디지털 시대의 도래와 함께 개인정보보호와 표현의 자유 사이의 긴장이 전 세계적으로 첨예해지고 있다. 유럽 사법재판소(Court of Justice of the European Union, CJEU)는 이러한 갈등 상황에서 혁신적이면서도 균형잡힌 판례들을 축적해왔다. 특히 2014년 ‘잊힐 권리’ 판결 이후 개인정보보호와 표현의 자유에 관한 CJEU의 판례법리는 전 세계 법원들에게 중요한 참고 기준이 되고 있다. 한국 헌법재판소 역시 이러한 유럽의 판례를 주목하며, 디지털 시대에 맞는 새로운 헌법해석 방향을 모색하고 있다.
CJEU의 혁신적 접근: 기본권 충돌에서 실용적 해법으로
CJEU가 개인정보보호와 표현의 자유 문제에 본격적으로 개입하기 시작한 것은 2000년대 중반부터다. 초기에는 EU 기본권 헌장과 회원국 헌법 간의 조화를 추구하는 수준이었지만, 인터넷과 소셜미디어의 확산과 함께 훨씬 구체적이고 실용적인 접근을 보이기 시작했다. 특히 2009년 리스본 조약 발효 이후 EU 기본권 헌장이 구속력을 갖게 되면서, CJEU는 기본권 보호에 더욱 적극적인 역할을 담당하게 되었다.
CJEU의 접근법에서 가장 주목할 점은 ‘절대적 권리’보다는 ‘비례적 균형’을 추구한다는 것이다. 미국 연방대법원이 표현의 자유를 거의 절대적 권리로 보호하는 것과 달리, CJEU는 개인정보보호권과 표현의 자유를 동등한 지위의 기본권으로 인정하고 구체적 사안에서 이들 간의 균형점을 찾으려 한다. 이러한 접근은 ‘실용적 조화(practical concordance)’ 원칙에 기반한 것으로, 독일 연방헌법재판소의 영향을 받은 것으로 분석된다.
또한 CJEU는 기술 발전의 속도를 고려한 ‘미래지향적 해석’을 시도한다. 기존 법조문의 문언적 해석에 얽매이지 않고, 디지털 기술이 가져온 새로운 현실을 적극적으로 반영하려 한다. 예를 들어, 개인정보의 ‘처리’ 개념을 온라인 검색엔진의 인덱싱까지 포함하는 것으로 확장하거나, ‘표현의 자유’를 온라인 플랫폼에서의 콘텐츠 배포까지 포괄하는 것으로 해석하는 식이다.
획기적 판례들: Google Spain 사건과 그 이후
2014년 Google Spain 사건은 CJEU가 디지털 시대 기본권 보호에 새로운 지평을 연 상징적 사건이다. 스페인의 한 변호사가 16년 전 부동산 경매 공고를 구글 검색에서 삭제해달라고 요구한 이 사건에서, CJEU는 ‘잊힐 권리(Right to be Forgotten)’라는 새로운 개념을 확립했다. 재판소는 개인이 자신에 관한 과거 정보의 삭제를 요구할 권리가 있으며, 검색엔진 운영자는 이러한 요구에 응답할 의무가 있다고 판시했다.
이 판결의 혁신성은 단순히 ‘잊힐 권리’를 인정한 데 있지 않다. 더 중요한 것은 CJEU가 개인정보보호와 표현의 자유(정보 접근권 포함) 간의 이익형량 기준을 구체적으로 제시했다는 점이다. 재판소는 ①정보의 공익성, ②시간의 경과, ③개인의 공적 지위, ④정보의 정확성, ⑤손해의 정도 등을 종합적으로 고려해야 한다고 명시했다. 이는 추상적 원칙에 그치지 않고 실무에서 적용 가능한 구체적 기준을 제시한 것으로 평가받는다.
2019년 GC, GD v. CNIL 사건에서 CJEU는 ‘잊힐 권리’의 영토적 범위를 제한했다. 프랑스 개인정보보호기관이 구글에 대해 전 세계적으로 검색 결과를 삭제하라고 명령한 것에 대해, CJEU는 EU 법에 기반한 잊힐 권리는 EU 역내에서만 적용된다고 판시했다. 이는 자국의 기본권 기준을 다른 국가에 강요할 수 없다는 국제법 원칙을 확인한 것으로, 디지털 주권과 글로벌 인터넷 거버넌스의 복잡한 관계를 보여준다.
2020년 La Quadrature du Net 사건에서는 국가 안보를 이유로 한 개인통신 감청에 대한 엄격한 기준을 제시했다. CJEU는 일반적·포괄적 감청은 원칙적으로 금지되며, 예외적으로 허용되더라도 ①명확한 법적 근거, ②독립적 감독기관의 사전 승인, ③비례성 원칙 준수, ④사후 구제 절차 보장 등이 필요하다고 판시했다. 이는 9·11 테러 이후 강화된 각국의 감시 체제에 대한 강력한 견제 장치를 마련한 것으로 평가된다.
플랫폼 규제와 표현의 자유: 새로운 도전
최근 CJEU가 주목하고 있는 분야는 온라인 플랫폼의 콘텐츠 규제다. 2022년 디지털서비스법(DSA) 시행을 앞두고, 플랫폼의 콘텐츠 삭제나 계정 정지가 표현의 자유를 침해할 수 있다는 우려가 제기되고 있다. CJEU는 이러한 문제에 대해 ‘국가행위론(state action doctrine)’과 유사한 접근을 시도하고 있다. 즉, 플랫폼이 정부의 압력이나 법적 의무에 따라 콘텐츠를 규제하는 경우에는 기본권 침해 심사의 대상이 될 수 있다는 것이다.
2021년 Glawischnig-Piesczek 사건에서 CJEU는 페이스북의 게시물 삭제 의무에 대해 판단했다. 오스트리아 정치인에 대한 명예훼손 게시물을 삭제하라는 법원 명령의 범위에 관한 이 사건에서, CJEU는 법원이 플랫폼에 특정 게시물뿐만 아니라 ‘동등한 내용’의 게시물까지 삭제하라고 명령할 수 있다고 판시했다. 다만 이러한 명령은 ①명확하고 구체적이어야 하고, ②필요 최소한의 범위여야 하며, ③표현의 자유와 정보 접근권을 과도하게 제한해서는 안 된다는 조건을 달았다.
YouTube와 관련된 2022년 Cyando 사건에서는 더욱 흥미로운 판단을 내렸다. 독일 법원이 YouTube에 특정 동영상 삭제를 명령한 것에 대해, CJEU는 플랫폼이 콘텐츠 삭제 여부를 판단할 때 ①업로더의 표현의 자유, ②시청자의 정보 접근권, ③피해자의 인격권을 모두 고려해야 한다고 판시했다. 이는 플랫폼을 단순한 ‘중개자’가 아닌 기본권 보호 의무를 지는 ‘준공공기관’으로 보는 시각이 반영된 것이다.
한국 헌법재판소의 대응과 수용
한국 헌법재판소는 CJEU의 판례를 상당히 적극적으로 수용하고 있다. 2016년 인터넷 실명제 위헌 결정에서 헌재는 CJEU의 비례성 심사 기준을 상당 부분 참고했다. 특히 표현의 자유 제한이 목적 달성에 필요한 최소한의 범위를 넘어서는 안 된다는 ‘최소침해성’ 원칙을 강조한 것은 CJEU 판례의 영향으로 분석된다.
2018년 개인정보보호법 위헌소원 사건에서 헌재는 더욱 직접적으로 CJEU 판례를 인용했다. 정보주체의 동의 없는 개인정보 처리에 대한 판단에서, 헌재는 Google Spain 사건의 이익형량 기준을 거의 그대로 적용했다. ①정보의 공익적 가치, ②시간의 경과에 따른 정보의 관련성 감소, ③정보주체의 사회적 지위, ④정보 처리로 인한 피해의 정도 등을 종합적으로 고려해야 한다고 판시한 것이다.
2020년 온라인상 명예훼손에 관한 결정에서는 CJEU의 ‘동등한 내용’ 삭제 기준을 수용했다. 헌재는 법원이 인터넷 서비스 제공자에게 특정 게시물과 ‘실질적으로 동일한 내용’의 게시물 삭제를 명령할 수 있다고 판시하면서도, 이러한 명령은 표현의 자유를 과도하게 제한하지 않는 범위 내에서만 허용된다고 제한을 두었다. 이는 Glawischnig-Piesczek 사건의 논리를 거의 그대로 따른 것이다.
흥미로운 점은 한국 헌재가 CJEU보다 때로는 더 강한 기본권 보호 입장을 보인다는 것이다. 2021년 텔레그램 N번방 사건과 관련된 수사기관의 통신자료 제공 요구에 대한 판단에서, 헌재는 CJEU의 La Quadrature du Net 사건보다 더 엄격한 기준을 제시했다. 수사기관이 통신사에 가입자 정보를 요구할 때는 반드시 법관의 영장이 있어야 하며, 영장 발부 시에도 개인정보보호권과 수사의 필요성을 엄격히 형량해야 한다고 판시한 것이다.
양 재판소의 차이점과 한계
CJEU와 한국 헌재의 접근법에는 몇 가지 중요한 차이점이 있다. 첫째는 기본권의 ‘위계’ 설정이다. CJEU는 개인정보보호권과 표현의 자유를 원칙적으로 동등한 지위로 본다. 반면 한국 헌재는 여전히 표현의 자유를 ‘우월적 지위’의 기본권으로 보는 경향이 강하다. 이는 미국 헌법학의 영향과 함께, 한국의 권위주의 체제 경험에서 비롯된 표현의 자유에 대한 특별한 중시 때문으로 분석된다.
둘째는 ‘미래지향적 해석’에 대한 태도다. CJEU는 기술 발전을 적극적으로 고려한 확장적 해석을 시도하는 반면, 한국 헌재는 상대적으로 보수적 접근을 보인다. 예를 들어, AI 알고리즘의 개인정보 처리나 메타버스에서의 표현의 자유 같은 새로운 이슈에 대해 CJEU는 기존 원칙을 확장 적용하려 하지만, 한국 헌재는 입법자의 판단을 기다리는 경향이 강하다.
셋째는 국제적 조화에 대한 고려다. CJEU는 EU 28개국의 서로 다른 법 전통을 조화시켜야 하는 과제를 안고 있어, 비교법적 접근에 익숙하다. 반면 한국 헌재는 상대적으로 국내법 중심적 접근을 보이며, 외국 판례를 참고하더라도 한국적 특수성을 강조하는 경향이 있다.
양 재판소 모두 한계도 있다. CJEU의 경우 지나치게 복잡한 이익형량 기준으로 인해 예측가능성이 떨어진다는 비판을 받는다. 특히 ‘잊힐 권리’ 관련 판단에서 사안별로 다른 결론을 내리는 경우가 많아, 법적 안정성에 대한 우려가 제기되고 있다. 한국 헌재는 여전히 추상적 원칙 제시에 그치는 경우가 많아, 구체적 사안에서의 적용 기준이 불명확하다는 지적을 받는다.
디지털 플랫폼 시대의 새로운 도전
메타(페이스북), 구글, 트위터 등 글로벌 플랫폼이 사실상 공론장 역할을 하게 되면서, 기존의 국가-개인 중심 기본권 구조에 변화가 요구되고 있다. CJEU는 이러한 변화에 비교적 적극적으로 대응하고 있다. 2023년 발효된 디지털서비스법(DSA)에 대한 해석에서 CJEU는 플랫폼의 콘텐츠 모더레이션이 기본권에 미치는 영향을 심각하게 고려해야 한다고 강조했다.
특히 주목할 점은 CJEU가 ‘알고리즘 투명성’을 새로운 기본권 보호 수단으로 인식하고 있다는 것이다. 플랫폼이 어떤 기준으로 콘텐츠를 노출시키거나 숨기는지에 대한 정보를 사용자에게 제공해야 한다는 것이다. 이는 전통적인 ‘절차적 기본권’ 보장을 디지털 영역으로 확장한 것으로 평가된다.
한국 헌재도 이러한 변화를 인식하고 있지만, 아직 구체적인 법리 개발은 초기 단계다. 2022년 유튜브 채널 정지에 대한 헌법소원에서 헌재는 “사적 영역에서의 기본권 침해도 국가의 보호의무 범위에 포함될 수 있다”고 판시했지만, 구체적 기준은 제시하지 않았다. 향후 이 분야에서 CJEU 판례의 영향이 클 것으로 예상된다.
인공지능과 개인정보보호: 새로운 지평
ChatGPT 같은 생성형 AI의 등장은 개인정보보호와 표현의 자유에 새로운 차원의 문제를 제기하고 있다. AI가 학습 과정에서 개인정보를 처리하고, 이를 바탕으로 생성한 콘텐츠가 개인의 인격권을 침해할 수 있다는 우려가 커지고 있다. CJEU는 2024년 AI 법(AI Act) 시행을 앞두고 이러한 문제들에 대한 선제적 검토에 나서고 있다.
CJEU의 예비적 입장은 ‘AI도 기본권 준수 의무가 있다’는 것이다. AI 시스템이 개인정보를 처리하거나 개인에 대한 결정을 내릴 때는 기존의 기본권 보호 기준이 그대로 적용되어야 한다는 것이다. 다만 AI의 특성상 ‘설명가능성(explainability)’과 ‘예측가능성(predictability)’을 추가로 요구하고 있다. 개인이 AI 시스템의 결정에 대해 이해하고 이의를 제기할 수 있어야 한다는 것이다.
한국에서도 이러한 문제가 본격적으로 제기되기 시작했다. 2023년 개인정보보호위원회는 ChatGPT의 개인정보 처리에 대한 조사에 착수했고, 방송통신위원회는 AI 생성 콘텐츠의 표현의 자유 보장 방안을 검토하고 있다. 아직 헌법적 차원의 판단은 이루어지지 않았지만, 향후 헌재에 관련 사건이 제기될 가능성이 높다.
프라이버시와 공익의 경계: 코로나19 대응 사례
코로나19 팬데믹은 개인정보보호와 공중보건 간의 긴장을 극명하게 보여주었다. 각국이 도입한 접촉자 추적 시스템, 백신 패스포트, 이동 제한 조치 등은 모두 개인정보와 이동의 자유에 대한 제약을 수반했다. CJEU는 이러한 조치들에 대해 비교적 관대한 입장을 보였지만, 동시에 엄격한 조건을 제시했다.
2021년 Privacy International 사건에서 CJEU는 팬데믹 상황에서도 기본권 제한은 ①임시적이어야 하고, ②과학적 근거에 기반해야 하며, ③정기적으로 재검토되어야 한다고 판시했다. 또한 수집된 개인정보는 목적 달성 후 즉시 삭제되어야 하며, 다른 용도로 사용되어서는 안 된다고 강조했다.
한국의 경우 더욱 적극적인 개인정보 활용이 이루어졌다. 신용카드 사용 내역, 휴대폰 위치 정보, CCTV 영상 등을 종합한 ‘역학조사 시스템’은 세계적으로도 유례없는 것이었다. 이에 대한 헌법적 판단은 아직 이루어지지 않았지만, 향후 유사한 상황에서 참고할 만한 기준 마련이 필요하다는 지적이 나오고 있다.
미성년자 보호와 표현의 자유: 새로운 균형점
디지털 네이티브 세대인 MZ세대가 성인이 되면서, 미성년자의 온라인 활동 보호가 새로운 쟁점으로 부상하고 있다. CJEU는 미성년자의 ‘발달 중인 인격권’을 특별히 보호해야 한다는 입장을 견지하고 있다. 2020년 Digital Rights Ireland 사건에서 CJEU는 미성년자에 대한 온라인 광고나 개인정보 처리에 대해서는 성인보다 엄격한 기준을 적용해야 한다고 판시했다.
특히 주목할 점은 CJEU가 ‘미성년자의 자기결정권’과 ‘부모의 보호권’ 사이의 균형을 찾으려 한다는 것이다. 16세 이상 미성년자의 경우 일정한 범위에서 자신의 개인정보 처리에 대해 결정할 수 있지만, 부모나 보호자의 개입 권한도 인정한다. 이는 미성년자를 ‘보호의 객체’가 아닌 ‘권리의 주체’로 보면서도, 동시에 특별한 보호가 필요한 존재로 인식하는 균형잡힌 접근이다.
한국 헌재는 이 분야에서 상대적으로 보수적 입장을 보인다. 2019년 게임 셧다운제 위헌소원에서 헌재는 미성년자 보호를 위한 국가의 개입을 폭넓게 인정했다. 다만 최근 청소년의 디지털 권리에 대한 관심이 높아지면서, 향후 판례 변화 가능성도 제기되고 있다.
국경을 넘나드는 정보와 관할권 문제
글로벌 인터넷 시대에는 한 국가의 법원 판결이 다른 국가에 미치는 영향을 고려해야 한다. CJEU는 이러한 문제에 대해 ‘영토적 제한’ 원칙을 확립했다. 앞서 언급한 GC, GD v. CNIL 사건에서 전 세계적 삭제를 거부한 것이 대표적 사례다. 이는 각국의 서로 다른 기본권 기준을 존중하면서도, 자국 기준의 일방적 강요를 막으려는 시도로 평가된다.
하지만 이러한 ‘영토적 제한’도 한계가 있다. 인터넷의 특성상 완전한 지역적 차단은 기술적으로 어렵고, 우회 접속도 가능하다. CJEU는 이러한 현실을 인정하면서도, 최소한 ‘EU 내에서의 접근 차단’만으로도 기본권 보호 목적을 달성할 수 있다고 보고 있다.
한국의 경우 이러한 문제가 더욱 복잡하다. 한국 법원의 판결이 해외 서버에 저장된 정보에까지 미칠 수 있는지, 해외 플랫폼이 한국 법원의 명령을 따라야 하는지 등에 대한 명확한 기준이 없다. 향후 이 분야에서 CJEU의 접근법을 참고한 법리 개발이 필요할 것으로 보인다.
결론
유럽 사법재판소의 개인정보보호와 표현의 자유에 관한 판례는 디지털 시대 기본권 보호의 새로운 지평을 열고 있다. 특히 기본권 간의 충돌을 추상적 원칙이 아닌 구체적 이익형량을 통해 해결하려는 접근법은 전 세계 법원들에게 중요한 참고 기준이 되고 있다. 한국 헌법재판소 역시 이러한 CJEU의 혁신적 접근법을 적극적으로 수용하면서도, 한국의 헌법적 전통과 사회적 현실을 반영한 독자적 법리를 개발해나가고 있다.
앞으로 인공지능, 메타버스, 양자컴퓨팅 등 새로운 기술의 발전은 기본권 보호에 더욱 복잡한 과제를 제기할 것이다. 이러한 상황에서 CJEU와 한국 헌재 간의 비교법적 대화와 상호 학습은 더욱 중요해질 것이다. 서로 다른 법 전통과 사회적 배경을 가진 두 재판소가 디지털 시대의 기본권 보호라는 공통 목표를 향해 협력해나간다면, 전 세계적으로 모범이 될 수 있는 새로운 헌법해석의 방향을 제시할 수 있을 것이다.