[개인정보보호법 시행 1년 진보네트워크센터 논평]
개인정보보호법과 감독기구의 역할
2012년 9월 26일
진보네트워크센터
○ 최근 개인정보보호법과 개인정보보호 관련 감독기구들의 활동은 인권시민사회의 기대에 부응하지 못하는 바가 있어 이에 대한 개선을 촉구합니다.
– 한국 인권시민사회는 1990년대 중반에서부터 꾸준하게 민관을 통합하여 감독하는 개인정보보호법의 제정을 요구하여 왔고, 그러한 요청은 2011년 9월 개인정보보호법의 제정 발효로 일정한 성과를 보았습니다.
– 그러나 최근 국민 10명 중 9명은 자신의 개인 정보가 어디선가 유출, 공개되어 있다고 생각하고 있고, 10명중 8명은 개인정보보보호법이 개인정보를 지키는데 별다른 역할을 하지 못하고 있다고 생각하는 것으로 조사되었습니다(두잇서베이, 2012. 8. 29, http://www.etnews.com/news/computing/security/2638320_1477.html).
– 대규모 개인정보 유출이 매년 계속되고 있고 특히 주민번호는 한번 유출되면 평생 반복적인 피해를 입을 수 밖에 없지만, 정보주체의 피해에 대한 회복은 전혀 이루어지고 있지 않습니다. 형사 책임을 묻기 어렵고(검찰, 넥슨 1천만 명 유출사고에 대해 무혐의 처분) 손해배상 책임을 묻기도 쉽지 않습니다(법원, 옥션 1천8백만 명 유출사고에 대한 손해배상 소송에서 원고패소 판결). 그렇다고 유출된 개인정보를 ‘회수’하기란 불가능하고, 2차 피해를 막고자 주민번호를 바꿀 수도 없습니다(법원, 주민번호 변경소송 1심에서 원고패소 판결).
– 이런 상황에서 개인정보보호법과 개인정보보호 관련 감독기구들이 국민의 프라이버시권과 개인정보 자기결정권을 보호하기 위한 제 역할을 하는 것이 절실합니다.
– 진보네트워크센터는 운영위원 이은우 변호사가 지난 1월부터 개인정보보호위원회 위원으로 활동하고 있습니다. 또한 개인정보보호위원회와 국가인권위원회 회의를 꾸준하게 방청하고 회의록을 검토하는 등 행정감시를 수행해 왔습니다. 이에 개인정보보호법 시행 1년을 맞아 개인정보보호법과 감독기구의 역할에 대하여 다음과 같은 의견을 발표합니다.
○ 개인정보보호법은 개선되어야 합니다.
– 노동감시로 고통받는 노동자들에게 ‘동의’가 사실상 강제되면서 개인정보보호법은 보호막이 되지 못하고 있습니다. 노동감시는 개별 동의로 침해될 수 없는 법적 보호 기준이 마련되어야 합니다.
– 소비자들에게도 사실상 ‘동의’가 강제되거나 충분한 정보를 제공하지 못한 채 요식행위에 머물고 있습니다. 소비자 개인정보의 수집은 최소침해의 원칙에 의거하여 이루어져야 하며, 소비자의 정보제공권과 선택권이 폭넓게 보장되어야 합니다.
– 고유식별번호의 처리 제한 규정에도 불구하고 온라인과 오프라인에 횡행하는 본인확인 관행이 좀처럼 줄어들지 않고 있습니다. 주민등록번호에 대해 수요가 큰 부문에 대해서는 정부가 고시 등으로 폭넓은 예외를 적용하려는 데 대해 국민적 불안이 가중되고 있습니다. 공공과 민간의 주민번호 신규 수집과 사용을 적극적으로 억제하는 한편, 공공과 민간 개인정보DB에 기존에 보관되어 있던 주민번호가 삭제되지 않는 한 제도 취지를 살리기 어려습니다.
– CCTV 또한 전혀 규제받지 않고 있습니다. ‘범죄의 예방’ 또는 ‘시설안전’ 등 포괄적인 목적을 안내판에 명시만 하면 사실상 CCTV 설치와 운영에 아무런 제한이 없기 때문입니다. 안내판에 기존의 목적을 변경하는 편법도 횡행하면서 ‘목적’에 따라 수집하고 이용되어야 한다는 개인정보 보호 원칙이 무의미해지고 있습니다. 최소침해 원칙에 따라 CCTV 규제를 위한 구체적인 가이드라인이 법적으로 제시되어야 합니다.
– 공공기관이 보유한, 때로는 민감한 개인정보가 막연한 법적 근거나 동의를 이유로 목적외로 이용되거나 제공되고 있습니다. 공공기관이 보유한 개인정보를 목적외로 이용하거나 제공하는 것은 엄격하게 제한되어야 합니다.
○ 개인정보보호위원회가 제 역할을 못하고 있습니다.
[독립성 부족]
– 개인정보 보호에 관한 여러 국제적인 기준은 개인정보 감독기구의 독립성을 강조하고 있습니다. 이를 위해 개인정보 감독기구에 필요한 권한은 △ 정보제출 요구를 포함한 조사권 △ 개인정보수집자에게 수정, 삭제, 폐기를 명령할 수 있는 권한, 개인정보의 유통금지 명령권, 국회나 기관에 대한 의견제시권, 공표권, 분쟁조정 권한, 침해신고의 접수 등 개입권 △ 법적 절차를 개시할 권한 혹은 사법기관에 소추할 권한 등입니다. 또한, 개인정보 감독기구가 이러한 권한을 완전히 독립적으로 수행하기 위해서는 감독기구의 구성, 위원의 임명방법, 임기와 해촉 조건, 충분한 자원의 배분, 외부 명령없이 결정을 채택할 수 있는 권한이 보장되어야 합니다.
– 그러나 국제적인 기준에 비추어 보았을 때, 한국의 개인정보보호위원회는 현재 충분한 권한을 가지고 있지 못한 상황입니다. 우선적인 문제는 추진체계상 개인정보보호위원회가 심의, 의결 기능만을 수행할 뿐, 개인정보 보호와 관련된 집행, 총괄 기능이 행정안전부에게 부여되어 있다는 사실입니다. 특히 민간부문의 개인정보 관련 피해 구제를 개인정보보호위원회에서 담당하지 않고, 조직 연혁적으로 치안과 정부조직 관리 등을 담당해온 행정안전부와 그 산하기관에서 담당해야 할 합리적 이유를 찾아보기 어렵습니다.
– 또한 현행 제도는 개인정보보호위원회에 공공부문에 대한 소극적인 권고나 의견제시권을 부여했을 뿐, 조사권·시정조치권·피해 구제권·정책이나 입법에 대한 의견제시권을 완전하게 보장하지 않고 있습니다. 최근 계속되는 개인정보 침해 사고에서 개인정보보호위원회가 제 역할을 하기 위해서는 공공부문에 대한 독립적이고 폭넓은 개입권을 보장해야 하며, 민간 부문에 대한 조사권, 시정조치권 등의 권한이 보장되어야 합니다.
– 개인정보보호위원회 독립성의 핵심인 인사, 예산 상의 독립성도 제도적으로 보장되어야 합니다.
[전문성 부족]
– 현재 개인정보보호위원회 사무국은 개인정보보호에 대한 전문성이 크게 부족합니다. 이는 사무국의 대부분을 전문직으로 채용하지 않고 파견직 공무원으로 채운 데서 기인한 현상으로서, 사무국이 여러 모로 친정 부처의 눈치를 볼 수 밖에 없는 구조는 개인정보보호위원회의 독립적인 업무 수행에도 큰 제약을 주고 있습니다.
– 위원장이 상임이 아니라는 사실도 전문적인 업무 수행에 부정적인 영향을 끼치고 있습니다.
– 이러한 독립성과 전문성의 부족은 실제로 개인정보보호위원회가 개인정보보호 기본계획이나 시행계획 등 행정안전부를 비롯한 소관부처에서 상정한 안건을 수정의결하는 데 소극적인 태도를 보이는 결과를 낳고 있습니다.
– 특히 개인정보보호위원회는 공공기관이 보유한 개인정보를 목적외로 이용하거나 제공하는 데 대하여 충분히 감독하지 못하고 있습니다. 이로 인하여 개인정보보호위원회가, 과거 제 기능을 못한다고 비판받아 온 (구) 공공기관개인정보보호심의위원회(국무총리실 산하, 행정안전부 사무)와 그 실질적인 기여 측면에서 큰 차이를 보이지 못하고 있습니다.
[투명성 부족]
– 개인정보보호위원회는 시민 사회의 참여를 충분히 보장하지 않고 있습니다. 주요 안건의 절차나 내용에 대한 공개나 의견 수렴이 홈페이지에서 이루어지지 않는 등 그 투명성의 수준이 다른 나라 개인정보보호위원회와 비교해 보았을 때 뚜렷하게 부족합니다. 이는 기관에 대한 국민들의 참여와 신뢰 향상을 저해하고 있습니다.
○ 국가인권위원회의 분발이 필요합니다.
– 최근 국가인권위원회의 활동이 국민적 기대에 충분히 부합하는 수준은 아니지만, 정보인권 부문에서 국가인권기구가 수행해야 할 고유한 역할이 있습니다.
– 위에서 살펴본대로 개인정보보호위원회와 관련한 제도적 보완 없이는 이 기관의 역할이 앞으로도 오랫동안 소극적인 심의 기능에 머물러 있을 수 밖에 없으며, 국가기관의 정보인권 침해에 대해서 많은 공백이 발생할 것입니다. 따라서 그간 국가기관의 인권 침해 문제에 대해서 전문적으로 대응해온 국가인권기구의 관련 역할이 꼭 필요합니다.
– 정보수사기관의 정보 활용이 크게 늘어남에 따라 해외에서는 개인정보 감독기구와 별도로 국가인권기구가 이들 기관을 견제하기 위해 많은 노력을 수행하고 있습니다. 예컨대 영국에서는 정보감독관(information commissioner)이 개인정보 감독 업무를 수행하는 것과 별도로 평등인권위원회(Equality and Human Rights Commission)가 경찰의 불심검문, 채증 등에 대하여 독립적인 의견을 발표하고 있습니다. 캐나다 또한 프라이버시 위원회(Privacy Commissioner of Canada)와 별도로 국가인권위원회(Canadian Human Rights Commission)가 정보기관의 정보수집에 대해서 의견을 발표하는 등의 활동을 하고 있습니다.
– 정보수사기관이 다양한 치안·범죄정보 데이터베이스를 구축·운영하고 정보통신기술의 사용을 확대하고 있지만 이에 대해 충분히 법제도적으로 규율하고 감독하지 못하는 한국의 상황에서, 국가인권위원회가 이에 대해 적극적으로 개입하고 의견을 제시할 필요가 있습니다.
– 무엇보다 국가인권위원회에는 정보인권 관련 국제인권기구의 기준을 한국사회에 계속하여 상기시키고 적용할 고유한 책무가 있다고 할 것입니다. 특히 주민번호의 경우 막대한 개인정보 유출로 국민의 개인정보 자기결정권의 침해가 심각한 수준이고, 유엔 인권이사회의 개선 권고에도 불구하고 이에 대한 정부 부처의 수용이 미흡한 만큼, 국가인권위원회가 관련 권고를 내야 마땅합니다.
<끝>
2012-09-25
