Comparative study of the privacy information protection policy - Privacy information basic laws and dedicated organizations -

국내외 개인정보보호정책 비교 분석 - 개인정보보호 법률과 전담조직을 중심으로 -

Abstract

In the information society, to serve the normal economic activity and to delivery the public service is to secure the privacy information. The government endeavors to support with the privacy protection laws and public organizations. This paper is to study the privacy protection policy in the major countries by analyzing the laws and organizations. At last, The study is to examine the policy tasks to support the privacy protection policy.

정보사회에서 시민들이 정상적인 경제적 활동이나 공공서비스를 제공받기 위해서 개인정보는 보호되어야 한다. 이러한 개인정보에 대한 보호를 통해서 공공부문과 민간부문은 각 부문의 정상적인 활동이 가능하기 때문이다. 국가는 개인정보보호를 위해 관련 법률과 전담조직을 활용하여 개인정보보호정책을 펴고 있다. 본 논문에서는 우리나라의 개인정보보호정책과 해외 주요국가의 개인정보보호정책에 대한 비교연구를 통하여 국가별 개인정보보호정책의 현황을 분석하고 개인정보보호를 강화하기 위해 필요한 정책적 과제를 살펴보도록 하겠다.

I. 서론

현대는 정보화사회로서 정보의 중요성이 강조되고 IT 기술발전으로 필요한 정보를 쉽게 실시간으로 얻을 수 있다. 하지만 정보취득의 용이성은 개인정보침해라는 부작용의 측면도 존재한다[1]. 정보기술(Information Technology)의 발전으로 인해 개인의 삶의 방식, 기업 활동, 공공부문에서 효율성과 편리성이 제고된 반면에, 이러한 발전 과정에 개인정보의 오·남용의 가능성이 증가하였다. 개인정보의 사용이 증가함에 따라 개인정보의 유출가능성이 증가하였고 해킹기술도 고도로 발전하여 대규모 개인정보 침해 사건¹⁾들이 자주 일어나고 있다.

개인정보보호는 이용자의 프라이버시 보호목적 뿐만 아니라 기업의 위험관리 차원에서도 중요하다. 기업이 개인정보를 부실하게 관리할 경우에 고객의 신뢰성 저하로 인하여 기업이미지가 크게 타격받을 수 있다. 최근 들어 기업의 개인정보 유출 사건에 대해 개인정보 유출 피해자들이 대규모 소송을 제기하고 있고 일부 소송에서는 기업의 손해배상이 판결되는 점을 감안할 때 개인정보보호는 기업의 경영과도 직결된다고 볼 수 있다. 민간부문 기업들의 경쟁 심화에 따라 개인정보의 제3자 제공 및 개인정보 취급의 위탁행위가 갈수록 증가하고 있고 이 때문에 개인정보에 접근 및 취급 가능범위가 확대되어 개인정보의 유출 및 오·남용 위험성이 증가하고 있다. 공공부문은 전자정부를 통한 정부 혁신 과정에서 다양한 행정정보의 활용이 개인정보침해사고로 이어지는 경우가 발생되고 있다[2].

이처럼 대규모 개인정보 유출로 정부의 체계적인 정책적 대응이 필요하다. 본 연구에서는 먼저 개인정보는 무엇인지, 그리고 개인정보보보호의 필요성을 살펴보고, 다음으로는 개인정보보호를 위해 국가는 어떠한 역할이 필요한지, 개인정보보호에 대한 국가별 정책의 차이와 개인정보보호강화를 위해 어떠한 정책들이 필요한지 알아보도록 하겠다.

II. 개인정보보호의 정의와 필요성

2장에서는 개인정보에 대한 정의와 개인정보의 보호와 관련 이해당사자들 및 개인정보보호 관리과정과 정보보호의 필요성을 살펴보도록 하겠다.

2.1 개인정보의 정의

개인정보의 개념은 학자 또는 국가별 관련 법률 등에 따라 다양하게 정의되어 왔다. 개인정보를 개인의 건강상태, 신체적 특징, 사상이나 신념과 같은 정신세계, 학력·경력·재산상태, 사회적·경제적 지위 등 개인에 관한 사실·판단·평가를 나타내는 모든 정보라고 정의한다[3]. Bob & Jane은 개인정보를 특정 개인을 식별할 수 있는 정보로서 이름, 신용카드번호, 주민등록번호 등에 의하여 개인을 알아 볼 수 있는 개인의 건강, 신체상태, 사회적 지위, 신분 등에 관한 사실, 판단, 평가를 가능하게 하는 정보를 의미한다[4]. 국제기구 및 국가별로 개인정보에 대한 정의는 [표1]과 같다.

[표 1] 국제기구 및 국가별 개인정보보호 정의

자료 : 한국정보보호진흥원(2009)

다음으로 우리나라 개인정보보호 관련 법률에서 개인정보보호의 의미를 살펴보면 다음과 같다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호에서는 개인정보를 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)라고 정의하고 있다. 또한, 공공기관 개인정보에 관한 법률²⁾이 폐지되고 2011년 3월에 제정된 개인정보보호법 제2조에서 “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)라고 규정하고 있다. 따라서 현행 법률상으로 개인정보는 생존하는 자연인에 관한 정보로서 해당개인을 식별할 수 있거나 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 의미한다.³⁾ 한국인터넷진흥원(KISA)의 개인정보에 대한 세부적인 유형과 종류는 [표 2]와 같다. 본 연구에서는 개인정보를 식별된 또는 식별가능한 개인에 관한 정보로 정의하고자 한다.

[표 2] 개인정보의 유형과 종류

자료 : KISA 보호나라(www.118.or.kr)

2.2 개인정보보호의 이해당사자

개인정보를 보호하는데 관련되는 이해당사자는 직접적으로 개인정보의 주체인 시민(citizen), 개인정보의 이용자인 기업(business)과 공공기관(public agency), 개인정보보호를 규제하는 정부(government)가 있다. 개인정보 보호정책을 논의에 있어 이러한 이해당사자들의 관련된 쟁점을 살펴보는 것은 의미가 있다고 하겠다.

먼저 개인정보 주체인 시민은 기업 또는 공공기관의 다양한 서비스를 이용하기 위해 자신들의 다양한 인적 정보를 의식적·무의식적으로 제공하고 있다. 그러나 개인정보의 유출로 인한 여러 가지 피해들 때문에 시민들은 정보제공에 불안감을 느끼고 있다. 다음으로 개인정보 이용자인 기업과 공공기관들이 있다. 기업은 개인들이 제공해 주고 있는 개인정보의 수집 및 이용을 통해 이윤창출을 하고 있고 공공기관은 공공서비스를 개인정보 확인을 통해서 제공하고 있다. 민간 기업들은 정보기술 발전으로 기업들의 정보수집능력은 더욱 향상되었다. 기업 입장에서 소비자 정보의 오·남용에 대한 유혹 도 증가하였음을 의미하지만 다른 한편으로 기업은 소비자들의 개인정보보호에 대한 관심이 증가하면서 개인정보 보호를 통한 신뢰관계 형성이 기업의 이윤창출에 궁극적으로 이익이 된다. 따라서 기업은 개별적인 정보보호 정책이나 지침 등을 마련하려는 노력을 보이게 되며, 다른 한편 정부 규제를 받게 된다. 끝으로 정부는 공공서비스를 제공하기 위해서 시민들의 개인정보를 수집하게 된다. 따라서 정부 역시 개인의 정보들을 안전하게 수집하여 공공서비스를 제공하고, 국민 개인의 개인정보를 보호해 주어야 할 의무를 지니게 된다[5].

시민들의 개인정보보호에 대한 관심의 증가에 대응하여 정부는 다양한 법률을 제정 및 시행하였고, 각종 정부 규제정책을 수행하여 왔다. 그러나 급변하는 정보통신기술의 발전으로 인해 완벽한 개인정보보호의 안전장치를 마련하는 데에는 분명한 한계가 있으며, 정부가 모든 분야에서 법을 통해 강제하는 방식 역시 지양해야 한다. 즉, 정부의 규제만으로는 개인정보 보호에 대한 사회적인 목표를 달성할 수 없으므로 민간기업의 자율규제와 정부의 규제정책이 적절히 혼합되어야 할 것이다. 특히 민간부문이 개인정보보호의 1차적 책임을 지는 자율적 통제기능이 원활히 수행될 수 있도록 민간자율에 의해 운영되는 규칙이나 행동준칙 등이 실질적으로 작동할 수 있도록 자율규제 원칙이 강조될 필요가 있다[6].

2.3 개인정보보호 관리과정 및 필요성

개인정보보호를 위해서는 다음의 관리과정을 고려하는 것이 필요하다. 개인정보보호 관리과정은 크게 4단계로 구성할 수 있다. 첫째, 개인정보보호의 목표와 기본적으로 수행해야 할 사항들을 포함하는 개인정보보호 정책을 수립하는 것이다. 둘째, 보호해야 할 개인정보와 관련된 업무와 자산을 식별하고 개인정보영향평가 및 위험분석을 통해 개인정보의 수집, 이용, 보관, 파기 등 전주기에 대한 유출가능성을 파악하고 대안들을 선택하는 위험관리활동이 있다. 다음으로, 선택된 개인정보 보호대책을 집행하고 개인정보 관련 교육을 통해 인식변화와 문제해결을 위해 노력하는 활동이 있다. 마지막으로 개인정보 보호과정에서 성과측정을 통해 문제점을 해결하고 개선점을 파악 및 보완하는 활동이 있다[7].

개인정보는 과거에는 단지 개인의 신분을 나타내는 의미로 제한되었지만 오늘날 정보화 사회에서는 인간의 존엄성과 자유를 실현하기 위해 반드시 보호해야 하는 요소이며, 전자상거래, 금융거래 등 기업 활동에도 필수불가결한 핵심적인 기능을 수행하고 있다. 이러한 개인정보를 수집하고 이용하는 활동이 사회 전 영역에서 다양한 형태로 증가하고 있기 때문에 개인정보의 유출로 인한 금전적·비금전적 피해는 심각한 수준이라고 할 수 있다. 궁극적으로 개인정보의 오·남용과 유출에 의한 피해를 사전에 예방하고 침해된 경우에 사후적으로 구제하는 것은 인간의 존엄성의 실현을 위해 필요하다고 하겠다. 우리나라에서는 식별된 또는 식별가능한 개인에 관한 정보인 개인정보의 침해가 2010년 5만 4천 건에서 2011년도 12만 2천 건으로 급격하게 증가하는 것을 볼 수 있다.

[그림 1] 개인정보 침해건수

자료: e-나라지표(www.index.go.kr), 국가정보보호백서(2011)

공공부문과 민간부문의 인터넷 사용 증가, 정부의 전자정부(e-government) 추진 등 등 정보화의 빠른 진전에 따라 개인정보가 자유롭게 유통되면서 개인정보가 개인의사에 반하여 광범위하게 유출 또는 오·남용되고 있다. 개인정보보호의 필요성이 증대되면서 세계 각국은 개인정보 보호를 위한 기본법을 제정하고, 이에 따른 개인정보보호 전담조직을 설치하였다. 일상화된 개인정보의 오·남용 및 침해로부터 개인의 프라이버시를 보호하고 공공부문 및 민간부문의 감시행위로부터 이를 통제할 수 있는 독립적인 보호하는 감독기구가 필요하게 된 상황이다[8].

III. 선행 연구 및 연구 분석틀

3.1 선행연구

개인정보 보호에 대한 연구들은 분야별로 많이 있었으며, 먼저 법률·제도적인 측면에서 개인정보 보호와 관련된 법률적인 해석을 위한 연구들이다. 두 번째로 기술적인 측면에서 보안기술, 컴퓨팅 보안과 관련된 연구들, 다음으로 산업적인 측면에서 민간기업의 소비자를 대상으로 한 개인정보 보호에 관한 연구들과 기업의 전략이나 정책에 관한 연구들이 주를 이루어왔다. 마지막으로는 공공기관의 개인정보보호에 관한 연구들이 수행되어 왔다[9].

[표 3] 기존의 정보보호정책 접근방법

3.2 선행연구 보완 및 연구의 필요성

기존의 개인정보보호 연구들은 개인정보를 포함한 정보보호차원의 정책을 논하는 정도였다고 할 수 있고 개인정보를 보호해야 하는 중요성이나 어떠한 체계를 가지고 정책을 추진해야 하는가에 대해 제한적인 수준에서 논의가 되었다. 정보보호(사이버보안) 정책의 하위정책으로서 개인정보보호 연구가 이루어졌으며, 개인정보보호를 위한 체계적인 선행연구가 부족한 현실이었다. 따라서 기존의 선행연구들에 보완하고 체계적인 개인정보보호 정책연구를 위해서는 두 가지 점에 대한 내용을 보완하는 것이 필요하겠다. 개인정보보호정책은 개인정보보호를 위한 기본법 제정 등 전담법률의 마련과 개인정보보호를 위한 전담조직 구축이 그것이라 하겠다.

먼저 개인정보가 제대로 보호되려면 개인정보보호 관련 기본법령이 체계적으로 제정이 필요하다. 공공부문 또는 민간부문의 개인정보 수집, 유통, 활용에 대한 규제를 위해서는 행정규제기본법 제4조⁴⁾ 제1항에 의해 근거하여야 하며, 그 내용은 알기 쉬운 용어로 구체적이고 명확하게 규정되는 것이 필요하다고 하겠다. 또한 제3항에 의해 법률에 근거하지 아니한 규제는 국민의 권리를 제한하거나 의무를 부과할 수 없고 개인정보보호를 위한 관련 법령의 제정이 되지 않은 상태에서 개인정보보호를 논의하는 것은 침해하는 경우 제재를 할 수 없기 때문에 실질적인 권리보장이 이루어질 수가 없다고 하겠다. 따라서 개인정보에 대한 기본법의 제정은 개인정보보호정책의 핵심적인 부분이라고 하겠다.

다음으로 개인정보에 대한 보호는 개인정보를 이용을 추구하는 것과 본질적으로 양립하기 어렵고 서로 상반되는 관계에 있기 때문에 하나의 동일기관에서 관리하는 것은 불균형을 이루어 개인정보를 제대로 보호하기가 어렵다. 따라서 별도의 개인정보보호 전담조직을 신설하여 관리하는 것이 필요하다. 이러한 맥락에서 유럽연합의 경우에는 1995년 개인정보보호지침을 통해 개인정보보호기구의 독립성을 분명하게 언급하고 있다. 이 지침은 하나 이상의 공공기관이 완전히 기능적 독립성(with complete independence)을 강조하고 있는데 감독기구의 의사결정이나 조치에 대하여 외부에 영향을 배제할 수 있음을 의미한다[10].

일반적으로 개인정보보호 전담조직의 존재의의는 정부나 기업에 의한 위법한 개인정보처리로부터 정보주체의 개인정보자기결정권을 실질적인 보장을 위해서 개인정보처리를 사전에 예방적으로 감독하며 권리침해가 발생했을 경우에 효과적·효율적으로 실제 권리구제가 가능하도록 하기 위해서라고 할 수 있겠다. 개인정보보호 전담조직은 효과적인 정보보호의 통제에 그 존재의의가 있으며, 정보사회에서 개인정보결정권의 실현을 위해 반드시 갖추어야 할 필요불가결한 조건이다. 독립적 개인정보보호 전담조직은 개인정보보호기본법을 제대로 실행하는 데 있어 전제조건이 되기 때문이다. 즉 개인정보보호 전담조직은 공공기관, 정부부처 등 공공부문이나 민간부문에 의한 위법한 개인정보처리로부터 개인정보통제권을 실질적으로 확보할 필요성이 있기 때문이다. 정부규제의 문제를 감시하고 대안을 제기하며 기업의 자율규제의 장점을 살리되 그 독점적 이해나 개인정보침해의 본질적 욕구를 제어하는 제3의 공공적 감시기능이 함께 존재하는 것이 필요하다[11]. 개인정보보호 법령에 따라 세부적인 가이드라인 제정 등 통합적 규제메커니즘을 설정하고, 이를 토대로 개별 분야별 상황에 맞는 규제 틀을 만들어 나갈 필요가 있으며, 이런 규제 틀에 따라 제시되는 것이 개인정보보호 전담조직이다.

[그림 2] 연구 분석틀

본 연구에서는 개인정보보호정책을 개인정보를 위한 법률체계와 전담조직을 통해서 국가의 유형을 크게 두 가지로 분류할 수 있다고 본다. 하나는 직접규제유형으로 개인정보보호를 위한 일반법 및 전담조직이 존재하는 유형이고 다른 하나는 자율규제 유형으로 개인정보보호만을 위한 일반법은 없고 개별 영역별로 해당 법률에서 개인정보보호 규제를 하고 전담조직이 아닌 기존의 정부 또는 행정기관에서 규제를 담당하며 민간부문의 자율적 규제를 강조하는 유형이다.

[표 4] 개인정보보호정책 국가별 유형 분류

제4장에서는 우리나라 개인정보보호 정책을 개인정보보호법 제정을 분기점으로 이전과 이후의 정책을 나눠서 살펴보고 제5장에서는 해외 주요국의 개인정보보호 법률과 전담조직을 중심으로 개인정보보호정책을 살펴보도록 하겠다.

IV. 우리나라 개인정보 보호정책

4.1 우리나라 개인정보보호 법률

2011년 3월 이전까지 우리나라의 개인정보보호체계는 일반법인 개인정보보호법이 없었으며 공공부문은「공공기관의 개인정보보호에 관한 법률」, 민간부문은 정보통신서비스제공자, 여행업, 백화점 등 일부사업자에 대하여「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 적용되는 등 각 개별법에 의하여 규율되고 있었다. 일반법으로써의 개인정보보호법에 대한 필요성이 증가함에 따라 2011년 3월 29일「개인정보 보호법」이 제정되었다고 하겠다.

4.1.1 개인정보보호법 제정 이전 법률

개인정보보호법이 제정되기 이전에는 개별법으로 개인정보보호를 규제하고 있었다. 개인정보보호 법률체계는 행정안전부의 ‘공공기관 개인정보보호에 관한 법률’, 방송통신위원회의 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, 금융위원회의 ‘신용정보의 이용 및 보호에 관한 법률’, 교육과학기술부의 ‘교육기본법’, 보건복지부의 ‘의료법’, 지식경제부의 ‘전자상거래 등에서의 소비자보호에 관한 법률’, 공정거래위원회의 ‘소비자기본법’, 법무부의 ‘통신비밀보호법’ 등 부문별 개별법 체계로 이루어져 소관부처 중심으로 정책수립과 집행이 이루어지고 있었다. 즉 개인정보보호법이 제정되기 이전에는 개별법에 의한 개인정보보호는 행정안전부, 방송통신위원회 등 17개 부처, 38개 법률에 규정되어 추진되는 체계로 이루어졌다. 이처럼 개별법에 의한 규제는 법적용이 되지 않는 사각지대(dead zone)⁵⁾가 발생하였다[9]. 실제로 개인정보침해신고 상담건수를 보면 법적용 불가 침해사례가 상당히 많은 것을 알 수 있고 보호 되지 않는 사각지대가 크다는 것을 볼 수 있다.

[표 5] 개인정보 침해신고 상담건수

자료: e-나라지표(www.index.go.kr), 방송통신위원회(한국인터넷진흥원 개인정보침해신고센터 접수자료)

4.1.2 개인정보보호법 제정 및 주요 내용

2011년 3월 29일 제정되어 공포된 개인정보보호법은 2011년 9월 30일 전면적으로 시행되었다. 개인정보보호법 제정으로 모든 공공기관 및 민간부문을 법 적용 대상으로 확대하고 개인정보 처리단계별 공공과 민간의 공통된 처리기준이 적용되고 개인정보를 안전하게 관리하는 새로운 제도적·기술적 보호대책이 시행되었다. 또한 국민의 권리구제를 획기적으로 개선하는 기본적 권리와 제도적 장치를 규정하고 있다. 아울러 오랫동안 논란이 되었던 개인정보보호 추진체계를 확립하여 개인정보보호위원회와 행정안전부 등 부처와 각급기관 간에 유기적인 역할분담과 협력이 가능하도록 설계하였고, 법령 위반하는 경우 벌칙을 강화하여 개인정보 유출로 인한 피해를 방지하도록 하였다[12]. 개인정보보호법 제정으로 기존의 ‘공공기관의 개인정보보호에 관한 법률’은 폐지되었다.

개인정보보호법의 주요내용을 정리하면 다음과 같다. 첫째, 법적용 의무대상자기 모든 공공기관 사업자로 확대되었다. 개인정보보호법은 개인정보 처리와 피해구제에 관한 일반법으로서 모든 공공기관과 민간부분 사업자에게도 적용된다. 개인정보의 수집 처리에 관한 기본원칙을 규율하고 있으므로 개별 법률은 모두 폐지하는 것이 바람직하나, 개별법 폐지로 인한 사회적 혼란을 방지하고 일반법보다 특별히 보호수준을 높이거나 낮출 특수성을 인정할 경우도 있으므로 다른 법률에 개인정보에 대한 별도의 규정이 있는 경우에는 그 법을 우선 적용하도록 하고 있다. 둘째, 개인정보수집·이용·제공·파기 단계별 공통기준을 정립하였다. 개인정보 수집 이용하는 경우에 정보주체의 동의, 법률의 규정 등 일정한 경우에만 개인정보를 수집하도록 하고 수집목적 범위 안에서 이용하도록 했다.⁶⁾ 셋째, 개인정보 암호화, 민감 정보 고유 식별정보 처리 등 안전성 조치를 강화하고 있다. 안전한 개인정보 관리를 위한 다양한 의무사항을 규정하고 있다. 개인정보의 분실, 도난, 유출, 변조 또는 훼손을 방지하기 위해 내부 관리계획 수립, 접속기록 보관 등 대통령령이 정하는 바에 따라 안전성 확보조치를 취하도록 의무화하고 있다. 한편 개인정보처리자로 하여 개인정보 처리현황을 수시 점검하는 자율체계를 마련하기 위해 일정자격을 가진 ‘개인정보관리책임자(CPO)'를 지정하도록 의무화하고 있다. 개인정보의 안전한 관리를 위해 개인정보 처리자가 개인정보 유출사실을 인지한 경우 지체 없이 해당 정보주체에게 관련사항을 통지하도록 의무화하고 전문기관에 신고하여 금융사기 등 추가 피해가 발생하지 않도록 하는 긴급조치를 신설하였다. 또한 공공기관은 개인정보 파일 운용으로 정보주체의 개인정보 침해가 우려되는 경우 ‘개인정보 영향평가’를 의무적으로 수행하도록 하여 위험요인을 사전에 차단하도록 제도화하였다. 넷째, 개인정보 열람 정정 삭제권, 집단분쟁조정, 단체소송 도입 등 피해구제를 이전보다 강화했다. 정보주체는 해당 공공기관 또는 행정안전부 장관에게 자신의 개인정보 처리에 대한 열람, 정정, 삭제, 처리정지를 요구할 수 있고, 해당기관은 열람을 허용하는 경우 해당 업무수행에 중대한 지장을 초래할 우려가 있는 경우에는 정보주체에게 그 사유를 알리고 제한 거절할 수 있도록 하였다. 개인정보 침해사고가 다수에게 소액으로 발생하는 점을 감안하여 ‘집단분쟁조정제도’를 도입하여 신속하고 공정한 권리구제가 가능하도록 하였다. 마지막으로 법령 위반자에 대한 벌칙강화로 개인정보 유출대응을 보다 강화하였다. 정보주체의 사생활 침해 가능성을 고려하여 중대한 권익침해행위는 형사처벌에 처하고, 단순 절차규정 위반 또는 법적 기준 위반은 과태료를 부과⁷⁾하도록 하였다[12]. 

[표 6] 개인정보보호법 제정으로 달라지는 주요사항

자료: 김상광(2011)

4.2 우리나라 개인정보보호 전담조직

4.2.1 개인정보보호법 제정 이전의 전담조직

개인정보보호법 제정 이전에 공공기관에서 수집·처리되는 개인정보보호를 위하여「공공기관의 개인정보보호에 관한 법률」에서는 공공부문의 개인정보보호체계를 규정하고 있다. 국무총리 소속하에 행정안전부 차관을 위원장으로 하여 설치된 ‘공공기관 개인정보보호 심의위원회’는 개인정보보호에 관한 정책 및 제도개선, 처리정보의 이용 및 제공에 대한 공공기관간의 의견조정 등 공공기관의 개인정보보호에 관한 전반적인 사항을 심의한다. 행정안전부는 개인정보보호에 관한 의견 제시 및 권고, 개인정보 처리에 관한 자료제출을 요구할 수 있으며 필요시 개인정보 처리에 관한 실태점검 등을 실시한다. 또한, 개인정보파일 보유와 관련하여 공공기관과 사전 협의한 내용 등을 공고하고 인터넷 상에서의 개인정보보호를 위하여 관련 법령 정비, 계획 수립, 시설 및 시스템 구축 등 제반조치를 취한다. 공공기관은 관계 중앙행정기관을 통해 행정안전부와 사전협의를 거친 다음 개인정보파일을 보유할 수 있으며 개인정보 보유에 따른 개인정보보호 방침을 수립·공고하고 개인정보파일을 보유한 목적 이외로 이용하거나 제공하지 않아야 한다. 동시에 개인정보를 IT시스템을 통해 처리하거나 정보통신망을 이용해 개인정보를 송·수신할 경우 안전성 확보에 필요한 보호조치를 해야 한다[13]. 개인정보 주체는 처리정보에 대한 열람, 정정 및 삭제를 청구할 수 있으며 개인정보에 관한 권리 또는 이익을 침해받은 자가 행정안전부에 침해사실을 신고할 경우 공공기관은 침해사실에 대한 처리결과를 행정안전부를 통해 신고인에게 통지하여야 한다.

개인정보보보호법 제정 이전에 민간부문은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 일반법역할을 하였으며, 정보통신서비스 제공 사업자를 방송통신위원회가 규제하였다. 정보통신서비스 제공사업자 이외에도 정유사 등 개인정보를 수집·이용하는 24개 업종은 동 법률을 준용하였고 행정안전부가 규제하였다. 개별법으로 ‘신용정보의 이용 및 보호에 관한 법률’, ‘통신비밀보호법’, ‘정보통신기반 보호법’, ‘금융실명거래 및 비밀보장에 관한 법률’ 등이 개인정보와 관련된 사항이 있었다.

4.2.2 개인정보보호위원회

2011년 개인정보보호법 제정에 따라 개인정보보호에 관한 사항을 심의·의결하기 위하여 대통령 소속으로 개인정보보호위원회를 설치하여 주요 정책을 심의의결하고 시정조치 권고권을 신설하였다. 개인정보보호위원회는 기본계획, 법령 및 제도개선, 개인정보 영향평가 결과 등 주요 사항을 심의의결하며 위원장(장관급) 1명, 상임위원(차관급) 1명을 포함한 15명이내의 위원으로 구성된다.⁸⁾ 위원장과 위원의 임기는 3년으로 하되, 1차에 한하여 연임할 수 있다. 위원회 위원은 대통령, 국회, 대법원이 각 5인을 추천하도록 하여 의사결정의 독립성과 객관성을 크게 강화하고 있다. 위원회는 그 권한에 속하는 업무를 독립하여 수행한다. 위원회의 사무를 지원하기 위하여 보호위원회에 사무국을 둔다. 정부는 국회심사과정에서 야당과 시민단체의 의견과 주장을 대폭 수용하여 독립기구에 준하는 대정부 감시기능과 견제기능을 부여하였다. 즉 헌법기관과 부처, 지자체가 개인정보업무 처리를 해태하거나 법령을 위반한 경우에는 시정조치 하도록 권고할 수 있도록 하였고 관계기관에게 자료제출 요구권, 매년 연차보고서를 작성하여 국회에 제출하는 등 국회 중개기능을 부여하고 있다.

V. 해외 주요국 개인정보보호정책

5.1 유럽 개인정보보호 정책

5.1.1 유럽의 개인정보보호 법률

유럽의 개인정보보호 관련 법체계는 기본적으로 헌장, 협약, 지침을 통해 개인정보보호에 대한 기본적인 틀을 제공하고 있고, 이를 근간으로 한 집행위원회나 유럽의회에서 각 회원국이 개별법으로 개인정보보호법률을 제정하고 시행하도록 규정이나 결정을 제정하고 있다. 첫째로 개인정보보호 관련 협약은 1981년 Convention for Protection of Individuals with regard to Automatic Processing of Personal Data⁹⁾라는 협약을 제정하였고 주요 목적은 데이터 자동처리장비의 이용이 확대됨에 따라 정부 및 기업에서 다루는 개인정보 처리에서 프라이버시 침해 위험을 줄이고 개인의 자유와 권리를 보호하는 것이다. 동 협약을 보완하기 위해 2001년에 Additional Protocal to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows는 각 회원국이 개인정보보호정책을 담당하고, 조사권 등을 가지는 독립된 감독기구를 설치·운영하도록 규정하고, 제3국으로 데이터 전송과 관련하여 해당국이 적정 수준의 보호를 보장하는 경우에만 전송할 수 있도록 규정하고 있다. 둘째, 개인정보보호에 대한 지침으로는 1995년에 Directive 95/46/EC가 제정되었는데 회원국에게 개인정보보호책임을 부과하고 개인에게 개인정보보호권을 보장하는 것이 목적이다. 2002년에 제정된 Directive 2002/58/EC는 개인정보의 처리 및 전기통신분야에서 프라이버시 보호를 목적을 가지고, 통신상의 개인정보에 대한 기밀의 유지 및 통신사업자의 개인정보 처리과정에서 보호 그리고 통신에서 위치정보 프라이버시의 보호 등을 규제하고 있다. Directive 2006/24/EC는 데이터 보유에 대한 감청 대상정보를 제한함으로써 프라이버시 침해를 방지하도록 규정하고 있고 인터넷 접속서비스 제공자, 인터넷 이메일서비스 제공자, 인터넷 전화서비스 제공자의 해당 서비스에 대한 통신 내용을 알 수 있는 정보는 수집하지 못하도록 명시하고 있다. 최근 개정된 EU의 개인정보보호 관련 규범들은 EU 외부 국가와의 관계에서 개인정보보호나 EU 내부에서 공동으로 이용되는 시스템에서의 개인정보 보호, 비자에 포함된 개인정보의 보호와 같은 복잡한 형태를 취하고 있다. 기존의 개인정보보호 지침들에서 대상범위 확대 등 개정으로 개인정보보호를 강화하고 있다[14].

최근의 유럽의 개인정보보호정책에 대한 주요사항은 [표 7]에 정리되어 있다[15].

[표 7] 유럽의 개인정보보호정책

자료 : 행정안전부(2011)

5.1.2 유럽의 개인정보보호 전담조직

5.1.2.1 프랑스의 개인정보보호 전담조직

국가정보처리자유위원회(Commission nationale de l'informatique et des libertés)10)는 총 17명의 위원으로 구성된 합의제 독립행정기관이다. 위원회를 구성하는 각각의 위원들은 그 자격이나 직위 면에서 볼 때, 프랑스의 입법·사법·행정부를 대표하는 자로 이루어져 강력한 권한과 위상을 바탕으로 프랑스 내 개인정보보호 분야를 이끌어나가고 있음을 알 수 있다. 국가정보처리자유위원회는 강한 독립성을 가지는 합의제 행정기관의 성격을 가지고, 위원의 3분의 2 정도가 의회나 법원에 의해 선출되고 자신을 임명한 자 또는 소속기관의 지시감독을 받지 않고 자유로운 활동을 할 수 있도록 명시되어 있으며 정부의 장관 등도 어떠한 이유로 위원회의 활동을 방해할 수 없도록 규정되어 있다. 국가정보처리자유위원회¹¹⁾는 1978년 정보처리축적 및 자유에 관한 법률을 기본으로 하여 기타 공공부문에서의 개인정보처리, 금융부문에서의 개인정보보호문제, 의료정보보호 등에 관하여 포괄적으로 관장하고 있다. 위원회는 공공·민간부문의 개인정보처리의 등록 및 법규 준수 여부를 감독하는 독립 법정규제기구로서, 부당한 정보처리의 위협으로부터 개인의 사생활과 개인적·공적 자유를 보호하여야 할 주된 임무를 지니고 있다[15].

5.1.2.2 독일의 개인정보보호 전담조직

독일은 현재 연방과 주차원에서 각각 개인정보보호법12)이 마련되어 있고, 이를 바탕으로 개인정보보호조직들이 설치되어 활동 중이다. 현재 16개 주에서 개인정보보호 전담조직들은 주 공공기관의 정보처리에 대해 규제하고 있다. 또한 독일에서는 일부 영역을 제외한 대부분의 민간부문에 대해서는 민간 감독기구를 각 주마다 설치하여 사적 영역의 개인정보 처리에 대해 감독하도록 하고 있다. 그러나 베를린, 브레멘, 함부르크 등의 주에서는 주 개인정보보호 전담조직은 민간부문에 대해서도 함께 규제하고 있다¹³⁾.

연방프라이버시커미셔너¹⁴⁾는 1977년 연방정보보호법 및 1996년 전자통신법에 근거하여 설립된 법에서 정한 조직이다. 연방프라이버시커미셔너는 연방정부의 제청에 따라 연방의회(하원)에서 과반수이상의 동의를 얻어 선출되며, 선출된 자는 연방 대통령이 임명한다. 커미셔너는 35세 이상이어야 하고 임기는 5년이고 1회에 한하여 재임할 수 있다. 커미셔너는 연방 내무부 소속으로 연방 내무부장관의 행정관리상의 감독을 받으며, 예산도 연방내무부에서 지원받는다. 그러나 커미셔너는 공무원의 자격을 가진 자로 법률에 따라 독립적으로 직무를 수행할 수 있도록 보장받고 있다. 커미셔너는 1인의 독임제 기구이다. 커미셔너는 조직상으로는 연방내무부에 소속되어 있다. 그러나 기능상으로 독립적으로 수행할 수 있도록 청장의 임명방식, 예산편성 등에서 법적으로 보장받고 있다. 커미셔너는 연방의 공공기관이 연방정보보호법 및 개인정보보호에 관한 법령이 준수여부를 직권 또는 신청에 의하여 조사하는 기능을 하고 있다. 이를 위해 피조사기관을 대상으로 질문조사권, 관련 서류에 대한 서류열람권, 피조사기관에 자유로운 출입권을 가진다. 연방정보보호청은 조사결과 법위반의 경우에 당해 공공기관에 결과통보 및 시정권고를 한다[16].

5.1.2.3 영국의 개인정보보호 전담조직

영국의 정보보호감독관(Data Protection Commissioner)¹⁵⁾는 1998년 정보보호법 및 2000년 정보공개법에 근거하여 설립된 독립감독기구로서, 정보보호감독관은 여왕의 특허장에 의해 임명되며 65세 미만의 자로 5년의 임기가 보장되며 두 차례에 걸쳐 재임이 가능하다. 영국의 정보보호감독관은 독립기구로 임금 및 연금은 하원의 결의를 통해 결정되고 조성된 통합기금에서 지급된다. 또한 활동을 위한 예산은 의회에서 결의한 바에 따라 내무부가 지원하며, 정보보호감독관은 각종 활동에 대해 의회에 직접 보고한다. 정보보호감독관은 행정부의 지시나 감독을 받지 않고 독립적으로 운영되는 행정기관으로 독립성과 자율성이 보장된다. 영국의 정보보호감독관이 활동하는 근거가 되는 법률은 1998년 정보보호법이고 민간과 공공부문, 자동화된 개인정보파일 및 수기파일에 모두 적용되는 광범위한 적용범위를 가진 개인정보보호관련 기본법이다. 따라서 정보보호감독관는 공공과 민간부문의 모든 개인정보처리를 감독하고 규제할 뿐 아니라, 정부 및 공공기관에 대한 정보공개가 원활히 이루어질 수 있도록 하는 업무를 하고 있다. 이 외에도 의료정보, CCTV, 신용정보, 교육정보, 정보통신분야, 근로자 정보, 다이렉트 마케팅 등 각 영역별 개인정보보호에 대해서도 각종 지침이나 규약의 제정을 통해 관할하고 있다[16].

5.2 미국의 개인정보보호 정책

미국은 개인정보보호에 관한 사항을 포괄적으로 규정하는 개인정보보호기본법은 없지만, 각 영역별로 개인정보보호를 위한 법규범이 있다. 미국은 프라이버시를 헌법적인 권리로 보장하고 있음에도 불구하고 유럽 국가들과는 달리 포괄적이고 체계적인 개인정보보호 관련된 일반 법률은 가지고 있지 않다. 이러한 상황에서 정부는 사회적인 변화나 기술 진보에 따라 개별 영역에서 개인정보보호를 위한 개별법적인 접근방식으로 대응하고 있다. 미국은 원래 민간 부문의 사적 자치를 중요하게 생각하고 시장경제 질서를 존중하기 때문에 사회문화적 특성을 반영한 입법체계로 개인정보를 보호하는 것이다. 공공부문은 1974년도 프라이버시법(The Privacy Act of 1974)이 적용되어, 미국 정부기관에 의해 보유되고 있는 개인정보를 보호하고 있다. 그러나 미국은 공공부문과 민간부문의 개인정보보호체계가 분리되고, 민간부문에 있어서도 각 영역별로 입법이 이루어지고 규제됨에 따라 포괄적인 개인정보보호 전담조직은 없는 상황이다. 미국은 민간부문에 대해 원칙적으로는 자율적으로 개인정보보호를 위한 제도를 마련하도록 유도하고 특별히 필요성이 인정되는 경우에만 법제정을 통해 규제를 하는 자율규제 방식을 통해 정부가 개인정보보호를 위한 역할을 하고 있다. 미국의 개인정보보호정책 내용은 [표 8]과 같다.

[표 8] 미국의 개인정보보호 정책

자료 : 행정안전부(2011)

5.2.1 미국의 개인정보보호 법률

미국은 다양한 개별 법률에 의해서 개인정보를 이용하는 정도에 따라 개인정보를 보호하는 개별 접근방식을 채택하고 있으며, 종합적이고 포괄적인 입법은 아직 존재하지 않고 있다[17]. 미국의 개인정보보호법률은 개인정보보호의 일반법이 없는 대신에 각 분야에서 개별법으로 개인정보보호를 명시하는 개별법 주의의 법률체계를 가지고 있으며, 이를 다시 공공부문과 민간부문으로 구분하고 있다. 1970년대 프라이버시 권리를 최초로 입법화하였다. 공공부문에서는 1974년 프라이버시법(Privacy Act of 1974)이 일반법의 역할을 하고 있으며, 민간부문에서는 금융, 정보통신 등 각 분야에서 필요성이 제기될 때마다 해당 사안에 맞는 개별법의 제정되고 있다. 이러한 입법방식은 사회적 변화나 기술의 발달에 따른 개별법적 접근과 대응이 용이한 반면에 특정 분야에 한정되어 해당 분야의 이익단체들에 영향을 받기 쉬워 정보보호에 취약할 수 있다. 또한 규제방식에 있어서 정부의 입법, 집행, 평가에 구분을 하고 있으나 민간부문에 의해 자율규제 접근방식을 채택하여 자율적인 개인정보보호 제도를 마련하여 유도하는 것을 정부의 역할로 보고 있다[14].

최근 미국의 개인정보보호 관련 법률 입법동향은 최근 지속적인 사이버 범죄의 대상인 ID 도용문제와 위장과 같은 새로운 형태의 사기행위를 방지하는 데 중점을 두고 있다. 또한 기존의 법률에서 규정하고 있는 보호범위가 확대되거나 규정을 지키도록 강력하게 구현요구를 포함하는 등 개인정보보호의 영역별로 확대 및 강화하고 있는 추세이다.

5.2.2 미국의 개인정보보호 전담조직

미국은 공공부문과 민간부문의 개인정보보호체계가 분리되고, 민간부문에 있어서도 각 영역별로 입법과 규제됨에 따라 포괄적인 개인정보보호 전담조직은 없는 상황이다. 따라서 공공부문과 민간부문을 나누어 살펴보면, 공공부문에 있어서는 예산관리처(The Office of Management and Budget¹⁶⁾)에서 프라이버시법에 따라 연방정부의 프라이버시 정책을 정립하는 역할을 맡고 있다. 그러나 예산관리처는 예산관리차원에서의 제한적인 역할만을 맡고 있는 것으로 볼 수 있다. 한편 민간부문에 있어서는 연방거래위원회¹⁷⁾(The Federal Trade Commission)가 아동의 온라인 프라이버시, 소비자신용정보, 공정한 거래 관행과 관련하여 개인정보(프라이버시)를 보호하는 법률을 집행하고 준수여부를 감독할 권한을 부여받아 행사하고 있다.

개인정보보호와 관련하여 연방거래위원회는 개인정보 프라이버시의 중요성을 사업자와 소비자에게 알리는 역할을 하고 있다.¹⁸⁾ 연방거래위원회는 연방거래위원회법(Federal Trade Commission Act) 제5조에 위반하였다고 판단되는 개인 또는 사업자에 대하여 조사를 실시하거나 소송을 제기할 수 있는 법적 권한을 가진다. 또한 위원회는 소비자로부터 개인정보침해나 법위반사실에 대한 불만사항을 접수받기도 하는데, 이 경우 사실조사를 실시하여 법위반사실이 있는지 여부를 검토한다. 그러나 연방거래위원회는 법위반사실을 확인하여 바로 제재를 내리지는 않고 접수된 민원사건을 검토하고 결정하여 명령을 내린 뒤, 당해사업자로부터 이에 따르겠다는 자발적인 동의의사를 확인하여 합의하는 절차를 거친다. 하지만 이러한 합의에 도달하지 못한 경우, 연방거래위원회는 행정소송절차에 의하거나 연방법원에 금지명령을 구하는 소송을 제기할 수 있다. 또한 연방거래위원회는 필요한 경우 법원에서 소비자 피해구제를 구하기 위해 민사상 손해배상이나 중지명령을 청구할 수 있다. 이외에 연방거래위원회는 사업자가 소비자의 개인정보를 침해하는 것을 방지하기 위하여 필요한 정보를 제공하고, 각종 지침을 마련하여 고시하기도 한다[16].

5.3 일본의 개인정보보호 정책

5.3.1 일본의 개인정보보호 법률

일본은 1970년대부터 세계적인 흐름에 맞추기 위해 개인정보보호를 위한 법체계를 도입하기 위한 논의를 시작하였고 EU의 개인정보보호 강화요구에 대응하기 위해 개인정보보호법제의 정비를 추진하여 2003년 5월에 관련 법률을 제·개정하였다.¹⁹⁾ 일본은 공공 및 민간부문에 공통으로 적용되는 기본법이자 민간부문의 일반법에 해당하는 ‘개인정보의 보호에 관한 법률’과 정부 행정기관의 일반법에 해당되는 ‘행정기관이 보유한 개인정보에 관한 법률’이 있다. 일본은 민간부문에서 22개 분야에 걸쳐 가이드라인에 따라 개인정보보호정책을 수행하면 된다. 해당분야가 존재하지 않거나 판단이 어려운 경우에도 개인정보보호에 관한 법률에 근거하여 최소한의 인프라를 갖추는 것이 필요하다[17].

일본은 OECD나 EU의 개인정보에 대한 국제 지침을 수용하여 일반법과 개별법 그리고 가이드라인을 통해 개인정보보호가 이루어지는 체제이다. ‘개인정보의 보호에 관한 법률’에 의거한 22개 분야에서 가이드라인 제정을 통해 개인정보의 실질적인 보호가 이루어지고 있다. ‘개인정보의 보호에 관한 법률’은 일본의 사회적 현실을 고려하여 규제범위를 과도하지 않는 범위에서 규정하여 민간부문의 사업자의 자율성을 보장하고 있고 공공부문에서도 이러한 형태를 취하고 있다.

[표 9] 일본의 개인정보보호 정책

자료 : 행정안전부(2011)

5.3.2 일본의 개인정보보호 전담조직

일본의 개인정보보호에 관한 법률은 그 집행기관으로서 독립된 포괄적인 감독기구를 별도로 설치하지 않고, 각 개인정보 취급사업자가 수행하는 사업의 실태를 비교적 잘 파악하고 있는 소관사업의 주무장관이 직접 집행 및 감독 책임을 지고 있다. 집행 및 감독기구는 여러 행정기관으로 분산되어 있다.

공공부문에서는 2003년에 ‘정보공개·개인정보보호심사회설치법’을 제정하여 개인정보보호에 대한 행정기관의 자문과 개인정보보호 사무를 처리하는 정보공개·개인정보보호심사회가 설치되었다. 정보공개·개인정보보호심사회는 행정기관이 보유하는 정보의 공개와 행정기관 등이 보유하는 개인정보보호에 관한 업무를 담당하는 기관으로 관계 행정기관 등에 자문하고 불복청구에 대한 조심심의를 담당한다. 반면에 민간부문에 대한 개인정보보호 전담조직은 미국과 같이 존재하지 않는다. 다만 각 개별법 또는 해당영역을 담당하는 주무부처가 개인정보보호기관의 역할을 담당한다. 개인정보보호를 위한 주무부처의 주무대신의 권한을 명시하고 있다. 다만 주무대신이 인정하는 민간부문의 ‘인정개인정보호단체’는 개인정보취급사업자의 개인정보의 적정한 취급을 지원하고 확보할 목적으로 활동하는 단체이다. 이들은 사업자에게 필요한 정보를 제공 또는 사업자의 개인정보 취급관행으로 인한 피해를 입은 소비자 문제제기를 원만한 해결 및 피해구제를 지원하는 기능을 수행하고 있다[17].

VI. 연구결과

본 논문에서는 개인정보보호정책과 관련하여 해외 주요국에 대해 관련 법률과 전담조직을 중심으로 살펴보았다. 먼저 해외주요국에 대한 연구결과에 대해 정리하였고 다음으로 우리나라의 개인정보보호정책 현황 및 과제를 정리하였다.

6.1 해외 주요국의 개인정보보호정책

6.1.1 유럽 국가들의 개인정보보호정책

유럽 국가들은 대체로 개인정보보호정책과 관련된 기본법이 존재하고 있고, 이러한 기본법을 집행하는 전담조직들이 설치되어 있다. 대체로 유럽 국가들은 개인정보보호에 대해 체계적인 성문법 등이 제정되어있고, 이러한 법률을 집행 및 지원하는 별도의 조직 및 인력을 중심으로 엄격하고 체계적인 개인정보보호정책을 시행하고 관리하고 있다. 이러한 유럽 국가들은 개인정보보호와 관련하여 명문화된 기본법 제정 및 전담조직 구성에 따라 개인정보보호를 명확한 제도적 장치를 통해 사전예방 및 사후구제를 할 수 있는 장점이 있는 반면에 변화하는 현실에 신속한 대응이 어려운 단점이 있을 수 있다.

[표 10] 유럽의 개인정보보호 정책

6.1.2 미국과 일본의 개인정보보호정책

미국과 일본은 개인정보보호와 관련하여 유럽 국가들과 달리 기본법 또는 일반법이 제정되어 있지는 않고 개별적인 영역별로 규제를 하는 법률 체계를 가지고 있으며, 또한 개인정보보호정책만을 총괄하과 전담하는 정부조직을 가지고 있지는 않다. 개인정보보호를 위해 정부가 직접적으로 규제하지는 않지만 분야별로 시장 또는 민간의 자율적인 보호노력을 장려하는 측면이 있다. 이러한 미국과 일본 정책은 기술적으로 변화하는 현실에 신속하게 적응할 수 있는 장점이 있는 반면에 사전에 법률적인 기본법의 미존재로 인해 개인정보가 침해된 경우에 명확한 구제가 어려운 점이 있다는 단점이 있다고 할 수 있다.

[표 11] 미국과 일본의 개인정보보호 정책

6.2 우리나라 개인정보보호정책의 현황과 과제

6.2.1 우리나라 개인정보보호정책의 현황

위에서 살펴본 바에 의하면 우리나라의 개인정보보호정책은 기본법이라고 할 수 있는 개인정보보호법이 ‘11년 3월에 제정에 따라 이를 전후로 하여 정책을 구분할 수 있다. 우리나라는 해외주요국의 정책으로 구분한 것처럼 개인정보보호법 제정 이전에는 미국과 일본과 비슷하였으나, 개인정보보호법 제정이후로는 유럽 국가들과 정책적으로 유사하게 되었다고 할 수 있겠다. 자세한 내용은 아래 표에서 보는 바와 같다.

[표 12] 우리나라의 개인정보보호 정책

6.2.2 우리나라 개인정보보호정책의 과제

개인정보보호법 제정 및 시행과 함께 개인정보보호위원회 신설로 우리나라 개인정보보호정책은 이전에 비해 진보한 점이 있지만 앞서 살펴본 바와 같이 개인정보보호의 이해당사자인 시민, 기업, 공공기관이 함께 개인정보보호를 위한 생태계를 조성하는 측면에서 다음과 같은 법률 및 조직적 차원의 다수의 과제들을 추진하는 것이 필요하다.

먼저 법률적인 측면에서 IT기술의 발달에 따른 모바일 환경에 따라 새롭게 발생할 수 있는 개인정보 침해유형에 대비하여 일반법인 개인정보보호법에 공통된 기준 마련 및 관련 영역별로 개별적인 법률 제․개정이 필요하겠다. 또한 일반법인 개인정보호호법과 기존의 다수 개별법 간에 상충되는 요소들에 대한 체계적인 정비도 하나의 과제라고 하겠다. 개인정보보호법이 제정되기 까지 상당한 시간이 소요되었지만, 또한 법률이 안정적으로 시행되기까지도 상당한 시간이 소요되고 관련 이해당사자들의 관심도 필요하겠다.

다음으로 전담조직으로 개인정보보호위원회를 설치되었지만 위원회가 본연의 역할을 하기 위해서 개인정보보호와 관련하여 다수의 정부부처와 공공기관들의 관계를 명확하게 하고 이들 기관들의 협조가 필요하다. 또한 개인정보보호위원회가 모든 것을 하기가 어렵기 때문에 개인정보보호를 위한 협회 등 민간조직들을 활용하는 것도 필요하다.

마지막으로 개인정보보호가 전담 법률과 조직만으로 되는 것이 아니기 때문에 관련 인력과 산업에 대한 지원을 통해 개인정보보호와 관련된 생태계(eco-system)²⁰⁾ 조성 및 선순환 구조를 마련도 중요한 과제라고 하겠다. [12].

VII. 결론

7.1 연구함의

해외주요국의 개인정보보호와 관련된 정책들을 정리하면 크게 두 가지 유형으로 구분할 수 있다. 먼저 직접규제 유형(Direct-regulatory Type) 또는 유럽 유형(EU Type)으로 개인정보보호와 관련된 공공부문과 민간부문을 공통적으로 적용되는 단일의 일반법이 마련되어 있고, 개인정보보호를 위한 별도로 고도의 독립성을 가진 전담조직이 존재하고 전담조직을 통해 사전적으로 정보보호를 위한 활동을 하고 있는 개인정보보호 정책유형이다. 다음으로는 자율규제 유형(Self-regulatory Type) 또는 미·일 유형(U.S. & Japan Type)으로 분류할 수 있는데 앞서 말한 직접규제유형과는 다른 특징을 보이고 있다. 이들 국가들은 개인정보보호와 관련된 기본법 또는 일반법은 존재하지 않고 개별 영역별로 개인정보보호를 위한 개별법이 존재하고, 개인정보를 보호하기 위한 전담조직은 설치되어 있지 않고 공공부문과 민간부문이 분리되고 현행의 행정관리조직이 개인정보보호업무를 담당하고 있는 형태를 취하고 있다. 개인정보보호정책을 역사적으로 보면 유럽 국가들은 다른 국가들에 비하여 개인정보를 보호하기 위한 법률 제정 노력이 먼저 되었고 또한 별도의 독립된 전담조직의 신설 등을 통해 개인정보보호를 위해 강화된 정책을 펴고 있다고 말할 수 있다. 미국과 일본은 유럽과 경제적 교류를 하기 위해 이러한 개인정보보호와 관련된 법률적 내용을 법률의 하위 부분인 지침 및 가이드라인의 제정 등을 통해 반영하는 측면이 있다[18].

우리나라는 2011년도 개인정보보호법 제정 이전과 이후를 기점으로 하여 개인정보보호정책은 소위 전환기를 맞이하고 있다고 할 수 있다. 동법의 제정 이전에는 자율규제 유형 또는 미·일 유형에 해당하여 법률체계는 일반법은 없고 개별법에 따라 해당영역별로 규제하였고 공공부문과 민간부문을 분리하여 규제하고 별도의 전담조직은 없었다. 개인정보보호법 제정이후는 직접규제 유형 또는 유럽유형으로 개인정보보호를 위한 공사에 공통적으로 적용되는 일반법이 존재하고 또한 대통령 소속의 독립된 개인정보보호위원회를 신설함으로써 공사의 개인정보보호정책을 관리하기 위한 체계적인 전담조직을 가지게 되었다. 즉 우리나라 개인정보보호정책은 개인정보보호법 제정으로 자율규제 유형에서 직접규제 유형으로 변화가 되었다고 말할 수 있겠다.

[표 13] 개인정보보호정책 유형별 장단점

자료 : 이향수(2007) 재구성

이상에서 살펴본 바와 같이 개인정보보호정책을 해외 주요국과 비교하면 2011년 개인정보보호법 제정을 통해서 정책의 변화를 하는 시기에 있어 직접규제 유형의 형태를 띠고 있다고 하겠다. 하지만 자율규제유형에서 직접규제유형의 정책적 전환기에 있으며, 자율규제유형보다는 보다 강화되는 정책을 도입하는 시기에 있다고 평가할 수 있겠다.

현재의 정보사회에서는 사회적 변화 또는 기술적 변화가 급격한 시기에 있어 정부가 모든 것을 직접적으로 규제하는 불가능한 상황이기 때문에 시장 등 민간부문의 자율규제는 필수불가결하다고 하겠다. 따라서 개인정보보호와 관련된 자율규제 유형이 직접규제유형보다 개인정보를 보호하지 못하다는 것은 아니다[19]. 우리나라의 개인정보보호법 또한 이러한 측면을 고려하여 민간부문의 자율규제를 유도하는 다양한 정책을 병행하는 것이 필요하다.

7.2 정책적 과제

산업화는 늦었지만 정보화에서는 앞서가자는 정부정책으로 우리나라는 최근 전자정부평가 1위 및 반도체, 휴대폰, 디스플레이 등 정보통신분야의 세계적 위상 구축 등 정보통신강국으로 선도적인 위치를 점하고 있다. 하지만 이러한 이면에 인터넷을 통한 대량의 개인정보유출사고 등 개인정보에 대한 제대로 보호가 되지 않는 일들이 자주 발생하고 있다. 그동안 개인정보를 효율적으로 이용하는데 관심이 많았지만 개인정보보호를 위해서는 관심과 정책적 노력이 부족하였다고 볼 수 있다.

이제 우리나라도 2011년 3월 개인정보보호법을 제정과 시행 및 개인정보보호위원회 설치 등으로 형식적으로는 해외 주요국에 견줄 수 있는 개인정보보호를 위한 제도적 정비가 이루어졌다고 할 수 있겠다. 하지만 아무리 좋은 제도를 가지고 있다고 하더라도 실질적인 운영이 이루어지지 않는다면 형식주의(formalism)에 치우쳐 제도가 목적달성을 하지 못하게 되는 경우가 많은 것을 감안한다면 어렵게 제정하고 시행되는 개인정보보호법이 후속 법령과 지침 등의 제반조치사항의 이행 및 보완을 통해 정보화 시대에 개인정보보호를 위한 예방적 노력과 사후적 구제를 위한 보루가 될 수 있도록 정부와 민간이 함께 노력하는 것이 필요하겠다. 마지막으로 개인정보보호법 시행과 함께 개인정보보호와 관련된 이해당사자인 정부, 사업자, 시민이 개인정보보호 생태계를 조성하기 위해 노력해야 할 것이다.