개인정보보호기본법 제정되면, 어떻게 달라지나?
정보인권에 관심을 갖고 있는 시민사회단체들이 제대로 된 개인정보보호법 제정을 고민하기 위해 운영해온 회의체인 <프라이버시법제정을위한연석회의>는 지난 24일 노회찬 의원실 주최의 공청회를 통해, 개인정보보호를위한기본법 시민사회단체안을 공개했습니다.
이 안에서 제안하고 있는 여러 가지 보호 조치들이 실현되면, 우리 사회의 개인정보 보호 시스템은 근본적인 변화를 겪을 것입니다. 여기저기서 마구 새나가던 개인정보에 대해 이중 삼중의 방화벽이 설치될 것이며, 도대체 내 정보가 어디서 어떻게 흘러다니는지 알 길조차 없어 답답했던 일반 시민들이 효과적으로 자신의 권리를 지킬 수단을 갖게 될 것입니다.
이 자료는 그러한 변화를 알기 쉽게 설명하기 위해 작성된 자료입니다. 이 자료에서 소개하고 있는 여러 가지 개인정보 보호 조치들이 현실화될 수 있도록 많은 성원을 부탁드립니다.
<프라이버시법제정을위한연석회의> 참가 단체 : 문화연대, 민주사회를위한변호사모임, 지문날인반대연대, 진보네트워크센터, 참여연대, 한국노동네트워크협의회, 함께하는시민행동
1) 개인정보 보호 전담 기구가 설치됩니다.
○ 지금까지 개인정보 보호는 해당 업무 영역을 담당하는 정부 부처가 담당해왔습니다. 특히 공공부문의 경우 행정자치부가, 민간부문의 경우 정보통신부가, 금융부문의 경우 금융감독원이 이를 담당했습니다. 그러나, 행정자치부는 전자정부의 주무 부처이자 경찰청의 상급 부처이며, 주민등록정보를 비롯하여 중요하고도 민감한 개인정보들을 대량으로 수집하는 최대의 개인정보 수집자입니다. 또한 정보통신부와 금융감독원은 각각 정보통신 산업과 금융 산업의 발전을 고유의 임무로 자임하는 부서입니다.
○ 그러다보니, 이 부처들은 개인정보 보호를 소홀히 할 가능성이 높습니다. 실제 지금까지의 과정을 살펴봐도 마찬가지입니다. 행정자치부 산하의 개인정보보호위원회는 1998년부터 2002년까지 5년간 단 세 차례 열렸으며, 그 중 두 차례는 서면 회의로 대체되는 등 사실상 거의 운영되지 않았습니다.
정보통신부 산하의 개인정보침해신고센터와 개인정보분쟁조정위원회는 상대적으로 활동이 활발한 편입니다. 하지만 이동통신사들이 해지자 개인정보를 파기하지 않았음을 알고도 아무런 조치를 취하지 않았다는 사실이 지난 2003년 국정조사에서 밝혀졌듯이, 기업의 편의나 산업적 고려에 따라 개인정보 보호 임무를 소홀히 하는 양상이 나타났습니다.
○ 반면 유럽 대부분의 국가와 캐나다, 호주, 뉴질랜드 등 대부분의 선진국들은 독립적인 개인정보 전담기구에 개인정보 보호의 임무를 부여하고 있습니다. 특히 EU의 경우 1997년에 제정된 EU 개인정보보호칙령에서 조사권, 조정권, 제소권 및 의견개진권을 갖는 독립 감독기구의 설립을 강제하고 있습니다.
○ 개인정보보호기본법이 제정되면, 우리 사회에도 개인정보 보호만을 전담하는 독립 기구가 설치됩니다. 이 기구는 국가 권력이나 기업으로부터 완전히 독립된 기구로서, 어떠한 다른 고려도 없이 개인정보 보호를 위해 활동할 것입니다.
2) 개인정보보호 전담기구가 확실한 권한을 가지게 됩니다.
○ 지금까지 개인정보 보호를 담당하는 정부 산하 기관들은 조사권이나 분쟁조정권, 정책권고권을 가지고 있어도 당사자가 응하지 않으면 강제력을 발휘하는데 한계가 많았습니다. 물론 사법부가 아닌 개인정보보호 기구의 결정이 지나치게 강제력을 가지는 것은 바람직하지 않습니다. 그러나 실효성을 담보할 수 있는 조치가 전혀 뒷받침되지 않는다면, 그 권한은 약자에게만 강하고 강자에게는 약한 권한이 됩니다.
○ 예컨대 지난 해 개인정보분쟁조정위원회는 해지자 개인정보를 파기하지 않은 이동통신사들에 대해 참여연대가 시민들과 함께 제기한 손해배상 조정 신청을 기각한 바 있습니다. 개인정보 보호 기관 이외에도, 주요 통신사들에게 솜방망이 규제로 일관하는 통신위원회의 결정, 국정원을 조사하지 못한 채 문 앞에서 농성을 벌여야 했던 의문사진상조사위원회의 조사, 지방자치단체는 수용하지만 중앙정부 부처는 수용하지 않는 국가인권위원회의 권고 등의 사례를 통해 실효성 없는 권한의 한계를 확인할 수 있습니다.
○ 개인정보보호기본법은 신설될 개인정보보호 전담기구에 실효성을 보장하는 여러 조치들을 부여하고 있습니다. 개인정보보호 전담기구의 침해 조사에 응하지 않는 경우 처벌받게 됩니다. 전담기구가 분쟁조정에서 내린 결정은 1개월 내에 항소하지 않으면 확정판결과 같은 효력을 갖게 됩니다. 전담기구로부터 정책권고를 받은 기관은 이를 받아들이지 않을 경우 서면으로 그 사유를 설명해야 하며 그렇지 않은 경우 역시 처벌받게 됩니다.
3) 일반 시민들의 권리가 대폭 증대됩니다.
○ 지금까지의 개인정보 보호 법률들은 개인정보의 진짜 주인인 일반 시민들에게는 열람, 정정, 삭제를 요구할 권리를 선언적으로 부여했을 뿐, 이러한 권리를 실효성있게 보장할 구체적인 조치는 전혀 마련하지 않았습니다. 그 결과 개인들이 자신의 권리를 제대로 활용하는 것은 거의 불가능했습니다. 그러나, 개인정보보호기본법이 통과되면 시민들은 자신들의 개인정보 통제권을 실제로 보장받을 다양한 수단을 가지게 됩니다.
○ 개인정보 사건은 한 사람 한 사람의 피해는 작은 반면 한 번에 수십만, 수백만명에게 피해를 주는 특성을 가지고 있습니다. 따라서 일반적인 손해배상 소송은 정보를 유출한 사람에게는 거의 부담이 되지 않는 반면, 정작 피해자에게는 과도한 부담을 지웁니다. 결국 개인정보와 관련된 소송은, 시민사회단체들이 이슈화의 수단으로 제소하는 경우 이외에는 진행된 적이 거의 없습니다.
그러나 개인정보보호기본법이 제정되면 일정 규모 이상의 개인정보 수집자에 대해서는 집단소송이 적용됩니다. 소송에 대한 개인들의 부담이 크게 감소하므로, 손해배상받을 피해자들의 권리가 실질적으로 보장됩니다.
○ 지금까지 일반 시민들은 가입은커녕 한 번 방문조차 해본 적도 없는 기관이나 기업이 자신의 정보를 알고 연락이 올 때마다 불안을 느꼈습니다. 그러나 막상 궁금해서 연락해온 쪽에 물어보면, 속시원한 대답을 해주는 경우는 없습니다. 잘 모르겠다, 아니면 오히려 그런 건 왜 묻느냐며 화내는 경험까지.
개인정보의 수집 경위는 개인들이 자기 정보에 대한 권리를 실현하기 위해 가장 기본적으로 제공받아야 할 정보입니다. 개인정보보호기본법이 제정되면, 일반 시민들은 수집 경위를 밝힐 것을 요구할 권리를 갖게 되며, 개인정보 수집자들은 이 요구에 의무적으로 답변해야 합니다.
○ 개인정보와 관련된 분쟁이 발생할 때, 정식 재판을 밟는 것은 지나치게 오랜 시간과 많은 비용을 요구합니다. 이는 정보주체의 권리 실현을 제약하는 요인이 됩니다. 설령 어떻게 재판에서 승소했다 하더라도 그 사이에 이미 침해가 발생해버리는 경우가 많습니다. 이런 문제점을 극복하고 개인정보를 효과적으로 보호받기 위해 대안적 분쟁조정(ADR) 제도의 도입이 전세계적으로 권장되고 있습니다.
현재 정보통신부 산하에 개인정보분쟁조정위원회가 운영되고 있지만 공공기관과 관련된 분쟁은 조정 대상으로 하지 않았습니다. 이제 개인정보보호기본법이 제정되면, 공공기관과의 분쟁이 발생한 경우에도 개인정보보호 전담기구에 분쟁조정을 신청할 수 있게 됩니다.
○ 당사자의 동의에 의해 수집된 정보의 경우 그 정보에 대한 열람이나 정정, 삭제를 거의 자유롭게 할 수 있었습니다. 그러나 공공기관이 법률에 따라 수집한 개인정보의 경우에는, 일반 시민들이 열람·정정·삭제를 청구하더라도 공공기관이 이를 거부할 수 있습니다. 물론 국가의 필요에 의해 수집되는 정보를 개인이 임의로 변경하거나 삭제할 수는 없습니다. 하지만, 이 청구에 대해 해당 기관이 거부를 하는 경우 개인은 재판이나 행정심판을 치르느라 오랜 노력과 시간을 사용해야 합니다. 또한, 그 기간 동안 이미 유출이나 오용이 일어나버리면 행정심판이나 재판에서 승리하더라도 피해의 복구는 불가능합니다.
개인정보보호기본법이 제정되면, 공공기관에 대해 자신의 개인정보 이용을 중단하라고 요청할 수 있는 이용중지청구권이 일반 시민들에게 주어집니다.
4) 개인정보 사전영향평가가 실시됩니다.
○ 개인정보는 일단 유출되면 피해를 구제하는 것이 어렵습니다. 게다가 대규모 정보시스템은 구축하는 데 막대한 예산이 소요됩니다. 따라서 예방이 최선입니다. 그러나 현실을 보면, 일정에 쫓기는 바람에 충분한 보호 조치를 취하지 못하는 경우나 이미 막대한 예산이 소요되었다는 이유로 심각한 침해가 우려되는 개인정보 시스템을 그냥 밀어붙이는 경우가 많습니다.
○ 대표적인 사례가 바로 NEIS입니다. 대다수의 학생과 교사, 학부모들이 전혀 모르는 사이에 구축된 NEIS는, 결국 시스템 개시 직전에 인권침해 논란에 휩싸이면서 당초 시행 예정 시기를 2년이나 넘기고도 아직 정상 가동되지 못하고 있습니다. 또한, 최근 한 포탈사이트가 패밀리 사이트와 개인정보를 공유하면서, 촉박한 일정을 이유로 보안 테스트를 충분히 취하지 않았다가 정보 제공에 동의하지 않은 회원들의 정보를 공유한 사실이 드러나기도 했습니다.
○ 개인정보보호기본법이 제정되면, 특히 민감하거나 대규모의 개인정보를 수집·이용하거나 통합 운영하는 경우에는 의무적으로 사전에 개인정보에 미치는 영향을 평가받게 됩니다. 이를 통해 개인정보를 수집하고자 하는 쪽에서는 예상치 못한 위험을 미리 제거할 수 있고, 개인정보를 제공해야 하는 일반 시민들은 정보 수집자를 좀 더 신뢰할 수 있게 됩니다.
○ 미국에서는 정부 예산이 집행되는 정보화 프로젝트의 경우 사전영향평가 결과를 제출하지 않으면 예산이 집행되지 않도록 되어 있습니다. 이 외에도 캐나다, 뉴질랜드 등 개인정보 보호의 선진국들이 개인정보 사전영향평가를 실시하고 있습니다.
○ 한편, 상당수의 기존 영향평가 제도는 이해당사자들의 의견을 충분히 반영하지 않은 채 평가자가 일방적으로 평가하는 구조를 갖고 있다는 문제점이 있습니다. 최근 핵폐기장이나 소각장 등의 부지 선정 과정에서 주민들의 의견이 철저히 배제된 것이 한 예입니다. 국내에서 실시되고 있는 환경영향평가의 경우, 주민들의 의견을 매우 개괄적으로 정리하고 ‘최대한 반영하겠음’ 같은 추상적 문구로 정리하는 것이 일반적입니다.
특히 시민사회단체의 개인정보보호기본법안은, 평가자가 일방적으로 평가하는 것으로만 이루어지는 기존의 다른 영향평가들과 달리, 정보주체 및 다른 이해당사자들이 의견을 제시할 수 있게 하고 이 의견들에 대해 평가자가 답변할 의무를 부과함으로써, 쌍방향 평가를 가능하게 하고 있습니다.
5) 개인정보 수집자를 체계적으로 관리하게 됩니다.
○ 정보통신기술이 발전함에 따라 누구나 개인정보를 손쉽게 수집할 수 있게 되었습니다. 그러나, 그 수많은 수집자들이 개인정보를 올바로 보호하고 있는지 확인할 방법은 거의 없는 실정입니다. 오직 일반 시민들이 스스로 대응할 수밖에 없는 상황입니다만, 공공기관이나 기업 내에서 어떤 시스템을 통해 개인정보를 보호하고 있는지를 일반 시민들이 알기란 거의 불가능합니다.
○ 개인정보를 수집하는 사람들을 체계적으로 관리하기 위해서는 최소한 누가 수집하고 있는지 정도는 알 수 있어야 합니다. 현재는 공공기관이 개인정보를 수집하는 경우에만 신고를 하도록 되어 있지만, 개인정보보호기본법이 제정되면, 일정 규모 이상의 개인정보를 수집하거나 민감한 개인정보를 수집하는 경우에는 공공이든 민간이든 개인정보 보호기구에 등록하게 됩니다. 이를 통해 개인정보보호 전담 기구는 개인정보 수집자들을 관리할 수 있는 최소한의 정보를 얻게 됩니다.
혹, 일각에서 지나친 규제라고 오해할 수도 있으나, 등록은 허가와 다릅니다. 수집하겠다는 사실을 사전에 통보하는 것일 뿐입니다. 지금도 개인정보 보호정책들을 통해 웹사이트에 공개하도록 규정되어 있는 내용을 전담 기구에 알려주면 되는 것입니다. 해외에서도 개인정보 보호의 선진국인 프랑스와 영국이 이미 채택하고 있는 제도입니다.
○ 등록 대상인 개인정보 수집자들은 개인정보보호담당자를 지정해야 합니다. 지금 기업의 개인정보보호담당자들은 별다른 권한 없이 개인정보에 대한 고객의 불만을 처리하는 정도의 위상밖에 갖고 있지 못합니다. 심지어 고객센터에 전화해서 개인정보보호담당자를 찾아도, 그런 사람이 있는지조차 모르는 경우가 태반입니다. 그러나 개인정보보호기본법이 제정되면, 개인정보보호담당자는 실질적인 권한과 의무를 갖게 됩니다.
개인정보보호담당자가 1년에 한 차례 소속 기업의 개인정보 보호 실태에 대한 정기 감사를 실시하고 이를 개인정보 보호 전담기구에 보고하게 되는 것입니다. 그 결과 개인정보보호 전담기구의 업무 부담도 완화되고, 기업이 자율적으로 개인정보 보호 수준을 높여가는 여건도 마련될 것입니다. 가장 선진적인 개인정보보호법제를 갖고 있는 독일이 이러한 제도를 채택하고 있습니다.
6) 데이터베이스의 매칭을 철저히 규제합니다.
○ 전자정부법을 통해 행정정보의 공동활용을 권장하기 시작하면서, 개인정보 데이터베이스를 서로 연동하거나 결합 분석하는 경우가 날로 증가하고 있습니다. 대표적인 개인정보 데이터베이스인 주민등록 DB의 경우 연간 10만건 이상 조회하거나 연동하는 곳만도 OO 건에 달합니다. 민간 영역에서도 원패스 아이디 정책 등 다양한 방식의 개인정보 공동 활용이 크게 증가하고 있습니다.
○ 개인정보의 공동 활용은 그 자체로도 개인정보자기통제권을 침해할 가능성이 큽니다. 게다가 기술적·관리적 안전 조치를 충분히 취하지 않으면 각종 유출 사고의 원인이 됩니다. 앞에서 소개한 패밀리 사이트와 개인정보를 공유하다가 개인정보를 유출한 포탈 사이트의 사례는 개인정보 공동 활용을 세심하게 규제할 필요성을 보여준 단적인 사례입니다.
○ 개인정보보호기본법이 제정되면, 적어도 공공기관의 개인정보 데이터베이스와 다른 데이터베이스를 매칭하는 경우에 대해서는 엄격한 보호 조치를 취하게 됩니다. 매칭에 대한 규정을 정하여 상호 합의하고 그 내용을 개인정보보호 전담기구에 제출해야 합니다. 또한 유출 등의 사고나 기술적 문제가 발생한 경우는 물론, 그렇지 않은 경우에도 매칭 건수와 내용, 오류 발생 정도, 비용 등 세부 사항을 정기적으로 개인정보보호 전담기구에 보고하게 됩니다.
7) 익명의 권리를 보호합니다.
○ 법적·기술적으로 문제가 없다면, 익명으로 서비스를 이용할 권리가 보장되어야 합니다. 그러나, 이러한 권리를 무시하고 인터넷 실명제를 도입하려는 시도가 계속되어 왔습니다. 개인정보보호기본법이 제정되면 익명 이용의 권리가 정당한 법적 권리로 보장받게 됩니다.
○ 또한 고유식별자로 인해 발생하는 사회적 피해가 날로 심각해지고 있습니다. 대표적인 고유식별자인 주민등록번호가 무원칙하게 민간에서 수집되면서 각종 명의도용 사례가 날로 증가하고 있습니다. 또한 고유식별자가 공유되면 이를 통해 손쉽게 개인정보 데이터베이스를 매칭할 수 있게 됩니다. 개인정보보호기본법이 제정되면, 적어도 공공기관의 고유식별자만큼은 임의로 확대 사용할 수 없게 될 것입니다.
8) 처벌 기준이 강화되었습니다.
○ 유출을 제외하면, 지금까지 개인정보 침해에 대해서는 과태료 처분에 그쳤습니다. 그러나 개인정보보호기본법이 제정되면, 동의 없는 수집 및 이용, 제3자 제공. 열람, 정정, 삭제 청구에 대한 불응 등 적어도 개인정보자기결정권의 영역에 대해서는 형사 처벌할 수 있게 됩니다.
2004-09-22
