영국·미국

현재 우리나라 산업은 고도의 정보화 사회로 진입하는 길목에 서 있다. 정보사회에서는 모든 경제주체 및 정부 행정기관들이 여러 종류의 정보의 바탕 위에 운영되고 있으며 이러한 정보들 중에서 개인정보는 과거보다 더 큰 의미를 차지하게 되었다. 그러나 이러한 정보화의 시대에는 정보의 역기능이라 불리는 부작용도 거론되고 있다. 특히 우리나라와 같이 아직 개인정보보호 관련 법과 제도가 미비한 상황에서 부작용으로 발생할 수 있는 개인정보와 프라이버시 침해 문제에 대한 우려는 절대로 기우(杞憂)가 아니다. 이번 호에서는 이번 연재의 마지막으로 영국과 미국의 개인정보보호 관련 법과 제도에 대해 살펴본다.

Ⅰ. 영 국

주요 데이터 정보법

영국에서의 법 및 제도 현황에 관한 내용은 Legal Fact Pack 2004에 명시되어 있다. 1998년 7월 영국 의회는 데이터보호법(Data Protection Act 1998)을 통과시켰다. 2000년 3월 1일에 발효된 동 법률은 유럽연합의 데이터보호 지침에 관한 요구에 따라 1984년 데이터보호법을 개정(Study of the Availability and Use of Personal Information in Public Registers. Final Report to the office of the Data Protection Register J.E. Davies and C. Oppenheim, Loughborough University, September 1999)한 것이다.

동 법률은 정부기관이나 개인기업들이 보유하는 기록들에 대한 내용들을 규제하고 개인정보의 사용에 대한 제한, 기록의 정정과 접근, 정보를 보유하는 기관이 정보위원장에 해당 기록을 등록하도록 의무화하고 있다. 또한 정보위원회는 정부의 독립기관으로 기록을 유지하고 해당 법률의 집행을 담당하고 있다.

특히 정보위원회는 데이터보호 및 프라이버시에 관한 법률의 시행을 책임지고 있는데 동 법률은 2000년 3월 1일 공표되었으며 1997년 유럽연합의 텔레커뮤니케이션 지침(Directive 97/66/EC)을 준용하고 있고 1999년 5월 1일 공표되었던 텔레커뮤니케이션 법(데이터보호 및 프라이버시에 관한 법률과 직접 마케팅 법)을 대체한 것이기도 하다.

영국은 유럽위원회의 일원으로서 개인 데이터의 자동처리에 관한 개인 보호협약을 서명하고 비준했으며 인권보호 및 기본적 자유 유럽협약에 비준했다. 또한 경제협력개발기구의 회원으로서 프라이버시 보호 및 개인자료의 국회 흐름에 관한 OECD지침을 채택한 바 있다.

개인정보보호법제의 주요 내용

정보보호법은 개인 데이터의 취득·유지·사용·공개 등의 활동을 포함한 새로운 처리 규범의 수립을 위하여 공공과 민간에 포괄하여 적용되는 영국의 개인정보보호에 관한 기본법이다. 따라서 동 법에는 개인정보보호 기본원칙을 비롯해 정보주체의 권리와 정보처리자의 의무, 개인정보보호기구의 설립 및 운영, 정보법원(Information Tribunal)의 설치, 개인정보의 국외 이전 등에 관한 사항을 포괄적으로 규정하고 있다.

또한 정보보호법은 주로 전자적인 형태로 처리되는 개인정보를 규율할 목적으로 제정된 것이나 그 후 적용범위가 더욱 확대되어 특정한 구조화된 수기 파일링 시스템(Manual Filing Systems)은 물론, 의료기록이나 교육기록에 대해서는 순수하게 수기로 처리되는 개인정보까지도 동법의 규율대상으로 포함시키고 있는 한편, 생존하고 있는 개인에 관한 정보를 보호대상으로 함을 명시적으로 밝히고 있어 법인정보 등의 정보는 제외된다.

영국에서는 마케팅 리스트의 획득 또는 시작 시, 데이터 위원회(Data Commission)에 등록이 요구된다. 만약 개인정보 사용자가 자신의 고객을 상대로 정보를 사용하고 제품과 서비스를 제공한다면 데이터 위원회에 등록은 필요하지 않다. 본 등록은 간단한 절차로 ￡35가 요구되고 온라인상에서 적정 양식을 작성한 후 프린트를 하여 처리 비용과 서명 후 우편을 통해 발송하면 된다.

e-메일과 팩스, SMS의 사용을 제외한 비 민감한 데이터의 수집과 활용에 대해서는 Opt-in은 필요하지 않다. 팩스, e-메일, SMS에 대해서는 특정 형식의 동의가 받아들여진다. 그리고 개인 데이터 사용의 일반적인 내용으로 충분하므로 목적이 명확하게 명시될 필요는 없다. 또한 데이터 수집을 위한 특정 형식의 요구사항도 존재하지 않는다.

실제 주소나 응답 쿠폰의 틱 박스에 의해 일반적으로 opt-out 옵션이 사용되고 e- 메일과 SMS의 경우에는 답장으로 대체한다. e-메일과 SMS의 Soft Opt-in의 경우 데이터 수집자는 자신의 고객에게 항상 opt-out 옵션을 제공해야 한다. 민감한 정보를 활용 할 경우 Opt-in을 통한 동의는 필수적이다. 민감한 데이터로는 인종, 종교, 정치, 성 관심, 건강 또는 Trade Union Members 여부에 따라서 분류된다.

데이터의 저장기간에 대한 기간은 정해져 있지 않다. ICO(Information Commissioner’s Office)는 특정기간을 설명하는 가이드를 제공하지는 않지만 데이터는 필요기간 이상 저장하는 것은 불가능하다고 말한다. Direct Marketer들은 회사와 세금법을 참고로 자신들이 필요로 하는 정보의 기간에 대한 계획을 세워 데이터를 저장하고 사용한 후 폐기하도록 권장되고 있다. 데이터가 유럽 외의 국가로의 전송될 경우 ICO는 가이드를 제공하고 있다. 각각의 전송, 계약에 대하여 통지가 필요하지는 않지만 어떤 국가로 데이터를 전송하는지에 대해서는 명시하여야 한다.

데이터 관리자를 대신해 데이터 프로세서가 데이터를 처리한 경우 1998년 Data Protection Act의 보안에 따라 데이터 관리자는 충분한 기술적, 운영적 보안 측정치에 의거하여 처리하는 데이터 처리장치를 선택하고 단계별 스텝으로 이러한 측정치를 준수한다. Database 소유자는 Copyright(Copyright and Rights in Databases Regulations 1997)에 의해 보호된다. 인터넷에서 정기적으로 데이터를 수집하는 데에 대한 특정규칙은 정해져 있지 않지만 Privacy and Electronic Communications Regulations 2003은 항상 준수되어야 한다.

개인은 필요한 양식작성으로 데이터 감사관이 소장하고 있는 개인정보의 사본에 대해 요청할 권리가 있다. 데이터 관리자는 최대 ￡10의 요금을 청구할 수 있고 40일 이내에 요청에 대한 응답이 있어야 한다. 또한 잘못된 사실이나 추가사항이 있을 경우 개인은 관리자에게 데이터 수정 요청을 할 수 있다.

ICO는 Database를 폐기시키는 시행령을 발효할 수 있다. 조직은 실행 명령에 대해 정보 심판 위원회에게 상소를 신청할 수 있다. 그리고 ICO는 조직이 어떻게 개인 데이터 처리의 고충 대응 또는 그들의 의사결정 평가할 수 있고 필요 시 조직에게 특정 정보의 요구를 통지할 수 있다.

만약 조직이 이러한 통지에 대해 불응하였을 경우, 재판과 최대(Magistrates Courted의 최대) ￡5,000의 벌금형 또는 Crown Court의 무제한 벌금형에 처해질 수 있다. 또한 ICO는 법정에 Data Protection Act 1998의 위반이 의심되는 조직을 조사할 수 있는 영장을 신청할 수 있다.

Ⅱ. 미 국

개인정보보호 동향

미국에서의 법 및 제도 현황에 관한 내용은 Legal Fact Pack 2004에 명시되어 있다. 현대시대의 정보 및 통신기술의 발달로 인해 개인이 사회에서 살아가는 과정에서 사회로부터 간섭받지 않는 비밀의 영역이 필요하게 되었고 남에게 간섭을 받지 않고 혼자 있을 권리라는 소극적 권리로만 해석되었던 프라이버시권 개념에 대한 재검토가 논의됐다.

그러한 의미에서 개인은 자신의 개인정보에 대해 자신이 통제할 수 있는 권리가 반드시 인정되어야 한다는 것이다. 미국에서 정의내리고 있는 민감한 정보에는 여러 가지가 있다. 이러한 데이터 대한 이용과 제공, 유지 및 관리 등의 각각의 분야에 있어 정보주체에 의한 자기정보 통제의 권리가 보장되어야 함은 물론 이러한 권리들의 실효성을 확보하기 위해 개인정보의 접근, 수정 요청 등의 권리는 반드시 인정되어야 함을 의미한다.

미국의 개인정보보호는 연방정부기관이 보유하고 있는 개인정보에 관한 보호법규인 1974년의 프라이버시법(Federal Privacy Act 1974)과 각 주단위로 규정된 프라이버시권 관련 법률들이 있다. 미국의 개인정보보호는 공공부문과 민간부문으로 나누어 공공부문에만 법을 적용하고 민간부문에는 원칙적으로 윤리적인 통제만 가능하게 되어 있다. 미국의 개인정보보호제도는 1966년의 정보 공개법(Freedom of Information Act) 제정에 따라 연방정부가 보유하고 있는 정보를 원칙적으로 공개하되 프라이버시법에 의해 정부에 대한 규제를 가하고 민간부문에는 정보의 자유로운 유통을 보장하며 개별 분야에서의 개인정보보호를 목적으로 한 영역별 보호법제를 가지고 있다는 점이 특색이다.

미국에서는 1974년 프라이버시법이 제정된 아래 1978년 금융프라이버시권법, 1986년 전기통신보호법, 1988년 컴퓨터 자료의 상호 비교 및 프라이버시 보호법, 1994년 전기통신 프라이버시법, 1996년 통신법 및 의료기록 비밀보호법이 각각 제정되었다. 한편 국가정보통신기반 구축을 위해 정보통신기반 전담팀에 정보정책위원회를 구성하여 세 개의 팀 중 하나인 프라이버시팀이 1995년 6월에 ‘프라이버시와 개인정보제공 및 이용의 원칙’을 작성했다. 동 원칙은 계약 자유에 따라 제공자의 통지와 소비자의 동의라는 두 개의 필수조건을 감안하면서 업계의 자율적인 규제가 우선이라는 것을 강조하고 있다.

미국의 개인정보보호법제의 특색인 영역별 방식에 따라 개인정보보호를 위한 많은 개별 법률이 제정되고 있는데 개별법의 장점은 특히 보호가 필요한 개인정보의 취급영역에 한정하여 법적 규제를 행하는 점이라고 하겠다. 그러나 단점으로는 개별 영역별로 법률을 제정하기 때문에 관련업계나 이익단체의 영향을 받을 수 있는 우려가 많다.

최근 미국은 프라이버시 보호를 강화하기 위한 한 방편으로 2002년 전자정부법에서 정부기관이 전자정부 사업을 추진하기 전에 반드시 당해 전자정부사업이 개인정보 및 프라이버시에 미치는 영향을 분석 및 평가하여 그 대책을 마련할 것을 의무화하는 프라이버시 영향평가 제도를 명문화하였다. 이처럼 미국도 개인 프라이버시의 규제에 대한 중요성과 필요성을 인지하고 그에 맞게 빠르게 변화하고 있는 추세이다.

개인정보보호법제의 주요 내용

미국에는 분야별로 약간의 차이가 있는 개인정보보호법이 존재한다. 첫째로 금융기관에 대한 내용을 살펴보면 금융기관이 보유하고 있는 개인정보에는 개인의 금융거래나 상거래와 관련된 정보뿐만 아니라 고객정보를 위시하여 각종 개인정보가 포함되어 있다. 따라서 그 정보가 누설되거나 제3자에게 함부로 공개되는 경우에는 개인의 경제활동에 관해 상세한 상황이 밝혀지게 됨으로 금융기관이 보유하고 있는 정보의 취급을 위해서는 세심한 주의가 필요하다. 미국에서는 이와 같은 이유로 금융기관의 고객정보가 법적 보호의 대상이 되는 개인정보로서 프라이버시의 권리에 기초하여 보장되고 있다. 

금융 프라이버시법은 정부기관에 의한 금융기록의 접근을 원칙적으로 금지하고 예외적으로 고객의 동의, 행정기관의 소환영장, 수색영장, 사법기관에 의한 소환영장, 공식적인 서면청구에 의하지 않으면 정보는 공개되지 않는다. 또한, 금융기관의 개인정보 취급에 관해 금융기관의 보호정책을 명시할 의무를 부과하고 소비자가 스스로 개인정보의 이용에 관한 선택을 할 때 지침이 될 수 있는 정보를 제공하도록 규정했다. 아울러 소비자가 관련회사 이외의 제 3자와 정보공유를 선택할 수 있게 하기도 했다.

특히 의료정보에 있어서 개인정보의 경우, 미국에서는 의료분야의 개인정보보호를 목적으로 하는 법률이 제정되지 않았지만 의료분야의 개인정보에는 정보주체가 되는 환자에 관해 일반적인 개인식별정보에 더하여 진료기록이나 유전자에 관한 정보 등의 매우 중요한 정보가 많이 포함되어 있는 경우가 흔하다. 이 때문에 의료분야의 개인정보를 다루지 않으면 안 되는 상황이 되었다.

최근 들어 의료분야의 개인정보보호에 적극적인 자세를 보여 1999년에는 유전자 정보 보호를 포함한 ‘신기술시대의 의료프라이버시 법률안(Medical Privacy in the Age of New Technologies Act of 1999)’이 제출되는 등 많은 의료정보에 대한 정보보호 활동이 이루어지고 있다. 이처럼 미국에서 의료분야의 개인정보를 엄격하게 보호하려는 것은 의료에 관한 여러 가지 기록에의 접근 및 그 보호의 문제가 중요할 뿐만 아니라 유전자에 관한 정보의 보호 등의 문제가 21세기에는 개인정보보호의 핵심적인 과제가 될 것으로 예상하고 있기 때문이다. 뿐만 아니라 미국에서는 개인의 시청경향에 관한 정보 케이블통신정책법(Cable Communication Policy Act of 1984), 보도기관의 개인정보보호를 위한 1980년의 프라이버시보호법’ 등이 존재한다.

또한, 금융 업체들은 고객의 정보를 마케팅 목적으로 전송을 할 경우 반드시 opt-out 옵션을 제공해야 한다. 미국의 MPA는 우편 선호, e-메일 선호, 전화 선호 서비스에 대한 책임을 가지고 있으며 연방의 Do-Not-Call list는 근본적으로 opt-out으로 운영되고 만약 데이터 제공자가 opt-out의 옵션을 선택하였을 경우 7일 이내에 요청을 실행에 옮겨야 한다.

미국의 경우 민감하지 않은 데이터에 대한 특정 정의는 내리고 있지 않으나 유럽에서와 마찬가지로 민감한 정보에 대한 정의는 내리고 있다. 미국에서 정의하는 민감한 정보로는 종교, 인종, 정치, 성 관심, 건강, Trade Union Member로, 이에 해당하는 데이터를 수집, 또는 활용을 원할 경우 데이터 제공자의 동의는 필수적으로 필요하다. 또한, Federal Trade Commission(FTC)는 데이터를 안전하게 처리 및 유통하지 않는 웹사이트, 데이터베이스 등의 매체에 대해서는 Consumer Protection Law를 적용시킨다고 명시하고 있다. FTC는 이미 오프라인과 온라인의 데이터 활용에 대해 위반한 회사에 대해 규제를 행하였고 만약 웹사이트와 같은 매체에서 프라이버시 보호의 방침이 없을 경우 Unfair Commercial Practices의 범위 안에서 이를 처리한다.

개인정보보호, 법·제도적 규정 필요

지금까지 해외 각국의 해외 개인정보보호 관련 법과 제도를 고찰해 보았다. 정보화 사회로 발전함으로써 정보통신기술의 발달과 더불어 디지털화된 개인정보의 오남용으로 인해 사생활 침해도 동시에 발생하고 있다. 개인의 정보가 전혀 보호되지 않고 인터넷상이나 불법적이거나 무분별하고 부주의한 방법으로 개인정보를 수집, 이용하는 것이 급증하고 있다.

이러한 가운데 개인정보의 오남용으로 인하여 인격과 명예, 그리고 사회활동의 전반적인 피해를 가져옴은 물론 그 정보를 범죄에 이용하거나 활용하는 경우에는 막중한 피해를 주는 실정이다. 따라서 해외의 경우처럼 개인정보보호는 반드시 필요한 제도적이고 법적 요소로서 규정이 되어야 한다.

정보통신 인프라 최강국인 우리나라도 국제사회에서 요구하는 개인정보보호 수준의 도달여부에 따라 선진국 대열에 한발 다가가는 하나의 조건으로 개인정보보호가 인식되어지고 보호받을 수 있도록 우리 모두가 힘을 모을 때이다.

<글: 양용석(yongseok.yang@assembly.go.kr)>

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>