국내에서 개인정보 보호를 위한 법률은 공공영역의 ‘공공기관의개인정보보호에관한법률’과 민간 영역을 규제하는 ‘정보통신망이용촉진및정보보호등에관한법률’, 그리고 신용정보보호법, 통신비밀보호법 등 개별 영역의 개인정보를 보호하는 몇 개의 특별법으로 이루어져 있다.
하지만, 현행 법률 체계는 개인정보 보호를 위한 국제적인 가이드라인에 비추어 미흡할 뿐만 아니라, 현행 법의 규제를 받지 않는 사각지대가 존재한다는 한계를 가지고 있었다. 예를 들어, 전자화되지 않은 개인정보나 전기통신사업자가 아닌 기업에서 관리하는 개인정보 등은 보호 대상에서 제외되어 있었다. 이 때문에 이미 수년 전부터 개인정보 보호를 위한 기본법이 필요하다는 요구가 시민사회 내에 존재해왔다.
이번에 시민사회단체와 민주노동당이 마련한 ‘개인정보보호기본법’(이하 기본법)은 그동안 개인정보 보호와 관련하여 제기된 이슈들을 대부분 포괄하고 있다. 기본법은 크게 ▶ 총칙 ▶ 개인정보 보호원칙 ▶ 개인정보 보유자의 의무 ▶ 개인정보 데이터베이스의 보호 ▶ 정보주체의 권리 구제 ▶ 개인정보보호위원회 ▶ 개인정보 사전영향평가 ▶ 벌칙 등으로 구성되어 있다.
개인정보 보호원칙 규정
우선 보호범위에 있어서 ‘개인을 식별할 수 있는 정보’로 규정함으로써, 전산화된 정보뿐만 아니라 수기 처리된 정보도 포함하고 있으며, 현행 법률에서 사각지대로 남아있는 부분을 포괄하였다. 또한, 기본법은 국제적인 가이드라인에 충실하게 개인정보 보호원칙을 구체화하고 있다. 주민등록번호와 같은 고유식별자 보호를 위해 (특별한 예외가 아니면) 고유식별자의 수집・이용・제3자 제공을 금지한 점과, 부득이 필요한 경우가 아니면 익명성이 보장되어야 한다는 원칙을 포함한 것은 특기할 만한 점이다.
프라이버시보호와 개인정보의 국제유통에 관한 가이드라인 - 경제협력개발기구(OECD)에서 1980년 발표 △ 수집 제한의 원칙 개인정보를 수집하는 것은 원칙적으로 제한되어야 하며 개인정보를 수집할 때는 적법하고 공정한 수단에 의해야 하며 적절한 상황에서 정보주체에게 알리거나 동의를 구해야 한다. △ 정확성의 원칙 개인정보(데이타베이스)는 사용 목적에 부합해야 하고, 사용 목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지되어야 한다. △ 목적 명확화의 원칙 개인정보를 수집할 때는 수집시 그 수집 목적이 명확하게 제시되어야 하고 이후 이를 사용할 때는 애초 목적과 모순되지 않아야 하며 사용 목적이 변하는 각각의 경우에는 다시 명시되어야 한다. △ 이용 제한의 원칙 개인정보는 정보주체의 동의가 있거나 법률 규정에 의하지 않고는 수집 당시 목적 이외의 용도로 누출되거나 사용되어서는 안된다. △ 보안 확보의 원칙 개인정보의 유출, 권한 이외의 접근・파괴・사용・수정, 누출 위험에 대비하여 합리적인 보안 장치를 마련해야 한다. △ 공개의 원칙 개인정보에 관한 개발, 운용 및 정책에 관해서는 일반적인 공개 정책을 취하여야 한다. 개인정보의 존재와 특성, 주요 사용 목적과 함께 정보 관리자의 신원과 주소를 쉽게 알 수 있는 수단이 마련되어야 한다. △ 개인 참가의 원칙 정보주체인 개인은 정보 관리자에게 자신과 관련된 정보가 있는지 없는지 존재를 확인하고, 합리적인 시간 안에 과도하지 않은 비용과 합리적인 방식, 그리고 쉽게 알아볼 수 있는 형태로 자기 정보를 열람할 수 있어야 하며, 자신의 정보에 대해 이의를 제기하고 삭제・정정・보완・수정을 청구할 수 있어야 한다. △ 책임의 원칙 정보 관리자는 위의 원칙들이 지켜지도록 필요한 제반조치를 취할 책임을 진다. |
||
독립적 개인정보 감독기구 설립
기본법의 핵심은 단연 개인정보 감독기구인 '개인정보보호위원회'의 설립이다. 이제 개개인이 자신의 개인정보에 대해 스스로 보호한다는 것은 현실적으로 불가능해졌다. 따라서, 개인정보 침해 여부를 감시하고, 피해를 구제해줄 수 있는 사회적인 감독기구가 필요하다. 개인정보보호위원회는 개인정보 피해의 구제, 분쟁의 해결, 개인정보 보호현황의 감독, 법・제도 등에 대한 의견제시, 연구와 교육 등의 기능을 맡게 된다. 기본법 입안 작업에 참여했던 이은우 변호사는 "위원회는 공공・민간을 포괄하며, 기업과 정부로부터 독립적이어야 하고, 집행력을 보장받아야 한다"고 강조했다.
또한, 개인정보보호위원회는 개인정보 침해를 사전에 예방하기 위한 ‘개인정보 사전영향평가’를 수행하게 된다. 개인정보 사전영향평가는 방대한 개인정보를 수집하는 대규모 사업이라든가 개인정보를 침해할 우려가 있는 신기술의 도입 시에, 사전에 개인의 프라이버시권에 미칠 영향을 측정하고 부작용을 회피하기 위한 방법을 결정하는 과정이다.
인정보 데이터베이스에 대한 특별한 보호
대부분의 정보가 데이터베이스화되고 있고 많은 개인정보가 집적되어있다는 점에서 개인정보 데이터베이스는 더욱 높은 수준의 보호를 필요로 한다. 이를 위해 큰 규모의 데이터베이스는 위원회에 등록을 하도록 하였고, 개인정보보호책임자를 두어 개인정보 이용 현황을 감독하도록 하고 있다. 이들은 매년 자체적인 정기감사를 실시한 후 위원회에 보고해야 한다. 공공기관의 데이터베이스와 다른 데이터베이스의 연동은 특별한 사유가 있는 경우에만 허용되며, 이 경우 위원회에 신고하도록 하였다.
정보주체인 시민들의 권리도 대폭 강화된다. 개인정보 침해에 대한 구제를 효과적으로 하기 위해 집단소송 제도를 도입하고 있으며, 공공기관에 대해서도 자신의 정보 이용을 중단하라고 요청할 수 있는 '이용중지청구권'이 시민들에게 주어진다.
정부부처의 거센 반발 예상
기본법이 제정되면 기존의 ‘공공기관의개인정보보호에관한법률’은 폐지되며, ‘정보통신망이용촉진및정보보호등에관한법률’ 중 개인정보 관련 조항은 삭제된다. 또한, 행정자치부가 주관하고 있는 개인정보심의위원회와 정보통신부 산하의 개인정보침해신고센터, 개인정보분쟁조정위원회 등 기존 기구가 맡고 있던 업무는 새로 만들어지는 위원회가 승계하게 된다. 이 때문에 밥그릇을 빼앗길 것을 우려한 기존 정부부처의 거센 반발이 예상되고 있다. 현재 지방자치정부혁신위원회에서 준비하고 있는 기본법안 역시 정부 부처와의 의견 조율 과정에서 보호 수위가 크게 약화될 가능성이 많다.
이같은 갈등을 예고하듯, 개인정보보호기본법 공청회에 참석한 정부측 토론자들은, 개인정보 보호가 강화되어야 한다는 원론적 입장에는 동의하면서도 지나치게 '보호'에 치중하고 있음을 우려했다. 한국전산원 이규정 팀장은 "정보의 이용과 보호의 균형이 필요하다"며, "보호에 과도하게 편향된 안인 것 같다"고 비판했다. 행정자치부 최월화 과장 역시 "기본법이라고 보기에는 너무 무겁다"며, "전자정부 사업에 부정적인 영향을 줄 것 같다"고 평했다.
이들은 강력한 권한을 가진 개인정보보호위원회보다는 기존 보호기구를 잔존시키는 방안을 옹호하기도 했다. 최월화 과장은 "서로 다른 분야(즉, 민간과 공공)를 통합 운영하는 것은 많은 비용을 발생시킬 것이다"며 우려를 표명했고, 이규정 팀장은 "대통령 산하에 총괄 정책기능만 갖는 위원회를 두고 실제 집행은 각 처부에 넘기는 방식도 고려할 수 있다. 내 생각은 이 방식이 바람직할 것 같다"고 말했다.
이에 대해 이은우 변호사는 "법이 무겁다고 하지만 사실 이 법은 기본적인 대책만을 제시하고 있다. 그나마 해외 입법례들을 상당히 완화해서 적용한 것이다"라고 반박했다. 또한, 시민사회단체 활동가들은 "정보주체의 입장에서 보면 민간・공공의 차이는 본질적인 것이 아니며, 갈수록 그 구분이 희미해지고 있다"고 반박하고 있다. 보호에 치우쳐 지나치게 규제가 많다는 지적에 대해서도 "지금까지 수집・이용에 과도하게 편향돼왔다는 현실 인식 속에서 개인정보 보호를 위해 만드는 법"임을 강조했다. 여전히 정부와 시민사회 사이에 개인정보 침해의 심각성과 보호 수위에 대한 인식의 간극이 크다는 것을 보여주는 대목이다.
[특별기획] 기로에 선 개인정보보호법 | ||
○ 1회(11월 4일) - 당신을 감시하는 천개의 눈 [메인] 유비쿼터스 감시사회의 도래 [서브] 위치정보보호장치 시급하다 [서브] 생체정보로 신분을 확인하는 시대 [서브] 돌아온 빅브라더 : 수퍼 데이터베이스 [서브] 증거 찾기 쉬워진 이혼소송... 좋아해야 하나? ○ 2회(11월 11일) - 개인정보보호법, 제대로 만들어야! [메인] 개인정보보호법이 걸어온 길 [서브] 개인정보보호법, 어떤 내용을 담고 있나? [서브] 개인정보보호법 국회발의, 노회찬 의원 인터뷰 [서브] 개인정보보호기본법 제정되면, 어떻게 달라지나? ○ 3회(11월 18일) - 개인정보 보호를 위한 사회적 안전망, 개인정보보호위원회 ○ 4회(11월 25일) - 개인정보 관련 법률, 원칙에 따라 정비하자! |
||
- 덧붙이는 말
-
이 글은 월간 <네트워커> 17호 ‘표지이야기’에 실렸던 글을 편집한 것입니다.
오병일 님은 진보네트워크센터 정책국 활동가입니다.