통합 개인정보 보호법의 제정 방향
1. 개인정보 보호환경의 변화
스마트폰 및 태블릿PC와 같은 모바일 디바이스의 급격한 활용 증대는 일상생활 영역에서 막대한 양의 데이터 활용을 추동하고 있다. “빅데이터(big data)”1 와 “클라우드 컴퓨팅(cloud computing)”2 이라는 용어는 바로 이러한 상황을 나타낸다. 막대한 양의 데이터들이 개인에 최적화된 서비스를 위해 매우 빠르고 광범위하게 활용되고 있으며, 이는 개인정보 보호의 규제 지형이 과거와는 달리 매우 급변하고 있음을 짐작케 한다. 그러나 현재 우리나라의 개인정보 보호환경은 새로운 변화에 대한 대응은 차치하고라도, 매우 기초적인 개인정보 보호를 위한 정책적 대응까지도 신경을 써야 하는 상황이다.
우리나라의 경우 법규범적 차원에서는 매우 엄격한 개인정보자기결정권 보장을 위한 법적 체계를 갖추고 있음에도 불구하고, 법현실은 이에 훨씬 미치지 못하고 있는 실정이다. 따라서 현행 개인정보 보호법제는 이러한 법현실의 수준을 한층 높은 단계로 유도할 수 있는 묘책을 요구하고 있다.
대규모 개인정보 유출사고가 최근 수년간 연이어 발생하고 있지만, 제도적인 차원에서 주목할 만한 해결방안이 제시되고 있지 못한 상황이다. 특히 개인정보 유출 위험성에 대한 사회적 인식의 증대와 더불어 국가-사회적 차원에서 개인정보 보호 수준의 제고를 목적으로 「개인정보 보호법」이 제정되어 있는 상태임에도 불구하고 현실은 별반 나아진 바가 없는 것으로 느껴진다. 따라서 이 글에서는 현재 우리나라의 개인정보 보호법제의 문제점을 검토해 보고, 향후 개인정보 보호를 위한 통합법제 구성 및 정책적 개선방향에 대해 제언하고자 한다.
2. 「개인정보 보호법」과 개인정보 보호법제
우리나라 개인정보 보호 입법의 가장 중요한 기점은 일반법으로서의 「개인정보 보호법」 제정 및 시행(2011년 3월 29일 제정·공포, 2011년 9월 30일부터 시행)이다. 이 법은 공공과 민간, 온라인과 오프라인을 포괄하는 법률로써 사회 전반의 개인정보 보호에 관한 원칙과 기준을 제시하여, 개인정보 보호의 중요성에 대한 사회적 인식을 제고하고, 이를 통해 현실을 개선하고자 하는 입법취지를 가지고 있다.
그러나 동법이 이러한 취지를 달성할 수 있는 것인지에 대해서는 제정 당시부터 많은 비판이 제기되어 온 바 있다. 특히 이러한 비판은 개별 영역에서 개인정보와 관련한 기존 법률들이 ‘존치’되고 있다는 측면에서, 일반법으로서의 「개인정보 보호법」이 어떻게 기능할 수 있는지에 대한 것이었다. 이와 관련한 규정은 「개인정보 보호법」 제6조이다. 이 규정은 동법의 다른 법률과의 관계에 대해, “개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”고 규정하고 있다.
이는 개인정보 보호에 관하여 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법)」, 「신용정보의 이용 및 보호에 관한 법률(이하, 신용정보법)」 등을 비롯한 여타의 법률에 특별한 규정이 있는 경우에는 「개인정보 보호법」이 적용되지 않는 다는 점을 의미한다. 이를 일반법-특별법 관계라고 부른다. 예를 들어, 「정보통신망법」은 개인정보 보호와 관련한 내용을 제4장 개인정보의 보호(제22조~제32조)에서 규정하고 있는데, 이러한 규정들은 유사한 내용을 가지는 「개인정보 보호법」상의 규정보다 우선적으로 적용된다. 바로 현행 우리나라 개인정보 보호법제의 문제점은 여기에 존재한다.
3. 분산적 개인정보 보호법제 운영의 문제점
「개인정보 보호법」의 제정 및 시행 이후, 규제 현실에 있어서는 이 법이 설정하고 있는 일반법과 특별법 관계가 정상적으로 작동하고 있지 못하다는 평가가 지배적이다. 특별법인 「정보통신망법」, 「신용정보법」 등 관련 법률에서는 일반법 사항들을 상당부분 중첩적으로 규정하고 있을 뿐만 아니라, 같은 문제를 다르게 규율하는 경우도 있다. 이러한 복잡화된 개인정보 보호법제의 지형을 다소 축약적인 표로 정리해 보면 다음과 같다.
<표1> 소관부처별 개인정보 보호 법률 및 규율내용
이상에 제시된 특별법 영역의 법률들은 주요한 것들만을 열거한 것으로, 이 밖에도 개인정보와 관련한 법률들이 더 존재할 수 있을 뿐만 아니라, 또한 기술적·사회적 상황 변화에 따라 추가적으로 또 다른 법률의 적용을 받는 새로운 영역의 개인정보 보호 이슈가 제기될 수도 있다. 이는 개인정보 보호법제의 지형이 급변하고 있는 상황만큼이나 법 적용 및 집행의 상황도 더욱 복잡화될 수 있는 여지를 보여준다. 이는 다음과 같은 법의 준수 및 집행에 있어서의 문제점들을 유발한다.
첫째, 규제대상 사업자들을 비롯한 일반 수범자의 입장에서, 일반법인 「개인정보 보호법」만으로는 어떠한 사항이 규제되고 있는지, 그리고 합법적인 개인정보의 활용을 위해서 준수해야 하는 내용이 무엇인지를 파악하기 힘들기 때문에,3 유사 영역의 모든 법률들을 검토해 보고 적용상 우선 관계를 판단해야 하는 번거로움이 있다. 이는 법(률)이 기본적으로 그 규정 내용이 무엇인지를 국민들이 이해하기 쉽게 작성되어야 한다는 기본적 입법 원리인 체계성(수용성)을 갖추지 못하고 있다는 반증이다. 그리고 이러한 체계성의 문제는 법의 준수를 어렵게 만드는(준수 가능성) 현실적인 원인이다.
둘째, 더욱 큰 문제는 규제기관 조차도 문제시 되는 사안이 소관 부처별로 자신의 규제 영역인지 아닌지 여부를 판단하기 쉽지 않은 경우가 발생한다는 점에 있다. 특히 일반법인 「개인정보 보호법」의 소관부처인 안전행정부와 다른 특별법 소관부처(방송통신위원회, 금융위원회 등) 간에 충돌이 발생할 여지가 상존한다. 또한 특별법 소관부처가 규제하는 영역이지만 소관 법률상 적용할 규정이 없어 일반법 소관부처인 안전행정부가 당해 사안에 개입하려고 할지라도, 정부 조직적 측면에서 다른 부처의 규제영역에 개입하는 것이 현실적으로 용이하지 않다. 이러한 현상은 곧 국가-사회 전반을 아우르는 개인정보 보호 감독기구가 부재한 상황을 나타낸다.
이상과 같은 개인정보 보호법제의 분산적 운영의 결과는 2014년 초 연이어 발생한 신용카드 3사 정보유출사고와 이동통신사인 KT의 정보유출사고에서 여실히 드러났다. 금융영역 소관 당국인 금융위원회와 정보통신 영역 소관 당국인 방송통신위원회의 사태 수습 노력에도 불구하고, 사고에 대한 대응이 매우 미온적이었음은 물론이고 유기적·체계적·전문적이지 못했다는 지적이 수차례 지적된 바 있었다. 급격하게 발전하는 융합(convergence)환경 속에서 개인정보 보호의 문제는 비단 개별 영역에 한정해서만 발생하는 것이 아니기 때문에, 국가 전반적 차원에서 이러한 업무의 중심축으로서 기능할 수 있는 ‘법률’과 전문적인 식견을 가진 ‘집행기관’이 요청된다.4
4. 통합 개인정보 보호법 제정과 정책방향 설정을 위한 제언
개인정보 보호와 관련하여 현 단계에서 가장 중요한 과제는 분산된 개인정보 보호 체계를 일원화하여 국가-사회의 전반적인 차원에서 개인정보의 보호수준을 총체적으로 고양할 수 있는지 여부이다. 가장 초보적 수준의 대안으로는 현재의 분산된 체계를 유지하면서 영역별로 상이한 규율 내용이나 규제 공백을 최소화하는 수준에서 체계적 일원화가 도모될 수도 있을 것이다. 그러나 이제까지의 상황에서 알 수 있는 것처럼 부처간 이해관계로 인하여 이러한 작업에는 다소 무리가 따른다.
1) 개인정보 보호체계 통합
개인정보 보호체계의 일원화를 원활히 추진하기 위한 가장 유력한 방안으로는 우선적으로 개인정보 보호법제를 단일 법안으로 일원화하는 방안이 필요하다.5 물론 기존의 개인정보 보호업무를 소관하고 있었던 부처들에서는 관련 이해관계로 인하여 반발이 있을 수도 있지만, 현실적인 상황을 두고 판단해 볼 때 이러한 방안이 가장 현실적인 대안이 될 수 있다. 그 이유는 개인정보와 관련한 기존 법률을 존치시키는 차원에서의 체계조정 문제는 벌써 수년째 논의되어온 바 있었지만, 주목할 만한 대안이 아직까지도 마련되지 않았기 때문이다.
미디어와 사회 영역이 빠르게 융합되고 있는 상황이기 때문에, 개인정보 보호체계의 일원화 요청은 향후 더욱 거세질 것으로 판단된다. 현행법 체계하에서는 새로운 융합영역의 개인정보 보호 이슈가 발생할 경우, 소관부처 설정을 두고 논란이 발생할 가능성이 높다. 따라서 법 체계의 일원화는 개인정보 보호 법제의 통합은 물론이고, 소관 부처의 역할 조정의 문제를 포괄한다.
현재 상황에서 보자면, 「개인정보 보호법」이 당초 의도와 같이 제 기능을 수행하지 못해왔을 뿐더러, 관련 법 규정의 난립으로 인하여 규제 현장에서의 혼선만 가중시키고 있다. 이러한 상황에서 개인정보 통합법제를 구성하기 위한 당장의 가장 현실적인 대안은 「개인정보 보호법」을 공동 소관형태의 법률로 개편하여 통합시키는 것이라고 할 수 있다. ‘공동 소관부처 법률’이라는 것이 다소 생소하게 들릴 수는 있지만, 이러한 법률 형태는 이미 우리 법제 실무상 다수 존재한다. 이에 대한 대표적인 예시로는 「농수산물 품질관리법」(농림축산식품부, 식품의약품안전처, 해양수산부 공동 소관), 「제조물 책임법」(공정거래위원회, 법무부 공동 소관), 「통신비밀보호법」(법무부, 미래창조과학부 공동 소관) 등이 있다.
이러한 공동 소관부처 법률로 개인정보 통합 법제를 구성하게 되면 일원화의 거시적 테두리 속에서 기존 부처들의 규제 전문성을 반영할 수 있을 것이다. 현행 개인정보 보호법제들은 대체적인 규정들이 개인정보자기결정권 보장의 일반적인 원칙을 따르고 있기 때문에 이러한 부분은 용이하게 통합(원칙 규정)될 수 있을 것이다. 그러나 각 영역별 특수성으로 인하여 예외적인 규정이 필요한 경우가 있다. 따라서 이러한 경우 각 원칙의 예외 규정을 두어 이에 대한 집행은 기존 소관부처들이 담당하도록 하는 것이 필요하다. 이와 더불어, 법 집행상 부처별 이해관계의 상충 문제는 ‘개인정보보호위원회’를 중심으로 해소될 수 있도록 하는 제도적 디자인이 요구된다. 이는 현재 강력하게 제기되고 있는 개인정보보호위원회의 위상 및 역할의 강화와 맞물려 있다.
2) 개인정보 보호 관점의 재정립
이상과 같은 제도적인 개선방안을 넘어서서, 가장 중요한 것은 개인정보 보호에 관한 정책적 관점의 명확한 재정립이 필요하다. 이제까지 우리사회에서는 개인정보가 가지는 가치에 대해 크게 인식하지 못한 측면이 있다. 그 결과 다양한 법(령)들에서 주민등록번호 등과 같은 개인정보의 수집을 법적으로 허용하거나 합법화시켜주고 있다. 따라서 이러한 관점에 대한 재성찰이 요청된다.
다른 나라와는 달리 우리나라의 정보통신 환경은 강력한 본인확인을 전제로 하는 특징을 가지고 있다. 그 이유는 다양한 본인확인을 통해 인터넷 등 정보통신의 발전으로 인한 역기능을 가장 효과적으로 해소할 수 있다는 믿음이 광범위하게 퍼져있기 때문이다. 그러나 실제 대면확인이 아닌 비밀번호 등 숫자 대조에 기반한 본인확인이 이러한 역기능을 해소시켜 줄 수 있는 것인지에 대해서는 의문이 있다. 본인확인을 위해서는 위험성을 가지는 주민등록번호 등 개인 식별번호의 광범위한 유통이 전제되어야 한다. 이러한 측면에서 오히려 개인정보의 집적(集積) 및 그로인한 유출 위험성만이 증대될 뿐이다.6
따라서 개인정보 보호체계의 통합 또는 개선작업은 이러한 관점의 재정립 작업과 동시에 이루어져야 한다. 즉 정보통신 영역에서 현행법(령)상 개인정보의 수집 및 이용을 강제하거나 합법화 및 허용하고 있는 법 규정들이 과연 필요한 것인지 여부를 종합적으로 검토하여, 주민등록번호 등 개인 식별번호를 요구하는 법체계 전반을 개선하는 작업도 병행되어야 할 필요가 있다. 이를 통해 식별 위험성을 가지는 개인정보의 활용을 최소화시켜야 한다.
이러한 관점의 전환은 개인정보 유출로 인한 손해배상 문제에 있어서도 중요한 역할을 할 수 있다. 현재의 상황에서 사업자들의 개인정보의 수집 및 이용은 법률상 요청에 의한 경우가 많기 때문에, 사업자들이 이러한 정보를 관리하는 데 있어 법에 의해 요구되는 보호조치 기준을 준수하는 경우 이들에게 과실 책임을 묻기 힘든 측면이 있다.7 그러나 이러한 개인정보의 수집을 법률상 요청 및 허용하지 않게 되면, 사업자들은 자신들의 영리행위를 위해 정말 필요한 경우에 한하여 정보주체의 동의를 전제로 개인정보를 수집 및 이용하게 될 것이다. 결국 개인정보 유출의 문제는 사업자들의 경영상 리스크 관리(risk management) 차원의 문제가 될 것이며, 이에 근거하여 사업자들에게 실질적이고 효과적인 과실 책임을 물을 수 있는 법리상 토대가 마련될 수 있을 것이다.
- 빅데이터 환경에서의 개인정보 보호법제와 관련한 쟁점에 대해서는 심우민, “스마트 시대의 개인정보보호 입법전략”, 「언론과 법」 제12권 제2호, 2013을 참조할 것. [본문으로]
- 클라우드 컴퓨팅과 관련해서는 최근 2013년 10월 16일 정부에서 제출한 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률안」(의안번호: 1907295)과 2013년 11월 27일 김도읍 의원이 대표 발의한 「클라우드 컴퓨터 산업 진흥법안」(의안번호: 1908111)이 있다. 이 중 정부안의 경우 사실상 「정보통신망법」으로도 규율 가능한 사안들을 사업자 규제와 이용자 보호라는 견지에서 상당수 중복적으로 규제하는 내용을 포함하고 있다고 할 수 있다. 반면, 김도읍 의원 발의안의 경우 관련 사업의 진흥 및 지원에만 초점을 두고 있다. [본문으로]
- 이러한 견지에서 방송통신위원회는 최근 「빅데이터 개인정보보호 가이드라인」 제정을 추진하고 있다. 그러나 현재 제시되고 있는 제정안은 그다지 성공적이지 못하다는 것이 일반적인 평가이다. 심우민, “「빅데이터 개인정보보호 가이드라인」과 입법과제”, 「이슈와 논점」 제866호, 2014. 6. 12. [본문으로]
- 「개인정보 보호법」상 개인정보보호위원회의 형해화된 위상을 실질적으로 강화시키고자 하는 취지의 법률안들이 현재 제19대 국회에 발의되어 있어 주목할 필요가 있다. 변재일 의원 대표발의, 「개인정보 보호법 일부개정법률안」(의안번호: 1907084), 2013. 9. 30; 진선미 의원 대표발의, 「개인정보 보호법 일부개정법률안」(의안번호: 1909357), 2014. 2. 12. [본문으로]
- 개인정보 통합법제의 필요성에 대한 논의는 그간 간헐적으로 제기되어온 바 있었다. 현재 이러한 내용과 취지를 가지는 법률안이 강은희 국회의원(실) 차원에서 마련 중인 것으로 알려져 있다. [본문으로]
- 이러한 측면에서 「정보통신망법」상 본인확인기관 활용의 문제도 진지하게 재검토해야할 필요성이 있다. 심우민, “개인정보 유출사고와 본인확인기관 활용의 문제점”, 「이슈와 논점」 제814호, 2014. 3. 17. [본문으로]
- 좀 더 구체적인 내용은 심우민, “해킹 등 개인정보 침해사고에서 사업자 책임 범위”, 「이슈와 논점」 제445호, 2012. 5. 21 참조. [본문으로]