개인영상정보의 수집
CCTV는 일반적인 감시 대상으로 활용해야지 특정인에 대한 감시 목적으로 설치해서는 안된다. 또한, CCTV는 범죄예방 및 증거확보, 시설안전 및 화재예방, 출입통제, 아동의 보호 목적으로만 설치할 수 있게 돼 있으며, 그 외 목적으로는 설치해서는 안된다. 나아가 목욕탕·화장실·탈의실 등 정보주체의 사생활이 엄격하게 보호돼야 하는 장소에는 CCTV를 설치할 수 없다.
CCTV를 운영해 개인영상정보를 수집할 때는 반드시 쉽게 눈에 띄는 장소에 안내판을 설치해야 한다. 한편 다수의 CCTV를 건물 내부에 운영하는 경우에는 각 CCTV에 안내판을 설치할 필요는 없고, 건물 출입구에만 안내판을 설치해도 된다. 주의할 점은, CCTV에 녹음 기능을 사용해선 안 된다는 것이다. 일부 택시에는 녹음 기능이 있는 CCTV가 설치돼 있기도 한데, 이러한 CCTV는 불법이다. 그리고 CCTV는 사생활 침해 문제를 낳을 수 있는바, 카메라 각도에 따라 타인의 사생활을 침해할 우려가 있는 경우에는 마스킹 처리 등 필요한 조치를 취해야 한다.
개인영상정보의 이용·제공
CCTV를 통해 획득한 개인영상정보는 서버 등에 보관하는데, 이 개인영상정보는 수집 목적 범위를 벗어나 이용해서는 안된다. 이 목적 범위 내의 이용과 관련해 문제되는 사항으로는, 예를 들면 매장에서 고객보호 차원에서 설치한 CCTV 동영상으로부터 직원의 횡령 사실을 발견한 경우인데, 횡령의 증거로 이 ‘CCTV 동영상을 활용할 수 있는가’다. 이에 대해서는 의견 대립이 심하다.
나아가 제3자의 제공 요구가 있는 경우에도, 정보주체의 동의를 얻은 경우, 통계작성·언론보도 등 공공의 목적을 위해 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 제공하는 경우, 정보주체의 생명·신체 또는 재산상의 이익을 위해 필요한 경우로서 사전에 정보주체의 동의를 얻지 못할 긴급한 사유가 있는 경우, 법률에 특별한 규정이 있는 경우 외에는 제공해서는 안된다.
무분별한 CCTV 영상 제공으로 송사에 휩쓸린 사례도 많다. 예를 들면 A에 관한 동영상을 A의 동의 없이 B에게 보여주거나 또는 B에게 복사한 경우이다. 이러한 행위는 불법행위가 될 수 있는 소지가 크다. 개인영상정보는 영상에 찍힌 사람의 동의나 법원의 영장이 있는 경우에만 제공해야 할 것이다.
제공과 관련해 주의할 점은, 개인영상정보를 수사나 재판 자료로 제공하는 경우에는 그 사실을 해당 정보주체에게 알려주어야 한다. 만일 알리지 않으면 이 또한 불법행위가 될 수 있다. 다만, 해당 정보주체를 특정할 수 없거나 소재지를 파악할 수 없는 경우에는 예외이다.
개인영상정보의 관리
CCTV를 설치한 사람은, ‘영상정보처리기기 운영·관리지침’을 마련해 이를 문서화해야 한다. 이 지침은 개인정보취급지침에 해당하는 것으로서, 여기서 다루는 사항은 모두 포함돼야 한다. 예를 들면, 설치근거 및 목적, 설치대수와 위치·촬영 범위, 회전·줌인기능 등 영상정보처리기기의 성능에 관한 사항, 관리책임자, 담당 부서 및 접근권한자 등, 녹화시간, 녹화기록의 보관 기간, 보관·관리·폐기방법 및 보관 장소, 촬영된 개인영상정보가 전송돼 실제로 모니터링이 이루어지는 장소, 개인영상정보를 제3자에게 제공하거나 재생할 수 있는 사유, 제3자 제공 또는 재생에 필요한 절차 및 방법, 안내판 등의 크기 및 부착 위치 등, 정보주체의 개인영상정보 열람 등에 관한 절차 및 방법, 기타 영상정보처리기기의 설치·운영 및 관리에 필요한 사항이 포함돼야 한다. 만일 개인영상정보를 위탁해 관리한 경우에도 관리책임이 줄어드는 것은 아니다. 즉 개인영상정보를 위탁한 자는 위탁받은 자가 정보주체의 개인영상정보를 조작·유출 등 오남용하지 않도록 관리·감독할 책임이 있고, 만일 위탁받은 자가 개인영상정보를 조작·유출 등 오남용하는 경우에는 같이 책임을 부담할 수 있다.
CCTV를 활용해 개인영상정보를 수집한 사람은 그 관리책임자를 지정해야 한다. 그 관리책임자는 개인영상정보의 수집·이용·제공 및 관리에 관한 업무의 총괄, 소속 직원 또는 제3자에 의한 위법·부당한 침해행위에 대한 점검, 정보주체로부터 제기되는 불만이나 의견의 처리 및 감독, 기타 정보주체의 개인영상정보를 보호하기 위해 필요한 사항의 업무를 수행해야 한다.
일반적인 개인정보는 DB에 저장하고 DB에 논리적·물리적 접근제어 조치를 취해야 한다. 예를 들면, CCTV 운영자가 관제센터를 운영하는 경우 이를 출입제한구역으로 지정하고, 관리책임자 등 업무담당자 외의 출입을 엄격히 통제해야 하며, 촬영·처리되는 개인영상정보에 대한 접근권한을 관리책임자 또는 지정된 최소한의 인원으로 제한해야 하며, 저장된 개인영상정보의 재생을 엄격히 금지해야 한다.
특히, 네트워크 카메라의 경우에는, 개인영상정보를 DB 등에 집적해 별도로 저장·보관하는 경우에 이를 암호화해야 하며, 개인영상정보를 정보통신망을 통해 외부로 전송하는 경우에는 보안 프로토콜을 사용해야 하고, IP 필터링을 통해 권한 없는 제3자의 접근을 제어해야 하며, SSL·IDS(침입탐지 시스템) 등 홈페이지 보안 기술을 적용해야 한다.
개인영상정보의 관리에는 교육 등의 내용도 포함된다. CCTV를 운영하거나 위탁받은 자는 관련 직원으로 하여금 정보주체의 개인영상정보보호를 위해 필요한 교육을 이수하도록 해야 한다. 물론 위탁교육도 가능하다.
개인영상정보의 파기
CCTV를 통해 얻은 개인영상정보는 수집 이후 30일 이내에 파기하거나 삭제해야 한다. 다만 법령에 특별한 규정이 있는 경우, 개인영상정보를 수사나 재판 자료로 제공하는 경우, 기타 정당한 이유가 있는 경우에는 기간을 초과할 수 있다.
정보주체의 관리
CCTV에 찍힌 정보주체는 자신과 관련된 개인영상정보의 존재확인·열람 또는 파기 등을 요청할 수 있는 권리가 있다. 다만 몇 가지 경우에는 이를 거부할 수 있다. 이때는 7일 이내에 구두 또는 서면으로 정보주체에게 통지해야 한다. 거부사유로는 개인영상정보의 보관기간이 경과해 파기 또는 삭제한 경우, 정보주체의 개인영상정보의 존재확인 또는 열람이 타인의 초상권 또는 사생활의 비밀과 자유를 침해할 우려가 큰 경우, 특정한 정보주체의 개인영상정보만을 파기 또는 삭제하는 것이 기술적으로 현저히 곤란한 경우, 기타 열람 등의 요청을 거절할 만한 정당한 이유가 있는 경우가 있다.
지금까지 CCTV로 얻은 개인영상정보의 관리방안을 살펴보았다. CCTV 영상기술, 인식기술 등의 발달로 이제는 CCTV가 가장 위험한 사생활 침해 도구가 되었다. 네트워크 카메라 기술의 도입으로 아이디나 영상 유출로 인한 피해도 예상된다. 때문제 CCTV로 얻은 개인영상정보는 그 어떤 개인정보보다 더 강하게 관리돼야 할 것이다.
* 법무법인 민후 김경환 변호사 작성, Security World 2013년 4월호(195호) 기고.
