3월 10일 헌법재판소는 대통령 파면을 선고했다. 그리고 이제 본격적인 대선 정국이다. 5월 9일 대선이 끝나면, 새 정부가 들어설 것이다. 그런데 통상 대선 이후 꾸려지는 인수위원회에서 차기 정부조직에 대한 논의가 이루어지는데 반해, 대통령 탄핵으로 조기대선이 실시되는 올해는 인수위원회 없이 출범하게 될 전망이다. 이 때문에 차기 정부의 조직개편에 대한 논의와 준비가 대선 이전부터 시작될 필요가 있다.
미래창조과학부는 차기 정부에서 폐지될 조직 1순위로 지목되고 있다. 그래서인지 올해 초부터 한국방송학회, 한국언론정보학회, 미방위 소속 국회의원 등이 방송, 통신, 미디어 관련 조직개편 방안에 대한 토론회를 개최하며 다양한 제안을 쏟아내고 있다. 그런데 이 제안들에서 별로 고려되지 못하고 있는, 그러나 매우 중요한 이슈가 있다. 개인정보 감독 체제의 개편 문제이다.
4차 산업혁명과 개인정보보호
개인정보 보호 문제는 올해의 유행어가 된, 소위 ‘4차 산업혁명’의 핵심적 이슈 중 하나가 될 것이다. 각 대선주자들은 저마다 4차 산업혁명을 이끌 적임자라고 하면서 주요 공약으로 제시하고 있다. 문재인 후보는 대통령 직속 ‘4차 산업혁명위원회’ 설치와 스타트업 육성을 위해 중소기업청을 중소벤처기업부로 승격하겠다는 공약을 내세우고 있고, 안철수 후보는 각 지역에 특화한 첨단기술 산업단지 육성과 4차 산업혁명 시대에 맞는 교육 개혁을 외치고 있다. 이 기회를 틈타 경제지들은 규제의 덫 때문에 4차 산업혁명이 발목잡히고 있다며, 우선 규제프리존법 통과로 진정성을 입증해보라고 압박하고 있다.
분명 불필요한 규제도 많고, 정부주도 산업육성 전략도 문제다. 인터넷 실명제, 게임 실명제, 공인인증서와 같이 ‘정부 후견주의’적 시각으로 불필요하게 정부가 나서는 규제는 폐지될 필요가 있다. 장기적 전략없이 유행에 따라 특정 산업을 육성하겠다고 나서는 보여주기식 사업도 지양되어야 한다. 그러나 규제프리존법과 같이 규제 자체를 혁신의 덫으로 보는 관점은 문제가 있다. 특히 개인정보 보호 문제는 소위 ‘4차 산업혁명’의 결과 우리가 어떤 사회를 만들고 싶은지에 관한 중대한 문제다.
인공지능, 사물인터넷(IoT), 빅데이터 등의 이슈는 모두 연결되어 있다. 기존에는 데이터가 아니었던 우리의 삶과 주변 환경이 데이터로 전환되고, 이렇게 형성된 방대한 데이터의 처리에 기반한 서비스가 등장한다. 소비자 개인에 최적화된 서비스의 개발을 위해서도 소비자의 상태, 취향, 환경, 활동과 관련된 정보가 더 많이 수집될 수밖에 없다. 자신의 개인정보에 대한 정보주체의 통제권이 적절하게 보장되지 않는다면, 내게 최적화된 편리한 서비스 제공이라는 명분으로 나도 모르는 사이에 개인정보가 수집되고, 분석되며, 기업들 간에 공유될 수 있다. 이를 통해 기업들이 소비자들의 행동 양식을 통제하거나, 차별할 수 있고, 이렇게 누적된 개인정보는 국가 감시에도 활용될 수 있다. 새로운 기술들이 우리의 삶의 방식을 근본적으로 변화시킬지 모르는 시대의 문턱에서 어떠한 원칙에 따라 개인정보를 처리하고, 정보주체의 권리를 보호할 것인지 고민해야 하는 이유가 여기에 있다.
반쪽짜리 개인정보보호위원회
디지털 정보사회에서 정보주체의 권리 보호를 위한 핵심적인 제도의 하나가 ‘개인정보 감독기구’이다. 개인정보 제공에 대한 정보주체의 동의권이나 정보수집자가 내 개인정보를 어떻게 처리하고 있는지 알 권리 등은 당연히 보장되어야 하지만, 개인 정보주체가 자신의 개인정보가 어떻게 관리되고 있는지 사실상 통제하는 것은 불가능하다. 그 대신 ‘개인정보 감독기구’가 정부와 기업 등 정보수집자를 감독하고, 피해를 구제하며, 사회 변화에 따른 효과적인 개인정보 보호 방향을 제시하는 역할을 해야 한다.
한국에서는 2011년에 개인정보보호법이 제정되면서, 개인정보 감독기구로서 ‘개인정보보호위원회’가 설립되었다. 이는 참여 정부 당시부터 시작된 시민사회의 오랜 노력 끝에 만들어진 것이지만, 개인정보보호위원회는 독립성과 권한이 제한적인 반쪽자리 기구이다. 이는 그 이전부터 개인정보 업무를 주무하고 있던 행정자치부의 조직 이기주의와 타협한 결과였다.
여전히 개인정보보호법의 주무부처는 행정자치부로 되어 있다. 개인정보보호위원회는 개인정보 관련 사안이나 정책에 대한 심의, 의결권을 갖고 있지만, 개인정보 실태조사, 침해 신고 접수, 시정조치 명령, 고발 및 징계권고 등의 권한은 행정자치부가 가지고 있다. 그나마 2014년 카드3사에서 1억 5백만건 개인정보 유출사고 이후 국회 상임위 등에서 개인정보 보호 컨트롤타워 부재에 대한 문제점이 지적됨에 따라, 개인정보 분쟁조정, 기본계획 수립 기능이 행정자치부에서 개인정보보호위원회로 이관되기는 했지만, 개인정보보호위원회의 독립성과 권한은 여전히 한계가 있다. 개인정보보호위원회의 유일한 상임위원은 행정자치부에서 파견된 공무원이 담당하고 있고, 인사 및 예산의 독립성도 없다.
개인정보 감독기구의 독립성과 권한을 강화하라
1990년 <UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침> 등, 이미 오래 전부터 국제적인 기준은 개인정보 감독기구의 권한과 독립성을 강조해왔다. 특히 2001년 유럽이사회(Council of Europe)가 채택한 「감독기구와 국경 간 정보이동과 관련한 개인정보의 자동처리에 관한 개인 보호 협약의 추가의정서」에서는 개인정보 감독기구에게 필요한 구체적인 권한을 규정하고 있다. 유럽연합의 경우, 2016년에 제정한 유럽 개인정보보호규정(GDPR)에서 유럽연합 시민의 개인정보에 영향을 미칠 수 있는 제3국의 개인정보 보호수준에 대한 평가 이슈를 다루고 있는데, 여기서도 효과적이고 독립적인 개인정보 감독기구가 존재할 것을 요구하고 있다. 즉, 개인정보 감독기구가 국내 기업의 세계적인 비즈니스에 영향을 미칠 수 있다는 것이다.
행정자치부는 개인정보 보호정책을 담당할 자격이 없다. 그 자신이 국민들의 방대한 개인정보를 보유하고 있는 수집자이기 때문에 스스로를 감독한다는 것은 어불성설이며, 실제로 행정자치부는 개인정보 보호에 역행하는 정책들을 펴왔다. 주민등록번호 제도 개혁에 소극적인 태도로 일관했으며, ‘개인정보 비식별조치 가이드라인’과 같이 빅데이터 활성화를 명분으로 정보주체의 권리를 제한하는 정책을 수립하기도 했다.
현재 행정자치부가 갖고 있는 개인정보 관련 권한을 개인정보보호위원회로 이관하여, 개인정보보호위원회가 충분한 독립성과 권한을 갖고 역할을 할 수 있도록 보장할 필요가 있다. 정부 조직 개편이 어떤 식으로든 이루어질 예정인 이번 대선 이후가 이러한 체제 개편의 적기이다. 4차 산업혁명에 대한 정책을 얘기하는 후보라면, 미래 정보사회에서 개인정보 보호를 위한 정책을 어떻게 추진할 것인지 함께 제시해야 한다.
오병일 진보인권연구소 이사
- 이 컬럼은 PD 저널에 실린 글입니다.