23호 정책제언

개인정보보호법제의 정비방향

지난 2,3년에 걸쳐 개인정보보호법제를 새로이 정비하려는 노력들이 정부와 시민단체, 그리고 학계에서 꾸준히 지속되어 왔다. 그 결실이 2005년 초에 맺어지려나 기대했는데 2005년 4월 현재 점차 혼미상태로 빠져들고 있다.

작년 후반기에 공공기관개인정보보호법의 개정안 3건과 민주노동당의 개인정보보호기본법안이 국회에 제출되었고, 올해 2월에는 열린우리당에서 2건의 개인정보보호기본법안을 국회에 제출하였다. 그 직후 개인정보감독기구의 조직구성을 놓고 국가인권위원회 소속의 특별위원회로 하자는 정부여당안과 독립된 별도의 조직으로 구성해야 한다는 시민단체의 주장이 팽팽히 맞섰다. 그 와중에 지난 4월 11일 국가인권위원회가 개인정보감독기구는 별도의 조직으로 구성되어야 한다는 의견을 공식적으로 의결하였다. 그러자 4월 15일 열린우리당에서 제안된 2건의 기본법안이 모두 철회되었다.

입법의 진통이 제법 오래갈 모양이다. ‘불균형적’이고 ‘불완전한’ 현재의 입법 및 집행체계를 보완하여 보호의 공백을 메움과 동시에 독립된 감독기구에 의한 예방적이고 효과적인 감시체계를 마련하여야 하는 입법적 과제가 무엇보다 ‘시급한’ 현 시점에서 ‘입법의 신중함’을 주문하는 사회적 계시인가? 이하에서는 개인정보보호법제의 기본이념을 짚어 보고 향후 입법정비의 기본방향을 거칠게나마 제시해 본다.

개인정보보호법제의 기본이념
개인정보보호법제의 기본이념은 개인정보의 수집과 이용 자체를 금지하는 데 있는 것이 아니다. 수집과 이용을 원칙적으로 허용하되 정보주체가 인식도 하지 못하는 상태에서 개인정보가 남용되는 것을 막고자 하는 데 있다. 개인정보처리의 과정이 투명하고 공정하게 이루어지도록 정보주체의 참여를 보장하기 위한 것이다. 정보주체는 자신에 관한 정보가 누구에 의해 어떤 목적으로 어떻게 이용되는지를 명확하게 인식하고 그러한 정보처리의 과정에 함께 참여할 수 있어야 한다. 이러한 참여로서의 사생활보호 모델은 특히 공공부문에서 정부가 개인정보처리의 남용을 통해 국민을 감시하고 통제하고자 하는 위험을 차단시키는 역감시의 기능을 수행한다.

그러나 개인정보자기결정권은 정보주체에게 자신의 모든 개인정보에 대해 절대적 통제권을 부여하는 권리가 아니다. 자칫 ‘개인정보’를 ‘사생활비밀’과 동일시해서는 안 된다. ‘사생활비밀’에 대한 통제권은 원칙적으로 당해 정보주체에게 있지만, 모든 ‘개인정보’의 유통이 정보주체의 통제 하에 놓여야 하는 것은 아니다. 사실, 사회공동체의 시스템이 제대로 작동하기 위해서는 다른 사람의 개인정보를 수집해서 그것을 활용하는 것이 필수불가결하다. 정부도 정부기능을 적절하고 효율적으로 수행하기 위해서는 국민 개개인에 관한 정보를 수집하고 이용해야 한다. 시장과 기업도 고객정보의 수집과 활용을 통해 시장기능의 활성화와 자원배분의 최적화를 추구한다. 때문에 ‘개인정보참여권’을 구체화하는 개인정보보호법제는 ‘이용’과 ‘참여’의 가치를 균형 있게 담아내어야 한다.

현재까지 제안된 기본법안들은 이들 상충하는 가치를 균형 있게 조정하지 못한 것으로 평가된다. 세계에서 보기 드물 정도로 매우 강력한 보호기준을 설정하고 있고, 매우 불명확한 행위기준에 의한 형사처벌 및 행정제재 위주로 그 집행을 담보하고 있어 실제의 집행과정에서 혼란이 우려된다. 이 기본법안들은 개인정보의 수집단계에서부터 정보주체의 동의를 사전 또는 사후에 받는 것을 원칙으로 하고 있는데, 그렇게 되면 개인정보의 보호는 충분히 강화되겠지만, 사회적으로 필요한 개인정보의 이용과 유통은 현저히 억제되어 자칫 사회적?경제적 기능이 경색되고 말 것이다.

정비방향
현재까지 제안된 기본법안들은 다음사항들을 충분히 고려하여 정비되어야 한다.

첫째, 향후 기본법에서는 개인정보처리 및 보호의 기준을 공공부문과 민간부문에서 각기 달리하여 규율하되, 독립성과 효율성을 갖춘 통합감독기구에 의하여 사전적?예방적?교육적 보호기능에 초점을 맞추어 집행체계를 구축할 필요가 있다. 특히, 민간부문에서는 개인정보처리 및 보호의 기준에 대한 보다 분명한 사회적 합의가 확보되기까지 현재의 보호공백을 메우기 위한 최저한의 수준으로 법적 기준을 기본법에서 설정하고, 개인정보감독기구에게 규칙제정권을 주어 개별 문제되는 영역에서 보다 상세하고 명확한 처리 및 보호기준을 차후에 마련할 수 있도록 하는 유연한 집행체계도 검토해 볼 필요가 있다. 그리고 의료정보, 신용정보, 온라인정보 등 특별한 보호나 조정이 필요한 영역에서는 개별 법률을 따로 제정할 수 있을 것이다. 그러나 이 경우에도 그 감독기능은 통합된 감독기구에서 수행하여야 할 것이다.

둘째, 향후 설립될 통합감독기구는 전형적인 세 가지 감독기능인 예방적 기능, 사후적 민원해결기능, 그리고 정책조언기능을 완전하게 수행하여야 할 것이다. 예방적 기능은 개인정보처리의 위험성을 사전적?예방적인 차원에서 막기 위하여 개인정보처리기관이 개인정보보호법의 실체적 규정(개인정보처리원칙을 구체화한 처리기관의 의무규정들)을 준수하도록 사전에 유도하는 기능이다. 감사기능, 자문기능, 교육기능, 그리고 자율규제의 조정자로서의 기능은 이러한 예방적 기능의 일환이다. 사후적인 민원해결기능은 정보주체로부터의 불만이나 민원을 접수받고, 사실관계를 조사하며, 그리고 그 민원사항을 조정을 통해 해결하는 기능을 수행한다. 정책조언기능은 국가의 정보정책에 대한 조언자로서 자문하는 기능이다.

셋째, 국가인권위원회가 통합감독기구를 흡수하는 것에 대해 공식적인 반대 입장을 표명한 현 상황에서, 독립성을 갖춘 통합감독기구의 위상과 소속을 어떻게 할 것인가가 문제된다. 현재의 국가인권위원회와 같이 조직상 행정부로부터 분리된 독립기관으로서의 위상을 부여하는 방안이 충분히 고려될 수 있다. 그런데 ‘독립성’ 측면에서는 이러한 독립기관으로서의 위상이 바람직할 수도 있으나, 우리의 현실에서 감독기능의 ‘실효성’도 함께 담보할 수 있어야 한다. 특히 통합감독기구는 공공기관의 개인정보처리를 함께 감독대상으로 하기 때문에 실효성 확보가 무엇보다 중요하다. 때문에 대통령 또는 국무총리 소속으로 하되, 그 조직구성과 임명방식, 예산, 기능 등에 있어서 자율성과 독립성을 완전히 확보하는 방안을 신중하게 검토할 필요가 있다.

넷째, 향후 설립될 통합감독기구는 한정된 자원으로 공공과 민간의 그 수많은 개별 개인정보처리기관 모두에 대해 효과적인 감독기능을 수행할 수 없기 때문에 모든 공공기관과 그리고 민간의 대규모 개인정보처리기관의 내부에 독립적인 위상과 독자적인 기능을 가진 개인정보보호책임자(CPO: Chief of Privacy Official)를 두도록 해서 이들을 통합감독기구의 현장감사관으로 활용하여야 할 것이다.

마지막으로, 민간부문에서 개인정보처리의 필요성과 개인정보보호의 가치는 각 영역별로 그리고 기술발전에 따라 미묘하게 상충하고 있는데, 향후 설립될 통합감독기구는 이 상충하는 가치를 그때그때 조화롭고 융통성 있게 조정해 나가야 할 것이다. 이 과정에서 민간부문의 자율규제기능을 충분히 고려하고 활용하여야 할 것이며, 또한 개인정보보호기술을 통한 기술적 규제수단도 최대한 활용하고 장려하여야 할 것이다.