개인정보보호법의 개정문제 (http://www.nanet.go.kr/nal/3/3-1-2/issu-164.htm)
저자 : 강성남(입법조사연구관, 행정학박사)
— 目 次 —
1.문제제기
2.개인정보보호법의 개정 필요성
3.외국의 개인정보보호 관련법
4.개인정보보호법에서 개정될 내용에 대한 검토
5.맺음말
참고문헌
개인정보보호법의 개정문제 (http://www.nanet.go.kr/nal/3/3-1-2/issu-164.htm)
저자 : 강성남(입법조사연구관, 행정학박사)
— 目 次 —
1.문제제기
2.개인정보보호법의 개정 필요성
3.외국의 개인정보보호 관련법
4.개인정보보호법에서 개정될 내용에 대한 검토
5.맺음말
참고문헌
I. 문제제기
정보화사회의 진전에 따라 프라이버시권에 대한 개념범위가 확대되고 있다. 종래의 프라이버시권은 혼자 가만히 있게 하는 권리의 의미로서 부당한 공개를 받지 않을 인간의 권리라고 해석하여 왔으나 근자에 들어오면서 이것은 적극적으로 자기에 관한 정보의 유통을 통제할 수 있는 권리로 확대해석되고 있다. 자기정보통제권은 정보주체가 행정기관의 정보시스템 안에 보관되어 있는 자기의 개인정보에 접근하여 그 정보를 열람하고, 정보처리기관에 대하여 정보의 정정, 사용중지 및 삭제를 요구할 수 있는 권리를 말한다. 이러한 프라이버시권에 대한 적극적인 해석은 개인정보가 불법유통되면서 생기는 사생활침해에 대하여 법률적인 제도적 장치를 마련할 수 있는 길을 열어 놓았다.
우리나라에서도 지난 1993년 12월 16일에 국회에서 {공공기관의개인정보보호에관한법률}(이하에서는 일명 ‘개인정보보호법’으로 사용)을 통과시키고 1994년 1월 7일에 공포되어 공포후 1년이 경과한 1995년 1월 8일부터 시행되고 있다(이 법의 제12조(처리정보의 열람)와 제16조(처리정보의 열람과 정정의 대리청구)의 규정은 공포후 1년 6월이 경과한 날부터 시행되고 있다).
개인정보보호법은 법명에서도 제한하고 있듯이 공공기관에서 컴퓨터로 처리하는 개인정보를 대상으로 한다. 이 법에 따르면 개인정보 중에서 사상, 신조 등 개인의 기본적 인권을 침해할 우려가 있는 정보에 대해서는 수집을 제한하고 있다. 그리고 국가기관은 기관의 업무를 수행하기 위하여 필요한 범위내에서만 개인정보파일을 보유할 수 있도록 하였으며, 개인정보의 부당한 유출과 변조나 부정확한 정보로 인한 개인의 사생활침해를 예방하기 위하여 공공기관에 개인정보의 정확성과 안정성을 확보할 수 있는 대책을 수립하도록 하였다. 이 법에 따라 관련개인은 자신의 정보에 관하여 열람을 청구할 수 있으며, 잘못된 정보에 대한 정정을 청구할 수 있다. 만약에 이러한 요구가 받아들여지지 않을 경우에 행정심판을 청구할 수 있는 길도 열어 놓았다.
그러나 개인정보보호법이 시행된 후에도 여러 측면에서 개인정보의 유출과 남용으로 인한 부작용이 속출하고 있어서 법제도적 차원에서의 보완작업이 시급하다는 의견이 많다. 따라서 이 글에서는 개인정보보호법의 개정 필요성과 개정되어야 할 부분과 관련한 논의를 함으로써 향후 이 법의 개정작업에 참고자료로 활용되기를 기대한다.
Ⅱ. 개인정보보호법의 개정 필요성
우리나라의 개인정보보호법은 1990년대에 만들어진 가장 최근의 법임에도 불구하고 그 내용은 서유럽국가들에서 수십년전에 만들어진 소위 1세대 개인정보보호법에 가깝다는 지적이 있다. 게다가 국민의 낮은 개인정보보호의식, 개인정보보호를 위한 효율적인 통제방안의 결여, 국가기관이나 사적 정보처리기관을 통한 개인정보의 무차별적인 저장과 전달 등을 통하여 우리나라에서는 [개인정보보호법]은 있으되, 정작 개인정보는 보호되지 못하고 있는 실정이라는 비판이 있기도 하다.
이러한 비판과 관련하여 우리들이 분명하게 인식하여야 할 점은 우리나라의 개인정보보호법은 개인관련정보의 남용으로부터 야기되는 부작용 뿐만 아니라 그 남용여부와는 상관없이 개인관련정보의 조사, 저장, 사용, 전달과정에서 생기는 부작용으로부터 관련 개인들을 어떻게 보호할 것인가에 더욱 관심을 두어야 한다는 것이다. 이것은 다시 말해서 개인정보보호의 목적범위를 더욱 확장시켜야 한다는 것을 뜻한다.
우리나라의 個人情報保護法 제1조에 "이 법은 공공기관의 컴퓨터에 의하여 처리되는 개인정보의 보호를 위하여 그 취급에 관하여 필요한 사항을 정함으로써 공공업무의 적정한 수행을 도모함과 아울러 국민의 권리와 이익을 보호함을 목적으로 한다"라고 규정하고 있다. 독일의 연방정보보호법은 새로 개정을 통하여 개인관련정보의 회전을 통한 정보자기결정권의 침해로부터 개인을 보호하는 것이 개인정보보호법의 목적임을 분명히 하였다. 이는 입법자가 결국 개인관련정보처리가 원칙적으로 금지되고 예외적인 경우에 허용될 수 있다는 개인정보보호법의 기본원칙을 받아들인 것으로 해석된다. 그러므로 정보처리를 통한 정보자기결정권의 침해가 합법적인지 위법적인지는 결국 정보처리의 목적, 종류 등에 따라 결정된다.
우리의 경우도 국가의 개인정보처리 그 자체가 합법적이어야만 한다는 사실에 대한 명확한 인식을 법에 반영하는 자세가 필요하다.
정보주권이란 한마디로 개인 스스로 자신과 관련된 정보의 흐름과 공개, 비공개여부, 사용 등에 대하여 통제할 수 있는 권리를 뜻한다. 이를 헌법학자들 중에는 자기정보통제관리권으로 부르기도 한다. 정보주권에는 다른 사람에게 알리고 싶은 정보를 자유롭게 알릴 권리, 더 나아가 자기가 알리고 싶지 않은 정보를 알리지 않을 권리 등이 모두 포함된다. 법률 전문가들은 정보주권이 미래사회에서 개인의 자유와 권리를 결정짓는 가장 중요한 개념이 될 것으로 보고 있다. 전자주민 카드가 정보주권을 침해할 수 있는 가능성이 있다는 지적도 바로 이러한 맥락이다.
정보통신부는 1998. 6. 8에 전기통신업자, 인터넷서비스 제공자 등 정보통신서비스 제공자의 개인정보 수집 및 이용이 제한되고 개인에게 주민등록번호, 주소와 같은 정보에 대한 통제권이 부여되는 등의 보호조치가 포함된 일명 {전산망보급확장과이용촉진에관한법률개정안}을 마련하여 국회에 제출할 예정이라고 한다(서울신문, 1998. 6. 9). 이 개정안에서는 정보통신서비스를 제공하면서 취득한 개인정보를 다른 목적으로 불법 사용하거나 타인에게 제공하다 적발되는 경우 1년이하의 징역이나 1,000만원이하의 과태료가 부과되도록 하고 있다.
이러한 법률적 대책이 나오도록 하는 정황의 구체적 사례는 많다. 지난 1997년 10월 국정감사를 위해 경찰청이 국민회의 김충조의원에게 제출한 자료에 따르면, 경찰전산망을 이용할 수 있는 조회용단말기는 외무부 82대, 검찰 72대, 안기부 67대, 국방부 60대 등 8개 정부기관에서 284대를 설치하여 운용중인 것으로 나타났다. 이 기관들은 1994년부터 최근까지 경찰전산망을 통해 1천5백22만여 차례에 걸쳐 주민등록과 범죄경력조회 등의 개인정보를 열람한 것으로 나타났다. 김의원은 각 기관이 경찰전산망을 이용하려면 이용목적을 명시한 문서로 전산조회를 요청해 디스켓 등으로 결과를 제공받아야 하나 경찰이 아예 단말기 설치를 허용함으로써 국민의 인권을 침해하고 있다고 지적했다.
한편 서울지법 형사10단독 양승국 판사는 지난 1997년 5월 15일에 지난 2월에 발생한 이한영씨 피살사건과 관련해 이씨의 주소를 심부름센터에 유출한 혐의로 구속기소된 전 서울경찰청 정보과 조칠완 경사에게 공공기관 개인정보보호법 위반죄를 적용해 벌금 2백만원을 선고했다.
그리고 경찰청은 1997. 3. 12∼3. 31까지 심부름센터를 일제조사하여 공공기관의 개인정보를 빼돌린 혐의로 31명을 구속하고 1백명을 불구속입건한 적도 있다.
1997. 3. 27에는 초등학교 기능직 공무원 10명이 출판물외판원의 부탁을 받고 초등학교학생들의 개인정보(이름과 주소, 전화번호, 보호자성명, 직업 등이 기재된 명부)를 돈을 받고 판매한 혐의로 입건된 적이 있으며 1997. 3. 14에는 부산아미전화국 교환기술부 과장대리 허상준씨가 심부름센터부탁을 받고 특정 전화번화의 통화기록을 알려준 혐의로 구속된 일도 있다.
한편 1996년 10월 14일 총무처에서는 모든 공공기관의 개인정보보유현황을 사상 처음으로 단행본으로 펴냈다. 이 책자에서는 총 4천7백60개 공공기관에서 보유중인 3백45종, 1만7백20개의 개인정보파일목록을 수록하고 있는데, 공공기관이 보유중인 개인정보파일은 중앙행정기관의 91종, 2백24개를 비롯해서 지방자치단체 63종, 9천4백95개, 정부투자기관 및 기타 1백92종, 1천1개 등이다(이 목록집은 2년마다 수정증보판을 펴낸다).
그런데 공공기관에 한정하여 적용되는 현행 개인정보보호법이 금융기관, 신용카드회사, 백화점 등 신용정보를 다루는 민간부문까지 확대적용되도록 해야 한다. 1993년과 1994년에 걸쳐 17건에 불과했던 개인정보 유출로 인한 범죄사례가 1995년에 28건, 1996년에 들어와서는 32건으로 지속적인 증가추세를 보이고 있는데에서도 그 필요성이 증대하고 있다.
Ⅲ. 외국의 개인정보보호 관련법
유엔 경제협력개발기구는 1980년 {개인테이터의 국제유통과 프라이버시보호에 관한 지침}을 발표하여 세계각국에 개인정보보호법을 제정할 때 참고하도록 8개의 기본원칙을 권고한 적이 있다. 8개 원칙에는 ① 합법적이고 공정한 절차 또는 데이터주체의 동의를 통한 정보의 수집원칙, ② 개인데이터는 그 이용목적에 부합되는 것이어야 한다는 데이터내용의 원칙, ③ 개인데이터의 수집목적은 늦어도 수집될 때까지 명확화되어야 한다는 목적명확화의 원칙, ④ 데이터주체의 동의와 법률의 규정에 의한 경우를 제외하고는 수집된 자료가 당초의 목적 이외에 사용될 수 없도록 하는 이용제한의 원칙, ⑤ 개인정보의 분실, 파괴, 수정, 개시 등의 위험에 대한 안전조치를 해야 한다는 안전보호의 원칙, ⑥ 개인정보와 관련된 정책에 대하여는 공개를 해야 한다는 공개의 원칙, ⑦ 개인정보의 확인, 청구, 이의제기, 수정, 삭제 등을 할 수 있는 권리를 부여하는 개인참가의 원칙, ⑧ 데이터 관리자는 이상의 원칙을 실시하기 위한 조치에 따라야 한다는 책임의 원칙 등이 포함된다. 이러한 권고사항은 스웨덴, 독일, 캐나다, 미국, 노르웨이, 프랑스, 뉴질랜드 등에서 입법화를 통해 시행되고 있다.
이하에서는 주요국의 개인정보보호법의 핵심내용을 몇 가지 쟁점을 중심으로 살펴봄으로써 우리의 개인정보보호법의 발전적 개정에 참고로 하고자 한다.
1. 스웨덴 : {데이터법}
스웨덴은 1973년에 세계에서 처음으로 프라이버시보호를 위한 {데이터법}을 제정하였다. 이 법에서는 개인정보보호를 위하여 {데이터검사원}을 국가기관으로 설치하고 위원을 두어 옴브즈만적 성격을 갖고 중요사항을 의결토록 하고 있는 내용을 담고 있다. 또한 개인 정보를 취급하는 모든 부문(공적·사적부문)은 이 법의 적용을 받도록 규정하고 있기 때문에 정부기관 등 공적 부문만을 규제대상으로 설정하고 있는 대부분의 국가에 비해 정보보호에 대한 적극적 입장을 취하고 있음을 나타내고 있다. 이런 입장은 개인정보의 부당한 이용이나 처리로 인해 사생활침해가 발생했을 때에 취해지는 조치에서 명백하게 드러나고 있다. 다른 나라들에서는 민사상의 손해배상책임을 정보이용기관에 부과하고 있지만 스웨덴에서는 민사상 손해배상의 책임뿐만 아니라 형사상의 처벌까지 받도록 규정하고 있는 것에서 확인된다.
한편 이 법에서는 개인정보를 컴퓨터기술을 이용하여 작성된 테이터 자료만으로 한정하고 있어서 수작업에 의한 문서자료는 개인정보보호대상에 포함시키지 않고 있다. 개인정보를 수집·관리하는 자에게는 정보의 정확성 유지의무가 있으며 개인에 대한 정보열람청구권을 1년에 1회씩 무료로 인정하여야 할 책임이 있다는 규정을 두고 있는 점도 눈여겨 볼만 하다. 또한 개인정보의 開示나 대출을 법령의 규정에 의한 경우가 아니면 원칙적으로 금지하고 있으며 특히 외국으로 전송이나 대출은 반드시 데이터검사원의 허가를 얻도록 하고 있다.
2. 독일 : {연방정보보호법}
독일에서는 1977년에 처음으로 제정된 연방정보보호법에서 처음으로 개인관련정보에 관한 포괄적인 법적 근거를 마련하였으나, 연방헌법법원의 인구조사판결, 정보와 통신기술의 발달, 연방정보보호법의 적용을 통하여 나타난 문제점 등으로 인해 개정 필요성이 강하게 제기되어 1990년 12월에 개정되어 1991년 6월부터 시행되고 있다.
개정된 독일의 정보보호법은 몇 가지 특징을 지니고 있다. 첫째, 법적용의 범위가 크게 확대되었다는 점이다. 다시 말해서 개인관련정보는 정보의 조사로부터 처리(저장, 변경, 전달, 삭제, 이용)를 거쳐 익명화할 때까지 보호되고, 정보의 조사와 이용이 포함됨으로써 정보처리 이외의 모든 개인관련정보의 사용이 정보이용을 뜻하게 되었다. 그리고 개정된 법에서는 공공기관이 보유하고 있는 정보와 자료가운데 자동화된 정보처리뿐만 아니라 서류들도 그 적용범위에 포함시키고 있다.
둘째, 정보자기결정권을 보호하기 위하여 개인관련정보를 처리하고 이용할 때 목적구속원칙이 엄격하게 규정되었다는 사실이다. 과제수행을 위하여 필요하고 처리목적을 위하여 행해지고 조사되는 경우에만 개인관련정보의 저장, 변경, 이용이 허용되고 수신인은 전달받은 목적만을 위해서 그 정보를 처리하거나 이용하여야 할 것을 명시하고 있다.
셋째, 개인정보관련자의 권리가 여러 측면에서 향상되었다. 자기에 관한 정보처리와 저장기관을 통한 이용에 관하여 알 수 있기 위하여 관련개인에게 인정되는 설명권은 개인정보를 보호하기 위해서는 매우 중요한 통제권이다. 이러한 정보에 관한 설명과 동의요구를 통하여 자신에 관하여 저장된 정보를 고정하거나 통제할 기회가 관련자에게 보장된다. 계속해서 이러한 권리는 누가 저장기관인지를 알 수 없는 파일결합과 전산망에서 정보처리로까지 확대된다. 연방기관의 개인관련 정보조사, 처리, 이용을 통하여 자기의 권리가 침해되었다고 생각하는 사람들은 따라서 연방 정보보호 수임인에게 호소할 수 있는 권리를 갖고 있다. 또한 개인관련정보를 광고와 시장조사 및 여론조사 목적을 위하여 이용하거나 전달하는 것에 대한 항변권이 관련개인에게 인정되고 있어서 이에 따라 관련개인이 항변하면 해당 정보는 이러한 목적으로 이용하지 못하게 된다.
넷째, 컴퓨터연결을 통한 직접 호출절차는 정보가 교환되는 관련자의 이익이 고려되고 해당기관의 과제측면에서 필요한 경우에만 허용되도록 함으로써 자동화된 호출절차로부터 개인정보를 보호하는 규정이 도입되었다. 따라서 정보전달의 원인, 목적, 정보수신인, 종류 등이 문서로 확인되도록 하였다.
3. 프랑스 : {정보처리·축적및자유에관한법률}
프랑스에서는 1978년에 제정하고 1988년에 한 차례 개정된 {정보처리·축적및자유에관한법률}에 의해 개인정보보호에 대한 법적 대응을 하고 있다. 이 법은 전산처리에 개인별 신원확인대장의 이용을 모든 행정기관으로 확장시키려는 계획이 발표되면서 개인의 사생활과 자유를 크게 침해할 우려가 있다는 여론에 따라 마련되었다.
이 법에서는 규제대상으로 공적 분야와 민간분야 모두를 포함하고 있으며, 적용되는 개인정보 역시 형식에 관계없이 직접 또는 간접적으로 자연인의 신원을 확인할 수 있게 하는 정보로 하고 있다. 따라서 반드시 전산처리된 정보에 대해서만 법적용을 한정하고 있지 않다는 점이 특징으로 지적된다. 혈통, 정치적·종교적·철학적 사상 또는 조합의 소속을 직·간접으로 나타내는 개인정보는 당사자의 명백한 동의가 없이는 정보시스템에 입력시키는 것을 금지하고 있다. 정보당사자는 이들 정보에 대하여 알권리(접근권)를 가지게 되는데 다만 의료정보는 지정된 의사를 통해서만 전달받을 수 있다. 개인정보의 공개와 유통에 의한 사생활침해가 발생할 우려에 대한 예방책으로 정보시스템설치의 등록·허가제를 실시하고 있다. 뿐만 아니라 개인정보처리를 통제하면서 이 법의 준수에 대한 감독권을 행사할 국가정보처리위원회를 설치하여 행정기관이 개인정보시스템을 설치하려고 하는 때에는 사전에 이 위원회의 동의를 얻도록 하는 한편 민간기관의 경우는 신고를 의무화하고 있다.
4. 미국 : {프라이버시법}
미국의 연방차원에서 개인정보보호를 위한 제도적 장치는 1974년에 제정된 {프라이버시법}(the privacy Act of 1974 ; P.L.93-579)을 통해 마련되고 있다. 이 법의 적용대상은 행정기관과 행정기관의 수탁업자들과 연방정부의 규제를 받는 법인과 민간인들로 한정하고 있다. 프라이버시법에서 개인정보보호를 위해 설정한 범위는 이 법의 적용을 받는 기관에서 보유하고 있는 기록과 기록시스템에 한정하고 있다. 여기서 ‘기록’은 개인(미국시민이나 영주권을 가진 외국인 포함)에 관한 개개의 정보와 이들 정보의 수집, 집합된 것을 말한다. 따라서 성명, 교육정도, 재무거래, 병력, 전과사항, 취업경력, 신분번호, 지문, 聲紋, 사진 등 개인에게 배정된 신분의 식별을 위한 특기사항을 포함한다. 그리고 ‘기록시스템’은 행정기관이 관리하는 기록의 집합체로서 개인의 성명, 식별번호, 기호, 기타 개인별 식별사항에 의하여 검색되는 것을 말하는데 검색과정이 자동처리 또는 수작업에 의하는지의 여부와는 상관이 없다.
미국의 프라이버시법에서는 개인의 정보통제권을 인정하고 있어서 개인 자신에 관한 어떠한 기록이 행정기관에 의하여 수집, 보유, 이용 또는 배포되는 것을 개인의 서면청구나 서면동의를 받는 경우가 아니면 원칙적으로 금지시키고 있다. 그런데 중앙정보국이 보유하는 기록시스템이나 범죄수사 및 경찰활동을 목적으로 수집된 데이터와 연방공무원임용, 군복무, 연방규약 또는 비밀정보접근자의 자격 등을 결정하기 위하여 수집한 자료, 정보에 대해서는 이 법에서의 개인의 열람·정지청구권이 적용되지 못하도록 하고 있다.
한편 기록시스템의 설치와 변경시에 당해 시스템의 명칭, 위치, 관리책임 공무원의 직위 및 사무실 주소 등을 년 1회 이상 연방관보에 게재하도록 규정하고 있는데 이를 위반했을 경우에는 벌금형의 벌칙규정을 두고 있다. 그리고 행정기관이 고의 또는 실수로 개인정보를 공개했을 경우에는 행정기관에 대해 손해배상책임을 규정하고 있다.
5. 영국 : {데이터보호법}
영국에서는 1984년에 공포된 {데이터보호법}에 의해 개인정보에 대한 보호장치를 마련하고 있다. 이 법에서는 ‘정보’를 어떤 목적을 위하여 주어진 명령에 따라 자동적으로 연산하는 장치에 의하여 처리될 수 있는 형태로 기록된 것을 말한다. 따라서 종전과 같이 수작업에 의한 정보처리는 법적용의 대상에서 제외하고 있다.
한편 개인정보의 내용에 대해서는 구체적으로 범위를 제한하거나 열거하지 않고 개인에 관한 의견의 표현을 포함하여 개인식별정보로 매우 포괄적으로 정의하고 있다. 영국의 개인정보보호제도에서 특기할 만한 사항은 보호대상을 공공기관뿐만 아니라 개인정보를 수집·보유하거나 변환처리된 정보를 관리하고 있는 민간부문까지를 포함하고 있다는 점이다. 그래서 개인정보의 엄격한 보호를 위한 원칙을 별도로 규정하고 있는데, 이 원칙은 OECD권고의 8개 원칙과 동일한 내용으로 이를 법률로써 인정하고 구체화하였다는 점에서 주목을 끈다. 아울러 다음의 네 가지 사항에 대하여는 특별히 보호를 강조하고 있다.
첫째, 개인정보당사자에 대한 출신(본적, 출생력-嫡庶子關係) 및 인종에 관한 정보,
둘째, 개인정보당사자의 정치적 사상과 종교적 신조에 관한 정보,
셋째, 개인정보당사자의 신체·정신적 건강상태에 관한 정보,
넷째, 개인정보당사자의 형사사건 및 유죄판결과 관련된 정보 등이다.
영국의 사례에서 눈에 띄는 것은 개인정보보호를 위하여 영국여왕이 임명하는 데이터보호등록관을 두고 있다는 점이다. 개인정보를 보유하고 이용하고자 하는 자와 정보서비스를 제공하는 컴퓨터정보회사는 등록관에게 정보이용목적과 정보원의 내용 등을 기재한 등록서류를 제출하도록 함으로써 어떠한 사람도 등록부에 등록하지 않고서는 개인정보를 보유할 수 없도록 하고 있다. 이 데이터 등록관은 등록인에게 데이터보호법에서 규정하고 있는 정보보호원칙을 제대로 준수하도록 감독하는 한편 이를 위반한 정보이용자에 대해서는 등록말소 등의 강제조치를 취할 권한을 가지고 있다. 결국 등록관은 데이터보호법의 운용을 담당하는 공무원인 셈인데, 임기는 5년이다.
그리고 개인정보의 보호 및 관리와 관련하여 이해당사자들의 불복신청을 심리하기 위하여 데이터보호심판소를 설치하고 있는 것도 특기할만 하다. 이 기구는 검찰총장과 협의한 후에 대법관이 임명한 의장과 주무장관이 임명한 위원들로 구성된다.
영국에서는 데이터의 국외로의 전송을 금지시키고 있다. 다시 말해서 개인정보이용자 또는 컴퓨터정보회사를 경영하는 자로 등록된 사람이 당초의 등록서류에 기재된 사항을 위반하여 개인정보를 다른 나라로 이전하는 것을 금지하고 있다. 이런 규정은 정보주체의 이익을 확보하기 위한 제도적 장치로 풀이된다. 이런 맥락에서 개인은 자기의 정보에 대하여 접근권이 인정되고 있을 뿐만 아니라 부정확한 정보에 대해서는 정정 및 말소청구권을 부여하고 있다. 하지만, 국가안전에 관련되는 개인정보를 비롯하여 범죄수사 및 과세자료, 의료·사회사업관련 정보, 그리고 금융업무관련 개인정보 등은 정보당사자에게 정보접근권을 인정하지 않고 있다.
6. 일본 : {행정기관이보유하는전자계산처리에따른개인
정보의보호에관한법률}
일본에서는 1974년부터 정부차원의 개인정보보호문제에 대한 논의가 시작된 이래 OECD의 권고에 영향을 받아 비로소 1988년에 {행정기관이보유하는전자계산처리에따른개인정보의보호에관한법률}을 제정하게 되었다.
이 법은 개인정보 가운데 컴퓨터처리에 의해 작성된 것을 보호대상으로 하고 있다. 특히 컴퓨터에 의한 정보처리를 대상으로 하는 이유 중의 하나는 기록의 대량성, 처리의 신속성, 정보의 집중·검색·결합 및 원격조작의 용이성, 기억과 처리의 불투명성 등이 원인이 되고 있다. 컴퓨터처리의 불투명성은 정보주체인 개인이 쉽게 접근하여 기록에 대한 正·誤의 판단과 발견이 인쇄물에 의한 기록과 비교할 때 월등하게 곤란하며, 국민에게 불안감을 줄 뿐만 아니라 개인에게 권리이익의 침해가 생겨도 이를 쉽게 식별하여 구제를 받기가 곤란하다는 특징을 갖는다.
일본에서는 개인정보보호를 공적 부문인 행정기관만을 대상으로 하고 있다. 따라서 은행, 증권회사, 기타 기업 등에서 사원관리와 고객관리를 위한 개인정보의 수집·보유·이용은 이 법의 규제대상이 되지 않는다.
한편 처리정보는 보유목적외로 사용되어서는 아니되도록 하고 있다. 다만 본인의 동의가 있거나, 본인이 제공할 때, 법률이 정하는 업무수행을 위하여 상당한 이유가 있을 때, 행정기관, 지방공공단체 또는 법률에 의하여 설립된 법인 등이 법률이 정하는 업무수행을 위하여 필요한 한도내에서 사용하고자 하는 상당한 이유가 있을 때, 학술연구의 목적을 위하여 특별한 이유가 있을 때에는 타목적에 이용되는 것을 허용하고 있다.
일본에서는 개인정보의 열람청구권은 누구에게나 주어지고 있지만, 학교성적과 관련된 정보나 병원진료기록사항, 형사사건이나 검찰에서의 처분관련 자료 등에 대해서는 인정되지 않고 있다. 그런데 개인정보의 정확성을 유지하기 위하여 자기 정보에 대한 정정청구권은 인정하고 있다.
Ⅳ. 개인정보보호법에서 개정될 내용에 대한 검토
1. 개인정보보호목적과 관련하여
우리나라의 個人情報保護法은 [개인정보를 생존하는 개인에 관한 정보로서 당해정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보를 말한다]라고 규정하고 있다. 그리고 당해 정보만으로는 특정개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 개인정보의 범주에 포함하고 있다.
뿐만 아니라 공공기관은 개인의 사상, 신조 등 개인의 기본적 인권을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아니된다라고 규정한다. 이를 보면 우리나라의 법이 나름대로 개인정보를 폭넓게 보호하려고 한다는 것을 알 수 있다. 그러나 개인정보보호의 궁극적인 목적이 개인의 사생활보호라고 볼 때에 이에 대한 법명문화 작업이 긴요하다는 지적이다.
또한 개인과 관련되는 그리고 개인을 식별할 수 있는 모든 정보를 개인정보라고 폭넓게 개념정의한 것은 바람직하지만, 이러한 개인정보가 필요하지 않은 경우 삭제하거나 가능한 초기에 익명화하는 등의 보호조치에 관한 규정이 신설될 필요가 있다.
아울러 민감한 정보(지역감정이나 사상시비가 심각한 문제로 인식되는 한)의 구체적인 재분류에 따라 관련정보의 수집과 저장여부를 통제할 수 있는 기관에 의한 감독체계의 구축이 필요하다.
2. 개인정보보호법의 적용범위와 관련하여
정보사회에서 국가를 통한 시민의 감시는 우선 정보조사와 수집을 전제로 한다. 그래서 정보사회에서 개인정보보호에 관한 출발점이 바로 정보조사라는 것을 인식할 필요가 있다. 여기서 정보조사란 관련자에 대한 정보획득이다. 이는 관련자로부터 직접적으로 획득되든, 제3자로부터 획득되든 상관없다. 그렇다면 개인정보를 보호하기 위해서는 개인정보보호법의 적용범위에 정보조사를 포함하는 것은 당연하다. 1990년 개정된 독일의 연방정보보호법에서는 정보조사란 관련자에 관한 정보를 획득하는 것으로 규정하고 있는데, 우연한 획득이나 다른 행동과 결합한 인식은 정보조사로 보지 않고 오로지 관련자를 목표로 하는 정보획득만을 정보조사로 보고 있는 것이다. 개인관련정보는 정보의 조사로부터 처리(저장, 변경, 전달, 삭제, 이용)를 거쳐 익명화될 때 까지 보호되도록 개정되어야만 한다.
우리나라 개인정보보호법은 공공기관에서 "자동정보처리"로부터 개인정보를 보호하고자 하나 개인의 사생활을 정보사회에서 효율적으로 보호하기 위해서는 자동화된 정보처리뿐만 아니라 서류들도 그 적용범위에 포함시켜야만 한다.
따라서 공공기관의 경우에는 원칙적으로 개인정보의 보호가 또한 서류 속의 개인관련정보에까지 확대되도록 개정되어야만 한다. 왜냐 하면 정보자기결정권의 보호목적이 저장수단의 종류와는 상관없이 자신의 정보에 관한 개개인의 결정자유를 보호하는데에 있기 때문이다.
3. 개인정보보호에서 배제되는 정보의 선정기준
개인정보보호에 관한 국제적, 국내적 기준에서 반드시 고려해야 할 기준은 規範明確性原則과 目的拘束原則이다. 규범명확성원칙이란 자신에 관한 정보가 어떤 구체적인 처리목적들을 위하여 필요한지를 해당 개인이 명확하게 인식할 수 있어야만 한다는 것을 뜻한다.
따라서 누가, 언제, 어디에서 어떤 경우에 자기에 관하여 아는지를 관련 시민이 알 수 있도록 보장되어야만 한다. 특히 관련자가 법규정으로부터 그의 개인관련정보가 어떤 구체적인 행정목적을 위하여 필요한지를 명백히 인식할 수 있어야만 한다. 또한 정보처리의 목적구속은 한편으로는 처리목표를 확정하고 다른 한편으로는 정보처리범위를 한정하게 된다. 이에 따라서 필요한 최소한도로 사전에 명백하게 규정된 목적을 위한 정보처리만이 허용되게 되는 것이다.
우리나라의 개인정보보호법은 이상의 두가지 기준을 반영하고 있다. 그러나 우리나라 개인정보보호법은 지나치게 많은 사항을 대통령령 등에 위임함으로써 바로 규범명확성원칙과 목적구속원칙을 위협하는 결과를 낳고 있다. 이미 지적한 바와 같이 규범명확성원칙은 개인관련정보를 이용하는 목적과 범위의 구체성과 정확성을 법률상에 규정될 것을 요구한다.
이러한 맥락에서 보면 우리나라의 개인정보보호법에서 적용배제규정이 지나치게 많은 것은 커다란 문제가 아닐 수 없다. 예를 들어 국가안전보장을 목적으로 수집되는 정보에 관해서는 개인정보보호법의 적용을 배제하고 있다. 또한 개인정보화일을 보유하고자 하는 기관은 이를 반드시 사전에 총무처장관에게 통보해야만 한다고 규정하고 있으나 다시 제2항에서는 그 적용배제사유를 광범위하게 규정하고 있다. 뿐만 아니라 적용배제되는 사항을 대통령령으로 정할 수 있도록 하는 등의 지나친 위임으로 시민들은 본의의 어떤 정보에 관하여 어떤 국가기관이 처리, 저장하고 있는지를 파악하기가 매우 어렵다. 더욱이 법적용이 배제되는 경우에 어떤 보호대책이 확립되어야 하는지에 관해서도 주의깊은 배려가 이루어져야 함에도 불구하고 이에 대한 규정이 전혀 없거나 행정부에 위임하는 것은 문제가 있다는 지적이다.
4. 잘못된 개인정보에 대한 수정·보완·삭제권의 신설
한편 우리나라의 개인정보보호법에 따르면 관련개인은 본인에 관한 처리정보의 열람을 청구할 수 있고, 잘못된 정보에 관하여 정정을 요구할 수 있으며 이에 대한 요구가 받아들여지지 않을 경우에 행정심판을 청구할 수 있도록 하고 있다.
그러나 관련개인의 권익보호차원에서 볼 때 프랑스의 정보보호법에서 규정하고 있는 바와 같이 자신에 관한 기록접근권 및 이에 관한 설명을 들을 권리, 잘못된 정보에 대한 수정권, 보완권, 삭제권 등을 인정하는 등의 조치가 필요하다. 왜냐하면 개인정보보호를 보다 적극적으로 실현하기 위해서는 개인에게 열람권과 정정권을 인정하는 것만으로 충분하지 않기 때문이다. 다시 말해서 왜 자신에 관한 정보를 조사, 처리, 이용하였는지, 누구에게 어떻게 전달하였는지에 관하여 설명을 들을 권리가 관련개인에게 인정되는 것이 열람권 못지 않게 중요하다. 그리고 잘못된 정보에 관하여 정정할 권리뿐만 아니라 삭제권과 보충권이 인정되어야만 하며 해당 정보의 내용에 관하여 국가기관과 해당 개인간에 의견충돌이 발생하였을 때에는 해당 개인의 진술내용이 기록에 첨부될 수 있도록 하는 장치도 마련될 필요가 있다. 이러한 장치와 관련해서는 정보보호위원회나 별도의 통제기관을 통해 분쟁조정이나 설명과 삭제명령 등의 기능을 맡도록 하는 방안도 고려해 볼 수 있을 것이다.
5. 자동호출절차와 관련하여
우리나라의 개인정보보호법은 자동호출절차와 관련해서도 제기되는 문제를 안고 있다. 예를 들면 지난 1997년 10월 국정감사를 위해 경찰청이 국민회의 김충조의원에게 제출한 자료에서도 나타나는 바와 같이 경찰전산망을 이용할 수 있는 조회용단말기는 외무부 82대, 검찰 72대, 안기부 67대, 국방부 60대 등 8개 정부기관에서 284대를 설치하여 운용중이다. 이 기관들은 1994년부터 최근까지 경찰전산망을 통해 1천5백22만여 차례에 걸쳐 주민등록과 범죄경력조회 등의 개인정보를 열람한 것으로 나타났다. 김의원은 각 기관의 경찰 전산망을 이용하려면 이용목적을 명시한 문서로 전산조회를 요청해 디스켓 등으로 결과를 제공받아야 하나 경찰이 아예 단말기 설치를 허용함으로써 국민의 인권을 침해하고 있다고 지적했다.
이렇게 온라인을 통하여 개인이 한 행정기관에게 자신에 관한 정보를 제공하하는 것은 모든 국가기관들에게 자신에 관한 정보를 제공하는 것과 같기 때문이다. 이렇게 되면 관련개인은 자신의 정보를 누가, 어떤 목적으로, 얼마만큼 처리, 이용, 전달하는지를 파악하고 통제한다는 것은 처음부터 불가능하게 된다.
따라서 개인정보를 보호하기 위하여 가장 시급한 것이 바로 이렇게 컴퓨터의 연결을 통하여 자동적으로 정보를 조회, 처리하는 것을 통제하는 규정을 두어야만 한다는 것이다. 이러한 자동호출절차로부터 개인정보를 얼마만큼 보호하느냐에 따라서 바로 개인정보보호법의 효율성 여부를 판단할 수 있다고 해도 과언이 아니다.
따라서 미국의 자동호출에 관한 특별법이나 독일처럼 개인정보보호법 속에 이에 관한 규정을 신설해야만 한다. 특히 자동호출을 허용하는 경우에 호출절차의 사유와 목적, 정보수령인, 전달되는 정보의 종류 등에 관하여 해당 기관은 서면으로 이를 기록하고 이 기록을 정보보호위원회와 같은 통제기관이 감독할 수 있어야만 한다는 내용이 규정에 명문화 되어야 한다.
6. 개인정보보호대상에 민간영역의 포함과 관련하여
우리나라에서 개인정보보호법을 제정할 때에 법집행의 실효성과 사적 부문의 자율성보장이라는 측면에서 사적 부문을 정보보호법의 적용대상에서 제외시켰다. 그러나, 우리나라 개인정보보호법 제22조는 공공기관외의 개인 또는 단체는 컴퓨터를 사용하여 개인정보를 처리함에 있어 공공기관의 예에 준하여 개인정보의 보호를 위한 조치를 강구하여야 하며, 관계 중앙행정기관의 장은 개인정보의 보호를 위하여 필요한 때에는 공공기관외의 개인 또는 단체에 대하여 개인정보의 보호에 관하여 의견을 제시하거나 권고할 수 있도록 규정하고 있다.
정보화사회가 되면서 금융정보, 신용정보, 노동자의 개인정보, 의료정보 등과 심지어는 유전자정보의 이용이 활성화됨에 따라 사적 부문에서도 개인정보보호의 필요성이 그 어느때보다 높아지고 있는 것이 사실이다.
현재 우리의 경우에는 {신용정보의이용및보호에관한법률}등이 제정되어 있는데 이 법률은 신용정보의 효율적 이용과 체계적 관리를 통해 신용정보의 오용과 남용으로부터 개인사생활의 비밀을 보호하는 것을 목적으로 하고 있다. {금융실명거래및비밀보장에관한긴급재정명령} 등을 통하여 특정인의 금융정보가 보호되도록 규정하고 있으나 여전히 금융정보의 전산화와 금융기관의 전산망 연결을 통한 개인정보의 유출가능성이 큰 만큼 이에 대한 개선책 마련이 시급하다.
7. 국외로의 개인정보전송과 관련하여
끝으로 이미 영국의 사례에서 본 바와 같이 우리의 경우에도 국외로의 개인정보전송을 규제하는 방안이 마련되어야 한다는 점을 지적하지 않을 수 없다. 최근에 강력하게 가해지고 있는 시장개방압력과 외국의 다국적 기업들의 국내시장의 잠식방법이 소비자고객에 대한 직접적인 유인전략에 의존하고 있는 경향에 비추어 볼 때 더욱 심각한 문제로 떠오르고 있다. 이러한 일련의 상황을 감안하여 개인정보의 전산처리자료가 이들 외국기업과 정부 및 정보처리회사 및 정보기관 등에 전달됨에 따라 발생하게 될 피해를 거시적인 관점에서 평가하여 이에 대한 제도적 장치를 마련하는 노력이 수반되어야 할 것이다.
Ⅴ. 맺음말
정보화사회를 촉진시키는 정보·통신기술의 비약적인 발전은 정치, 경제, 사회, 문화, 기술 등의 전영역에서의 편익을 증대시키고 있다. 심지어 정보화는 국가경쟁력의 주요요소가 되기까지 하면서 정보기술의 고도활용이 없이는 국가발전마저 기대하기 어려운 시기에 봉착하게 되었다. 그래서 정보화는 국가정책의 전략적 선택의 문제가 되었다.
그러나 이러한 정보화에도 명암이 있게 마련이다. 이 글에서는 정보화의 ‘明’보다는 ‘暗’에 주목하고 정보의 자유로운 유통의 부정적 효과로 지적될 수 있는 개인의 사생활침해를 예방할 수 있는 법적 장치로서의 {공공기관의개인정보보호에관한법률}의 개정문제를 살펴보았다. 정보화가 촉진되면서 개인정보에 의한 사생활침해의 양태는 더욱 다양화할 것이고 그 침해의 심각성 정도 역시 종전에 비해 더욱 더해 갈 것으로 예견된다.
이러한 전망을 토대로 현행의 법률체계에서의 개정되어야 할 부분과 관련하여 크게 다음의 일곱가지 문제를 검토하여 보았다. 첫째는 개인정보보호법의 목적이 개인의 사생활보호에 있다는 점을 명시적으로 규정화하는 작업이 필요하다는 점이다. 둘째는 개인정보보호법의 적용범위와 관련하여 정보조사를 포함하는 문제이다. 셋째는 개인정보보호 대상에서 배제되는 정보를 어떤 기준에서 선정할 것인가에 대하여 규범명확성원칙과 목적구속원칙을 지적하였다. 넷째는 잘못된 개인정보에 대한 수정·보완·삭제권을 인정하는 조항의 신설을 언급하였다. 다섯째는 자동호출절차의 문제가 새로 법이 개정되는 경우에 검토해야 한다는 점이다. 여섯째는 개인정보보호대상에 민간기관의 개인정보를 포함시켜야 하는 문제이다. 끝으로 국외로의 개인정보전송에 대한 대책을 고려해야 한다는 점이다.
2000-05-02
