■ 발신: 프라이버시법제정을위한연석회의 (문화연대, 민주사회를위한변호사모임, 지문날인반대연대, 진보네트워크센터, 참여연대, 한국노동네트워크협의회, 함께하는시민행동)
■ 문의: 오병일 (진보네트워크센터, 02-701-7688), 박준우 (함께하는시민행동, 02-921-4709)
[의견서] 정부·여당의 개인정보보호기본법에 대한 시민사회의 입장
정보화의 진전에 따라 개인정보 데이터베이스의 구축이 증대되고, CCTV, 전자태그(RFID), 생체인식 등 프라이버시권을 침해할 수 있는 기술의 도입도 증가하고 있습니다. 세계 선진국들은 정보화의 진전에 맞춰 개인정보를 보호할 수 있는 법제도적 장치를 도입하고 있습니다. 하지만, 우리나라는 세계 선진국 수준의 정보화를 이루고 있음에도 불구하고, 개인정보를 보호할 수 있는 체계적인 법제도는 미약한 상황입니다.
이런 상황에서 정부·여당이 개인정보보호법과 개인정보 감독기구의 설립을 준비하고 있는 것은 환영할만한 일입니다. 하지만, 1월 24일 공청회에서 발표된 정부·여당의 법안은 무척 실망스러운 수준입니다. 법안을 준비했던 정부혁신지방분권위원회가 각 정부부처의 이해 조정에만 급급한 나머지 초안에서 상당히 후퇴한 법안을 제출한 것은 정부 부처의 밥그릇 싸움에 국민들의 정보인권이 희생된 것이나 다름없습니다.
개인정보보호기본법과 개인정보 감독기구는 개인정보를 실효성 있게 보호할 수 있는 체계를 갖추어야 합니다. 특히, 개인정보 감독기구의 경우 한번 설립되면 향후에 근본적인 틀을 바꾸기가 힘들다는 점에서 충분한 논의 후에 제대로 설립하는 것이 중요할 것입니다. 이에 우리 시민사회단체들은 개인정보보호기본법 및 개인정보 감독기구와 관련하여 다음과 같은 의견을 제출하는 바입니다. 법안 제정 과정에서 아래의 제안이 충실히 논의되고 수렴되기를 바랍니다.
1. 개인정보 감독기구는 전문성과 실효성을 담보해야 합니다. 감독기구를 국가인권위원회 내에 설치하는 것은 적절하지 않습니다.
1) 감독기구는 기존 정부부처의 개인정보 보호업무를 통합하는 것이어야 합니다.
개인정보보호기본법을 제정하고 독립적 감독기구를 마련하고자 한 취지는 기존 정부부처들이 개인정보 보호 임무를 제대로 수행하지 못해왔다는 반성에서 비롯되었습니다. 그 근본 원인은 직접 대량으로 개인정보를 수집하거나 혹은 개인정보를 이용하는 산업들을 육성하는 것을 고유 임무로 하는 부처들이 개인정보 보호 임무도 함께 맡고 있는 구조적 모순 때문입니다. 행정자치부는 전자정부의 주무 부처이자 경찰청의 상급 부처이며, 주민등록정보를 비롯하여 중요하고도 민감한 개인정보들을 대량으로 수집하는 최대의 개인정보 수집자입니다. 더구나 한국의 전자정부는 행정정보의 공동이용이라는 명목 하에 각 부처에서 수집된 개인정보까지 공동 활용하도록 하는 것을 기본적인 토대로 삼고 있습니다. 또한 정보통신부와 금융감독원은 각각 정보통신 산업과 금융 산업의 발전을 고유의 임무로 자임하는 부서입니다. 그러다 보니, 이 부처들은 개인정보 보호를 소홀히 할 가능성이 높습니다. 이런 상황에서 정부·여당의 법안에서처럼 각 부처가 소관 분야의 개인정보 보호를 위한 정책기능과 관련 조직을 유지하도록 한다면, 새로 만들어질 기본법과 감독기구는 허수아비로 전락할 가능성이 높습니다.
2) 감독기구는 독자적인 지침 작성권을 행사할 수 있어야 합니다.
정부·여당의 법안은 정책 수립 기능과 권리 구제 기능을 분리하고 있습니다. 전자의 기능은 해당 정부부처 소관으로, 후자의 기능은 인권위 소관으로 하고 있습니다. 그러나, 침해 조사나 분쟁 조정과 같은 권리 구제 기능은 사실 정책 기능과 분리하기가 어렵습니다. 실제 권리 구제 기능을 행사하다보면, 조정안 등을 통해, 사실상 구체적 기준을 제시하는 것과 다르지 않을 것입니다. 이렇게 되면 정책 기능과 권리구제 기능은 분간하기가 어렵게 됩니다. 이런 상황에서 권리구제 기능과 정책 기능이 서로 다른 기관에 의해 수행될 때, 사업자들은 서로 다른 기준이 내려옴으로써 이중 규제로 느껴질 것이며, 차후 규제 완화/일원화를 요구할 것입니다. 이 문제를 해소하기 위해서, 감독기구에 수집 및 관리에 관한 지침을 작성할 권리를 부여하는 것이 좋겠습니다.
3) 감독기구는 개인정보 관리상황의 일상적 감독 및 사전 예방을 수행할 수 있어야 합니다.
개인정보 보호법제가 잘 정비되어 있다고 하더라도 개인정보 수집자의 일상적인 관리 실태를 파악할 수 없다면 개인정보 보호를 실효성있게 할 수 없습니다. 또한, 개인정보 침해 문제는 그 특성상 사후에 완전하게 피해 복구를 하기 힘들기 때문에 사전에 예방을 하는 것이 무엇보다 중요합니다. 따라서, 개인정보 데이터베이스의 등록, 개인정보 데이터베이스의 결합 제한, 개인정보보호책임자를 통한 감사 및 보고 등 일상적인 감독과 사전 예방을 위한 권한이 주어져야 합니다. 하지만, 정부·여당의 법안의 경우, 개인정보 침해신고 및 분쟁 조정 등 사후적 조치만을 다루고 있을 뿐, 감독기구가 사전에 침해를 예방할 수 있는 권한이 거의 주어져있지 않습니다. 제20조 개인정보보호책임자에 대해서도 자율적인 감사와 보고 등 구체적인 역할과 의무가 명시되어 있지 않아 실효성을 갖기 힘듭니다.
4) 지금까지 국가인권위원회의 권고는 실효성을 갖지 못했습니다.
사실 정부부처들은 국가인권위원회의 목소리를 철저히 외면해왔습니다. 교육부는 NEIS에 대한 국가인권위원회의 권고를 수용하지 않았습니다. CCTV 운영에 관한 법률을 마련하라는 국가인권위원회의 권고 역시 전혀 이행되지 않은 상태에서 강남구청과 강남경찰서는 CCTV 관제센터를 설치하여 운영하고 있습니다. 이런 상태에서 국가인권위원회 산하에 개인정보 보호기구를 설치하겠다는 것은 개인정보 감독기구를 허수아비로 만들고 자신들의 권한과 기구를 온존시키겠다는 의도가 아닌가 우려하지 않을 수 없습니다.
5) 개인정보 보호를 실효성있게 할 수 있도록 충분한 권한 및 행정적 지원이 보장되어야 합니다.
개인정보 감독기구는 ▶ 침해의 조사 및 구제 ▶ 개인정보 보호 현황에 대한 감독 ▶ 개인정보 보호 관련 법·정책에 대한 연구 및 권고 ▶ 교육 및 홍보 ▶ 국제기구와의 교류, 협력 등 개인정보 보호를 실효성 있게 하기 위한 충분한 권한을 보장받아야 합니다. 또한, 주어진 역할을 제대로 수행할 수 있도록 충분한 행정적·재정적 지원이 확보되어야 합니다. 하지만, 정부·여당의 법안은 국가인권위원회 산하의 개인정보특별위원회의 역할이 무엇인지 제대로 규정되어 있지 않습니다. 또한, 국가인권위원회에서 이러한 역할을 충분히 수행할 수 있도록 자원을 투입할 수 있는지도 의문입니다.
6) 개인정보 감독기구를 국가인권기구와 별개로 설치·운영하는 것은 세계적인 추세입니다.
미국, 캐나다, 영국, 독일, 프랑스 등 유럽을 비롯한 대부분의 주요 국가에서는 개인정보 감독기구를 국가인권기구와 별개로 설치·운영하고 있습니다. 호주의 경우 처음에는 국가인권기구 하에 있다가 2000년부터 독립된 기관으로 분리되었습니다. 이는 개인정보 보호문제가 국가인권기구가 담당하는 차별 문제와는 문제의 성격과 접근방식이 다르기 때문입니다. 예를 들어, 개인정보의 보호를 위해서는 피해의 사후적 구제뿐만 아니라, 사전적인 감독과 예방이 중요한데, 현재 국가인권위원회는 이러한 기능을 수행하고 있지 않습니다. 또한, 개인정보 보호에 관해 체계적이고 종합적인 대책을 수립하기에는 전문성 역시 부족합니다. 현행 국가인권위원회 위원들이 개인정보 보호에 관한 전문적인 식견을 가지고 있다고 기대하기 힘듭니다.
2. 개인정보 보호 및 침해 구제를 위한 실효성있는 조치들이 마련되어야 합니다.
1) 집단적 권리구제 방식이 도입되어야 합니다.
개인정보 사건은 한 사람 한 사람의 피해는 작은 반면 한 번에 수십만, 수백만 명에게 피해를 주는 특성을 가지고 있습니다. 따라서 일반적인 손해배상 소송은 정보를 유출한 사람에게는 거의 부담이 되지 않는 반면, 정작 피해자에게는 과도한 부담을 지우게 됩니다. 결국 시민사회단체들의 이슈 제기 수단으로 사용하는 경우 이외에, 일반 시민들이 개인정보와 관련된 소송을 제기한 적은 거의 없습니다. 하지만, 정부·여당의 법안은 시민사회단체가 제안해온 집단소송의 도입을 수용하지는 못할망정, 단체소송권이나 집단분쟁조정 등의 절충안조차도 언급하지 않고 있습니다.
2) 개인정보영향평가는 감독기구에 의해 수행되어야 합니다.
환경영향평가 등 기존의 영향평가 제도를 볼 때, 사업 시행 주체가 영향평가를 실시하는 것은 영향평가의 공정성 및 실효성을 담보하지 못한다는 비판을 받아왔습니다. 그럼에도 불구하고, 정부·여당의 법안은 개인정보영향평가를 개인정보취급자가 실시하도록 하고 있어 기존의 시행착오를 반복하고 있습니다. 사업시행 주체와 이해당사자들의 참여를 최대한 보장하되, 객관적인 영향 평가를 위해서는 개인정보 감독기구 혹은 감독기구의 위임을 받은 기구에서 실시하도록 해야 합니다.
3) 개인정보 침해 근절의 의지를 보여주어야 합니다.
정부·여당의 법안에 의하면, 이 법에 따른 처벌은 최고 징역 3년 또는 3천만원의 벌금에 불과합니다. 이는 정보통신망이용촉진및정보보호등에관한법률의 개인정보 관련 최고형인 징역 5년 또는 5천만원의 벌금 조항에도 미치지 못하는 것입니다. 이는 기본법으로서의 위상에도 부합하지 않으며, 개인정보 침해 근절의 의지를 보여주지 못하고 있습니다.
3. 개인정보 보호를 위한 정부·여당의 강력한 의지를 촉구합니다.
정부혁신위원회 위원장은 언론과의 인터뷰에서 개인정보보호기본법 제정은 ‘정보화 사회의 권리장전’이라고 표명한 바 있습니다. 대통령 역시 실효성 있는 개인정보 보호가 필요함을 수 차례 언급해 왔습니다. 그러나 공청회에서 발표된 정부·여당의 법안은 이러한 의지를 의심하게 할 뿐만 아니라 사회적인 여론 역시 반영하지 못하고 있습니다.
공청회에 참석한 대부분의 전문가들도 독립적이고 전문적인 개인정보 감독기구의 설립을 지지하였습니다. 이미 세계적인 추세일 뿐 아니라 국내 전문가 사이에 광범위한 동의가 형성되어 있음에도 불구하고, 정부·여당이 국가인권위원회 산하에 설치하려고 하는 것은 설득력을 얻기 힘듭니다. 이미 오래 전부터 논의가 되어왔음에도 불구하고 예산 부족 등의 변명을 하는 것은 개인정보 보호를 실효성 있게 하겠다는 정부·여당의 호언장담이 단지 공문구에 지나지 않은 것임을 입증할 뿐입니다.
정부·여당은 개인정보보호기본법을 국회에 발의하기 전에 개인정보 보호를 실효성 있게 수행하기 위한 위와 같은 의견을 반영할 것을 촉구하는 바입니다.
2005년 1월 25일
프라이버시법제정을위한연석회의(문화연대, 민주사회를위한변호사모임, 지문날인반대연대, 진보네트워크센터, 참여연대, 한국노동네트워크협의회,함께하는시민행동)
2005-01-24
