리, 주위 환경 등의 상황을 결합하여 특정이 가능하다면 개인정보로 봐야 한다. 이런 의미에서 개인을 촬영된 영상을 개인영상정보로 불러야 하며, 영상정보처리기기에서 생성된 영상 중 개인영상정보만을 개인정보보호법에서 규정하여 보호하고 있다. 영상정보처리기기와 개인영상정보에 대한 사생활 보호 이슈 헌법상의 개인정보자기결정권 침해 문제 개인정보자기결정권 혹은 자기정보형성통제권으로 불리는 헌법상 권리는 종래의 매스미디어에 관련된 프라이버시 개념을 전제로 한 전통적인 ‘혼자서 있을 수 있는’ 이라고 하는 개념이 아닌, 프라이버시에 대한 권리를 ‘자신에 대한 정보를 컨트롤할 권리’로 파악하는 것이다. 즉, 일방적으로 대량으로 수집·이용·축적된 개인정보를, 정보의 주인인 정보주체가 일정한 범위에서 자신의 손으로 자신의 프라이버시를 지키는 것을 의미한다. 여기에서 프라이버시에 대한 권리는 ‘혼자서 있을 수 있는’ 권리라고 하는 소극적인 불법행위법상의 권리에서, ‘개인정보자기결정권’이라는 보다 적극적인 인터넷의 권리로 변해 왔다. 정보화 사회에 있어서 프라이버시에 대한 권리보장은 개인을 식별하는 징표로서의 개인정보의 보호가 가장 중요한 과제가 된 것이다. 인터넷 네트워크 구축에 따라, ‘개인정보자기결정권’으로서 프라이버시 권리의 중요성은 높아지고, 이 보호의 대상으로서 논의가 이루어지고 있는 것이 ‘개인정보’라고 할 수 있다. 요컨대, 개인정보보호법은 기존보다 확장된 정보주체의 프라이버시 권리를 보호하기 위하여 적극적으로 개인정보의 수집·저장·제공·삭제에 대하여 개입할 권리를 보장하도록 제정되었다고 할 수 있다. 개인영상정보의 특징 개인영상정보는 텍스트 기반으로 수집되는 일반적인 개인정보와는 다르게 아래와 같은 특징을 가지고 있다. · 시각적 정보로 이해가 빠르고, 인식성이 높아 전파력이 좋다. · 개인의 초상, 성별, 신체상의 특징, 행동습관 등이 기록되고, 영상정보처리기기 설치위치 및 촬영각도, 촬영내용 중의 배경 등과 결합하여 개인의 사생활이 밀도 높게 노출될 수 있다 · 계약 등에 사용하기 위해 본인임을 증명하기 위한 문자, 부호화는 달리 유출시 개인의 인격 훼손 가능성이 매우 높다. · 사람마다 사람을 평가하는 잣대가 다르며 특히 서로 다른 가치관을 가진 사람들이 모여 가볍게 사람을 평가하는 경향이 지배적인 온라인 공간에 공개될 경우 개인의 인격 훼손 위험성이 매우 높아진다. · 영상정보처리기기 등 최근 정보저장 기술이 디지털화됨에 따라 영상정보 또한 디지털 기록으로서 보존되는 경우가 많고 네트워크 기술과 결합하여 온라인상 공개 가능성이 높아지고 있다. 따라서 개인영상정보는 화상신호를 전기신호 또는 데이터 신호로 변환하는 과정에서 내용을 선별해서 수집할 수 없어 촬영각도 등 과도한 개인정보 수집을 제한해야 하며, 수집된 영상정보 또한 개인의 명예훼손 위험성을 고려하여 이용에 많은 제약을 받아야 한다. 개인영상정보 보호의 필요성 2012년 8월 K방송사의 9시 뉴스는 ‘때리고 밀치고 … 유치원 교사 원생 학대 논란’이라는 제목 하에 노원구의 한 어린이집에서 촬영된 CCTV 화면을 보여주었는데, 화면에는 아이가 밥을 먹지 않는다고 쥐어박고, 밥을 먹다가 다른 곳을 쳐다본다며 몸을 때리고, 아이의 코트를 교사가 발로 차버리는 내용의 화면이 기사멘트와 함께 동영상으로 보도됐다. 학부모 J씨는 자신의 아이가 다니는 어린이집에서 촬영된 CCTV 파일을 입수하여 자신의 딸이 교사로부터 부당한 대우를 받았다고 방송사에 제보했고, 방송사 기자는 J씨의 일방적인 주장을 믿고 그 주장을 뒷받침하기 위해 교사가 아이를 훈육하는 3군데 장면의 화면속도를 최대 2배 빠르게 조작해 보도한 것이 사건의 배경이다. 이로 인해 해당 유치원 원장은 30년간 교육계에 종사해 왔음에도 불구하고 위 보도 이후 유치원에 빨간색 x자 페인트칠이 칠해지고, 계란이 날아드는 등 극심한 정신적 충격, 유치원 원생 유출 등 정신적·물질적으로 막대한 손해를 입었다. 이에 법원에서는 ‘기사의 논조가 객관성과 공정성을 상실했고 논조를 정당화하기 위해 자료화면을 편집하여 시청자들의 자율적인 가치판단의 기회를 박탈하고, 신청인의 명예, 교육할 권리를 침해했다’고 판결을 내렸다. 영상정보는 공개 시 이해도가 높은 특성 탓에 공개된 영상을 그대로 믿어버리는 성질이 있어 고의적인 편집을 했을 경우 심각한 명예훼손을 초래할 수 있다는 점에 미루어볼 때 매우 민감한 개인정보라 할 수 있다. 명예는 훼손됐을 경우 전파력이 좋은데 반해 진실이 밝혀질 때는 이미 이슈에서 멀어지는 탓에 완벽하게 회복되기 어려운 특징이 있어 권익 침해 가능성을 원천적으로 차단하는 것이 중요하다. 따라서, 개인영상정보는 수집하고 이용함에 있어서 매우 신중을 기해야 한다. 개인정보보호법상의 개인영상정보보호 관련규정 개인정보보호법 제25조(영상정보처리기기의 설치·운영 제한)에서 영상정보처리기기에 한정하여 개인의 사생활을 현저히 침해할 수 있는 목욕실, 탈의실 등의 장소에 설치를 제한하고 영상정보처리기기의 임의 사용을 금지하고 있다. 흔히 택시 등 영업용 차량에서 차량용 블랙박스라고 부르는 ‘차량용 이동형 촬영장치’를 통해 내부의 영상을 찍을 시 녹음도 같이 하는 경우가 많은데, 이는 일정한 공간에 설치되어 사람 또는 사물을 촬영하기 때문에 영상정보처리기기의 범위에 포함, 개인정보보호법에 의해 관리되어 처벌을 받게 된다. 뿐만 아니라 영상정보를 수집·운영하는 경우, 영상정보가 개인정보의 하나이기 때문에 다른 개인정보와 마찬가지로 개인정보 안전성 확보조치 의무, 관리책임자 지정 및 업무 수행 등의 의무를 지게 된다. 따라서 비행기의 블랙박스가 봉인되어 사고 시 관련기관에서만 분석하도록 하는 것과 같이 일명 차량용 블랙박스도 비행기의 운행기록과 같이 차량의 운행기록 영상을 저장하고, 교통사고나 범죄행위 수사 목적으로 영상 열람 필요 시 수사기관과 같은 기관에서만 열람과 복사가 가능하도록 봉인하는 것이 바람직하다. 개인영상정보 수집·이용에 대한 사례 분석 금융권 ATM기 천장형 CCTV 사례 2012년 11월 국내 언론사를 통해 금융권 일부에서 운영중인 ATM기의 천장에 고객 비밀번호, 계좌번호 등이 촬영되는 각도로 카메라가 설치되어 있었음이 확인됐고, 유지보수업체를 통해 운영되고 있음이 보도된 바 있다. △ 과다한 정보수집 문제 고객이 ATM기를 이용하는 과정에서 계좌번호, 잔액, 비밀번호 등 과다한 정보가 수집되고, 이렇게 촬영된 영상이 개인정보 부분에 대한 ‘마스킹’ 처리 없이 원본 그대로 저장되고 있다. 영상정보처리기기를 이용하여 영상정보를 수집함에 있어서 목적 외의 개인정보들을 수집하고 있는가가 주요한 문제가 될 수 있다. 개인정보보호법은 제16조 개인정보의 수집제한 조항을 두고 개인정보수집 시 목적에 필요한 최소한의 정보만을 수집하도록 명시하고, 적절한지에 대해서는 개인정보처리자가 입증하도록 하고 있다. 이에 대해 안전행정부에서 금융감독원과 함께 실태조사를 진행했으며, 잘못 운영하고 있는 기관·지점에 대해 행정처분 및 시정조치를 취한 바 있다. 영상정보는 특정 개인정보들을 완벽하게 구분하여 제한하기 어렵기 때문에 개인정보보호법 제25조에 명시된 촬영각도 등의 검토가 반드시 필요한데 반해 적절한 조치를 이행하지 않은 경우 문제가 발생할 수 있다. △ 제3자인 민간 보안업체/영상정보업체에 CCTV 관리를 위탁하는 문제 은행들은 CCTV 관리상의 어려움을 이유로 민간 보안업체에 관련 업무를 위탁함으로써 촬영된 CCTV 영상 역시 이러한 민간 업체들이 관리하고 있다. 따라서 업체 내부자에 의해서 유출될 수 있고, 또는 외부의 해킹에 의해서 개인정보가 범죄에 악용될 소지도 있으며, 개인정보보호법 제26조 제3호 제5항에서 수탁자는 개인정보처리자로부터 위탁 받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다고 규정하고 있으며, 위탁자도 책임을 지도록 하고 있다. 범위를 확대해보면 영상정보처리기기에 대한 설치, 제어와 영상정보의 수집·이용에 관한 문제에 대해 관리가 잘되고 있는지 객관적으로 증명이 가능한 기술적 조치가 필요하며, 사전에 막을 수 있는 능동적인 대응체계 마련 측면을 고려해 봐야 한다.
△ 기타 문제점 · 은행이 개인정보처리자로서 안전조치의무 준수 여부(개인정보보호법 제29조) · 제3자인 민간 보안업체들이 임의로 CCTV 촬영 각도로 변경할 가능성(위 법 제72조 제1호) · 은행의 CCTV 촬영 안내판 미설치(위 법 제25조 제4항) · 은행이 제3자에게 업무 위탁시 계약서를 제대로 작성하였는지 여부(위 법 제26조 제1항) · CCTV 촬영부분의 마스킹 처리는 인가된 관리자가 영역을 설정·변경할 수 있는 권한을 가지고 있어 실효성 없는 안전행정부의 지침으로 금융기관들은 지금도 고객의 정보를 수집하고 있음 상기 사항에 대하여 범위를 확대해보면 수집된 영상정보에 대한 접근 제한 및 안전성 확보 조치, 안내판 설치를 통한 영상정보 수집 고지 여부, 영상정보의 관리상 적절한 조치를 취했는지 여부에 대해 살펴볼 필요가 있다. 개인정보보호법 제25조에 의거하여 영상정보처리기기를 운영하기 위해서는 공공기관의 경우 모든 개인정보 수집행위는 수집 전 반드시 정보의 주체로부터 수집에 대한 동의를 받도록 하고, 폐기 요청 시 폐기하도록 하고 있다. 또한, 공공장소는 정보주체를 특정할 수 없어 설치의 편의성 제공을 위해 공청회, 행정고시 등을 통해 적절한지 검토하고 시행령 제24조에 명시된 내용을 포함하는 안내판을 정보 주체가 알아보기 쉬운 장소 등에 부착하여 고지하는 것으로 대체할 수 있도록 하고 있다. 하지만, 금융기관 ATM기 천장에 부착된 CCTV는 계좌번호나 비밀번호 입력 순서 등이 기록될 수 있다는 내용을 고지하지 않아 안내판 부착 및 고지의무를 충분히 이행하지 않으면 논란이 될 수 있다. 영상관련 기술이 진보함에 따라 방범 등 각종 공적 서비스 강화 요구, 감시업무의 효율적 운영, 증거능력 확보 등 다양한 목적으로 설치되는 영상정보처리기기의 규모가 점차 늘어나고 있고, 이에 따라 개인정보의 기본권 침해가 가중되고 있다. 개인영상정보는 개인정보에 포함되는 개인의 초상, 성별, 신체 등 개인의 실체가 기록되어 있어 대중전파력이 높아 취급에 주의가 필요하다. 특히, 주민등록번호 등의 개인정보는 고유식별 업무만 만족할 경우 내용을 암호화하여 관리자도 내용을 볼 수 없는 조치를 취할 수 있는데 반해, 영상정보는 선별적 조치를 취하기 어렵다. 혹시 있을지 모르는 내부자에 의한 개인정보 침해사고를 자동화된 시스템으로 관리할 수 있도록 해야 한다. 앞으로 방범 등의 목적으로 전 국토에 광범위하게 CCTV가 설치되는 것은 분명히 다가오는 현실이라고 할 수 있다. [글 _ 신 진 교 개인영상정보보호포럼 연구이사(jkshin@4dream.co.kr)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
영상정보처리기기는 동법 제2조 제7호에서 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통해 전송하는 장치로서 대통령령으로 정하는 장치로 규정되어 있으며, 적용범위가 기존의 폐쇄회로 카메라에서 좀더 넓어진 개념이라고 할 수 있다.