개인정보 보호법의 특징과 앞으로의 방향

[형섭]

개인정보 보호법의 특징과 앞으로의 방향*

― 업계의 반응에 대한 몇 가지 대안을 중심으로 ―

손 형 섭**

<국문 초록>

이 논문은 ‘개인정보 보호법’의 특징을 분석하고 앞으로의 대응 방향을 제시하여, 바람직한 ‘개인정보 보호’를 위한 논의에 이바지하려 한다. 현대 사회는 정보사회라고 하며 오늘날 인터넷을 통하여 많은 정보가 유통되고 있다. 특히 최근 SNS를 통하여 1인 미디어 시대의 도래로 각종 정보의 유통은 더욱 자유로워졌다. 대한민국에서는 1994년 ‘공공기관에 관한 개인정보 보호에 관한 법률’이 제정되고, 1995년 ‘신용정보의 이용 및 보호에 관한 법률’, 2000년 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’을 통하여 영역별로 개인정보보호법제가 등장하게 되었다. 그러나 2010년을 정점으로 각종 개인정보 유출 사고들이 빈발하여 사회에 그 심각성이 크게 인식되어 일반법으로서의 개인정보 보호법의 제정에 추진력을 주게 되었다. 결국, 2011년에 ‘개인정보 보호법’이 입법되어 동년 9월 30일 시행되게 되었다. 또한, 행정안전부는 이 법에 대하여 2012.29.까지 계도기간을 갖고 3월 30일부터 적극적인 실행을 하게 되었다.

이러한 시점에 민간업계에서는 개인정보 보호법에 대한 이해 부족과 불편한 절차의 신설, 관련 비용 증가 등으로 이 법에 대한 거부감을 갖기도 하고, 발 빠른 개정논의를 제기하고 있다. 이에 대한 몇 가지 쟁점을 중심으로 검토하며 개인정보보호를 위한 향후 방향에 대하여 논의하였다. 이러한 논의를 통하여 정보주체의 “동의” 문제는 물론 업계의 이 법에 대한 부족한 이해와 부담감을 재확인하였다. 이 법의 시행으로 각 기업은 이 법에 따른 개인정보보호를 위하여 관련 비용이 증가하게 될 전망이다.

앞으로 개인정보 보호를 위하여 정부는 개인정보 보호법의 해석과 지침의 명확화와 법의 홍보 교육 사업을 계속해야 할 것이다. 그리고 정부와 업계를 전문지식으로 매개할 수 있는 개인정보보호(자격)사와 같은 제도 도입을 제안하였다. 그리고 업계의 개인정보 보호를 위한 기술적인 대책에 정부가 지원을 검토하고 ‘세분화 되는 보안시스템’의 도입을 촉진해야 할 것이다.

그리고 각 업계의 현실에 맞는 ‘개인정보 보호법’의 개정논의 혹은 시행령ㆍ시행규칙, 가이드라인, 자율규제 준칙 등을 개인정보보호위원회와 행정안전부 그리고 관할 정부부서를 중심으로 계속 검토해야 할 것이다.

주제어: 개인정보, 개인정보 보호법, 프라이버시, 개인정보보호위원회, 정보주체의 권리

Ⅰ. 들어가며

2010년 12월 7일 국회는 그동안 개인정보보호법에 대하여 검토한 결과를 국회 법사위원회에 ‘개인정보 보호법’ 수정안으로 보고하였다. 이것이 수정되어, 제정 2011.3.29. 법률 제10465호 ‘개인정보 보호법’(이하 이 법이라 한다.)이 되었다. 이 법은 부칙 제1조에 따라 공포 후 6개월이 지난 2011.9.30.부터 시행되었으나, 행정안전부는 새로운 법의 제정으로 인한 업계의 혼란을 고려하여 6개월의 계도기간을 거치도록 하였다. 결국, 2012.3.30.부터 정부는 이 법을 적극 실행하게 되었다.

그러나 아직도 ‘개인정보 보호법’에 대한 이해의 부족과 새로운 법제에 대한 거부감, 그리고 새로운 “개인정보보호 처리 비용”의 증가에 대한 부담감으로 관련 업계에서는 이 법에 대한 다양한 문제점을 제기하고 있다. 예를 들어 금융업계에서는 개인정보 보호법의 시행으로 고객의 연체 정보에 대한 은행, 카드사 보험사 간의 공유가 불가능해 리스크 관리에 많은 시간과 비용이 든다고 하소연한다. 또한, 전세자금 대출을 받을 때 세대주를 포함한 세대원 전체가 은행을 방문해야 하고, 일부 은행들이 대출자에게 집주인 동의서를 요구하면서 전세 대출을 거절하는 등, 법에 대한 잘못된 이해 때문에 개인이 업계로부터의 불이익을 강요받는 사례가 등장하고 있다. 보험사는 보험계약자가 수익자를 지정할 수 있는데, 이 법의 시행으로 수익자에게 동의절차를 거쳐야 해서 상속자 간 다툼이나 피보험자에 대한 위험 등 부작용도 우려된다고 한다.

이처럼, 이 법을 통하여 우리나라에서 개인정보보호는 새로운 국면을 맞게 되었다. 업계를 중심으로 이 법에 대한 불만이 이미 노정되었고 일부 개정안의 논의가 벌써 시작되었다. 이 글에서는 이 법의 특징과 위에서 제기한 몇 가지 문제점을 중심으로 ‘개인정보 보호법’과 개인정보처리자의 대응 태도에 대하여 검토하고, 개인정보보호를 위한 향후 방향을 중심으로 논하려 한다. 무엇보다 ‘개인정보 보호법’은 기본권으로서 정보프라이버시권을 정보주체에게 인정하고 개인정보를 보호하고, 나아가 21세기 정보사회에서 기본권을 보장하고 정보사회의 건전한 성장을 촉진하는 기능이 있다. 이러한 명제를 명심하여 개인정보에 관한 쟁점을 해결해 나가야 할 것이다.

이를 위하여 ‘개인정보 보호법’의 국내외 입법동향과 이 법의 주요 내용과 특징을 검토하고(Ⅱ), 이 법을 통하여 새로운 국면을 맞이하게 된 민간업계에서 제기하는 몇몇 쟁점을 검토해 본다(Ⅲ). 그리고 향후 개인정보 보호법의 성공적인 시행과 개인정보가 잘 보호되는 사회를 만들기 위한 몇 가지 “방안”을 제시한다(Ⅳ).

Ⅱ. 입법 배경과 특징

1. 국내의 입법과정

(1) 개별법에 의한 개인정보보호

개인정보 보호법에 대한 논의는 외국에서 1980년대 이후 꾸준히 계속되었고 각국은 관련법을 입법하기에 이르렀다. 우리나라에서 개인정보의 처리에 관하여 규율한 최초의 입법은 1980년 12월 18일 제정 공포된 ‘형의 실효 등에 관한 법률’(1980. 12. 18 시행)이라고 할 수 있다. 그러나 본격적인 의미의 개인정보보호법은 1994년 1월 7일 공포되어 1995년 1월 8일부터 시행된 ‘공공기관의 개인정보보호에 관한 법률’이 최초라고 할 수 있을 것이다. 그렇지만 이 법 역시 공공부문만을 주된 규율대상으로 삼았기 때문에 민간부문의 개인정보보호를 위해서는 1995년 1월 5일 공포된 ‘신용정보의 이용 및 보호에 관한 법률’(1995년 7월 6일 시행)을 위시한 다수 법률의 제정이 필요했다. 특히 온라인상의 개인정보보호는 1999년 7월 1일, 기존의 ‘전산망 보급 확장과 이용촉진에 관한 법률’을 개정하여 2000년 1월 1일부터 시행된 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’에 의해 이루어지게 되었다. 공공부문은 ‘공공기관의 개인정보 보호에 관한 법률’을 통해, 민간부문은 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’과 ‘신용정보의 이용 및 보호에 관한 법률’ 및 ‘의료법’ 등 다수의 법률을 통해 규율해 왔다.

(2) 개인정보 유출 사건들

그러나 2000년에 들어서 개인정보 유출과 이로 인한 개인의 피해는 계속 빈발하고 있었다. 이러한 피해의 특징으로는 ①대규모의 피해: 정보화 사회인 현대에 개인정보 유출 피해는 많은 사람의 개인정보 유출이 한꺼번에 일어나게 된다는 것이다. ②피해 사실의 인식 곤란: 개인정보 유출 피해는 내부자의 무단 유출 또는 제3자에 의한 해킹 등에 의해 발생하게 되어 경우에 따라서 개인정보 침해 사실을 뒤늦게 알게 되어 개인정보의 2차 피해가 확산될 수 있다. ③피해의 확산: 개인정보의 무단 수집, 목적 외 활용, 제3자의 불법 유출 등은 개인정보에 대한 1차 침해이며, 불법수집 된 정보를 활용한 금융피해와 같은 2차 피해가 발생할 수 있다. ④피해의 국제화: 개인정보의 피해는 종래 국내에 한정되었으나 지금은 전 세계 규모로 확산하는 양상이다. 어느새 이러한 개인정보 유출 피해가 사회문제로 대두하였다.

(3) 개인정보 보호법의 제정

2004년 이후 일반법 제정의 목소리가 각계각층에서 제기되었고, 관련 법안이 국회에서 제출되는 등 다양한 노력이 있었다. 2004년 7월 당시 행정자치부는 공공기관개인정보법의 개정안을 마련하여 국회에 제출하였으며, 정보통신부는 정보통신망법상의 개인정보보호조항을 민간 일반에 적용되는 개인정보보호법을 제정한다는 정책을 2004년부터 추진해 왔다. 대통령 자문기구인 정부혁신지방분권위원회가 공공과 민간을 아우르는 개인정보보호기본법을 2004년 한 해 동안 추진하여 그 결과물의 수정안이 여당의 주도로 2005년 2월에 국회에 발의되었다(‘이은영 기본법안’이라고도 한다). 또한 그 전에 7개 시민단체로 구성된 ‘프라이버시법 제정을 위한 연석회의’가 마련한 개인정보보호기본법(안)이 민주노동당의 발의로 국회 행정자치위원회에 회부되기도 했다(‘노회찬 기본법안’이라고도 한다). 그러나 이들 법률안은 제대로 상정되지 못하였다. 그런데 2008년 이후 SK텔레콤과 LG유플러스를 비롯한 통신회사와 백화점 항공사 학원 인터넷쇼핑몰 주유소 등 고객정보를 다루는 기업들이 부주의와 과실로 소중한 고객정보를 유출하는 사고가 잇따랐다. 네이버 다음 등 국내 주요 포털사이트 가입자들의 아이디와 비밀번호 2,900만 건이 유출되는 사고가 일어나기도 했다. 대한민국 5,000만 국민의 신상정보가 국외 해커들에게 유출됐다는 얘기도 나왔다.

결국, 2010년 12월 7일 국회는 그동안 개인정보보호법에 대하여 검토한 결과를 국회 법사위원회에 다음과 같은 수정안을 보고하였다. 그 내용은 첫째로 안 제23조 제3호 및 제24조 제3호는 개인정보 처리자가 사생활을 현저히 침해할 수 있는 민감정보와 개인에 대한 고유식별정보에 대해 예외적으로 처리할 수 있는 경우의 하나로서 ‘공공기관이 법률에서 정하는 소관 업무를 수행하기 위하여 불가피한 경우로서 대통령령으로 위임하는 경우’라고 규정하고 있는데 대통령령에 위임하는 것은 체계상 타당하지 않다고 보아 행정안전부와 협의하여 각각 3호를 삭제하는 안을 검토하였다. 둘째로 안 제32조 제2항 제5호 개인정보 파일의 등록 및 공개의 예외 사유와 관련하여 대통령령에 위임할 수 있도록 규정하고 있는데 이는 포괄위임금지 원칙에 반할 소지가 있어 법률에 직접 규정하는 수정안을 마련했다. 셋째로 안 제35조 제3항 제3호 마목은 정보 주체의 개인정보 열람을 제한 또는 거절할 수 있는 사유로서 그 밖의 대통령령으로 정하는 업무를 들고 있으나 개인정보 자기결정권에 대한 침해 소지를 방지하고 헌법상 비례의 원칙 위반 소지를 없애기 위해 대통령령 위임 규정을 삭제하고 그 내용을 법률에 직접 규정하는 수정안을 마련했다.

이것이 수정되어, 제정 2011.3.29 법률 제10465호 ‘개인정보 보호법’(이하 이 법이라 한다.)에서는 개인정보의 수집단계부터 이용, 제공, 파기 등 단계별 보호기준을 마련하고, 주민등록번호 등 고유식별정보 처리의 제한 강화 등 개인정보보호를 강화하는 내용이 있다. 그리고 개인정보의 열람청구권, 정정․삭제 청구권, 처리정지요구권 등 정보주체의 권리를 보장하고 있다. 개인정보분쟁조정위원회 설치 및 집단분쟁조정제도를 도입하고 있다. 단체소송을 도입하되, 지금 소비자보호법에 있는 규정과 같이 단체소송의 대상은 권리침해행위의 중단․정지청구소송으로 제한했다. 그리고 개인정보 침해사실을 행정안전부장관에게 신고할 수 있도록 개인정보침해신고센터를 설치․운영하는 내용을 담고 있다. 이 ‘개인정보 보호법’은 개인정보에 관한 통일된 단일법으로서 그동안 정보통신망법 등 산발적으로 개인정보를 보호하던 우리 개인정보보호법 체계에 큰 변화를 가져올 것이다. 그리고 그동안 공공부분의 개인정보보호 역할을 하였던 ‘공공기관의 개인정보보호에 관한 법률’이 폐지되었다.

2. 이 법의 주요 내용

①개인정보보호의 범위를 공공기관뿐만 아니라 비영리단체 등 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자는 모두 이 법에 따른 개인정보 보호규정을 준수하도록 하고, 전자적으로 처리되는 개인정보 외에 수기(手記) 문서까지 개인정보의 보호범위에 포함하였다. ②개인정보보호위원회를 설치하고, ③개인정보의 수집, 이용, 제공 등 단계별 보호기준 마련하였다. ④주민등록번호 등 법령에 따라 개인을 고유하게 구별하기 위해 부여된 고유식별정보는 원칙적으로 처리를 금지하고, 별도의 동의를 얻거나 법령에 의한 경우 등에 한하여 제한적으로 예외를 인정하는 한편, 대통령령으로 정하는 개인정보처리자는 홈페이지 회원가입 등 일정한 경우 주민등록번호 외의 방법을 반드시 제공하도록 의무화하여 고유식별정보의 처리제한 강화하였다. ⑤영상정보처리기기의 설치제한 근거를 마련하였다. ⑥개인정보영향평가 제도를 도입하였다. ⑦개인정보 유출사실의 통지․신고제도 도입하였다. ⑧정보주체에게 개인정보의 열람청구권, 정정․삭제 청구권, 처리정지 요구권 등을 부여하여 정보주체의 권리 보장하였다. ⑨개인정보에 관한 분쟁조정 업무를 신속하고 공정하게 처리하기 위하여 개인정보 분쟁조정위원회 설치 및 집단분쟁조정제도를 도입하였다. ⑩단체소송의 도입하였다. ⑪개인정보처리자로부터 권리 또는 이익을 침해받은 자는 행정안전부 장관에게 그 침해사실을 신고할 수 있도록 하였다.

3. 이 법의 특징

(1) 일반으로 개인정보보호 범위의 확대

이 법에서의 의무대상을 공공기관이나 정보통신서비스제공자로 특정하지 않고, “개인정보처리자”를 적용대상으로 규정하고 있다. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다(법 제2조 제5호). 따라서 근로자나 잠재고객 등 개인정보처리자가 취급하는 모든 개인정보를 보호대항으로 규정하게 되었다. 개인정보파일에는 전자화되지 않은 서류파일도 포함된다.

따라서 앞으로는 기업에서 고객의 개인정보 외에도 임직원의 개인정보나 제휴사, 위탁 업체 담당자의 개인정보를 취급하는 때에도 이 법에 따른 개인정보보호조치를 해야 한다. 즉, 신규직원 채용을 위해 입사 지원자의 개인정보를 수집하는 경우에도 수집목적, 수집 항목, 보유기간 등을 명시하고 해당 지원자에게 동의를 받아야 한다. 그리고 수집한 임직원의 개인정보는 인사 관리를 위한 목적으로만 사용하고 권한 없는 자에 의해 오․남용되지 않도록 철저히 관리하여야 한다. 해당 근로자가 퇴직한 경우에는 사전에 동의를 받은 보유기간이 도래한 후에는 파기하여야 한다.

여기서 개념요소로서 ‘업무를 목적으로’라는 표현을 사용하고(법 제2조 제5호) 있는데, 이것은 일본의 민간부문 일반법의 “사업용”이라는 개념요소보다 그 적용범위가 더 넓다. 일본법에서 개인정보취급사업자는 “개인정보데이터를 사업용에 제공하는 자”로 규정하고 있다. 나아가 “취급 개인정보가 과거 6개월 이내의 어느 시점에도 5000명을 넘지 않는 사업자를 제외”하고 있다. 따라서 일본의 경우 사업자는 영리법인뿐만 아니라 비영리법인도 해당하지만, 일반 개인에 대하여는 원칙적으로 대상이 되지 않는다. 때문에 개인적으로 사용하기 위해 수집하는 정보는 아예 “개인정보”로 인정하지 않는 방식이다.

반면, 우리 ‘개인정보 보호법’에서 업무를 목적으로 개인정보 파일을 운용하는 개인정보 처리자는 “업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.”고 하고 있어 그 범위가 일본법에 비교하여 그 범위가 넓다. 이러한 접근방식에는 대하여 업계의 강한 비판이 있다. 또한 개인정보처리자는 개인정보에 대한 부정한 접근(access)을 통제하는 등의 안전성 확보의무를 가진다.

(2) 손해배상의 입증책임의 전환

개인정보에 대한 침해사실이 있는 때 민법 제750조에 따라 불법행위책임을 침해자에게 묻는 경우는 정보주체자가 침해자의 고의 또는 과실을 입증해야 하는데 이것은 용의한 것이 아니다. 따라서 정통망법에서는 고의 또는 과실에 대한 입증책임을 전환하여 개인정보처리자가 고의 또는 과실이 없음을 입증하지 못한 경우에 이로 인한 책임을 면하지 못하는 규정을 두고 있다(정보통신망법 제32조). 이를 계승하여 현행 ‘개인정보 보호법’에서도 손해배상책임에 대하여 정보통신망법과 동일하게 입증책임을 전환하고 있다(법 제39조 제1항). 그러면서 “개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다(법 제39조 제2항).”

이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 따라서 개인정보처리자는 자신이 고의 또는 과실이 없었음을 입증해야 하는데, SK커뮤니케이션즈 등도 해킹 방지가 현재의 기술력으로 불가능했다는 점을 입증하는 방향으로 소송에 대처하였다. 이베이옥션 개인정보 유출 사건에서도 피고측이 기술적 관리조치를 다하였음을 주장하여 승소한 바 있다. 2000년 이후 빈발하고 있는 개인정보누설에 대하여 개인정보처리자에게 강한 민사적 부담을 부여하고 있는 것이 이 법의 특징이다.

(3) 개인정보 자기통제권의 실현

정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다(법 제35조 제1항). 개인정보처리자는 ①법률에 따라 열람이 금지되거나 제한되는 경우, ②다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우, ③공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다(법 제35조 제4항). 이 법(제36조)에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만 다른 법령에서 그 개인정보가 수집 대상으로 명시된 경우에는 그 삭제를 요구할 수 없다(법 제36조제1항). 개인정보처리자는 위의 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정․삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다(법 제36조제2항).

정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 이 법 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다(제37조 제1조). 개인정보처리자는 위의 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, ①법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, ②다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우, ③공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우, ④ 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다(제37조 제2항).

(4) 집단분쟁조정과 단체소송 등

이 법 시행 이전에는 개인정보 피해구제에 관한 기구로서 정보통신망법에 의해 ‘개인정보분쟁조정위원회’에서 민간을 대상으로 분쟁을 조정하였고, 공공부분은 ‘공공기관개인정보보호심의위원회’에서 주요 사안을 심의하고 있었다. 이 법의 시행으로 설치하여 국민들의 혼란 없이 ‘개인정보 분쟁조정위원회’가 공적부분과 사적부분을 통괄하여 그 피해구제를 담당하게 되었고(제40조), “집단분쟁조정제도”도 도입되었다.

이것은 ⅰ) 개인정보에 관한 분쟁조정 업무를 신속하고 공정하게 처리하기 위하여 개인정보 분쟁조정위원회를 두고, 개인정보 분쟁조정위원회의 조정결정에 대해 수락한 경우 재판상 화해의 효력을 부여하며, 개인정보 피해가 대부분 대량･소액 사건인 점을 고려하여 집단분쟁조정제도를 도입하기 위한 것이다. ⅱ) 개인정보 관련 분쟁의 공정하고 조속한 해결 및 개인정보처리자의 불법, 오․남용으로 인한 피해의 신속한 구제를 통해 정보주체의 권익 보호에 기여할 것으로 기대된다. 그런데, 이 분쟁조정 절차는 ① 신청사건의 접수 및 통보, ② 사실확인 및 당사자 의견청취, ③ 조정전 합의 권고, ④ 위원회의 조정절차 개시, ⑤ 조정의 성립, ⑥ 효력의 발생의 순으로 진행된다. 이 법에서는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 “단체소송”을 제기할 수 있다.

기타 이 법에서 개인정보영향평가 제도를 새로이 도입하여, “공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 행정안전부장관에게 제출”하도록 하게 되었다(법 제33조). 이 영향평가제도를 통하여 개인정보의 수집ㆍ활용이 수반되는 사업의 추진시 개인정보 오남용으로 인한 프라이버시 침해여부를 조사ㆍ예측ㆍ검토해 개선할 수 있도록 하였다.

Ⅲ. 개인정보 처리에서의 쟁점

1. 업계에서 제기하는 쟁점들

(1) 정보주체의 동의 문제

서두에서 언급한 것과 같이 이 법의 시행으로 새롭게 ‘개인정보 보호법’의 적용을 받게 된 업계에서는 상당한 부담감과 거부감을 보이고 있다. 개인정보 보호법의 시행에 따라 ⅰ) 어떤 은행에서는 “서민들이 서민주택 전세자금 대출을 받을 때는 기존에는 세대주의 주민등록번호를 이용해 대출 자격을 판단했지만, 이제는 세대주를 포함한 세대원 전체가 은행을 방문하라고 요구한다.”고 한다. 또한, ⅱ) “은행이 전세자금 대출자에게 집주인 동의서를 요구하면서, 부당하게 전세 대출을 거절당하는 사례도 나오고 있다”고 한다.

ⅲ) 보험업계에서는 이 법의 시행으로 “교통사고 났을 때 피해자가 개인정보 제공 거부시 병원치료 등 후속조치 어려워진다.”고 하거나 ⅳ) “보험은 계약자가 수익자를 지정할 수 있는데, 이 법 제정 이후 모든 수익자에게 동의절차를 거쳐야 해서 상속자 간 다툼이나 피보험자에 대한 위험 등 부작용도 우려된다.”고 한다.

이러한 사례들은 업계가 ‘개인정보 보호법’의 문제점을 잘 부각한 것이라기보다는 업계의 ‘개인정보 보호법’에 관한 이해부족을 나타내는 면이 강하다고 생각한다. 법에 따르면 개인정보처리자는 ① 정보주체의 동의를 받은 경우, ② 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, ③ 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우, ④ 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, ⑤ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우, ⑥ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우의 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다(제15조 제1항 개인정보의 수집․이용).

ⅰ) 사례의 경우 은행에서는 서민들이 서민주택 전세자금 대출을 받을 때는 기존에는 세대주의 주민등록번호를 이용해 대출 자격을 판단했지만 이제는 세대주를 포함한 세대원 전체가 은행을 방문하라고 요구한다.”는 것은 이 법의 규정에 대한 불충분한 이해에서 비롯된 나쁜 업계의 방응 및 행태로 보이다. ‘개인정보 보호법 시행령’ 제17조제1항에서는 개인정보주체로부터 동의를 받을 때, 서면에 의하는 외에도 우편 또는 팩스 등의 방법, 전화와 인터넷주소 등을 통한 동의, 인터넷 홈페이지 등에 의한 동의 방법을 기재하고 있다. 또한 대출자격을 판단할 때 부당하게 넓은 범위의 개인정보를 수집하는 관행도 재고해야할 것이다.

ⅱ) 사례에서 은행이 전세자금 대출자에게 집주인 동의서를 요구하면서, 부당하게 전세 대출을 거절당하는 사례는 ‘개인정보 보호법’의 정보주체 동의와는 무관한 사안이다. 민법 제306조에 따라 전세권자는 “전세권을 타인에게 양도 또는 담보로 제공할 수 있고 다만 설정행위로 이를 금지한때에만 그러하지 않다.” 다만 금지의 특약은 등기하여야만 제3자에게 대항할 수 있다. 따라서 갑자기 은행이 집주인에게 대출관련 동의서를 요구하게 된 것은 ‘개인정보 보호법’과는 무관하거나 과도한 요구라고 하겠다. 개인정보 보호법을 빌미로 소비자에게 부당한 절차상의 부담을 전가하는 관행이 형성되어서는 안될 것이다.

위 ⅲ)의 사례가 교통사고의 경우 일상적으로 발생한다고 볼 수도 없고, 법 제15조제1항에 따라서 정보주체의 동의 외에도 법령의 특별한 규정이나, 불가피한 경우에 개인정보를 수집 및 목적 범위에서 사용할 수 있다. 또한 정보주체 등에게 동의를 받을 수 없지만 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우 제3자에게 제공할 수 있도록”(제18조) 하고 있다. 이와 같은 예를 통해서 볼 때, 정부는 지속해서 업계에 대하여 법에 대해 홍보를 하고 업계는 꾸준히 법을 제대로 검토해야할 것으로 보인다.

(2) 개인정보의 제3자 제공

개인정보의 제3자 제공에서도, 법 제17조(개인정보의 제공) 제1항에 따라, “개인정보처리자는 ①정보주체의 동의를 받은 경우, ②법 제15조제1항제2호․제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 중 어느 하나에 해당하는 경우”에 정보주체의 개인정보를 제3자에게 제공할 수 있다.

기업이 타 기업과 거래를 할 때 또는 종업원에 대하여 직무를 수행하게 할 때에 스스로 보유하는 개인정보를 제공하는 경우가 있는 때, 제공되는 기업 또는 종업원이 그 정보를 생각되는 목적 이외에 이용되는 경우 제공원인 기업 또는 본인은 큰 손해를 입을 수가 있다. 따라서 타 기업과의 거래에서 종업원에게 직무수행 전에 업무상 비밀준수 계약을 체결하고, 당해 정보에 대하여 당해 기업 또는 종업원에 대하여 비밀준수의무를 과하는 한편, 당해 정보를 특정의 목적 이외에 사용되어서는 안 되는 것이 이 법 제3조(개인정보보호 원칙) 제2항 “개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.”고 정한 목적명확성의 원칙 및 이용제한의 원칙이다.

ⅳ) 사례에서, “보험은 계약자가 수익자를 지정할 수 있는데, 이 법 제정 이후 모든 수익자에게 동의절차를 거쳐야 해서 상속자 간 다툼이나 피보험자에 대한 위험 등 부작용도 우려된다.”고 한다. 본래 보험회사가 종래의 영업행태 중에 주로 “푸시마케팅”을 사용해 왔는데 이 법을 통하여 정보주체자의 동의를 강하게 요구하면 기존의 영업이 어려워지는 문제가 있다. 업계의 어려움은 충분히 이해할 수 있다.

그런데, 이 법 제정 이후 수익자에게 개인정보 수집을 위하여 동의를 구해야만 하는 가도 검토해 볼 문제이다. 상법상, “타인을 위한 보험계약”은 민법과 달리 제3자(피보험자 또는 보험수익자)가 수익의 의사표시를 하지 않더라도 당연히 보험상의 권리를 취득한다. 따라서 수익자를 특정하지 않고도 계약이 체결될 수 있다. 상법 제733조 보험수익자의 지정 또는 변경에서도 비슷한 논리가 진행된다.

보험업계의 관행상 제3자가 수익자인 경우에도 일정한 범위에서 개인정보를 수집했던 것이고, 이러한 관행이 이 법의 개인정보의 제3자에 제공(법 제17조 등)에 위배하는지 여부가 문제 될 수 있다. 정부와 업계는 이러한 경우를 대비하기 위하여 개인정보 보호법에 관한 보험업계의 가이드라인을 구체화하거나, 이를 통해 해결할 수 없다고 검토가 되면 상법, 보험업법, 신용정보보호법 또는 관련 ‘개인정보 보호법’의 개정문제를 제기할 수 있을 것이다.

2. 개인정보 수집시 ‘동의’에 대한 재고론

위에서 언급한 보험업계는 물론, 개인정보 보호에 관한 몇몇 전문가들은 개인정보 수집시에 정보주체의 ‘동의’를 요구하는 현행 ‘개인정보 보호법’ 체제에 대하여 비판하면서 이보다 개인정보 수집에서의 자유를 보장해야 한다는 주장이 있다.

이 주장은 일단 타당한 면도 없지 않으나 개인정보의 경우 한번 수집되면 사후 본인에 의한 그 통제가 용의하지 않은 것을 고려할 때, 개인정보 수집을 용의하게 하는 다른 입법태도를 취하는 것은 바람직하지 않다고 생각한다. 이 법은 개인정보 수집을 위하여 본인의 동의 외에도 법에 근거가 있는 경우 개인정보를 수집할 수 있도록 하고 있기 때문에, 이를 적극 검토하여 공익성이 인정되는 경우 법을 통하여 개인정보 수집의 근거를 두고 관리 책임을 강화하는 법이 더 타당해 보인다. 입법론으로 각부의 시행령(가이드라인의 역할을 하는 시행령ㆍ시행규칙 그리고 업계의 자율규제 준칙)을 통하여 그러한 내용을 구체화하는 방안도 고려해 볼 수 있다.

Ⅳ. 개인정보보호의 방향

1. 개인정보보호의 필요성 재인식

(1) 기본권으로서의 인식

우리 헌법은 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보통제권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로 정하고 있다. 즉 개인정보통제권은 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보통제권에 대한 제한에 해당한다. 이렇게 헌법 제10조와 제17조를 근거하여 개인정보통제권 혹은 개인정보보호를 헌법적으로 보장하고 있다.

앞에서 검토한 업계의 반응을 보면 자칫 개인정보 보호 업무를 통하여 정부와 업계와의 대립구도로 보일 우려가 있다. 하지만 개인정보 보호는 헌법상의 기본권인 개인정보통제권을 실현하기 위한 것으로 정부와 업계는 물론 모든 국민의 노력으로 보호할 수 있는 기본권이다. 나아가 개인정보 보호는 정보사회의 지속적인 순발전을 위해 중요한 기반 원칙이기도 하다. 개인정보를 보호하는 것은 정보사회에서 사는 우리 모두의 인격권을 보호하는 기반이 된다. 그리고 개인정보 침해에 따른 추가적인 피해도 정부와 업계는 물론 우리 모두에게 미치는 피해라는 것을 깊이 인식할 필요가 있다.

(2) 국제적인 보호의무 인식

경제협력개발기구(OECD)가 1980년 9월 23일에 채택한 ‘개인정보보호와 개인 데이터 국제유통에 대한 가이드라인에 관한 이사회권고’가 있었고, 이 ‘OECD 가이드라인’에서 가맹국은 국내법 및 국내 정책의 차이와 관계없이 개인과 개인의 자유를 보호하고 개인 정보와 정보의 자유로운 유통이라는 기본이지만 경쟁 가치를 조화시키는 일반적인 이해가 있었다. 그리고 ‘OECD 가이드라인’에서 개인정보 보호에 관한 8개 원칙을 규정한다. OECD 가이드라인 채택 이후 1981. 1. 28. 유럽위원회는 ‘개인정보의 자동처리와 관련한 개인의 보호를 위한 협약’을 체결한다. 그리고 10년 후인 1995년 OECD 8원칙에 입각한 "개인데이터처리에 관한 개인의 보호 및 해당 데이터의 자유로운 이동에 관한 1995년 10월 24일 유럽 의회 및 이사회의 95/46/EC 지침"(이하 “EU 개인정보 보호지침"이라 한다.)이 채택되었다.

유럽에서 독일은 ‘독일 연방 정보보호법’(Bundesdatenschutzgesetz 2001)으로 공공부문은 물론 민간부분에서 “비자동화 된 전송 목적이 아닌 저장”까지 개인정보의 개념을 확대하였다. 영국은 1998년 인권법 (Human Rights Act 1998)을 제정하여 유럽인권협약에 따라 보장되는 권리와 자유를 인정하고, 같은 해 ‘영국 정보보호법’(Data Protection Act 1998 in the U.K)을 제정하여 정보보호위원회를 통해 프라이버시 보호 업무를 관할하게 하고 있다. 프랑스는 1978년 전자데이터 보호법인 ‘정보처리 파일 및 자유에 관한 법률’(1978)을 제정하고, 이 법에 1996년 ‘EU 개인정보보호지침’을 반영하여 2004년 다시 개정하여 원칙과 세밀한 예외 규정을 많이 두게 되었다. 미국은 1974년 ‘프라이버시법’을 입법하였으며, 현재 미국 연방 차원의 개인정보보호는 1970년의 공정신용조사법(Fair Credit Reporting Act), 1974년의 프라이버시법(Privacy Act), 1978년의 금융프라이버시권법(Right to Financial Privacy Act), 1986년의 전자통신프라이버시법(Electronic Communication Privacy Act), 2002년의 전자정부법에서 도입한 프라이버시 영향평가제도 등을 통해 구현하고 있다.

국제적인 대응에서 특이 문제가 되는 것은 국가 간의 개인정보의 유통인데 미국은 상무성이 2000. 7. 21. 세이프 하버 프라이버시원칙(SAFE HARBOR PRIVACY PRINCIPLE)을 발표하였다. 이 원칙을 통하여 미국의 기업들은 EU 개인정보 보호지침과 같은 개인정보 보호의 적절한 조치를 취할 것으로 간주되어, EU로부터 미국으로 전송되는 개인정보를 취급할 수 있도록 하였다. 이와 같이 개인정보는 국제적인 보호조치의 필요 대상이라는 것을 우리는 재인식하여야한다.

2. 홍보교육

2011년 이용경 의원은 게임업계가 개인정보 데이터베이스(DB) 시스템구축비용으로 300억 원 투자가 불가피하다고 지적했다. 기업의 경우, 개인정보처리방침, 내부관리계획 등 개인정보보호법의 요구사항을 반영한 개인정보보호 정책, 지침 등 관련 규정을 재정비하고 이를 기반으로 개인정보 처리업무 수탁업체, 서비스 제휴업체 등과의 계약서를 재검토하여 법령상의 요구사항을 반영해야 한다. 개인정보보호에 관한 주요 의무사항 외에도, 적용 대상 기업들은 개인정보취급방침을 작성하여 공개하여야 하고, 개인정보관리책임자를 두어 고객의 개인정보 관련 민원이나 사무를 수행하여야 하며, 방송통신위원회에서 개인정보취급에 관한 구체적인 방침을 고시한 “개인정보의 기술적ㆍ관리적 보호조치 기준”을 준수하기 위해 필요한 구체적인 업무처리 절차를 마련할 필요가 있다.

이러한 절차 마련을 위해서 기업측은 새로운 비용의 증가를 초래하게 된다. 이것은 당분간 기업에는 부담일 수 있을 것이다. 특히 소상공인들은 이 법의 시행에 대하여 많은 부답을 갖고 있을 것이라고 생각한다. 따라서 정부는 기업의 개인정보 처리에 관한 부담을 줄이기 위해서, 법 해석과 적용의 명확화에 힘쓰며 이를 공고하고 알리며 지속적인 홍보과 교육 사업을 실시해야 할 것이다. 한편 상기한 은행 및 보험업계를 비롯한 업계에서는 이 법에 대한 업무상의 불편함을 호소하고 법 개정 검토를 발 빠르게 검토하고 있다고 한다. 또한 개인정보보호위원회와 행전안전부는 소상공인, 중소기업은 물론 다른 국가기관의 이 법에 대한 문의에 대하여 지금보다는 더욱 신속하고 책임 있는 답을 제시하도록 하는 역할을 다하여야 할 것이다.

이 논문에서 이미 검토한 사례들은 보면, 개인정보 보호법에 대한 이해부족, 오해 그리고 과민반응을 느낄 수가 있다. 앞에서 제시한 사례를 볼 때, ‘개인정보 보호법’이 제정 된 지 1년이 지난 지금에도 이 법에 대한 업계의 이해도는 저조한 수준인 것 같다. 정부는 중소기업을 비롯한 소상공인에게 개인정보호호 알리기에도 힘쓰고 있다고 한다. 소상공인을 대상으로 개인정보 안전관리 기술지원 설명회 등을 열고 있다고 한다. 앞으로는 교육의 단계를 넘어 법에 따른 개인정보보호의 문화가 우리사회에 정착되도록 모두가 노력해야할 것이다.

3. 개인정보보호사 제도의 도입

정부는 위와 같이 개인정보보호에 관한 행정권한을 가지고 있고, 개인정보 처리자를 위해 이 법의 홍보 및 교육을 하려고 하나 소상공인들의 적극적인 참여와 효과에 의문이 있다. 업계에서는, Ⅲ에서 검토한 것 같이, 이 법을 잘 이해하고 충실한 검토를 하기보다 불편함을 호소하며 정부를 바라보며 다른 변화를 갈망하고 있는 것처럼 보인다. 따라서 법을 시행하려는 정부, 특히 행정안전부 및 관련 부서와 업계를 매개하며 현실적으로 개인정보보호에 기여할 매개자가 필요해 보인다. 법의 의미와 정부의 조치에 대하여 업계에 정확히 이해시키고, 업계의 입장과 법규정을 적절하게 조화시키는 매개자가 있다면, 최근 이 법을 통해 발생하는 오해와 과민반응 등을 막을 수 있다. 이를 위하여 정부 중심의 개인정보보호를 위한 교육ㆍ홍보와는 다른 측면에서. 개인정보보호 관련 자격증 제도를 만들어 이 법의 적확한 이해를 제공하고 정부에 대한 개인정보보호에 관한 바른 의견계진을 할 수 있는 자를 배출할 수 있는 제도를 창설하는 것이 좋다고 생각한다.

이 논문에서 제시한 몇몇 사례에서 보듯이 ‘개인정보 보호법’에 대한 잘못된 이해, 혹은 법령에 대한 불충분한 검토가 새로운 문제와 불만을 낳고 있다. 최근 ‘개인정보 보호법’에 대하여 관심 있는 사람들은 많이 늘었다. 하지만 정작 개인정보에 과한 문제점과 쟁점에 대하여 이론과 법조문에 따라 명쾌하게 해석을 해주고 답을 주는 전문가는 많지 않아 보인다. 최근, 정부의 각 기관 혹은 민간 사업자가 ‘개인정보 보호법’ 관련 문의를 하려고 하여도 책임지고 대답해주는 주무 정부기관이 없다는 호소가 제기되고 있다. 국가는 이 법과 시행령 등을 정비하였는데 업계에서는 이 법에 대하여 충분하게 이해하고 준행하려 하지 않고, 이 법에 대한 반발과 법개정 호소하기도 한다. 앞으로 개인정보위원회와 행정안전부와 해당 사업자를 담당하는 정부부서에서 개인정보에 관한 쟁점에 대한 입장을 명확히 알려주어야 할 것이다.

지금과 같이 정부는 국민의 준행을 요구하고, 업계에서는 정부의 법에 대한 해석과 불편함을 요구하는 상황에서, 정부와 업계의 거리감을 좁히면서 양자를 정보보호라는 측면으로 매개할 수 있는 매개자제도를 창설을 제안한다. 즉, 이른바 “개인정보보호(자격)사”라고 하는 시험제도를 만들어서 정부와 개인정보처리자와의 사이에 규범지식과 개인정보 기술지식을 제공할 수 있는 매개자를 만들어 주는 것이 효과적일 것 같다. 이미 일본에서는 문부과학성 인가법인에서 “개인정보보호사인정시험”을 실시하고 있다. 일본에서 개인정보보호사는 2005년부터 민간에서 시작된 자격증으로, 이 법의 정확한 이해와 관리에 관한 체계적인 이해, 기업실무에서 개인정보의 유효활용과 관리 운영을 하기 위한 지식과 능력을 갖는 전문가를 인증하고 있다. 여기에는 일반 기업에서 법무, 개인정보보호 업무를 담당하는 자는 물론, 관리직ㆍ변호사ㆍ유사법조인들이 개인정보 보호를 능력을 향상시키기 위하여 이 자격증을 취득하고 있다.

국내에서도 정부 또는 민간 주도로 개인정보에 대한 인정시험 혹은 개인정보보호사 제도를 만들어 업계의 개인정보보호 업무를 돕고 이 법의 바른 홍보와 구현에 기여할 수 있도록 하면 좋을 것이다.

4. 기술적인 대책 강구

일본에서는 개인정보보호법이 시행된 이후에도 크고 작은 개인정보 유출사건에 계속되어 법의 기능적 한계를 보이기도 하였다. 역시 개인정보의 보호를 위해서는 ①개인정보 보호와 프라이버시 보호를 위한 법적인 제도정비는 물론 기술적인 개인정보 보호시스템의 정비도 중요하다. ②기술적으로 보안과 내부통제시스템의 구축하는 것도 중요하다. 이 분야에 대하여 소규모사업체에 대해서 정부의 계속적인 관심과 지원이 필요할 것이다. ③‘세분화 되는 보안시스템’ 등도 필요하다. 개인정보 보호를 위해서는 정보의 통합이 아니라 정보를 분할하여 보호하는 것이 필요하다. 이런 측면에서 방송통신위원회가 “가입자 100만 명 이상의 개인정보를 다루는 정보통신서비스업체는 개인정보취급자의 컴퓨터를 외부 인터넷과 차단하는 것을 의무”하는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안을 마련한 것은 바람직하다.

5. 가이드라인 등의 정립

예를 들어, 보험업계의 경우 고객의 개인신용정보를 신용정보회사나 신용조회회사로부터 기업이 제공받거나, 또는 역으로 기업이 고객의 개인신용정보를 추심업체 등 타인에게 제공하기 위해서는 기존의 정보통신망법 외에도 ‘신용정보의 이용 및 보호에 관한 법률’에 따라 고객으로부터 동의를 받거나 고객에 대해 일정한 사항을 통지받아야 한다. 그런데 ‘개인정보 보호법’의 시행으로, 고객의 정보를 가지고 적극적인 유인적 보험계약 업무를 하는 보험 업계의 경우, 개인정보 보호법의 준수를 위해 많은 어려움이 있음을 호소하고 있다. 관련 업계는 이미 이 법의 개정움직임을 보이고 있다.

이 법의 해석ㆍ운용은 개인정보보호위원회에 있고, 법의 실시에 관하여는 행정안전부장이 주된 역할을 하고 있으나, 중앙행정기관장을 중심으로 관련업계의 개인정보 관련 정책과 가이드라인을 구체화해야 할 것이다. 따라서 관련 업계와 해당 부서는 이 법의 개정 혹은 관련 업계의 의견을 고려한 시행령ㆍ규칙, 가이드라인, 자율규제규칙 등을 구체화하는 등의 작업을 계속해야 한다. 그리고 개인정보의 보호와 합리적인 사용ㆍ유통에 필요한 논의를 진행해야 할 것이다. 일본에서는 개인정보보호법과 시행령, 그리고 개인정보보호법 제7조 제1항의 규정에 근거한 “개인정보 보호에 관한 기본방침”, 소관부처별 가이드라인 그리고 사업자의 개인정보보호 정책(policy)까지, 개인정보보호법을 구체화하는 작업을 계속 해 왔다. 또한, 정부가 규제 일변도가 아니라 사업자를 권고하거나 보고하게 하고 사업자는 정부와 함께 개인정보 보호 사업을 추진하는 방향을 지향하고 있다. 이런 면은 우리에게도 좋은 자율규제의 모델로 모범이 될 수 있다. 우리도 먼저 이 법을 소관 부처별 가이드라인 정립 등으로 구체화 한 후, 발생하는 문제점을 타 법과의 관계를 검토하여 개정논의와 함께 논의하면 좋을 것이다.

Ⅴ. 맺으며

2011년 제정 ‘개인정보 보호법’의 적용대상은 기존의 ‘공공기관의 개인정보보호에 관한 법률’에서 공공기관에 한정하였던 것에서 비영리단체, 부동산 중개소, 쇼핑센터, 택배사, 여행사, 휴대폰 대리점, 비디오 대여점 등에게도 개인정보 보호규정의 준수를 요구하고 있어 그 적용영역이 넓어졌다. 따라서 기존의 개인정보 보호의 사각지대를 어느 정도 해소하는 역할을 하게 되었다고 할 수 있다.

‘개인정보 보호법’ 및 시행령에서는 개인정보의 처리에 관한 표준 개인정보 보호지침을 비롯하여 국가 간 개인정보 이동, 고유식별정보의 안전성 확보, 개인정보 처리업무위탁, 영상정보처리기기 설치․운영 위탁, 개인정보 보호책임자 교육, 개인정보 영향평가 등 주요사항에 관한 세부기준을 지침 또는 고시로 구체화하도록 하고 있다.

하지만 아직 개인정보 보호법의 내용이 단순하여 구체적으로 그 적용의 내용이 문제가 되어 법적 분쟁이 될 여지를 여러 곳에서 남기고 있다. 이에 대한 구체화 작업이 앞으로 계속되어야 할 것으로 보인다. 이러한 세부기준의 마련에는 수범자의 수용 가능성이 충분히 고려되어야 하며 글로벌 표준과의 적합성에 대한 검토도 있어야 할 것이다.

개인정보보호는 헌법상의 기본권인 개인정보통제권을 실현하기 위한 것으로 정부와 업계는 물론 모든 국민의 노력으로 보호할 수 있는 기본권이다. 또한 개인정보의 보호와 활용은 정보사회를 선진화하고 지속해서 성장시키는 중요한 기반이다. 개인정보의 보호를 위한 국민의 인식과 기술적 법적인 제도의 확충은 정보사회에서 중요한 공공재이다. 한편, 개인정보보호의 반대편에는 개인정보를 안정적으로 활용하여 사회적인 이익을 도모할 수 있는 영역이 있음도 잊어서는 안 될 것이다. 네트워크에서 그리고 오프라인에서도 개인정보에 대한 자기통제권을 실현하는 것은 역으로 개인정보를 신뢰하고 주고받는 사회를 형성하는 것이다. 앞으로 이 법을 통하여 개인정보를 침해로부터 개인을 보호하고, 21세기 정보사회에 걸맞은 안전한 개인정보의 유통을 보장할 수 있도록 기대한다. 따라서 이 법에서 부족하거나 비판받는 점에 대하여 꾸준한 법리적 연구와 기술적 연구가 계속되어야 할 것이다.

참고문헌

국내문헌

고형석, “개인정보침해와 피해구제에 관한 연구”, 법조 통권 661권(2011.8.)

김주영ㆍ손형섭, 󰡔개인정보 보호법의 이해󰡕, 법문사(2012)

김현정, “전자정보의 개인정보 공동이용에 따른 개인정보보호에 관한 법적 연구”, 법학논총 제34권 제2호(2011.12)

김명섭, 노봉남, 김용민, “개인정보보호법 기반 개인정보 수준측정 점검모델”, 한국컴퓨터종합학술대회 논문집 Vol. 38 No.1(2011)

손형섭, 연예인의 프라이버시권 법리, 법조 통권 제635호(2009)

성낙인 외 4명, 󰡔개인정보보호를 위한 정책방안 연구󰡕, 정보통신부(1999)

성낙인 외 9명, 󰡔개인정보보호법제에 관한 입법평가󰡕 , 한국법제연구원(2008)

이민영, “개인정보보호 전담기구의 법적 쟁점”, 법조 통권 655(2011.4)

이숙연, “전자정보에 대한 압수수색과 기본권, 그리고 영장주의에 관하여”, 최근 주요 판례에 나타난 헌법상 기본권의 의미, 한국헌법학회 제69회 발표문(2010.11.19)

윤수영, “개인정보보호법 시행으로 인한 개인정보보호규제 환경 변화 대응 전략”, 정보처리학회지 제17권 제2호(2010년 3월)

정재황, "프랑스법에서의 개인정보의 보호에 관한 연구", 공법연구 제34집 제1권(2006.6)

정찬형, 󰡔상법강의(하)󰡕, 박영사(2012)

연합뉴스, 2011.10.04, “법원, 옥션 해킹사건 수사기록 공개 판결”

해외문헌

堀部政男、 󰡔インターネット社会と法󰡕、新世社(2006.5)

Daniel J. Solove, The Origins and Growth of Information Privacy Law, 828 PLI/Pat 23 (May-June2005)

Arbara S. Wellsberry, “Bridging the Difference: The Safe Harbor and Information Privacy in the United States and the European Union,” Privacy and Information Law Report(1 NO. 6 Privacy Info. L. Rep. 13), 2001.

웹페이지

이규정, 개인정보보호법 제정의 의의와 과제, 2011-06-24 http://www.tocsg. co.kr/tt/site/ttboard.cgi? act=read&db =5_2_news&page=1&idx=38

KISA와 NIA, 개인정보보호 역할 놓고 갈등, http://www.itdaily.kr/news/article View.html?idxno=27547

김희연, “개인정보보호법 vs 셧다운제 정책대립”(2011.10.5)

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20111005110938

http://privacy.kisa.or.kr/kor/committee/committee02.jsp

http://www.ico.gov.uk/

http://www.datanet.co.kr/news/articleView.html?idxno=57017

곽인숙, 개인정보보호법, 곳곳 '지뢰밭'…대안은 없나?(2012.4.5.)

http://www.nocutnews.co.kr/Show.asp?IDX=2106672(2012.4.9.)

일본 경제산업분야의 가이드라인(2009.10.9)

http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf(2012.4.13.) 참고.

<Abstract>

The characteristics and direction on the ‘Personal Information Protection Act

Son, Hyeung-Soeb*

This paper analyzes the characteristics of the Personal Information Protection Act of 2011 and its impact on the future changes in the information society. Modern society is referred to as the information society. A large amounts of information are carried through computer networks on the Internet and the personal privacy is infringed via the Social Network Service(SNS).

In the early 1890s, Warren and Brandeis advocated "The Right to Privacy" to secure people’s rights and personal information are protected by privacy rights. In 1973, the first Data Law was passed in Sweden, and since then many countries such as the USA and the nations in Europe, have enacted laws over privacy rights with the same name or other types of data privacy laws and legislation. In 1980, OECD Guidelines and EU Data Protection Directive were forged for the protection of personal information and exchange of fair use information.

In 1994, for the first time in Korea, legal protection for personal information began in earnest by the enactment of the ‘Act on the Protection of Personal Information Maintained by Public Institutions' followed by the ‘Use and Protection of Credit Information Act,’ 'Act on Promotion of Information and Communications Network Utilization and Information Protection, ect.' and others.

From 2004 governmental policies have included legislation targeting private sector privacy laws. However, in 2010, In all conscience, Korean government realized the necessity of privacy Acts due to the incident of GS Caltex’s personal information disclosure case which 10 million people’s personal information were stolen And as a result, in March 2011, the Korean National Assembly finally enacted ‘the Personal Information Protection Act of 2011’and implemented the Act on September 30.

The 'Personal Information Protection Act of 2011'(No. 10,465 enacted Act 03/29/2011) applies to both the private and public sectors. It set the principle of processing of the personal information and privacy policy and established the Personal Information Protection Commission.

More specifically, the Act established the standards of protection related to the use, gathering, storing, delivering, and destructing personal information. It enhanced the protection of personal information, such as social security numbers which uniquely identifies individuals and sets limitations on information processing.

Additionally, this Act established the ‘Personal Information Mediation of Collective Dispute Committee,’ which created a Mediation of Collective Dispute system. It institutionalized the class action suit in claims of personal information and deletion, including claims which guarantee the rights of a subject of information

It establishes the class action which requested for the prohibition or suspension of an infringement on rights of this Act. However, the class-action clause can be used if a personal information manager rejects the mediation of a collective dispute. Therefore, Any organizations of personal information through litigation or prohibit the act of infringement claims, realistically, we cannot use actually.

Such Act is essential for the company’s obligation to comply the proper handling of personal information. But the cost and effort is too high to protect the personal information under this Act. Thus, it needs further revisions for a proper implementation and to apple reasonable protection of personal information. And I suggest a license to protect individual information. Also, we need to discuss the amendments, the rules, guidelines, and self-regulatory rules.

Key words: personal information, Personal Information Protection Act of 2011, privacy, Personal Information Protection Commission, the rights of a subject of information