올해 3월 29일 「개인정보보호법」이 제정·공포되어 9월 30일 시행을 앞두고 있다. 개인정보보호법의 제정·시행은 그동안 우리나라가 이루어 온 IT 혁명, 인터넷 혁명에 이은 제2의 혁명으로서 정보이용문화에 일대 혁신을 가져올 것으로 예상된다. 이 글에서는 개인정보보호법 제정의 의미와 앞으로 풀어나가야 할 과제는 무엇인지 알아보겠다.
「개인정보보호법」은 지난 2003년 전자정부 31대 과제 중 하나로 선정되어 정부에서 입법논의가 처음으로 제기되었다. 2004년 대통령 직속 정부혁신·지방분권위원회가 주축이 되고 한국전산원(현 한국정보화진흥원)이 연구를 실무지원하여 법률초안을 마련했다.
이후 국회에서 민노당 노회찬 의원안(’04.11월), 열린우리당 이은영 의원안(’05.7월), 한나라당 이혜훈 의원안(’05.12월)이 발의되어 심사가 진행되었으나 개인정보보호 추진체계와 개인정보의 보호와 활용의 조화에 대한 철학의 차이로 인해 통합안 마련이 무산되어 자동폐기 되었다.
또한 2006년에는 전문가, NGO, 사업자가 참여하는 ‘통합 개인정보보호법’이 제안되었으나 정부와의 이견으로 법 제정이 무산되었다. 이후 이명박 정부 출범과 함께 개인정보보호 총괄부처인 행정안전부는 개인정보보호법 제정 태스크포스팀을 8개월간 운영한 후 2008년 11월 28일 정부안을 18대 국회에 제출하였으며 국회에서도 한나라당 이혜훈 의원안(’08.8월)과 민주당 변재일 의원안(’08.10월)이 발의되었다.
제출된 정부안과 의원안은 2009년 2월 국회 행정안전위원회에 상정되어 법안심사소위원회에서 다섯 차례 논의 후 여·야 합의에 의해 통과되었다. 국회 행정안전위원회 대안으로 통과된 법안은 2010년 12월 법제사법위원회에 상정되어 2011년 2월 법제사법위원회 법안심사소위위원회를 통과하고 3월에 국회 본회의 의결을 거쳐 2011년 3월 29일 공포되었으며 제정법은 공포 후 6개월이 경과되는 오는 9월 30일 시행될 예정이다.
개인정보보호법 제정의 의의
8년여의 산고 끝에 탄생한 「개인정보보호법」은 고도 지식정보사회를 맞고 있는 우리에게 있어서 매우 중요한 의미를 가진다. 우선, 그간의 국가사회 정보화의 눈부신 성과의 그림자로서 쉴 새 없이 제기되는 정보 프라이버시 침해의 위험을 재확인하고 법적 규제의 사각지대를 해소한 점은 매우 중요하다.
「개인정보보호법」은 개인정보에 관한 일반법으로서 다른 법률에 특별한 규정이 있는 경우를 제외하고는 모든 개인정보처리자에게 적용된다. 그동안 「공공기관의 개인정보 보호에 관한 법률」과 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)」 등 개별법에 따라 약 50만개의 기관·단체 및 사업자가 부분적으로 규율을 받아왔다.
그러나 「개인정보보호법」의 제정으로 공공·민간부문 및 온·오프라인을 모두 규율할 수 있게 되어 국회·법원 등 헌법기관, 민간사업자, 비영리단체, 개인 등 기존에 법적 규제를 받지 않던 310여만 개인정보처리자가 추가로 개인정보 보호의 책임을 지게 되었다.
둘째, 「개인정보보호법」은 개인정보보호의 원칙과 기준을 확립한 데 의의가 있다. 「개인정보보호법」은 개인정보보호 원칙에 따라 자신의 정보에 대한 정보주체의 ‘개인정보 자기결정권’ 확보를 위한 노력을 지원·강화하여 개인정보의 안전한 이용을 도모하고자 하였다. 특별히 존치의 필요성을 찾기 어려운 정보통신망법상 개인정보보호 규정 등 기존 법률을 제대로 정비하지 못한 점은 아쉬운 부분이지만 향후 개인정보보호 관련 법제를 체계화하고 정비하는 기준으로서「개인정보보호법」이 중요한 역할을 할 것임은 분명하다.
셋째, 개인정보보호를 위한 전담 추진체계를 마련한 점도 큰 성과이다. 대통령 소속의 개인정보보호위원회를 설치하여 개인정보 보호에 관한 주요 정책 등을 심의·의결하도록 하고 행정안전부에 개인정보 보호업무의 총괄·조정권한을 부여함으로써 보다 책임 있는 개인정보 보호정책의 수립·추진이 가능하게 되었다.「개인정보보호법」이라는 단일법·통합법의 제정과 함께 전담 추진체계의 마련은 개인정보보호에 있어서 우리나라의 국제적 위상 강화에 이바지할 것으로 전망된다.
국제통상과 관련하여 ‘프라이버시 라운드(Privacy Round)’가 논의되고 있고 외국과의 FTA 체결 확대로 개인정보의 교류 증대가 예상되는 상황에서 개인정보보호 원칙의 확인과 국제 수준의 개인정보보호체계 구축은 특히 의미가 있다.
개인정보 보호법의 성공적 정착을 위한 과제
「개인정보보호법」이 조기에 성공적으로 정착되기 위해서는 먼저, 개인정보의 수집·이용·제공·파기·위탁처리 등 각 처리 단계별 세부기준을 조속히 수립할 것이 요망된다.
「개인정보보호법」 및 시행령(안)에서는 개인정보의 처리에 관한 표준 개인정보 보호지침을 비롯하여 국가간 개인정보 이동, 고유식별정보의 안전성 확보, 개인정보 처리업무위탁, 영상정보처리기기 설치·운영 위탁, 개인정보 보호책임자 교육, 개인정보 영향평가 등 주요사항에 관한 세부기준을 지침 또는 고시로 구체화하도록 하고 있다. 이러한 세부기준의 마련에 있어서는 수범자의 수용가능성이 충분히 고려되어야 하며 글로벌 표준과의 적합성에 대한 검토도 있어야 할 것이다.
둘째, 개인정보처리자의 개인정보보호역량 강화를 위한 정부의 보다 적극적인 지원과 관심이 필요하다. 기존에 개별법에 따라 개인정보보호의무를 수행해 온 개인정보처리자는 어느 정도 개인정보보호능력을 보유한 것으로 볼 수 있다.
그러나 이번 「개인정보보호법」의 제정으로 새롭게 규율 대상에 포함된 민간사업자 특히 중소·영세사업자와 비영리단체, 개인 등은 자신이 규제대상인지조차 제대로 인식하지 못할 수도 있다. 따라서 개인정보보호능력이 취약한 개인정보처리자에 대한 교육·홍보와 컨설팅, 간편한 개인정보보호 솔루션 개발·보급 등 개인정보 보호역량의 강화를 위한 정부의 적극적인 시책 마련과 지원이 요구된다.
셋째, 합리적인 개인정보 이용 및 보호 문화의 정착을 위한 사회구성원 모두의 적극적인 참여와 인식개선이 필요하다.「개인정보보호법」의 일차적인 목적이 개인정보의 수집·유출·요용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하는 데 있지만 사생활의 비밀 보호와 정보의 자유로운 흐름을 조화하는 역할도 수행하여야 한다.
또한 기술과 사회의 진화에 따라 날로 변화하는 사회문화적 환경에 맞게 개인정보 보호기준을 개선, 발전시키기 위한 정보주체·개인정보처리자·정부 등 관련 주체의 공동노력이 필요하며 지속적인 법·제도의 개선도 이루어져야 할 것이다.
[글 _ 이규정 한국정보화진흥원 개인정보보호 팀장/연구위원·법학박사(lkj@nia.or.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
