이번 행안위에서 합의된 개인정보보호법의 추진체계(개인정보보호위원회)에 대해서 살펴보면 첫째, 개인정보보호위원회의 위상을 대통령 소속으로 격상했고 자문기능 외에 심의, 의결기능을 부여하고 위원추천권을 국회와 법원에 각 5인씩 추천하도록 해 업무의 독립성과 결정권을 크게 강화했다.

둘째, 국회 등 헌법기관, 중앙부처, 지자체 등에 대해서 위법사항에 대해 시정권고를 할 수 있도록 권한을 부여했다. 또한 각급기관을 대상으로 자료제출을 요구할 수 있고 국회에 연차보고서를 작성 제출하는 등 OECD와 EU에서 요구하는 독립적 감독기구로서의 위상을 실질적으로 보장했다.

셋째, 위원회가 상시적으로 업무를 수행할 수 있도록 상임위원을 차관급으로 보하고 사무국을 설치해 행정안전부와 각급기관의 집행기능을 유기적으로 연계했다. 이와 같은 추진체계 구성에 있어 여당과 야당, 그리고 시민단체 모두 100% 만족한 결과는 아니지만 상당부분 절충안이 만들어졌으므로 시행과정에서 법 제정의 취지를 살릴 수 있도록 운영의 묘를 살리고 부족한 점은 시행 이후 교정해 나가는 열린 자세가 필요하다.

행정안전부는 각급 기관과 협력해 향후 시행, 규칙 제정, 기본계획 및 시행계획 수립, 위원회 구성 및 사무국 설치 등을 차근차근 준비해 나갈 것이다. 또한 제정되는 개인정보보호법제가 한-EU FTA 협약에 위배되지 않고 통상마찰을 일으키지 않도록 외교부의 공식적 확인도 받아 국경을 넘는 개인정보의 산업적 활용에 대한 안전장치도 마련했다. 향후 국제협력사업과 국가간 개인정보의 이동에 대한 지침 제정 등 후속조치도 차질없이 준비해 나갈 것이다.

개인정보보호법 제정으로 인해 기존의 개별법 체계에서 분절적으로 규정하고 있는 개인정보 처리기준을 표준화되고 개인정보 수집, 이용, 파기 등 단계적 보호조치가 정립돼 우리사회의 개인정보보호 수준이 한층 업그레이드 될 것이다. 일본의 경우 2004년 개인정보보호법의 제정으로 인한 경제적 효용가치가 4조엔 정도 늘어난 사례를 보면 우리나라의 경우 긍정적 효과는 더욱 커질 것이다. 아울러 매년 3만 5,000건의 침해신고 중 68%를 차지하는 법적용 사각지대를 해소함으로써 국민의 피해구제도 한층 강화될 전망이다.

각 사업자 및 기관 선제적 투자 필요

사업자와 각급기관은 법 시행으로 인해 준비해야 할 사항을 차분히 준비하는 선제적 투자를 지금부터 준비, 현행체계와 비교해 법제정으로 달라지는 점을 살펴보면 첫째, 법적용 대상과 범위가 전 공공기관과 민간기관으로 확대되고 컴퓨터에서 처리되는 개인정보 외에 민원신청 서류 등 수기문서까지 보호대상이 확대된다.

둘째, 현행 개별법에 일부분 규정돼 있는 개인정보보호 수집, 이용, 제공 기준이 표준화돼 전 기관에 적용된다. 각급기관은 개인정보 수집시 정보주체의 사전동의와 법령의 근거가 있는 경우, 계약체결을 위해 불가피한 경우 등 몇 가지 예외 사유를 제외하고 원칙으로 금지되므로 고객의 개인정보 수집, DB마케팅, 업무위탁시 법위반사항이 없는지 꼼꼼하게 체크해야 한다.

셋째, 주민등록번호, 여권번호 등 고유식별정보의 처리를 원칙적으로 금지하고 인터넷상에서 주민등록번호 외의 회원가입 방법을 의무화해야 한다. 현행 정보통신서비스 제공자에 한해 의무화 하고 있는 I-PIN 제공이 전 공공기관과 일부 사업자에 확대되고 있으므로 시행령과 지침을 확인하고 암호화 등 제반사항을 이행해야 한다.

넷째, 현행 공공기관에서 설치 운영하는 영상정보처리기기(CCTV) 규제사항이 공개된 장소에 설치하는 민간까지 확대된다. 규율대상도 CCTV외에 네트워크카메라도 포함이 되고 공중화장실, 목욕탕, 탈의실 등 사생활 침해 우려가 큰 장소는 설치가 금지된다. 또한 법령과 범죄예방 수사, 시설안전 및 화재예방과 교통단속 등 예외적인 사유 외에는 설치가 제한된다.

다섯째, 현행 정보통신서비스 제공자에 한해 마케팅 목적으로 개인정보 취급을 위탁하는 경우 정보주체의 동의를 받아야 하는 텔레마케팅 규제가 모든 개인정보 처리자에게 확대된다. 무엇보다 마케팅을 위해 개인정보처리에 대한 동의를 받을 때에는 다른 개인정보 처리에 대한 동의와 묶어서 동의를 받지 않도록 명시적으로 규정하고 있다. 모든 개인정보 처리자는 마케팅업무 위탁시, 정보주체에게 위탁업무 내용과 수탁자를 고지해야 한다.

여섯째, 현행 공공기관이 개인정보파일 보유 시 행안부장관과 사전협의하도록 하고 있는 사항을 등록제로 변경하고 행정안전부 장관은 이를 공개하도록 하고 있다. 또한 모든 공공기관은 대규모 개인정보파일 구축 등 침해위험이 높은 개인정보 DB구축 시 사전에 영향평가를 의무화 하고 있으며 민간은 자율시행을 원칙으로 하고 있다.

일곱째, 개인정보 유출사고 발생 시 개인정보 처리자는 유출사실에 대해 정보주체에게 통지하고 행정안전부 장관 및 전문기관에 신고해야 한다. 또한 각급기관은 개인정보보호 책임자를 지정해야 하고 관련 교육 및 접근통제 등 기술적 물리적 보호조치를 의무화해야 한다.

여덟째, 법제정으로 공공기관개인정보보호법은 폐지돼 개인정보보호법에 흡수되고 개인정보분쟁조정위원회는 기존의 민간분야외에 공공분야까지 포함해 크게 확대된다.

아홉째, 현행 개인정보분쟁조정위원회의 분쟁조정의 효력이 민사상 합의에서 재판상화해로 효력이 변경돼 재판을 받는 것과 동일한 효과가 발생하며 동일한 피해를 입은 다수의 피해자의 분쟁을 일괄 조정하는 집단분쟁조정제도가 새롭게 도입된다. 아울러 개인정보 침해행위의 중지와 정지를 구하는 단체소송이 도입돼 국민의 피해구제가 획기적으로 개선될 것이다.

열째, 개인정보보호법 의무사항 위반시 기존의 3년 이하의 징역, 1,000만원 이하 벌금에서 5,000만원이하의 벌금, 5년 이하의 징역으로 처벌이 강화된다. 기존의 정보보호통신망법 등과의 처벌수위를 비슷하게 맞췄다.

이와 같이 개인정보보호법이 예정되고 제정돼 우리나라가 명실상부한 정보화 강국으로 거듭나고 정보보호 서비스와 소프트웨어 산업이 활성화되는 모멘텀이 되기를 기대해 본다.

<글 : 김상광 행정안전부 개인정보보호과 서기관(tim2co@korea.kr)>

[월간 정보보호21c 통권 제123호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>