내부고발지침(Whistleblowing Directive), 즉 유럽연합 법률 위반 신고자 보호에 관한 지침 2019/1937은 2019년 12월에 발효되었다. 회원국은 2021년 12월 17일까지 지침을 이행해야 한다. 유럽 집행위원회(EU Commission)는 이미 2014년에 대중에게 공개된 여러 스캔들(파나마 페이퍼, 케임브리지 애널리티카)의 배후로부터 내부고발자를 효과적으로 보호해야 함을 보고했다.
내부고발지침은 유럽연합 법률 위반을 보고하는 사람들을 보다 균등하게 보호하는 것을 목표로 한다(제1조). 적격한 부정행위 신고자란 업무와 관련하여 위법행위 또는 불법행위를 목격한 임직원이다. 제2조에는 주요 범위, 즉 공중 보건, 공공 조달, 제품 안전 및 규정 준수, 운송 안전, 소비자 보호, 개인 정보 보호 및 네트워크와 시스템 보안과 같이 잠재적인 위법행위 고발자를 보호해야 하는 법률 영역이 나열되어 있다. 이는 일반적으로 법률 위반 시 공익에 심각한 해를 끼칠 수 있으며 내부고발자의 도움 없이는 법 집행이 어려운 영역이다. 지침의 범위에 대한 제2조는 광범위하지만 완전하지는 않다. 즉, 회원국은 지침에서 다루는 범위를 넘어설 수 있다.
현재 내부고발자 보호는 국가마다 다르게 이루어진다. 이 지침의 목표는 기밀보고를 가능하게 하고 해고, 승진 또는 급여 거부, 직장 이전 또는 변경 및 차별로부터 내부고발자를 보호하는 데 있다.
회원국은 내부 고발 채널을 확립해야 한다.
내부 고발 지침은 회원국을 대상으로 하며, 해당 국가의 법률이 다음에 제시된 기준에 따라 사내또는 외부의 고발 채널을 의무적으로 갖추어야 한다.
– 직원이 50 명 이상인 법인은 사내 내부고발 채널을 구축해야 한다. 이는 10,000 명 이상이 거주하는 지방자치단체에도 동일하게 적용된다. 회원국은 이러한 채널을 제3자에게 아웃소싱 할 수 있다. 이때 제3자는 보안, 데이터 보호, 비밀보장 및 독립성을 보장해야 한다.
– 회원국은 보고서를 접수하고 피드백을 제공하며 후속 조치를 취할 권한이 있는 기관을 지정하여 외부 보고 채널을 설정해야 한다.
두 채널 모두 과정 상의 보안을 보장해야 하며 내부고발자가 어떠한 종류의 보복도 받지 않도록해야 한다.
내부 고발자는 제6조 1항에 의거하여 보호받을 수 있다.
잠재적인 법률 위반에 대해 보고된 정보가 보고 당시 사실이며 그러한 정보가 지침(및 시행 법안)의 범위에 속한다고 볼 수 있는 합리적인 근거가 있는 경우와 내부고발자가 지정된 보고 채널을 사용한 경우, 회원국은 법적 보호에 대한 포괄적인 정보와 조언, 당국의 지원, 법적 절차와 관련된 특정 권리 부여 등 내부고발자를 보호하기 위한 최소한의 요건을 제공해야 한다.
핀란드
핀란드에는 내부고발을 처리하는 일반 법률이 존재하지 않는다. 신용기관, 증권시장, 펀드 관리 회사 및 보험회사 등 일부 부문에 한해서만 특수한 법률이 존재한다. 언론 및 비정부기구 역시 기자의 신원을 보호하기 위한 몇 가지 윤리적 의무와 수단을 갖추고 있다.
핀란드 법무부는 내부고발지침의 이행을 평가하기 위한 실무그룹을 구성했다. 해당 실무그룹은 새롭게 이행되는 법률의 필요성을 평가한다. 또한 국내 입법부에 대한 내부고발 규제의 필요성을 검토하고 외부 보고를 감독할 권한 기관을 지정한다.
General Data Protection Regulation(GDPR) 법에 따라 개인정보를 처리하려면 동의, 합법적 이해관계, 또는 법적 의무와 같은 법적 근거가 필요하다(GDPR 6조 9항). 현재 고용주들은 내부고발 채널을 운영하는 데 있어서 주로 합법적 이해관계를 정보처리의 법적 근거로 사용하고 있다. 직장 내 개인정보 보호에 관한 핀란드 법(759/2004)은 직원의 개인정보 처리에 대한 제한사항을 담고 있어 고용 시 합법적 이해관계를 근거로 사용하기 어렵다. 법이 규정하는 일반 규칙에 따라 직원 자신이 아닌 다른 출처로부터 수집된 정보를 처리하려면 해당 직원의 동의가 필요하다. 그러나 유럽 데이터 보호위원회 (European Data Protection Board)에서 지적한 바와 같이 모든 직원-고용주 관계에 내재된 불균형으로 인해 고용 상황에서 “GDPR 등급”의 동의를 확보하는 것은 어렵기 때문에 다른 법적 근거가 권장된다.
내부고발지침의 이행 과정에서 핀란드가 내부고발에 관한 법률을 제정할지 여부는 여전히 지켜봐야 한다. 만약 제정이 된다면 이는 제6조 1항 (c) 관련 법적 의무로서의 법적 기반에 대한 현재의 불확실성을 명확히 해줄 것이다. 또한, 성희롱 또는 차별 등에 대한 국내법 위반에 그치지 않고 EU 내부고발지침에도 해당될 수 있다.
스웨덴
스웨덴은 내부고발자 보호에 관한 여러 법률 조항을 갖추고 있다. 예를 들어, 공공자금으로 자금의 전액 또는 부분을 조달하는 회사를 포함한 공공부문 내부고발자는 스웨덴 헌법의 보호를 받으며, 정보전달 권한을 사용하는 것에 대해 고용주로부터 질책을 받을 수 없다(스웨덴어: repressalieförbud). 또한 공공 및 민간 부문의 내부고발자는 중대 부정행위에 대한 내부고발에 대한 보복 특별 보호법(Act on Special Protection Against Reprisals for Whistleblowing Concerning Serious Irregularities)에 따라 일정한 보호를 받고 있다. 법률명에서 알 수 있듯이 내부고발법은 사기 및 뇌물수수 등 구금으로 이어질 수 있는 범죄를 의미하는 심각한 비리 보고에만 적용된다.
내부고발지침에 이르기까지 스웨덴 법률이 제공하는 보호는 고용주가 보복을 당한 내부고발자에게 제공하는 금전적 보상에 강력한 초점을 맞추고 있었다. 새로운 지침과 함께, 스웨덴 당국과 기업은 안전하고 효과적인 보고 채널을 촉진하기 위하여 강력한 준수 프레임워크를 구축하고 구현해야 한다. 따라서 지침의 적극적인 접근방식은 새로운 법적 프레임워크에 적응하기 위해 상당한 노력을 필요로 한다.
스웨덴 정부는 지침 이행 작업에 착수하기 위하여 조사위원회를 임명하고, 이들이 스웨덴 법률 상에서 지침을 이행하기 위한 다양한 옵션을 평가하도록 하였다. 정부는 규칙이 적용되어야 하는 영역, 내부고발자 보호에 관한 다른 규정과의 관계, 내부고발자 및 기타 관련 개인을 보호하기 위한 조치, 내부 및 외부 채널의 설정 및 설계, 후속보고 및 발행 제재 등을 조사하기 위해 위원회가 구성되었음을 명시했다. 조사위원회는 6월 29일 제안서를 발표하였으며, 이는 새로운 법안에 대한 정부측 제안서의 바탕이 될 것이다.
덴마크
역사적으로 덴마크의 경우 내부고발자 정책에 대한 규제는 없었다. EU 내부고발지침 이전에는 특정 금융기관에 대한 의무적 내부고발자 정책과 자금세탁 및 테러행위자금조달 식별 및 방지법(Act on Detecting and Preventing Money Laundering and Terrorist Financing)이 있었다. 2020년 6월에 덴마크 기업국(Business Authority )은 코로나19에 의해 영향을 받은 기업들을 지원하기 위해 도입한 정부보조금과 관련된 사기행위를 대상으로 한 내부고발 핫라인을 도입했다.
법무부에 따르면, EU 내부고발지침 시행법률안은 2021년 초에 덴마크 의회에 상정될 전망이다. 법무부는 법률의 범위를 확장해 EU 제정법 뿐만 아니라 국내 제정법의 위반을 모두 신고할 수 있도록 할 것인지를 고려하고 있으나, 이것이 실제로 벌어질지는 확실하지 않은 상태이다.
법규정의 부재 가운데, 내부고발자 정책의 운용은 덴마크에서 자발적인 형식으로 널리 있어 왔다. 2018년 GDPR이 유럽연합에서 통과되기 이전의 모든 내부고발자 정책은 덴마크 데이터 보호국(Danish Data Protection Agency)에 신고 후 승인을 받아야 했는데, 이는 이러한 정책들이 범죄행위 관련 정보 생성을 수반할 가능성이 있었기 때문이었다. GDPR 통과 이후 시기의 데이터보호국 가이드라인에는 본 보호국이 승인을 위한 특정 조건을 설정한 것을 볼 수 있는데, 이들 중 가장 중요한 점은 심각성이 중한 비위행위만이 내부고발자 정책의 범위에 해당된다는 것이었다. 다른 비위행위들은 기타 창구를 통해 신고될 수 있었다. 나아가, 본 데이터보호국은 범죄행위에 대한 정보가 아닌 다른 민감한 데이터와 개인 정보는 일절 내부고발자 정책을 거칠 수 없다는 입장을 견지했다. 개인정보보호법과 관계없이 덴마크에서 내부고발자 정책의 맥락상 개인정보를 처리하는 법적 기반은 법적으로 정당한 이익이다. 덴마크에서 범죄행위 정보는 법적인 이익 보호의 목적상 요구되거나 이 이익이 명확히 정보가 다루는 대상의 이익보다 우선시될 경우 민간 정보관리자에 의해 처리될 수 있다 (GDPR8장).
노르웨이
노르웨이에서 내부고발행위는 노르웨이근무환경법(WEA: Norwegian Working Environment Act) 2A조를 기반으로 규제된다. 본 법령에 따라, 근로자는 부당한 근무환경에 대해 신고할 권한을 부여받는다. 또한 학생, 군인, 수감자, 환자, 교육훈련 또는 작업조치와 관련이 있는 인원 등 근로자의 자격을 지니지 않거나 노동시장 정책에 참여하고 있지 않으면서 부당한 상황에 놓인 다수 인원들 역시 내부고발행위에 대해 근로자로 간주된다. 부당한 환경은 기타 조건들과 함께 생명과 건강의 위협, 기후 및 환경적 위험, 부패 또는 기타 금융범죄, 위험한 근무환경, 직장내 괴롭힘이나 개인정보보호 위반 등 법규정이나 윤리 기준의 위반 등을 망라한다. 자영업자에 한한 내부고발행위는 부당한 환경의 정의에 부합하지 않는다.
노르웨이의 법률상, 근로자들은 건강 및 생명의 위협 뿐만 아니라 직장내 괴롭힘과 차별에 대해서도 신고해야 한다.
내부고발행위에 대한 일체 형태의 보복 행위는 금지되어 있으며, 이 맥락상 위반은 (비)재무적 리스크의 소지가 있다. 사업주는 합리적인 시일 내에 내부고발행위의 내용에 대해 조사를 실시해야 하며, 5인 이상 사업장의 경영자는 내부고발에 대해 문서화된 프로세스를 구축해야 한다.
GDPR 내에 내부고발행위와 관련된 개인정보 처리에 대한 관련 법적 기반은 6조 1c)항 법적 의무에 대한 컴플라이언스와 1f)항 법적으로 정당한 이익이다. 노르웨이 개인정보법 6장에 의거해 사업주의 법적 의무와 권리 보장에 필요할 경우 특정한 카테고리의 개인정보가 처리될 수 있다.
EU 내부고발지침과 현 노르웨이 법률 간 주요한 차이점은 EU 내부고발지침이 더 넓은 범위의 인원을 그 대상으로 두는 한편, 내부고발행위에 대해서는 더 좁은 범위를 견지한다는 것이다. 내부고발 창구와 관련된 새로운 법규정들이 도입되고 있다는 것들이 한 예시이다.
EU 내부고발지침은 유럽연합에 의해 유럽경제지역(EEA) 소관 아래 있으며, EEA 협정 통합에 대해 EEA 및 유럽자유무역연합(EFTA)의 검토 중에 있다. 현재까지 본 지침과 EEA 간의 법적인 관련성은 드러나지 않았다. 노르웨이에서 EU 내부고발지침은 노동사회청과 법무부, 외교부가 검토하고 있다.
결론
현재 북유럽 국가의 내부고발 관련 법규정 현황은 국가에 따라 차이를 보인다. 일부는 더 넓은 범위에서 규제를 실시하고 있으나, 전반적으로 모든 국가들에서 기존의 규정은 한정된 영역과 비교적 위중한 비위행위에 집중하고 있는 추세이다. 예정되어 있는 EU 내부고발지침에 의해 북유럽 국가 정부들은 민간 및 공공 부문 모두에서 요구되는 창구를 도입하고 이전에 규제되지 않은 영역으로 확장하는 데 노력을 기울여야 할 것이다. 가장 중요한 점은, 모든 국가 정부들이 내부고발자 보호에 대한 조치를 강화해야 한다는 것이다.
★ 이 글은 Bird & Bird의 <An Overview of the Implementation of the Whistleblowing Directive in the Nordics> 기고문을 UNGC 한국협회에서 번역하였습니다. 인용 시 출처(유엔글로벌콤팩트 한국협회, Business Integrity Society 프로젝트)를 밝혀 주시기 바랍니다.
