* 지난 6월 1일(금) 14:00~18:00 국회입법조사처, 개인정보보호위원회, 개인정보보호법학회가 공동으로 주최한 <개인정보 보호법의 시행실태와 입법과제 학술세미나>의 두 번째 주제발표인 ‘개인정보보호위원회의 기능과 역할 개선방안'(발제 – 김민호 교수)에 대한 토론문입니다.
———————
<토론문> 개인정보보호위원회의 독립성 및 투명성 강화 필요
오병일 (진보네트워크센터 활동가)
진보네트워크센터를 비롯한 시민사회단체는 1996년 전자주민증 사업이 사회적인 문제가 된 이후부터 독립적인 개인정보감독기구의 설립을 요구해왔음. 지난 2011년 개인정보보호위원회가 출범함 이후에는 개인정보보호위원회 회의를 참관하며 모니터링을 진행해왔음. 이와 같은 활동 과정 속에서 느낀 바를 중심으로 ‘개인정보보호위원회의 기능과 역할 개선방안’에 대해 아래와 같이 의견을 제시함.
1. 개인정보보호위원회의 독립성 강화 필요
○ 개인정보보호위원회가 실효성을 갖기 위해서는 ‘독립성’이 필수적인 요건임. 특히, 민간기관 뿐만 아니라, 공공기관의 개인정보 수집에 대한 감독을 수행해야하기 때문에 공공기관의 이해관계에 독립적일 수 있는 구조와 권한을 가지고 있어야 함.
○ 개인정보 보호에 관한 국제적인 기준 역시 개인정보 감독기구의 독립성을 강조하고 있음. 1990년 <UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침>에서도 "모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치"하도록 하고 있으며, <개인정보보호에 관한 유럽의회와 각료회의 지침(95/46/EC)>에서는 제28조(감독기관)에서 "당해 기관은 위임받은 임무를 완전히 독립적으로 수행한다"고 하고 있음.
○ <UN 컴퓨터화된 개인 정보파일의 규율에 관한 지침> 및 2001년 유럽이사회(Council of Europe)가 채택한 <감독기구와 국경 간 정보이동과 관련한 개인정보의 자동처리에 관한 개인 보호 협약의 추가의정서>에서는 개인정보 감독기구에게 필요한 권한 및 독립성을 위한 요건을 규정하고 있음. 개인정보 감독기구의 권한으로는
– 정보제출 요구를 포함한 조사권(investigation)
– 개인정보수집자에게 수정, 삭제, 폐기를 명령할 수 있느느 권한, 개인정보의 유통금지 명령권, 국회나 기관에 대한 의견제시권, 공표권, 분쟁조정 권한, 침해신고의 접수 등 개입권
– 법적 절차를 개시할 권한 혹은 사법기관에 소추할 권한
등을 포함함. 또한, 개인정보 감독기구는 이러한 권한을 완전히 독립적으로 수행해야 하는데, 이에는 감독기구의 구성, 위원의 임명방법, 임기와 해촉 조건, 충분한 자원의 배분, 외부 명령없이 결정을 채택할 수 있는지의 여부 등이 관련이 됨.
○ 국제적인 기준에 비추어 보았을 때, 한국의 개인정보보호위원회는 독립성을 보장받고 있지 못하며, 충분한 권한도 가지고 있지 못한 상황임. 개인정보보호위원회는 심의, 의결 기능만을 수행할 뿐, 개인정보 보호와 관련된 집행, 총괄 기능은 행정안전부에게 부여되어 있기 때문임. 국가인권위원회 역시 <2012~2016 국가인권정책기본계획(National Action Plans for the Promotion and Protection of Human Rights, NAP) 권고안>에서 "개인정보보호위원회는 실질적으로 심의, 의결기능만을 담당하고 실질적인 개인정보보호 정책 수립, 개인정보 수집자 감독, 개인정보 침해 구제 업무는 행정안전부에서 담당하여 사실상 독립적인 기구로 보기 어려움"이라고 지적하고 있음.
○ 개인정보보호위원회의 권한 미비 및 행정안전부 ‘종속성’으로 인한 문제점은 시행 초기임에도 드러나고 있음.
– 2012년 초 행정안전부는 <개인정보보호 기본계획>을 제출하였는데, 기본계획의 체계 자체가 매우 부실했을 뿐만 아니라 부처간 의견수렴이 매우 미약하여 행정부 전체의 계획이라기 보다는 행안부의 계획에 그침. 이는 국가인권정책기본계획 등 다른 국가기본계획과 비교하여 보아도 매우 부실하게 만들어진 것인데, 개인정보보호법에는 “개인정보의 보호와 정보주체의 권익 보장”을 목적으로 개인정보보호 기본계획을 수립하도록 하였지만, 기본계획안에서는 가장 중요하다고 할 법제도 정비나 정보주체의 권리 실현을 위한 구체적인 계획보다는 국제기구 회원자격 확충이나 총회 유치, 자격증 제도 운영 및 인증마크제 도입과 같은 부수적이고 과시적인 지표 제시에 치중하여 있음.
– 정책 초안을 행정안전부가 작성을 하기 때문에 기본적인 프레임 설정을 한다는 점에서, 위원회의 심의 과정에서 그 내용이 일부 심의, 보완되더라도 일정한 한계를 가질 수밖에 없음. 또한, 개인정보보호위원회가 독자적인 판단에 근거하여 결정을 내리지 못하고, 행정안전부의 요청에 많이 영향을 받는 모습을 보여줌. 예를 들어,<개인정보보호 기본계획>은 현행 주민등록제도의 재검토 등 핵심적인 과제는 누락하고 있는 반면, ‘아이핀 보급 확대’와 같이 오히려 프라이버시 침해 비판을 받아온 정책을 기본계획에 포함하고 있음. 이는 위원회 심의 과정에서 문제가 제기되고 일부 조정이 이루어지기는 했지만, 여전히 소극적인 추인을 유지했다는 점에서 행정안전부의 영향력이 작용한 것으로 볼 수 있음. <주민등록번호 수집, 이용 최소화 종합대책> 심의 과정에서도 주민등록번호 수집 법정주의에 대한 공감대가 형성되었음에도 불구하고, 행정안전부는 ‘고시’를 통해 예외를 두자고 주장하였으며, 위원회는 이러한 요구에 끌려다니는 모습을 보임.
○ 국제적인 기준에 맞춰 개인정보보호위원회에 실질적인 권한을 부여하고, 충분한 자원을 배분함으로써 위원회가 ‘실질적으로 독립적’인 활동을 수행할 수 있도록 개인정보보호법 개정이 필요함.
2. 개인정보보호위원회의 투명성 강화
○ 권력 배분에 있어 정보의 역할이 커져가는 정보 사회에서, 정보 민주주의의 강화를 위해서는 일반 시민의 개인정보는 최대한 보호하고 개인정보수집자 및 공공기관(권력기관)의 정보는 최대한 공개하는 방향을 취해야할 것임. 또한, Government 2.0 이라는 개념의 등장에서 알 수 있듯이, 최근의 흐름은 시민이 공공정보에 대한 공개를 청구하고 제공받는 방식을 넘어, 국가안보 등 예외적인 경우가 아닌 한 기본적으로 공공정보를 공개하고, API 등을 제공함으로써 시민들이 공개된 정보를 적극 활용하도록 하며, 공적 정책결정 과정에 시민의 참여를 확대하는 방향으로 가고 있음. 그러나 정보공개나 시민참여에 대한 국내 공공기관의 마인드 혹은 문화는 전반적으로 아직 Government 1.0 (?) 수준에 머물러 있음.
○ 현재까지 개인정보보호위원회의 운영은 투명성 및 민주성 측면에서 많은 문제점을 보여주고 있음. 참관 과정에서 확인한 문제점은 아래와 같음.
– 위원회 회의가 사전에 홈페이지, 이메일 등을 통해 공개되지 않아 번번히 전화를 해서 회의 일정을 확인해야 함.
– 보고와 안건 등의 자료가 사전에 공개되지 않아 당일 참관을 가서야 알 수 있음.
– 공개된 보고와 안건의 경우에도 참관인에게 자료를 배부하지 않음.
– 홈페이지에는 위원회 회의 사실만이 올라올 뿐, 회의 자료 및 회의록(혹은 회의결과) 등이 공개되지 않음.
– 참관인에게 수기는 허용하면서도 노트북 등을 통한 기록이나 녹취는 허용하고 있지 않음.
– 참관인에게 발언권을 제공하지 않으며, 비공개 안건이 많음.
– 주요 안건(<개인정보보호 기본계획>이나 <주민등록번호 수집, 이용 최소화 종합대책> 등)에 대해 (홈페이지 등을 통한) 시민(단체)들에 적극적인 의견수렴이 없음.
○ 이와 같은 비공개 관행이 지속된다면, 민간단체나 언론에 의한 행정감시가 힘들어지고 이는 공공기관에 대한 신뢰성을 오히려 약화시킬 것임. 또한 개인정보보호의 법적 규범에 대한 일반 시민들의 이해도 향상시킬 수 없을 것임. 정책결정 과정의 불투명성 및 비민주성은 비단 개인정보보호위원회만의 문제는 아니지만, 해외의 일부 개인정보보호위원회는 정보공개와 관련된 역할도 겸하고 있는 것을 볼 때, 국내 개인정보보호위원회도 공공기관의 정보공개 관행과 관련하여 선도적인 역할을 할 필요가 있음.
2012-06-11
