[연재] 우리는 인터넷에서 자유를 발견했다{/}개인정보보호위원회, 인사·예산권도 없이 ‘미완의 출범’

◈ 개인정보보호위원회

개인정보 감독기구의 설립은 국제 디지털 프라이버시 규범에 있어서는 아주 오래된 의제이다. 1990년 유엔 총회에서 승인된 <컴퓨터화된 개인 정보파일의 규율에 관한 지침>에서는 “모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치”하도록 하였다. 유럽연합 회원국에 대해 강제력이 있는 <개인정보보호에 관한 유럽의회와 각료회의 지침(95/46/EC)>에서는 제28조(감독기관)에서 “당해 기관은 위임받은 임무를 완전히 독립적으로 수행한다”고 규정하였다.

2011년 9월 개인정보보호위원회 출범식

이처럼 감독기구의 요건 중 가장 중요한 것은 독립성이다. 2001년 유럽이사회(Council of Europe)가 채택한 <감독기구와 국경 간 정보이동과 관련한 개인정보의 자동처리에 관한 개인 보호 협약의 추가의정서>에서는 개인정보 감독기구에게 필요한 권한 및 독립성을 위한 요건을 구체적으로 규정하고 있다. 개인정보 감독기구에는 조사권, 개인정보수집자에 대한 시정요구권 등 개입권, 법적 절차를 개시할 권한과 사법기관에 소추할 권한 및 침해신고의 접수권 등이 보장되어야 한다. 또한 개인정보 감독기구는 효과적으로 감독을 하기 위해 이러한 권한을 완전히 독립적으로 수행해야 하는데, 독립성은 감독기구의 구성, 위원의 임명방법, 임기와 해촉 조건, 충분한 자원의 배분, 외부 명령없이 결정을 채택할 수 있는지의 여부 등이 관련이 된다.

주로 유럽의 규범에서 구체적인 집행력을 가지고 있던 감독기구에 대한 논의가 유엔으로 확대된 것은 2013년 미 국가안보국(NSA)의 디지털 감시에 대한 폭로 사건이 일으킨 반향이다. 2013년 12월 유엔 총회는 디지털시대 프라이버시권에 대한 결의안을 발표하면서 각국 정부에 독립적이고 실질적인 개인정보 감독체계를 수립할 것을 촉구하였다. 이는 국가 감시에 투명성과 책임성을 보장하기 위해서이다.

2014년 유엔 인권최고대표는 유엔 총회의 요청에 따라 현대 디지털 기술과 감시 수단에 직면한 프라이버시 문제의 복잡성에 대해 살펴보았다. 유엔 인권최고대표에 따르면 자유권 규약을 비롯해 국제 인권규범이 보장해온 프라이버시권은 최근 위기에 처해 있다. 국가안보를 이유로 비밀로 수립되는 규칙들과 입법적·사법적 비밀 해석들은 정보기관을 비롯한 국가의 재량권을 자의적으로 집행할 위험을 높여 왔다. 따라서 독립적인 개인정보 감독권이 반드시 필요하다는 지적이다. 또 급격하고 극적으로 진화하는 디지털 시대에 프라이버시 문제의 복잡성은 정부, 시민사회, 과학기술 전문가, 기업, 학계 및 인권 전문가 등 다양한 이해관계자들이 참여하고 대화할 필요가 있다는 것이 최고대표의 결론이었다.

1996년 전자주민카드 도입논란으로부터 시작된 한국 시민사회의 프라이버시보호법 제정 요구는 2011년 개인정보보호법 제정으로 일단락되었다고 볼 수 있다. 그러나 우리 개인정보보호위원회는 사실상 독립적인 기구로 보기 어렵다. 국가인권위원회는 개인정보보호위원회의 인사와 예산이 독립되어 있지 않으며, 심의⋅의결 기능만 존재하고 조사권도 결여되어 있어 독립적 개인정보 보호기구로서의 역할이 미흡하다고 보고, 개인정보보호위원회를 명실상부한 독립기구로 재편하고, 개인정보보호에 관한 업무를 개인정보보호위원회로 통합할 것을 제언하였다(정보인권 보고서).

2014년 카드3사 개인정보 유출 관련 Jtbc뉴스 화면

2014년 카드3사에서 1억 건 이상의 개인정보가 유출되자 정부차원에서 개인정보보호위원회의 기능 강화가 논의되었다. 그러나 개인정보보호위원회가 주어진 사명을 독립적이고 실질적으로 수행하고 있는지에 대한 평가는 아직 부정적일 수 밖에 없다. 개인정보보호법(제33조)에서 행정자치부가 주무하는 개인정보 영향평가 결과에 관한 사항을 위원회가 심의·의결하도록 되어 있음에도 개인정보 영향평가기관(’14년 3월 현재, 11개 기관)이 매우 적다는 사실은 위원회의 권위와 실효성이 부족한 현실을 방증하고 있다.