개인정보 오·남용 실태와 법제도적 대응방향
http://www.kisa.or.kr/news/reverse_function/topic5.htm
鄭 燦 模
1. 머리말
정보처리기술의 비약적 발전은 개인의 사적인 자유영역에 심각한 위협을 가하고 있다. 정부와 기업은 엄청난 정보처리능력에 힘입어 개개 국민 또는 개개 소비자의 개인정보를 축적할 수 있고 또 축적하고자 한다.
개인정보란 개인의 정신, 신체, 재산, 사회적 지위, 신분 등에 관한 사실·판단·평가를 나타내는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보를 말한다. 예컨대, 개인이 언제 어디서 누구를 만나 무엇을 하였는지, 어떤 소비성향을 가지고 있는지, 누구와 어떠한 내용의 금융거래를 하였는지, 어떤 병력을 가지고 있는지 등에 관한 수많은 개인정보가 컴퓨터에 의하여 쉽게 포착되고 무한대로 저장·처리·확산될 수 있다.
미 연방거래위원회(Federal Trade Commission) 의회보고(‘98.6.4)에 따르면 인터넷상의 웹사이트를 대상으로 한 조사에서 85%가 신용카드번호, 생년월일, 소득, 성별, 병력 등 개인정보를 요구하고, 14%만이 수집된 개인정보의 사용목적을 고지하며 2%만이 개인정보보호를 위한 조치를 완벽하게 준수하고 있다.
개인정보의 오·남용에 따른 피해도 증가하고 있다. 인터넷에서 타인의 신용카드 번호를 알아내어 물건을 구매하는 사건이 하루 1∼2건, 많게는 10여건에 이르며, 피해액도 한 달에 5백여만원에 달한다(서울신문 ‘97.11.19). 검찰은 「공공기관의개인정보보호에관한법률」 위반과 관련하여 ’97년 28건 65명을 입건하여 19명을 구속하였고, ’98년에는 24건 85명을 입건하여 8명을 구속하였다.
무단 광고성 전자우편(spam)은 유출된 전자우편 주소를 비롯한 개인정보를 무분별하게 직접판매의 수단으로 이용하는 예이다. 이러한 인터넷상의 무단광고 메일은 이용자를 성가시게 할 뿐만 아니라 인터넷 서비스업체들이 무단광고와 관련된 인터넷주소로부터 송신되는 전자우편을 무조건 차단하여 고객들에게 불이익을 가져다 줄 가능성이 있는 등 인터넷 산업발전을 저해한다.
인터넷 이용자의 프라이버시에 대한 관심도 높아가고 있다. 미국 비지니스위크 조사(‘98.3.)에 따르면 인터넷 전자상거래를 자제하는 소비자의 기피이유 중 하나는 자신의 개인정보 및 통신정보의 유출에 대한 우려라고 한다.
인터넷 프라이버시 보호는 인터넷을 이용하는 이용자들의 개인정보가 함부로 오·남용되는 것을 막음으로써 개인의 존엄과 인격이 훼손될 수 있는 가능성을 줄이고 이용자들이 안심하고 인터넷을 이용할 수 있게 함으로써 그 이용촉진에도 기여하게 될 것이다.
2. 국내 법제도 개관
국가 등 공공기관의 컴퓨터에 의해 처리되는 개인정보가 주요 보호 대상인 「공공기관의개인정보보호에관한법률」이 1994년 제정되었다. 종래 전산망법을 전면 개정하여 1999년 통과된 「정보통신망이용촉진등에관한법률」은 개인정보보호관련 규정을 확충하여 정보통신서비스제공자의 정보 수집, 취급, 이용, 제공에 있어서 프라이버시 보호의무를 규정하고 정보주체의 자기 정보 통제권을 강화하는 한편 무단으로 광고성 정보를 전송하는 행위를 금지하고 있다. 본고 제4장에서 상술한다.
기타 다음과 같은 법률이 프라이버시 관련 규정을 갖고 있다.
⁚ 신용정보의이용및보호에관한법률
⁚ 금융실명거래및비밀보장에 관한 법률
⁚ 전기통신사업법, 통신비밀보호법
⁚ 전자서명법, 전자거래기본법, 의료법 등
3. 외국 현황
(1) OECD 및 유럽평의회의 동향
OECD는 1980년 ‘사생활보호와 개인정보의 국제적 유통에 관한 지침’을 채택하여 프라이버시 보호를 위한 8개 원칙을 제시했으며 이 원칙들은 각국의 개인정보보호법률에 중요한 영향을 끼쳤다.
1998년 10월 OECD 오타와 각료회의는 범세계적 네트워트 상의 프라이버시 보호를 위한 국제적 차원의 행동강령을 채택하여 프라이버시의 중요성을 재확인하였으며, 1980년 가이드라인의 8원칙이 인터넷 프라이버시 보호의 기본이 됨을 인정하고, 각국 정부와 민간이 네트워크 환경에서 효율적 프라이버시 보호를 위해 노력할 것을 촉구하였다.
OECD 정보, 컴퓨터, 통신정책위원회(ICCP)는 1999년에 ‘범세계적 네트워크상에서 OECD 프라이버시 가이드라인을 실행하고 집행할 프라이버시 보호 제도 및 장치(법, 자율규범, 계약, 기술 등)에 관한 인벤토리’ 등을 발표하였다.
한편, 유럽평의회(Council of Europe)는 1999년 인터넷에서의 프라이버시 보호를 위한 각료위원회 권고 No. R(99)5로 「정보고속도로에서 신상정보의 수집처리와 관련한 개인의 보호를 위한 가이드라인」을 채택하였다.
(2) 주요 국별 동향
1) EU
인터넷과 같은 공개된 전자네트워크상의 프라이버시 보호 문제는 1995년 채택한 ‘개인자료의 처리 및 자유로운 이전에 관한 개인정보 지침’ 및 1997년 ‘정보통신부문에 있어서 개인정보의 처리 및 프라이버시 보호에 관한 지침’ 에 의해 규율된다.
동 지침은 EU 수준으로 적절하게 개인정보를 보호하지 않는 국가로는 개인자료의 이전을 금지하고 있어 EU 국가들과 교역하는 다른 국가들에게도 중요한 의미를 가진다.
각 회원국은 위 지침을 이행하기 위한 국내입법의 정비를 1998년 10월까지 완료하여야 했다. 영국의 1998년 데이터보호법(Data Protection Act 1998)도 이러한 배경에서 입법이 추진되어 1998년 1월 의회제출, 1998년 7월 16일 국왕인준(Royal Assent)을 획득하였다. 하지만 충분한 여론 수렴과정을 거치기 위해 1999년 후반에야 시행령의 제정과 함께 시행될 것으로 예상된다.
영국 데이터보호법상 제8원칙은 유럽경제지역(EEA) 이외의 제3국이 개인정보 처리에 있어 정보주체의 권리와 자유를 "적절한 수준"으로 보호하지 않는 경우 그 국가로 개인정보를 이전해서는 안된다고 규정하고 "적절한 수준"의 보호여부를 결정할 때 고려사항으로 다음을 열거하고 있다.
– 개인정보의 성격
– 데이터에 포함된 정보의 원천 국가, 정보를 제공받는 국가
– 정보가 처리되는 목적 및 기간
– 해당국가의 현행 법령 및 국제적 의무
– 해당 국가에서 집행가능한 관련 행동규칙(codes of conduct) 기타 지침
– 데이터보호를 위해 취해진 안전조치
다음의 경우에는 정보이전이 제약받지 않는다
– 정보이전에 대한 정보주체의 동의가 있을 때
– 처리가 정보주체가 당사자인 계약의 이행을 위하여 혹은 정보주체의 요청에 의한 계약체결을 위하여 필요한 경우
– 상당한 공익상의 이유로 정보이전이 필요한 경우
– 소송, 법률자문, 기타 법적 권리의 행사 및 보호를 위하여 필요한 경우
– 정보주체의 중요한 이익을 보호하기 위하여 이전이 필요한 경우
– 公簿에 등록된 데이터로서 이전 후에 정보를 제공받는 사람이 公簿 열람의 제 조건을 준수하는 경우
– 정보보호관(the Commissioner)이 정보주체를 보호하기에 적절한 조치로서 승인한 것과 동등한 조건으로 이전되는 경우
유럽연합 역내 다른 회원국의 EC지침 이행 현황은 다음과 같다.
회원국
입법 현황
차기 조치
벨기에
이행입법 의회 통과.
1999.2.3 관보에 게재
덴마크
민간등록법(Civil Registration Act) 개정으로 부분이행
입법안 L 44 제출중
2회독
독일
아직 의회절차가 개시되지 않았음.
지방차원에서도 입법조치가 필요함
정부 입법안을 준비중
스페인
기존 "Ley Organica"의 개정안이 제출되어 의회 심의 중
의회 채택이 예상됨
프랑스
의회절차 미개시
정부 입법안을 준비중
그리스
1997.4.10일 이행입법 2472 채택
이태리
1996.12.31 법 675의 시행령 채택
아일랜드
1998.6 국무회의에 정부안 상정
의회 제출
룩셈부르크
정부안 작성중
의회 제출
네덜랜드
1998.2.16 제2원에 법안 제출
의회(제1, 2원) 채택
오스트리아
1999.3 입법안 의회 제출
의회 심의
포르투칼
1998.10.26일 법 67/98로 이행
스웨덴
1998.4.29 SFS 1998:204, 시행령 1998:1191로 이행
핀랜드
1999.2.10 입법안 의회 채택
1999.5.1 발효
영국
1998 데이터보호법
시행령 작업 중
영국 1998년 데이터보호법이 개인정보보호에 관한 일반법이라면 「1998년 정보통신상의 개인정보보호규칙」은 특별법에 해당한다. 1998년 데이터보호법이 EC 지침 95/46/EC를 이행하기 위한 입법이듯이 1998년 정보통신상의 개인정보보호규칙은 EC 지침 97/66/EC를 이행하기 위한 것이다. 후자의 경우에도 각 회원국은 1998년 10월 24일 까지 이행입법을 정비하도록 하고 있다.
「1998 정보통신상의 개인정보보호규칙」의 주요 내용은 다음과 같다.
가. 직접판매 목적으로 녹음된 메시지를 전하는 자동콜링시스템을 이용함은 수신자의 사전 동의가 없는 한 금지된다. 또한 직접판매 목적으로 개인에게 자동으로 팩스를 송신함은 금지된다.
나. 불요청 광고물의 송신을 거부하는 의사를 수신인이 통보하였거나, 그러한 의사를 통신국장(Director General of Telecommunications)이 관리하는 거절자명부에 등재하였음에도 그 회선에 불요청 광고를 팩스 송신함은 금지된다.
다. 직접판매 목적의 불요청 전화를 거부하는 의사를 수신인이 통보하였거나, 그러한 의사를 통신국장이 관리하는 거절자명부에 등재하였음에도 그 회선에 직접판매 목적으로 전화함은 금지된다.
라. 직접판매 목적으로 전화나 팩스를 이용하는 자는 자신의 이름과 주소 혹은 무료 전화번호를 제공하여야 한다. 회사에 소속된 경우에는 회사의 이름을 대야하며 수신인이 요청하는 경우 송신인 개인의 주소 혹은 무료 전화번호를 제공하여야 한다.
마. 텔레마케터가 통화일로부터 28일 이전의 기간에 확인한 거절자 명부에 기재되지 않은 회선에의 직접판매에 대해서는 책임을 지지 않는다.
바. 이 법 위반으로 손해를 야기한 경우에는 모든 주의의무를 다하지 않은 한 배상의 책임이 있다.
사. 이 규칙은 데이터등록관(정보보호관)이 등록 여부를 묻지 않고 1984년(1998년) 데이터보호법에 규정된 집행 권한을 이용하여 집행한다. 통신국장이나 이해관계인의 요청 혹은 직권에 의해서 데이터등록관은 그 기능을 수행한다. 데이터등록관이 기능 수행과정에서 통신과 관련한 기술적 기타 지원을 요청하는 경우 합리적 요청인 경우 통신국장은 이에 응해야 한다.
2) 미국
미국의 프라이버시 관련 입법은 포괄적인 입법보다는 부문별 입법으로서, 연방행정기관의 개인정보취급 원칙을 규정하는 프라이버시법(1974), 예산관리국의 정보규제사무국의 정보수집 요청을 규정하는 문서감축법(1980), 연방데이터베이스 자료의 상호비교 및 합성을 위한 요건을 규정하는 컴퓨터연결및프라이버시보호법(1988) 등이 있다.
이러한 연방법의 제정 이외에 개인정보는 주로 주법과 판례에 의해 보호되며, 피해자의 소송에 의해 사후적으로 개인정보의 수집, 처리 활동을 억제하고 있다. 미국에서는 기본적으로 업계자율의 프라이버시 정책을 견지하고 있다. 민간단체에 의한 활발한 프라이버시 운동이 이러한 자율적 법운영을 뒷받침하는 것으로 이해된다.
3) 전자상거래와 개인정보보호
전자상거래에 관한 WTO의 논의 주제로 개인정보보호를 포함시키기로 함에 따라 개인정보보호 방식의 차이가 통상마찰로 비화함을 방지하고 국제적인 조화를 이루려는 노력이 가속화되고 있다. 미국과 EU는 개인정보의 국제적 유통에 있어 프라이버시 보호에 관한 "안전항" 방안("safe harbor" arrangement)에 대해 실무 차원의 의견 접근을 보고 있다.
이는 미 상무부에서 EU 지침 수준의 개인정보보호 원칙을 발표하고 이를 준수하는 기관들의 명부를 보유하며, EU는 역내 개인정보가 이들 "안전항"에 입항한 미국 기관에게 제공되는 것을 공식적으로 승인하는 방안이다.
(3) 개인정보보호 인증마크제도
미국에서는 97년부터 개인정보보호와 관련 일정 조건을 충족하는 인터넷쇼핑몰 업체에 "트러스트-e (TRUST-e)" 인증마크를 수여하고 있다. 코머스넷(CommerceNet)과 EFF(Electronic Frontier Foundation)가 중심이 되어 시행중인 이 제도는 온라인 쇼핑몰 업자들에게 표준화된 프라이버시 준수 운영방안 등을 제시, 사업자들로부터 호응을 얻고 있다.
– 인증마크
<인증표시> <검증처리표시> <소비자신고표시>
일본은 98년 4월 우정성 산하 일본데이터통신협회의 개인정보보호 등록센터에서 개인정보보호에 적극적인 사업자들의 등록을 받아 인증마크를 부여하고 있다. 일본 통산성은 이와 별도로 2000년부터 인터넷 전자상거래 사업자에 대한 온라인마크 제도를 도입할 계획이다.
우리 정부는 1999년 8월 시행된 ‘인터넷 모범상점 인증제도’의 주요 평가항목에 개인정보보호를 포함하였다. 여기서 나아가 민간기구 중심으로 개인정보보호 전문인증마크 도입을 추진할 가치가 있다.
4. 정보통신망법 중 개인정보보호 관련 규정
2000년 1월 1일부터 다음 규정이 시행된다.
(1) 누구에게 적용되나?
전기통신사업법상 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
(2) 다른 법률과의 관계
공공기관의개인정보보호에관한법률의 적용을 받는 공공기관에 대하여는 이 법을 적용하지 아니한다.
(3) 개인정보보호원칙
1) 개인정보의 수집 및 취급
①정보통신서비스의 제공에 필요한 최소한의 정보를 수집하여야 한다.
②당해 이용자의 동의를 받아야 한다. 다만, 서비스 이용계약의 이행을 위하여 필요한 경우와 요금정산을 위하여 필요한 경우에는 예외이다.
③제2항의 규정에 의한 동의를 받고자 하는 경우에는 미리 다음 사항을 이용자에게 고지하거나 정보통신서비스 이용약관에 명시하여야 한다.
1. 개인정보 관리책임자의 소속·성명 및 전화번호 기타 연락처
2. 개인정보의 수집목적 및 이용목적
3. 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공할 정보의 내용
4. 이용자의 권리 및 그 행사방법
5. 기타 대통령령이 정하는 사항
④정보통신서비스제공자는 수집된 이용자의 개인정보를 취급함에 있어서 안전성 확보에 필요한 기술적 조치 등을 강구하여야 한다.
2) 개인정보의 이용 및 제공의 제한
①정보통신서비스제공자는 이용자의 개인정보를 고지 또는 명시한 범위를 초과하여 이용하거나 제3자에게 제공하고자 하는 때에는 미리 당해 이용자의 동의를 받아야 한다.
②정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 제공받은 목적외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니된다.
③개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체없이 파기하여야 한다.
④정보통신서비스제공자는 개인정보 관리책임자를 지정하고 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.
⑤이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게 된 개인정보를 타인에게 누설하거나 제공하여서는 아니된다.
3)이용자의 권리
①이용자는 언제든지 동의를 철회할 수 있다.
②이용자는 자신의 개인정보에 대한 열람을 요구할 수 있으며, 오류가 있는 경우에는 그 정정을 요구할 수 있다.
③정보통신서비스제공자는 이용자가 철회, 열람 또는 정정 요구를 하는 경우에는 지체없이 필요한 조치를 취하여야 한다.
④정보통신서비스제공자는 이용자로부터 오류의 정정 요구를 받은 경우에는 그 오류를 정정할 때까지 당해 개인정보를 이용하여서는 아니된다.
(4) 벌칙 및 과태료
이용자의 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공한 자, 타인에게 누설하거나 제공한 자는 1년 이하의 징역 또는 1천만원이하의 벌금에 처한다.
기타 개인정보 최소수집의 의무, 고지의무, 동의의 의무를 위반한 자, 목적을 달성한 개인정보를 파기하지 아니한 자, 개인정보 관리책임자를 지정하지 아니한 자, 개인정보의 오류를 정정하지 아니하고 이를 이용한 자는 500만원이하의 과태료에 처한다.
개정법은 정보주체에게 자신의 정보에 대한 접근권과 정정권을 부여함으로써 개인정보의 정확성을 확보하고 오·남용가능성을 막고자 하였다. 이러한 접근방법은 정보주체 자신에 의한 통제모델을 채택한 것이라고 하겠다. 따라서 개정법의 실효성은 무엇보다도 정보주체의 프라이버시에 대한 인식과 의지에 달려 있다. 시민의 인식제고를 위한 교육과 홍보활동이 중요한 의미를 지닌다.
5. 개선방향
(1) 「정보통신망이용촉진등에관한법률」 및 「통신비밀보호법」 등과 같은 현행법상 개인정보보호 관련 규정의 실효성 있는 준수를 확보한다. 특히 기업내부에서 사원의 이메일을 검열하려고 하는 것은 우려할만한 상황이다.
(2) 현행 개인정보 관련법상 사각지대에 대한 대응
공공기관, 정보통신서비스제공자 이외의 자로서 개별 법령의 적용대상이 아닌 기업 등의 개인정보 수집 및 처리 등에 현행법을 유추 적용하거나, 민간 및 공공부문, 컴퓨터 처리 및 수기 처리를 포괄하는 일반법 제정을 장기적으로 검토한다.
(3) 개인정보보호를 위한 감독 기구 설치
개인정보보호의 오랜 역사를 지닌 유럽 각국이 얻은 결론은 개인정보보호의 성패는 효율적 감독기관에 달렸다는 것이다. 감독기관은 상대적으로 열세에 있는 정보주체의 권리를 보호하기 위한 책임을 지며, 감시기능을 통해 분쟁의 소지를 사전에 제거할 수 있다.
사업자 및 이용자를 대상으로 한 개인정보보호 홍보 및 교육을 실시하며 개인정보보호에 관한 인터넷 홈페이지를 작성하여 기술적·관리적 정보를 제공함과 아울러 개인정보침해 신고 창구로 운영한다.
(4) 민간의 암호이용 보장
인터넷과 같은 개방네트워크에서 개인정보를 보호할 수 있는 암호기술의 개발 및 자유로운 이용을 보장하는 법률의 제정이 검토되어야 한다. 프랑스, 영국, 독일 등은 개인정보보호와 전자상거래 안전성 확보를 위한 민간의 암호기술 이용의 자유를 보장하는 입법계획을 밝히고 있다. 암호기술의 이용제한은 필요한 최소한의 범위에 그쳐야 한다.
(5) 개인정보이용약관에 대한 지침 마련
신용카드 발급이나 전자상거래시 개인정보의 유출에 동의하지 않고는 카드발급이나 거래 자체가 불가능한 경우가 많으므로 실질적인 선택이 가능하도록 개인정보사용동의에 관한 약관 지침을 마련한다.
제공되는 서비스가 기본서비스에 해당하는 경우에는 개인정보이용허락을 서비스제공의 조건으로 삼지 못하도록 하되, 해당 서비스가 부가서비스에 해당하는 경우에는 허용하여도 될 것이다.
(6) 불요청 광고통신 거절 명부제 도입
직접판매업자 또는 텔레마케터들에게 정기적으로 열람하여 명부에 게재된 거절자 주소 혹은 전화, 팩스, 전자우편 번호로는 광고성 정보를 보내지 못하도록 한다.
6. 맺음말
오늘날 개인정보보호의 사회적·규범적 요청이 아무리 강하다 하더라도 이를 절대시하는 것은 위험한 발상이다. 개인정보보호법제를 마련함에 있어서는 또 다른 대립되는 가치에 대한 고려도 함께 하여야 한다. 즉, 정보사회에서 ‘개인정보보호의 가치’ 못지 않게 ‘개인정보처리의 요청’도 무시할 수 없는 가치이다. 이러한 ‘개인정보처리의 요청’은 그것이 기술적으로 충분히 가능하게 되었다는 현실적 배경을 가지고 있는 것이긴 하나, 보다 중요한 것은 그러한 "자원배분의 효율성"이라는 정당한 요구에 바탕을 두고 있다는 점이다. 현대의 복지국가가 복지정책을 효과적으로 시행하기 위해서는 무엇보다 복지수혜자에 대한 정확한 정보가 요구된다. 또한 경제영역에 있어서도 각 경제주체들이 경제적 결정을 함에 있어서 개인정보처리는 그 효율성의 전제조건이 되고 있다. 재화 및 서비스에 대한 정확한 수요자를 발견하는 것은 전체경제에 있어서도 자원배분의 효율성을 촉진시키며, 개인 소비자에게도 커다란 이익이 될 수도 있는 것이다. 결국 개인정보보호법제는 ‘개인정보보호의 가치’와 ‘개인정보처리의 가치’를 어떻게 조화시키느냐에 그 관건이 있다고 하겠다.
2000-05-02