기술적 보호조치에 주로 초점 맞춰져...관리적 보호조치 강화 필요

[보안뉴스=구태언 테크앤로 대표변호사] 종래 ‘정보통신망 이용 촉진 및 정보보호에 관한 법률’(이하 ‘정보통신망법’이라 한다)과 ‘공공기관의 개인정보보호에 관한 법률’(이하 ‘공공기관 개인정보보호법’이라 한다)로 유지되어 온 우리나라의 개인정보보호체계는 2011년 3월 ‘개인정보보호법’이 제정됨에 따라 획기적 변화를 맞이했다.

개인정보보호법 제정 이전에는 민간부문 중 정보통신망을 통해 수집한 개인정보의 보호는 정보통신망법이, 공공부문이 취급하는 개인정보보호는 공공기관 개인정보보호법이 담당해 온 관계로 개인정보보호의 사각지대가 있었고 민간부문에서 소위 ‘온라인과 오프라인의 차별 대우’의 문제가 있었다.

개인정보보호법은 종래 공공기관 개인정보보호법과 정보통신망법이 다루어 오던 영역은 물론이고 그 밖의 모든 민간, 공공 생활관계에도 기본적으로 적용되기 때문에 기존에 개별법이 적용되지 않던 영역에서 발생했던 역차별 문제는 상당부분 해결할 수 있게 됐다. 그러나 개인정보보호법이 엄격한 ‘사전 고지와 명시적 동의’ 원칙 하에서 개인정보의 임의적 이용을 극도로 제한한 결과, 사회생활 관계에 있어서 개인정보의 적정한 이용 필요성을 도외시하고 개인정보의 ‘보호’에 지나치게 치우치게 되었고 ‘지킬 수 없는 법’이라는 비판에 직면하게 됐다.

개인정보보호법의 ‘한 쪽으로 치우친’ 목적

대부분의 법률은 제1조에 목적 조항을 두어 해당 법률의 입법취지를 명백히 밝힘으로써 수범자들에게 행동방향을 제시함과 아울러 관련 조항의 해석 방향을 제시하고 있다. 현행 개인정보보호법이 제1조에서 “개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다”고 규정하고 있는 반면, 제17대와 제18대 국회에 제출된 의원입법안들은 ‘개인정보의 보호와 적절한 이용의 조화’를 추구하고 있다. 

대표적으로 이혜훈 의원안의 경우 제1조 목적조항에서 “이 법은 개인정보의 수집·처리와 관련하여 개인의 자유와 권리를 보호하고 개인정보의 적정한 이용을 보장함으로서 정보사회의 균형적인 발전에 이바지함을 목적으로 한다”고 밝히고 있고, 변재일 의원안 역시 제1조 목적조항에서 “개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 개인정보의 안전한 이용을 보장함을 목적으로 한다”고 규정하고 있다.

국회 입법과정에서 개인정보의 적정한 이용과 보호의 조화 중 적정한 이용 측면이 삭제된 이유는 명확히 알 수 없으나, 우리나라의 경우 권위주의 정부의 프라이버시 침해에 대해 아직 트라우마가 있으며, 헌법재판소가 2005년 소위 지문날인 사건과 NEIS 사건에 사생활의 비밀과 자유, 행복추구권 등에서 ‘개인정보자기결정권’을 판례로서 도출했고, 정보보안과 개인정보보호의 차이를 정확히 인식하지 못해온 탓 등이 복합적으로 작용한 것으로 추측된다.

그러나 ‘개인정보’가 곧바로 사생활의 비밀을 의미한다고 볼 수는 없고, 오히려 후술하는 바와 같이 개인정보는 다양한 사회적 가치를 내포하는 ‘사회적 자본의 핵심 요소’의 성격도 가지고 있으므로 현행 개인정보보호법 제1조가 ‘개인정보의 적정한 이용과 보호’가 아닌 ‘사생활의 비밀 등을 보호할 것’만을 목적으로 삼고 있는 것은 적절하지 못하다. 개인정보보호법이 개인정보의 사회적 활용 필요성을 도외시하고 정보주체의 보호만을 제1의 가치로 내세우기에는 정당성이 부족하다. 법 제1조 목적 조항에 ‘개인정보의 적정한 이용’을 추가함과 아울러 적정한 이용을 보장하기 위한‘공정 이용에 관한 조항’을 마련할 필요가 있다.

개인정보자기결정권은 ‘대국가적’ 권리

개인정보보호를 강화하려는 측은 개인정보자기결정권이 헌법상 기본권이라는 점을 근거로 제시한다. 그러나 개인정보자기결정권은 기본적으로 ‘대국가적’ 권리이기 때문에 사인간의 관계에 전면적으로 적용함에 있어 신중할 필요가 있다. 위 헌법재판소 결정에서 문제가 된 사안들 역시 모두 ‘국가 대 개인’의 문제였다는 점은 많은 시사점을 주고 있다.

공공행정은 침익적 처분이 많고 국가가 개인을 파악하는 것에 대한 역사적 공포가 있어 법적 근거가 있어야 적법한 Positive 시스템인 반면 민간영역은 서비스의 품질경쟁을 통한 소비주체의 자유로운 선택을 그 핵심으로 하므로 특별한 금지가 없으면 적법한 Negative 시스템의 성격을 띤다. 

국가는 고권적인 지위에서 국민들의 개인정보를 수집·이용하는 반면 민간영역은 기본적으로 개인정보를 보유하고 있는 정보주체와 이를 수집·이용하려는 자 사이의 의사 합치를 기초로 하므로 정보주체가 기본적으로 그 이용 여부에 대해 선택권을 갖고 있는 면 등을 고려한다면 국가 대 개인의 가치가 충돌할 때에는 개인의 보호를 우선시할 수 있지만 민간영역에서 가치가 충돌하는 사안의 판단기준은 달라야 한다.

공공부문과 민간부문의 개인정보보호에 관한 기본 관점이 이렇게 다름에도 불구하고 현행 개인정보보호법은 공공부문과 민간부문을 한데 묶어 같은 법원칙으로 규율하고 있는데서 근본적인 문제점을 잉태하고 출발했다. 공공부문은 원칙적으로 엄격한 ‘사전 고지와 명시적 동의’ 원칙을 중심으로 하고, 민간부문은 개인의 사후통제권을 중심으로 적절한 이용을 허용하는 원칙을 중심으로 하는 방식으로 개인정보보호법을 개정함이 바람직하다고 본다.

Right to be left alone vs. Right to control

개인정보보호 문제를 다루는 실무가이기 이전에 한 명의 정보주체로서 기본적으로 개인정보보호의 당위성에는 공감하나, 최근에 볼 수 있는 ‘개인정보보호의 절대화 경향’에 대해서는 우려를 표하지 않을 수 없다. 이는 기본적으로 개인정보보호의 문제와 프라이버시의 문제를 혼동하는 것에서 그 원인을 찾을 수 있다. ‘프라이버시권’이 사생활의 비밀과 자유의 문제, 즉 혼자 있을 권리(Right to be left alone)라는 소극적인 측면의 권리라면, ‘개인정보자기결정권’은 내가 아닌 다른 존재와의 관계에서 나의 정보를 통제할 수 있는 권리(Right to control)라는 적극적 측면의 권리라는 점에서 근본적인 차이가 있다.

현행 개인정보보호 법제는 기본적으로 사전 동의제도(Opt-in) 제도를 바탕으로 하고 있는데, Opt-in 제도는 소통의 단절을 가져온다는 점에서 기본적으로 프라이버시권과 친하다. 전면적인 Opt-in은 사회전반에 걸쳐 다양한 문제를 야기하는 바, 역사적으로는 살아있는 사람에 대한 평가와 서술이 불가능하고, 언론의 영역에서도 언론기관의 보도 외에 시민언론 등은 개인정보를 이용한 보도가 법적으로 불가능하다.

시민단체 역시 부패감시를 통해 획득한 비리자의 개인정보를 공개하기 위해서는 형사처벌을 각오해야 하기 때문에 시민운동이 제약을 받을 수밖에 없고, 기업들의 경우 잠재적 고객을 대상으로 하는 맞춤형 마케팅이 불가능하여 또 다른 기본권인 영업의 자유가 극도로 제한받는다. 소비자 정보의 적절한 이용 없이 소비재 관련 산업기술과 소비경제의 발전과 혁신을 기대할 수 없다. 맹목적이고 기교적인 사전적 고지 및 명시적 동의 획득 제도를 수정해야 하는 이유가 바로 여기에 있다.

동의제도의 허구성과 개인정보 통제권의 실효성 확보 수단

현행 개인정보보호제도 중 가장 큰 문제점 중의 하나로 지목되는 것이 바로 ‘동의제도의 허구성’이다. 현행법상 정보주체의 동의를 받으면 대부분의 개인정보를 수집, 이용, 제3자 제공, 위탁할 수 있다. 시각을 달리해 ‘정보주체’의 입장에서 보면, 제대로 읽어보지도 않은 개인정보취급방침에 동의를 한 그 순간 이후로는 개인정보처리자의 의도대로 자신의 개인정보를 처리할 권한을 부여하게 된다. 정보주체에게 실질적으로 중요한 것은 ‘동의권’이 아니라 자신의 정보처리에 대한 적절한 ‘통제권’이다. 정보통신망법 제30조의2, 같은 법 시행령 제17조에서 개인정보 이용내역 통지에 관한 규정을 두고 있으나 그 내용과 통지횟수에 있어서 충분하다고 할 수 없고, 개인정보보호법에는 관련 규정이 없다. 향후 그 실효성을 확보하고 적용범위를 확대하는 조치가 필요하며, 통제권이 적절히 보장된다면 엄격한 사전 고지 및 명시적 동의 원칙을 완화해 개인정보의 적절한 이용의 길을 열어줄 수 있다.

관리적 조치의 중요성 부각

충분한 개인정보보호를 위해서는 ‘기술적, 관리적 보호조치’가 모두 제 기능을 해야 한다. 그런데 개인정보보호법의 제정 당시부터 지금까지 돌이켜보면 그 중 암호화나 보안 시스템의 구축 등 기술적 보호조치에 초점이 맞춰졌던 것이 사실이다. 기업들의 자발적 노력과 규제기관의 감독 등으로 말미암아 기술적 조치는 상당부분 구축을 한 상태이다. 그럼에도 대규모 개인정보 유출사고가 발생하는 이유는 무엇일까.

그것은 충분한 ‘관리적 조치’의 부재에 기인한다. 개인정보는 라이프사이클을 가지고 있고, 제3자 제공 또는 취급위탁 등을 통해 끊임없이 흘러 다닌다. 실제로 외부 해킹을 통해 유출되는 개인정보보다는 개인정보처리자 및 관계자의 오·남용을 통해 침해되는 개인정보가 더 많다. 그렇기 때문에 개인정보처리자로서는 제3자 제공 또는 업무위탁시 관리적 요소를 계약서에 추가하고, 이를 바탕으로 점검과 교육을 실시하는 등 관리적 조치를 강화해야 한다. 이러한 관리적 보호조치는 유사시 책임의 감면의 근거로 활용될 수도 있다.

현행 개인정보보호 법제는 개인정보의 적정한 이용과 보호의 조화보다는 개인정보의 보호에 치우쳐 다양한 문제를 야기하고 있는데, 관련 문제를 해결하기 위해서는 ‘개인정보’의 성격에 대한 인식의 전환이 무엇보다 필요하다. 개인정보는 소위 사회자본(Social Capital)의 중요한 구성요소로서 공공재의 성격도 갖고 있음을 직시해야 하고, 개인정보자기결정권과 프라이버시권을 구분하여 입법에 반영해야 한다.

이러한 문제의식 아래 개인정보 보호법을 가칭 ‘개인정보의 이용 및 보호에 관한 법률’로 개정하고 목적 조항에 ‘적정한 이용’을 추가하며 기교적인 사전적·명시적 동의 제도에서 탈피해야 한다. 또한, 민간분야의 경우 전면적인 Opt-in 제도에서 벗어날 필요가 있다. 전면적인 Opt-in 제도를 고수하기 보다는 개인정보를 활용할 수 있는 정보주체가 실질적으로 자신의 정보를 통제할 수 있는 환경을 조성할 필요가 있는 바, 이를 위해 개인정보 이용내역 통지제도를 보다 강화하고 그 적용범위를 확대하는 것이 필요하다.

마지막으로 최근 들어 개인정보의 보호와 관련하여 ‘관리적 보호조치’의 중요성이 부각되고 있다. 관리적 보호조치는 개인정보취급자 등의 오·남용 예방을 통해 개인정보의 유출을 사전에 방지할 뿐 아니라, 유사시 책임의 감면의 근거로 활용된다는 점에서 많은 관심을 가질 필요가 있다.

[글_ 구 태 언 테크앤로 대표변호사(Taeeon.Koo@teknlaw.com)

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>