최근에 발생한 이통사·금융권·쇼핑몰 등에서의 개인정보 유출사고는 개인정보의 중요성을 일반 국민들에게 다시 한번 각인시키고, 개인정보보호 관련 법제를 현실에 맞게 정비해야 한다는 당위성을 일깨워 준 계기가 됐다. 또한, 그동안 지속적으로 제기되어 온 개인정보의 범위, 동의제, 취급 위탁 등에서의 문제점을 다시 점화시키는 대표적인 사례가 될 것이다.

이러한 일련의 개인정보 유출사고들이 기업과 각종 협회 등 ‘사업자’들에게 미치는 영향이 매우 클 것이고 사회경제적, 혹은 사회정치적 반향 또한 결코 작지 않을 것이라고 생각한다. ‘대관소찰(大觀小察)’이란 말이 있다. ‘숲도 보고 나무도 보자’는 얘기로 개인정보보호 관련 법제 정비의 방향성은 큰 틀에서 빅데이터·클라우드·사물인터넷 등 변화하는 ICT 환경이 고려되어야 한다. 이러한 틀 내에서 개인정보의 범위, 동의제, 취급 위탁, 국외 이전 등과 관련된 법 규정의 정비가 이루어져 현실에 유연하게 반응하도록 할 필요가 있다.

 

현행 개인정보보호 법제 및 집행체계의 합리성

현행 개인정보보호 관련 법률의 분류 및 체계는 합리적이라고 생각한다. ‘개인정보보호법’이 일반법으로서 기능하면서, 정보통신 서비스에서의 개인정보보호 분야는 ‘정보통신망법’이 금융분야에서의 개인정보보호 분야는 ‘신용정보보호법’이 특별법으로서 기능하고 있다. 한편, 현재 개인정보보호 관련 규제체계도 합리적이라고 생각한다.

민간분야 정보통신망(방송·통신·인터넷)에서의 개인정보보호 관리·감독은 방송통신위원회가 수행하고 있으며, 공공분야 개인정보보호 관리·감독은 행정자치부가 수행하고 있다. 민간 분야 정보통신망에서의 개인정보보호 관리·감독 업무를 방송통신위원회가 수행해야 효율적인 이유는 다음과 같다.

방송통신위원회는 정보통신망의 네트워크를 구성·운영하고 정보보안 등 전문지식을 보유하고 있다. 또한 정보통신서비스제공자 등에 대한 규제 업무의 특성상 서비스 가입자 모집 및 서비스 제공 등 시장 상황 분석이 용이하며, 개인정보에 관하여 규율하고 있는 ‘정보통신망법’과 ‘위치정보법’ 등을 소관하고 있다.

또한, 개인정보의 보호와 정보통신 서비스의 활성화는 동전의 양면으로 양자간 균형점을 찾는 것이 중요하다. 개인정보 이용을 활성화할 경우 신산업 육성 촉진 등 창조경제의 바탕이 될 수 있으나, 개인정보가 오남용 될 경우 심각한 프라이버시 침해를 야기할 수 있다.

방송통신위원회는 정보통신 산업 촉진과 사업 인·허가 권한을 가지고 있어 산업육성과 보호에 대한 균형적인 접근과 적절한 가이드라인 제정이 가능하다. 이러한 점들을 고려해 봤을 때 방송통신위원회는 타 부처에 비해 정보통신망을 통한 개인정보 침해에 신속하고 유연하게 대응할 수 있다. 만약 방송통신위원회와 행정자치부의 개인정보보호 관리·감독 측면의 문제가 발생한다면, 양 부처가 합동점검단을 구성·운영하는 등 공조하여 해결하면 될 것으로 본다.

ICT 분야 개인정보보호를 위한 특별한 규제의 필요성

오프라인에서의 개인정보보호 문제에 비하여 정보통신망 및 모바일 환경에서의 개인정보보호 문제는 특수성을 가지고 있고 이러한 특수성에 대응하는 특별법이 ‘정보통신망법’이다. ‘정보통신망법’ 상 ICT 환경에 특화된 대표적인 규정은 다음과 같다.

첫째, 개인정보 취급방침(제27조의2)에 개인정보를 자동으로 수집하는 장치의 설치·운영 및 접속로그, 쿠키 정보 등 자동으로 수집되는 정보에 대한 이용자 공개 및 거부에 관한 사항을 포함하도록 하고 있다. 이는 최근 증가하고 있는 스마트폰, 사물인터넷(IoT), 셋톱박스, 스마트TV 등을 통한 개인정보 침해 사건에 효율적으로 대응하기 위한 것이다.

둘째, 정보통신서비스제공자 등이 개인정보 분실·도난·유출 사실을 인지한 때 즉시 방송통신위원회에 신고하도록 하고 있다(제27조의3). 이는 전파성이 강한 온라인의 특성을 반영하여 개인정보 누출 등으로 인한 2차 피해를 최소화하기 위한 것이다.

셋째, 개인정보 유효기간제(제29조제2항) 및 이용내역 통지제(제30조의2)를 두고 있다. 이는 일회적인 서비스 이용을 위한 개인정보 제공이 많고 개인정보의 보유 주체 및 다양한 이용 현황 파악이 어려운 정보통신서비스의 특성을 감안하여 이용자의 개인정보 자기결정권 행사를 용이하게 하기 위한 것이라고 볼 수 있다.

넷째, 개인정보처 리스템에 대한 외부 인터넷 망분리, 정보통신망을 통한 개인정보 전송 및 저장시 암호화 등 높은 수준의 보호조치가 규정되어 있다(시행령 제15조).이는 개인정보 처리과정에서 정보통신망을 통한 해킹 등 개인정보 유출 위협에 효과적으로 대응하기 위함이다.

‘정보통신망법’ 개정에서 고려되어야 할 이슈

첫째, 개인정보보호 관련 법제 정비의 방향성은 큰 틀에서 빅데이터·클라우드·사물인터넷 등 정보통신망 및 모바일을 기반으로 하는 ICT 환경이 고려되어야 한다. 최근의 빅데이터·클라우드·사물인터넷 등 정보통신망 및 모바일을 기반으로 하는 정보통신 기술 및 서비스의 등장으로 기존의 개인정보보호 관련 법률로는 관련 산업의 활성화와 개인정보보호를 균형있게 규율하기 어려운 실정이다. 현행 개인정보보호 법제들이 빅데이터·클라우드·사물인터넷 등 신규 IT 서비스의 활용을 저해한다는 의견이 강하게 제기되면서 현행 법제에 규정되어 있는 ‘개인식별 가능성’ 요건을 완화해야 한다는 주장이 제기되고 있다.

이러한 식별 가능성 문제는 그것을 전제로 이용자들에게 법적으로 주어진 동의권 행사 방식의 문제(Opt-in 또는 Opt-out)와도 결부된다. 따라서 이러한 요건 완화 문제에 대해서는 단계적 접근을 통해 사회적 공감대를 형성해 나가야 할 필요성이 있다. 사회적 공감대의 바탕 하에 설정된 개인정보 처리기준이 정보통신망 및 모바일 환경에 특화한 특별법인 ‘정보통신망법’에 포함되어 관련 서비스의 활성화 및 이용자 개인정보보호를 균형 있게 규율할 수 있기를 바란다.

둘째, 전파성이 강한 온라인의 특성상 개인정보가 유출되면 그 파급력은 오프라인과 비교가 되지 않을 정도로 막대하다. 따라서 개인정보 유출에 따른 이용자의 피해는 클 수밖에 없다. 이러한 온라인의 특성을 고려하여 이용자의 개인정보보호와 사업자의 개인정보 관리 책임을 강화하는 방안이 고려되어야 한다. 

이용자의 권리구제를 강화하기 위한 징벌적 손해배상제 도입, 사업자의 개인정보 관리 책임 강화를 위한 개인정보 유출기관에 대한 과징금 기준 상향, 법을 위반한 사업자의 대표자 등에 대한 징계 권고, 노출된 개인정보에 대하여 방송통신위원회·한국인터넷진흥원에 삭제·차단 요청권 부여, 불법적인 개인정보 유통 금지 등을 ‘정보통신망법’에 반영하여 정보통신서비스 제공자 등에게 개인정보 사고가 발생하면 기업에 막대한 손실이 발생할 수 있다는 경각심을 일깨워 줄 필요가 있다. 

다만, 높은 수준의 규제와 사후처벌 위주의 접근방식은 개인정보의 사회적 이용과 유통을 억제하여 자원이 효율적으로 배분되지 못하고 불필요한 비용을 초래할 수 있다는 점도 함께 검토되어야 한다.

셋째, 개인정보 침해 위험에 대한 정확한 진단과 평가를 할 수 있는 시스템을 갖추는 것이 필요하다. 높은 수준의 위험에 대해서는 보호의 수준을 높이고, 낮은 수준의 위험에 대해서는 보호의 수준을 낮추어 정보처리의 가능성을 열어두는 것이 개인정보의 활용과 보호를 균형있게 추구할 수 있는 첩경(捷徑)일 것이다.

넷째, 빅데이터, 클라우드, 사물인터넷 등 활용 기술은 물론이고, 최근 IT 기술의 발전 상황을 감안할 때 개인정보보호의 문제를 효과적으로 다루기 위해서는 경제적·사회적 측면의 현장 전문성이 요구된다. 이러한 상황에서 정부 규제 당국이 과거와 같이 일방적으로 규제 집행기준을 제시하기에는 어려움이 따른다. 따라서 장기적 관점에서 민간영역의 자율규제를 촉진하고, 이 과정에서 형성된 법적 판단 기준들을 검토하여 입법에 반영할 수 있는 입법 전략도 고려할 수 있을 것으로 본다.