개정 개인정보 보호법에서 형사제재 규정의 헌법적 합리화 연구

A Study on Constitutional Rationalization of Criminal Sanctions in the New Personal Information Protection Act of South Korea

대한민국의 개인정보 보호법에는 많은 형사처벌 규정과 과태료 규정을 두고 있어 강한 개인정보보호법제라는 인상을 줄 수도 있지만, 형사처벌 체계의 합리성이나 효과적인 집행이라는 관점에서 개인정보 보호의 확실성을 보여주지 못하고 있다. 개정 개인정보 보호법에서도 이러한 형사처벌 규정의 문제는 계속되었고, 개인정보의 합리적인 활용뿐만 아니라 국민의 자유로운 계약과 행동의 자유도 처벌규정으로 위축시키는 면이 있다. 헌법 제10조와 제17조로부터 개인의 사생활에 관한 소극적인 권리는 물론 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리를 인정할 수 있다. 이를 구체화한 법이 개인정보 보호법이다. 이러한 개인정보자기통제권을 구체화하기 위하여 법을 통하여 시민의 자유를 필요최소한도로 제한하면서 그 법적 규범력을 확보하기 위해 형사처벌 등의 규정을 둘 수 있다. 그러나 이러한 처벌법규도 죄형법정주의 원칙에 따라야 하며, 그 명확성 원칙과 형벌의 비례성을 갖추어야 한다. 비교법적으로 EU의 GDPR에서 벌칙은 제84조에 따라 EU의 회원국이 정하도록하고 있다. 미국의 ‘캘리포니아 소비자 프라이버시 보호법’(California Consumer Privacy Act of 2018)에서는 민사소송과 민사벌금을 제재수단으로 사용한다. 일본도 2015년 법 개정으로 업무관련 개인정보데이터베이스의 부정제공 등을 형사처벌하고, 개인정보보호위원회의 명령을 위반하거나 허위보고한 경우만을 처벌한다. 이처럼 외국의 입법례에서는 우리 개인정보 보호법과 같이 광범위한 처벌 규정을 두고 있지 않다. 따라서 우리는 개인정보 보호법의 규범성 확보를 위하여 형사처벌보다는 합리적인 규범성 확보를 위한 전체 디자인을 해야 한다. 그리고 민간영역에 개인정보침해 문제는 손해배상과 과징금 규정으로 해결하고, 개인정보보호위원회의 행정권한의 확보를 위해 과태료를 인정하고, 형사벌은 비난가능성이 높거나 행정명령에 의도적으로 반하는 행위에 초점을 맞추어 처벌하도록 하는 개인정보 보호법의 규제 합리화 작업을 진행해야 한다.

In South Korea, the Personal Information Protection Act has a number of criminal punishment and fine regulations, which gives the impression that it is a strong personal information protection system. However, it did not show the certainty of privacy protection and rationality of the criminal punishment ecosystem. And the free contract of the people and freedom of action are reduced to the punishment. Articles 10 and 17 of the Constitution of Republic of Korea recognize the passive right to privacy of individuals as well as the active right to autonomously control information about themselves. The Act that embodies the constitutional right is the Personal information protection Act. In order to embody the right to control such personal information, the Act can restrict the civil liberties to provide the rules of punishment to secure the legal norm. However, these punishment provisions must be in accordance with the principle of criminal legalism and must use a proportionality in the clarity principle. Comparatively, penalties in the EU s GDPR are delegated by EU member states in accordance with Article 84. In the United States, the California Consumer Privacy Act of 2018 uses civil litigation and civil penalty. Japan also criminally punishes illegal provision of personal information databases due to Amended Act on the Protection of personal information of 2015. In this way, foreign privacy laws do not have a wide range of penalties like Korean law. Therefore, in order to guarantee the norms of personal information protection act, the entire system must be designed according to reasonable norms rather than criminal punishment. In addition, the issue of personal information infringement in the private sector should be solved by compensation for damages and surcharges regulations. And the regulation of privacy act should rationalize, have to focus on punishment of act which is a high probability of criticism or intentional contrary to administrative orders.