개인정보보호 관련 규제입법 동향

1. 유출 경과

3곳의 카드 회사(KB국민카드, 롯데카드, NH농협카드)에서 벌어진 개인정보 유출사건이 2014. 1. 18. 검찰에 의해 세상에 발표되었다. 사건 발생 직후 1억 건이 넘는 개인정보가 유출되었으나, 전량 회수되어 시중에 유통되지 않았으므로 2차피해는 없을 것이라는 금융당국의 기자회견도 있었(으나, 이미 80%의 정보가 대출중개업자에게 2차 유출된 사실이 2014. 3. 14. 보도되자, 금융당국은 2차유출에 따른 추가조사에 돌입하였)다.

대한의사협회, 대한치과의사협회, 한의사협회의 홈페이지가 해킹당해 의사와 일반회원의 개인정보가 탈취된 사건이 2014. 2. 26. 보도되었고, 국내 대표 통신기업인 KT의 홈페이지가 해킹되어 대규모 개인정보가 유출된 사건이 2014. 3. 6. 보도되었으며, 카드회사와 이동통신사 등의 사고에 이어서 보험사의 개인정보의 유출에 관한 사건 수사 소식도 2014. 3. 24. 보도되었다. 크고 작은 개인정보 유출 사건사고가 지속적으로 언론에 보도되어 국민들을 불안하게 만들었고, 개인정보보호법제에 관한 관심은 어느때보다 커졌다.

2. 관련 법률

가. 일반법과 특별법

개인정보 보호에 관하여는 다수의 법률이 존재한다. 개인정보보호에 관한 한 「개인정보 보호법」이 일반법적 성격을 가지고 있고, 그 이외에도 「정보통신망 이용촉진 및 정보보호에 관한 법률」(이하 ‘정보통신망법’이라 줄임), 「신용정보의 이용 및 보호에 관한 법률」(이하 ‘신용정보이용법’이라 줄임), 「위치정보의 보호 및 이용 등에 관한 법률」 등 개별 법률이 존재한다.

나. 개인정보 보호법의 개정 경과

1) 「개인정보 보호법」은 법률 제10465호로 제정된 이후, 세 번의 개정(법률 제11690호, 법률 제11990호 및 법률 제12504호)이 있었는데, 정부조직법의 개정에 따른 명칭 변경을 위한 개정을 제외한다면, 실질적으로는 두 번의 개정(법률 제11990호 및 법률 제12504호)이 있었다. 개인정보 보호에 관한 일반법이라 할 「개인정보 보호법」의 제정 및 개정은 개인정보를 바라보는 우리 사회의 시각의 변화를 고스란히 담고 있다. 따라서, 해당 법률의 제정이유 및 개정이유를 살펴보는 것은 큰 의미가 있다.

2) 「개인정보 보호법」은 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30. 시행되었다. “정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수집과 이용이 보편화되고 있으나, 국가사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 마련되지 못해 개인정보 보호의 사각지대가 발생할 뿐만 아니라, 최근 개인정보의 유출·오용·남용 등 개인정보 침해 사례가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용, 전화사기 등 정신적·금전적 피해를 초래하고 있는 바, 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것”이 제정(制定) 이유(理由)이다.

3) 「개인정보 보호법」은 2013. 8. 6. 법률 제11990호로 일부개정되(어 2014. 8. 7. 시행되)었다가, 다시 최근 2014. 3. 24. 법률 제12504호로 일부개정되었다.

즉, “법령에 근거가 있는 경우나 정보주체 본인의 동의가 있는 경우에만 제한적으로 주민등록번호 등 고유식별정보의 처리를 허용하는 한편, 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 이행하도록 하고 있으나, 현행법 제정 이후에도 대량의 주민등록번호 유출 및 악용이 빈번하게 발생하고 있으며, 이러한 유출 사고가 발생한 대기업 등에 대해서 민형사상 책임이 제대로 부과되지 않고 있어, 국민들의 불안 가중 및 유출로 인한 2차 피해의 확산이 우려되고 있는바, 모든 개인정보처리자에 대하여 원칙적으로 주민등록번호의 처리를 금지하고, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조ㆍ훼손된 경우 5억원 이하의 과징금을 부과ㆍ징수할 수 있도록 하며, 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 대표자 또는 책임 있는 임원을 징계할 것을 권고할 수 있도록 명확히 하여 주민등록번호 유출사고를 방지하는 한편, 기업이 주민등록번호 등 개인정보 보호를 위한 책임을 다하도록 하려는 것”이 2013. 8. 6. 법률 제11990호 개정(改正) 이유(理由)이며, 공포 후 1년이 경과한 날로부터 시행하기로 규정하고 있었다.

4) 그런데, “최근 카드사 등에서 대규모의 개인정보 유출 사고가 빈번하게 발생하여 사회문제가 되고 있고, 개인정보가 유출될 경우, 무분별하게 상업적으로 활용되거나, 각종 범죄에 악용되는 등 2차 피해가 발생할 수 있으므로 유출 시 피해를 최소화하기 위한 대책이 필요한바, 개인정보 유출의 피해를 최소화하기 위하여 특히 주민등록번호를 보관하는 개인정보처리자는 주민등록번호를 암호화하도록 의무화하려는 것”이라는 법률 제12504호 개정(改正) 이유(理由)와 함께, 제24조의2 제2항을 신설하였다. 구체적으로는 “개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.”고 규정하고 있는데, 주민등록번호 암호화 의무를 규정한 이 신설 부분은 2016. 1. 1. 시행된다.

개인정보 보호법 법률 제12504호 개정(改正)에서는 제1조(목적)이 개정되었다. 즉, 개인정보보호법 제1조는, “이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.”에서 2014. 3. 24.부터 “이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.”로 바뀌었다. ‘사생활의 비밀’ 또는 ‘이익’ 부분이 삭제되었는데, 국민 개인의 프라이버시 침해에 대한 대응을 넘어서서 개인정보 처리 및 보호에 관한 일반법으로서의 성격을 더 명확히 한 것이라 볼 수 있다.

다. 신용정보이용법 및 정보통신망법의 개정 경과

1) 신용정보이용법은 “신용정보주체의 자기정보통제권을 보강하여 개인의 사생활 보호를 강화하며, 신용조회회사 등에 신용정보를 보호하기 위한 엄격한 내부통제 절차를 마련하도록” 법률 제9617호로 2009. 4. 1. 개정되었고, “신용정보의 종류를 명확하게 법률에 규정하고, 신용정보주체에게 불이익을 줄 수 있는 신용정보의 보존 및 활용기한은 5년을 넘지 않도록 하며, 금융거래 및 상거래 관계의 설정·유지 시 정보주체의 권익보호를 위한 절차와 방법 등을 명확히 함으로써 신용정보주체의 보호를 강화”하도록 법률 제10690호로 2011. 5. 19. 개정되었다.

2) 정보통신망법은 “대규모 개인정보 유출사고가 발생하는 것을 방지하기 위하여 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우 등을 제외하고는 주민등록번호의 무분별한 수집과 이용을 제한하고, 개인정보 누출 시 이용자에게 해당 사항을 통지하고 방송통신위원회에 신고하도록 하며, 개인정보보호 관리체계 인증제도를 도입하고, 중대한 개인정보보호법규 위반행위가 있는 경우에는 방송통신위원회가 해당 정보통신서비스 제공자 등을 수사기관에 고발할 수 있도록 하는 등 개인정보보호 체계를 전반적으로 강화하는 한편, 현행 정보보호 안전진단제도를 폐지하고 기업의 정보보호를 체계적으로 관리·지원할 수 있는 정보보호 관리체계 인증제도로 일원화하며, 정보보호 사전점검 제도에 대한 법적 근거를 마련하고, 개인정보 누출의 통지·신고의무 등을 이행하지 아니한 자에 대하여 과태료를 부과하는 등 실질적인 정보보호체계를 확립하려는” 이유에서 법률 제11322호로 2012. 2. 17. 개정되었다.

3. 관련 주제

가. 개인정보보호와 빅데이터(Big Data)

1) 스마트(smart) 기기의 발달 및 소셜미디어(social media)의 확산은 모든 사용자들을 데이터 생산자(生産者)로 만들었다. 이렇게 생산되고 클라우드 서비스(cloud service) 등을 통하여 집적(集積)된 엄청난 양의 데이터는 분석(分析)과 해석(解釋)의 여지를 낳았다. 그리고, 언제부터인지 등장한 ‘빅 데이터(Big Data)’라는 용어가 이내 익숙해졌고, 사람들은 그 단어의 뒤에 ‘산업(産業)’을 붙여서 부르기 시작했다. 분석을 위하여 집약된 정보는 새로운 가치를 창출할 수 있게 되었다.

그러나, 한군데에 모인 정보들은 관리소홀로 유출되거나 해킹 등으로 누출될 확률도 덩달아 높아졌다. 개인정보 침해 사고가 발생한다면 그 피해 규모는 막대하다. 정보의 양면(兩面)에 대한 고민이 시작되었다. 보호(保護)냐 활용(活用)이냐. 빅데이터 산업을 위한 긍정적이었던 활용(活用) 전망은 연이어 터져나오는 개인정보 악재(惡材)로 인하여 주춤하며 보호(保護)에 좀 더 중점을 옮기는 분위기다.

2) 빅데이터 산업의 육성을 위하여, 사전동의(opt-in) 부분을 완화하면 어떠냐는 논의가 생겼다. 자동적으로 ‘긁어오는’ 데이터들을 일일이 동의받기도 애매하니, 적절하게 사후에 의사표시(opt-out)를 하게 하면 어떠냐는 논의도 있다.

빅데이터가 대용량으로 처리되므로 개인에 관한 정보가 몰개성적(沒個性的)으로 처리되는 듯 보이지만, 알다시피, 실은 성능이 뛰어나고 처리할 수 있는 자원(資源)이 풍부할수록, ‘식별가능한’ 정보(PII, Personally Identifiable Information)로 변할 수 있다. 개인정보의 ‘수색(搜索)’에는 영장(令狀)이 필요한데, 이를 ‘적법절차의 원리’(due process of law)라 부르며 헌법상의 위치로까지 격상시켰다. 마찬가지로 개인정보의 ‘수집(蒐集)’에도 이러한 원리가 고려되어야 된다는 취지로 이를 ‘big data due process’라 부르자는 외국의 견해도 있다.

나. 개인정보보호와 중복규제

특정 상황에 대하여 일반법의 성격을 가진 개인정보보호법이 적용될지 아니면 특별법적 성격을 가진 정보통신망법이나 신용정보법이 적용될지는, 일반인이나 사업자가 알기 쉽지 않다. 그래서 개인정보의 보호에 관한 한, 산재(散在)해 있는 규정들을 한 곳에 모으자는 목소리들이 커지고 있다.

개인정보보호법은 안전행정부가 관장하고, 정보통신망법은 방송통신위원회와 미래창조과학부, 신용정보법은 금융위원회가 맡고 있으므로, 공동 소관 법률체계를 만들거나 단일한 컨트롤 타워가 필요하다는 의견도 제시되고 있으며, 개인정보보호위원회의 위상 강화와 관련된 개인정보보호법의 개정안도 발의되었다.

단일 법률이 필요한지 또는 가능한지에 대하여는 아직도 입장이 팽팽하다. 이를 법령과 관련한 부처 간의 주도권 다툼으로 바라보는 시각도 있으며, 개인정보가 가지는 다양한 측면의 특성을 고려할 때, 각 해당 분야의 주무부서가 더 잘 처리할 수 있다는 입론도 충분히 설득력 있어 보인다.

4. 개선 방향

잇달아 터져나오는 개인정보 침해 사고와 관련하여, 개인정보보호에 대하여 유례없이 관심이 집중되고 있다. 관련하여 여러 각도에서의 개선방향이 논의되고 있다. 특히 그 중 일부만 뽑아보자면 아래와 같다. 디지털 시대에서의 개인정보의 유출은 그 파급력이 매우 크기 때문에, 임기응변적이기보다는 보다 근원적인 대책마련이 시급해 보인다.

최근의 금융정보 유출과 관련하여, 개인정보의 단계별 처리가 중시되고 있으며, 특히 개인정보의 파기(破棄)에 관하여 상세히 규정되어야 한다는 의견이 많다. 금융회사 등 관련 회사 및 임직원에 대하여 엄히 제재를 하여야 한다는 목소리가 높아지고 있으며, 신속한 손해배상 등을 위하여 집단소송제 도입 등 피해구제 제도를 개선보완해야 한다는 주장이 설득력을 더해 가고 있다.

과도한 본인확인을 요구하는 우리나라의 인터넷 환경을 재검토하고 본인확인기관을 엄격히 관리하여 개인정보가 민간사업자들에 의하여 광범위하게 활용되는 것을 방지할 필요가 있다는 견해는 특히 경청할만하다.

금융분야 혹은 비금융분야를 나누어서 각 업종별 내지 권역별로 정보보호법률을 각각 제정하자는 의견이 있으나, 그간의 정보유출사고는 법제도의 미비에서 기인하는 것은 아니며 현행법의 엄격한 집행 및 책임추궁을 통해서 해결가능하다는 반대 의견도 있다. 특정 서비스를 이용하기 위해서는 주민등록번호의 제공이 사실상 강제되는 상황이라면, 자기정보결정권은 유명무실해지므로, 이 번 기회에 주민번호제도를 폐지하거나 새로운 번호를 부여하자는 요구도 거세지고 있다.

신영진(2012). 공공분야의 빅데이터 추진과 개인정보보호에 관한 연구 : 개인정보보호법의 주요 내용과 개선과제를 중심으로.『Internet and Information Security』, 제3권 제3호, 90~105

국회입법조사처(2014), 『이슈와 논점 제784호 : 신용카드사의 대규모 개인신용정보 유출의 쟁점과 과제』. Available : 입법조사처 홈페이지 http://www.nars.go.kr/brdView.do?brd_Seq=9903&currtPg=4&cmsCd=CM0018&category=&src=&srcTemp=&pageSize=10

국회입법조사처(2014), 『이슈와 논점 제814호 : 개인정보 유출사고와 본인확인기관 활용의 문제점』. Available : 입법조사처 홈페이지 http://www.nars.go.kr/brdView.do?brd_Seq=10583&currtPg=1&cmsCd=CM0018&category=&src=&srcTemp=&pageSize=10

은행법학회(2014), 세미나(금융기관의 신용정보 관리와 보호를 위한 법률적 대책), Available : 입법조사처 홈페이지 http://www.nars.go.kr/brdView.do?cmsCd=CM0032&brd_Seq=10465

연합뉴스(2014. 3. 24.), “보험사 개인정보도 털렸다…1천150만건 유출”, Available : http://www.yonhapnews.co.kr/bulletin/2014/03/24/0200000000AKR20140324030100065.HTML?from=search

연합뉴스(2014. 3. 17.), “당국 ‘2차 유출’ 국민·롯데·농협카드 특검”, Available : http://www.yonhapnews.co.kr/bulletin/2014/03/15/0200000000AKR20140315030651002.HTML?from=search

연합뉴스(2014. 3. 14.), “카드사 고객정보 유출 2차 피해 가능성은”, Available : http://www.yonhapnews.co.kr/bulletin/2014/03/14/0200000000AKR20140314104651002.HTML?from=search

연합뉴스(2014. 3. 6.), “신종 해킹에 대표 통신기업 KT 속수무책 또 당해”,  Available : http://www.yonhapnews.co.kr/bulletin/2014/03/06/0200000000AKR20140306166451017.HTML?from=search

연합뉴스(2014. 2. 26.), “의사·치과의사·한의사협회 홈페이지 해킹당해”,  Available : http://www.yonhapnews.co.kr/bulletin/2014/02/26/0200000000AKR20140226092800065.HTML?from=search

MIT Technology Review(2013. 10. 9.), “Data Discrimination Means the Poor May Experience a Different Internet” Available : http://www.technologyreview.com/news/520131/data-discrimination-means-the-poor-may-experience-a-different-internet/

Kate Crawford(2013), “Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms” Available : http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2325784