드디어, 개인정보보호법이 제정되려나 보다. 행정안전부는 8월 12일 개인정보보호법 제정법률안을 입법예고하고 28일 공청회를 개최하였다.
개인정보보호법은 정보인권 운동의 오랜 숙원이었다. 돌이켜보면 지난 1996년 전자주민카드 반대운동서부터 개인정보보호법 제정을 요구해 왔으니 말이다. 개인정보보호법 제정을 위한 시민사회단체들의 본격적인 활동은 2003년 교육행정정보시스템(NEIS) 논란이 계기가 되었다.
오랜 숙원 풀릴 줄 알았더니
당시 NEIS 시스템은 전국 초중고등학교 학생-학부모-교사의 개인정보를 당사자 동의나 법률적 근거 없이 수집하여 큰 사회적 논쟁거리가 되었다. 더욱 큰 문제는 교육부가 그런 방식으로 NEIS 시스템을 구축하기까지 공공적인 규제 시스템이 전혀 없었다는 사실이다. <공공기관의 개인정보보호에 관한 법률>에 따라 ‘공공기관 개인정보보호 심의위원회’가 설립되어 있었지만 5년간 단 1차례 회의를 개최한 것으로 밝혀져 충격을 주었다. 당시 개인정보보호 관련 법률이 정보인권을 실질적으로 보장하기에는 턱없이 부실하다는 점이 밝혀지면서, NEIS 논란은 자연스럽게 개인정보보호법 제정 운동으로 이어졌다. 시민사회단체들은 물론 전문가들 역시 이구동성으로 개인정보보호법 제정을 주장하였고, 2004년 당시 17대 국회에는 시민사회단체, 여당, 야당의 개인정보보호법 제정안이 각각 상정되었다.
이런 과정을 겪으면서 개인정보보호법 제정안 토론 과정에서 제기된 입법의 기본방향은 다음과 같았다. 첫째, 포괄적 개인정보 보호가 되어야 한다. 현재의 개인정보보호 법제는 공공기관, 인터넷 등 영역별로 나뉘어져 있고, 민간영역 CCTV 등 보호대상에서 누락된 분야가 있어 시급한 보완이 필요하다. 둘째, 독립성을 가진 감독기구를 설치하여 한다. 세계 각국의 경험을 볼 때, 독립성과 강력한 집행력을 가진 개인정보 보호 감독기구의 구성은 개인정보 보호에 매우 중요한 요소이다. 셋째, 개인정보 주체의 권리를 실질적으로 보호할 수 있어야 한다. 예를 들어 개인정보 데이터베이스 등록제, 집단소송제 등을 도입하여 개인정보 보호 원칙이 현실 속에서 지켜질 수 있도록 제도적 방안을 마련하여야 한다. 넷째, 개인정보보호를 위한 시스템을 마련해야 한다. 개인정보 영향평가제, 개인정보 침해 통지제도, 개인정보보호책임자, 개인정보보호 감사제도 등 개인정보 보호의 예방과 책임 시스템을 널리 도입해야 한다. 다섯째, 새롭게 개발되는 신기술에 의한 개인정보 침해를 효과적으로 방어할 수 있는 미래지향적이고 선진적인 입법이 필요하다.
문제는 행정안전부의 개인정보보호법안이 이런 기대에 부응하지 못하고 있다는 것이다. 심지어 이 법안이 개인정보 보호를 명분으로 행정안전부의 부처 권한 강화에만 연연하고 있다는 비판이 일고 있다. 개인정보보호법 제정의 핵심 과제이던 독립적 개인정보보호 감독기구의 설립이 쏙 빠져 버렸기 때문이다.
독립적인 감독기구는 쏙 빼고
개인정보보호 감독기구는 공공기관이 수집, 처리, 이용하는 개인정보의 상황에 대하여 감독하는 것이 주요 업무 중 하나이다. 그래서 행정부로부터의 독립이 필수적이다. 인사나 예산, 업무가 특정 부처에 의해 좌지우지된다면 행정부에 대해 충분히 자유롭고 원칙적인 감독이 이루어지기 어렵기 때문이다. 이러한 취지로 유엔은 1990년 <전산 개인정보 파일 규제 지침>을 총회에서 채택하면서 특별히 각국에 ‘독립적인 개인정보 감독기구’를 둘 것을 권고하였다. 이 가이드라인 8조 ‘감독과 제재(Supervision and Sanctions)’ 항목에서 "모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치해야만 하고 이러한 원칙들을 위반한 경우에 대비하는 처벌규정 및 개인보호규정들도 만들어야 한다"고 명시한 것이다.
특히 유럽연합은 1995년 <개인정보의 처리와 보호에 관한 지침>을 채택하여 모든 회원국가들로 하여금 개인정보보호 감독기구와 관련 법률을 입법하도록 하였다. 즉, 모든 국가는 개인정보 보호에 관한 유럽연합 지침의 준수사항을 조사할 감독기관을 국내에 두어야 하며, 그 기관은 완전한 독립성을 가지고 운영될 수 있어야 한다는 것이다. 이에 따라 영국, 프랑스, 독일 등 유럽연합의 회원국들은 독립적인 개인정보보호 감독기구를 두고 있다. 그 뿐이 아니다. 캐나다, 오스트레일리아, 뉴질랜드 등도 독립적인 개인정보보호 감독기구를 두어 그야말로 ‘글로벌 스탠다드’를 이루고 있다.
그런데 이번에 행정안전부가 발표한 개인정보보호법안에서 신설될 개인정보보호위원회는 독립적이지 못할 뿐더러 아무런 권한이 없는 빈 껍데기 뿐이다. 개인정보보호위원회를 국무총리 소속하에 두고(8조 제1항), 모든 위원을 국무총리가 임명, 위촉하면서(8조 제4항), 중앙행정기간의 고위공무원단에 속하는 자, 개인정보에 관하여 학식과 경험이 풍부한 자 중에서 구성하도록 하였다(8조 제4항). 국무총리가 모든 위원을 임명한다는 것은 한국적 상황에서 독립성을 가졌다고 보기 어렵고, 위원들도 개인정보보호에 관한 단체, 소비자 보호단체 등에서 추천한 자나, 그 부문의 경력을 가진 자의 참여가 보장되지 못하여 다양한 의견을 반영하는 구조도 갖추지 못하고 있다.
가장 큰 문제는 개인정보보호위원회가 의결권이 없고, 의결의 구속력도 보장되지 않는 명목만의 심의, 자문기구에 불과하다는 점이다(10조 제1항). 간신히 명목만 유지해 왔던 기존의 공공기관 개인정보보호 심의위원회와 달라진 점도 없다. 결국 개인정보보호위원회에서 심의하여 의결한 사항이 있더라도 행정안전부 장관이 그 의결을 따를 의무가 없고, 따르지 않아도 법률적으로 문제가 없다.
행정안전부 장관이 다 한다
개인정보보호위원회는 구성에서부터 독립성이 보장되어야 하고, 실질적인 권한을 가져야 한다. 즉 행정부로부터 독립적인 감독기구가 개인정보 처리에 관한 새로운 행정 수단이나 법률을 도입할 때 의견을 제시하고, 감독 업무를 수행하는데 필요한 수사권을 갖고, 개인정보 침해를 막을 수 있는 적절한 권한을 갖는 한편, 위협적인 데이터를 삭제, 중지, 금지할 수 있는 권한을 가져야 한다. 그 뿐 아니라 주의를 주거나 의회 등에 문제를 제기할 권한, 소송을 제기할 권한, 정기적으로 활동에 대한 보고서를 작성, 공표할 권한을 가지고 있어야 한다. 행정안전부의 개인정보보호법 제정안에서는 이 권한들을 개인정보보호위원회가 아니라 행정안전부 장관이 다 가지고 있다.
행정안전부 법안에서 행정안전부 장관에게 부여한 권한은 다음과 같다.
- 개인정보보호 기본계획의 수립, 시행(7조)
- 시행계획의 수립, 시행(8조)
- 기본계획과 시행계획의 수립과 추진을 위해 개인정보 보호 및 관리현황, 법규준수 실태 등을 조사(11조 제1항)
- 실태조사를 위하여 필요한 경우 개인정보처리자, 관계중앙행정기관의 장, 지방자치단체의 장 및 관련 단체 등에게 자료의 제출이나 의견의 진술 등을 요청(11조 제2항)
- 개인정보 처리에 관한 기준, 개인정보 침해의 유형과 예방조치에 대한 지침인 개인정보보호지침을 제정하여 그 준수를 권장(12조 1항)
- 자율규제 촉진을 위해 교육, 홍보, 개인정보보호관련 기관, 단체의 육성과 지원, 개인정보보호 인증마크의 도입, 시행 지원 등(13조)
- 국제협력(14조)
- 국가간 개인정보 이동에 관한 시책 강구(14조)
- 개인정보분쟁조정위원회 위원의 위촉권(37조)
- 개인정보보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하는 경우 의견 제시권(50조)
- 개인정보보호를 위하여 필요하다고 인정하는 때에는 개인정보의 처리실태에 대한 개선을 권고(50조)
- 개인정보에 관한 권리 침해신고를 받고, 보호진흥원에 신고센터 운영(51조)
- 이 법에 위반되는 사항을 발견하거나 혐의가 있음을 알게 된 경우, 이 법의 위반에 대한 신고를 받거나 민원이 접수된 경우, 그 밖에 정보주체의 개인정보보호를 위하여 필요한 경우로서 대통령령이 정하는 경우 관련 물품, 서류 등 자료 제출 요구권, 응하지 않을 경우 사무소나 사업장을 출입하여 업무상황, 장부 또는 서류 등을 검사할 권한 (52조)
- 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해발생의 우려가 있다고 인정될 때에는 개인정보 침해행위의 중지, 개인정보 처리의 일시적인 정지 , 그 밖에 개인정보의 보호 및 침해방지를 위하여 필요한 조치를 요구할 권리(53조)
- 고발 및 징계요구권(54조)
- 결과의 공표권(55조).
여기서 행정안전부 장관의 권한으로 규정한 것들은 보통 다른 나라에서 독립적인 개인정보보호감독기구에서 담당하고 있는 역할들이다. 행정안전부 장관은 주민등록정보, CCTV 뿐 아니라 전자정부 업무의 주체로서 개인정보보호감독기구에 의해서 감독을 받아야 할 가장 중요한 대상이다. 행정안전부가 개인정보보호법을 입법예고한 후에만 해도 주민등록 전산망, 공무원 개인정보 유출 논란 등 행정안전부의 개인정보 관리실태에 대한 논란이 계속 불거졌다. 위 권한들을 행정안전부 장관에게 주는 것은 고양이에게 생선 맡긴 형국인 것이다.
개인정보 보호 조치들도 일부 미흡해
그 뿐 아니다. 법안은 제3자의 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우로 정보주체의 사전 동의를 받기 곤란한 경우 동의를 받지 않고 개인정보를 수집, 이용할 수 있고(15조 제1항), 제3자 제공이 가능하다(17조 제1항)고 규정하는 등 개인정보의 수집이용, 제3자 제공과 관련한 지나치게 포괄적인 조항을 다수 포함하고 있다. 공공기관이 소관업무의 수행을 위해 불가피한 경우(15조 제1항, 17조 제1항)라는 제한도 지나치게 포괄적이고, 범죄의 수사와 공소의 제기, 유지를 위해 필요한 경우, 재판업무수행을 위해 필요한 경우 등 개인정보를 수집한 목적 외로 이용하고, 제3자에게 제공할 수 있도록 한 예외조항 역시 악용될 소지가 있다(18조 제2항). 공공기관의 개인정보 목적외 이용이나 제3자 제공의 동의권(19조 제2항)은 매우 부당하다.
영상정보처리기기, 즉 CCTV를 범죄의 예방 및 수사를 위해 필요한 경우, 출입통제를 위해 필요한 경우, 교통단속을 위해 필요한 경우, 그 밖의 공익적 목적을 위해 필요한 경우 공개된 장소에 설치, 운영할 수 있도록 한 것도 지나치게 포괄적이다(24조). 이 조항에 해당되지 않아서 설치가 제한되는 CCTV가 과연 얼마나 될까?
개인정보처리자가 개인정보주체의 동의를 받지 않고, 개인정보 수집시에 사전에 알리지도 않고, 정보주체에게 공개하기만 하면 업무위탁에 따른 개인정보 처리를 허용하는 것은 남용될 소지가 있으며(25조), 영업양수시 개인정보 처리를 정보주체에게 사전에 알리지 않고 이전받은 후에 알리는 것으로 충분하도록 한 규정(26조)한 것도 악용의 소지가 있다.
개인정보 영향평가를 공공기관의 경우 권리침해 위험이 매우 클 것으로 우려되는 경우로 국한한 것은 개인정보 영향평가를 형해화할 우려가 있으며(31조), 개인정보유출 통지제도를 위반하는 경우 천만원 이하의 과태료로 그친 것은 실효성의 의심된다(32조).
개인의 재산과 기타의 이익을 부당하게 침해할 우려가 있는 경우 열람을 제한하는 것은 제3자의 이익을 위하여 자신의 개인정보 열람마저도 제한한다는 것이어서 악용될 소지가 있다.(33조) 국가안전보장, 공공질서유지, 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 개인정보를 처리하는 경우, 전쟁, 테러 등 국제분쟁의 해결을 위하여 불가피하게 필요한 경우로서 일시적으로 개인정보를 처리하는 경우 법률의 적용이 배제되는 것으로 하는 것은 지나치게 광범위하고, 부당하다.(47조)
이러한 형국이니, 개인정보보호법이 제정되는 것에 대하여 정보인권 단체로서 결사 반대를 해야 하는 난감한 상황이다. 마침 여야 가릴 것 없이 새로 선출된 18대 국회의원 다수가 개인정보보호법 제정에 나서고 있고 시민사회단체들 역시 독자적인 개인정보보호법 제정 방침을 밝힌 상태이다. 국회에서 개인정보보호법과 관련된 토론이 활발하게 이루어져서 부디 제대로 된 개인정보보호법이 제정되길 바란다. 핵심을 꼭 채우고!
2008-08-28
