개인정보보호법 제정과 의의

이 법은 2004년에 최초로 발의되었으나, 발의된 법률안 내용 중 개인정보보호 추진체계, 즉 독립된 감독기구가 개인정보보호 업무를 총괄해야 한다는 것에 대해 국회와 정부가 상반된 견해를 가지고 있어 국회에서의 논의가 진전을 보지 못하고 있었다.

그러던 중 2009년과 2010년에 연속적으로 대형 개인정보 유출사고가 발생했고, 이로 인해 일반 국민과 언론은 조속한 개인정보보호법 제정을 강력하게 요구하게 되었다.

이러한 여론에 힘을 입어 2010년 하반기에 국회에서의 논의가 급진전되었고 7년여

를 끌어오던 법안이 불과 반년 만에 국회 본회의를 통과하게 되었다.

이 법이 공포될 당시 행정안전부(현 안전행정부)는 ‘개인정보보호 2.0 시대의 개막(개인정보보호법 제정·공포)’이라는 제하의 보도자료를 배포하면서 법 제정의 의의를 다음과 같이 홍보했다. 우선 모든 공공기관과 사업자를 규율대상으로 확대하여 법적용 사각지대가 해소되고, 개인정보 수집·이용, 처리, 파기 단계별로 공통된 보호기준과 원칙을 적용하게 된다고 했으며, 법 제정으로 인하여 개인정보를 보다 안전하게 사용할 수 있는 기반이 마련되었다고 했다. 특히, 법 시행으로 개인정보 유출사고는 획기적으로 감소할 것으로 전망했다.

법 시행 이후 개인정보보호 실태

2012년 개인정보보호위원회에서 ‘개인정보보호법’ 시행 이후의 변화분석 연구용역을 통해 5,000개의 공공기관·사업체를 대상으로 설문조사한 결과를 보면, 직원 50명 이상의 사업체는 94% 이상이 ‘개인정보보호법’ 시행에 대해 인식하고 있었던 반면, 직원 5명 미만의 사업체에서는 57.5%만이 법 시행에 대해 인식하고 있는 것으로 나타났다. 즉, 소규모 업체에서는 아직도 절반 정도가 ‘개인정보보호법’이 있는지도 모르고 있다는 것이다.

2011년 기준(통계청 전국 사업체 총조사 결과) 전국 사업체 수가 총 3,470,034개이고, 이중에서 직원 1~4명의 사업체가 2,879,676개로 총 사업체 수의 83%를 차지하고 있는 현실을 감안한다면, 거의 대부분의 사업체가 ‘개인정보보호법’에 대하여 제대로 인식을 하지 못하고 있는 실정이다.

또한, 개인정보 수집·처리 시 28.6%가 정보주체의 동의를 받지 않고 있는 것으로 나타났으며, 개인정보 안전성 확보 조치 의무가 있다는 점에 대해서는 57.1%만이 알고 있다고 응답했고, 개인정보 유출시 정보주체에게 유출사실을 알려야 하는 유출통지제에 대하여는 30.8%가 모르고 있는 것으로 조사됐다.

이렇듯 ‘개인정보보호법’이 시행된 지 2년 여가 지난 현재에도, 공공기관·사업체의 개인정보보호에 대한 인식은 크게 나아지지 않았다는 것이 현실이다. 이를 입증이라도 하듯이 ‘개인정보보호법’이 시행된 이후에도 개인정보 침해사고는 계속 증가하고 있다.

우선 개인정보침해신고센터의 자료에 의하면 ‘개인정보보호법’이 시행되기 전인 2010년에는 개인정보 침해 민원이 54,832건이었으나, ‘개인정보보호법’이 시행된 2011년에는 122,215건, 2012년에는 166,801건으로 크게 증가했다.

2011년 4월 H금융기관, 2011년 11월 N 인터넷 게임업체, 2012년 4월 E 방송사, 2012년 7월 K 통신사, 2012년 김모씨의 연예기획사·병의원 개인정보 해킹사건 등 개인정보 유출사고는 줄을 이었으며 개인정보침해건수로만 본다면 이제는 전 국민의 개인정보가 최소 2회 이상은 유출되었다고 볼 수 있을 것이다.

정보화시대에 개인정보 보호는 중요한 부분이며, 개인정보 침해로 인한 2차적 피해를 고려하더라도 그 보호와 통제의 필요성은 더 중요하다 할 것이다. 이러한 상황에서 정부는 개인정보 수집과 보관에 대한 강화된 기준 마련 및 침해사고 발생시 처벌기준 강화 등 개인정보보호에 관한 규제를 강화하고자 노력하고 있다.

디지털 사회와 정부 3.0

‘개인정보보호법’이 최초로 발의된 2004년 당시는 지금처럼 스마트폰이 보급되지 않았으나, 그 이후 급속하게 보급이 확산되어 언제 어디서나 인터넷을 사용할 수 있고 SNS를 통해 수많은 정보를 실시간으로 주고받는 디지털 시대, 스마트 시대가 도래하면서 개인정보보호와 관련한 환경이 변화하고 있다.

지난 3월 출범한 새 정부는 국민에게 맞춤형 서비스 제공을 근본으로 하는 ‘정부 3.0’을 표방하고 있다. 즉, 가능한 한 많은 개인정보를 수집하고 분석하여 국민이 필요로 하는 정보를 미리 제공하겠다는 것인데, 이를 위해서는 빅데이터의 처리가 불가피하다고 할 수 있다.

이미 스마트폰을 통하여 수많은 빅데이터가 처리되고 있어 언제 어디서든지 필요한 정보를 손쉽게 확보할 수 있는 현실이다. 또한, 각종 성폭행, 학교폭력 등 각종 범죄 예방 및 수사를 위하여 CCTV 설치·운영은 증가되고 있고 영상정보를 분석하는 기술도 급속하게 발달하고 있다. 이렇듯 최근의 사회현실은 대량의 개인정보를 수집·분석하여 이를 국민 편익 서비스와 사회 안전에 이용하고자 한다.

그러나 이러한 사회 현실과는 다르게 ‘개인정보보호법’은 개인정보의 보호에 초점이 맞추어져 있다. 즉, 법 제1조(목적)에서 ‘개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써’라고 규정하고 있고, 법 제15조에서는 개인정보를 수집할 수 있는 경우를 규정하고 있고, 제18조에서는 개인정보의 제3자 제공을 원칙적으로 금지하고 있고, 제23조와 제24조에서는 민감정보와 고유식별정보의 원칙적 처리금지를 규정하고 있는 등 보호를 우선으로 하고 예외적으로 이용을 허용하고 있다.

이러한 ‘개인정보보호법’은 수많은 개인정보를 포함하고 있는 빅데이터를 절대적으로 필요로 하고 있는 디지털 사회와는 배치되는 측면이 없지 않다. 디지털 시대의 대표적인 기업인 구글 회장이었던 에릭 슈미트는 그의 저서 ‘새로운 디지털 시대’에서 인터넷을 통해 전례 없는 속도로 전 세계가 연결되고 있는 현실을 조명하고 이에 맞도록 국가와 기업, 사람이 바뀌어야 한다고 주장하고 있다.

국내에서도 이미 법조계와 학계 등에서 이러한 사회 현실을 반영하여 각종 포럼, 세미나 등을 통해 개인정보보호 법제의 수정을 요구하는 목소리를 내고 있다.

앞으로의 과제

이상과 같이 ‘개인정보보호법’이 시행된 지 1년 반이 지났지만 아직도 개인정보보호에 대한 개인정보처리자의 의식수준은 기대에 못 미치고, 개인정보 유출사고는 지속적으로 발생하고 있는 등 사회 전반적인 개인정보보호 수준은 미흡하다고 보여진다. 그럼에도 요즘의 디지털 사회와 정부 3.0은 더 많은 개인정보의 활용을 요구하고 있다.

이러한 현실을 바라볼 때 디지털 사회로의 변화에 따른 개인정보의 활용에 대한 목소리도 충분히 이해할 수 있지만 그렇다고 무턱대고 개인정보를 활용하도록 법과 제도를 바꿀 수도 없는 입장이다. 그러나 디지털 사회로의 변화는 막을 수 없는 사회현실임을 감안할 때 개인정보보호 법제도도 차츰 변화해 나가야 한다고 본다.

우리나라는 개인정보보호를 규율하고 있는 법으로서 일반법인 ‘개인정보보호법’이 있고, 정보통신망사업자를 대상으로 하는 ‘정보통신망 이용 촉진 및 보호에 관한 법률’, 금융기관을 대상으로 하는 ‘신용정보의 보호 및 이용에 관한 법률’이 있으며, 그 외 개별법에서 부분적으로 개인정보보호를 규율하고 있다.

따라서 디지털 사회로의 변화에 따른 개인정보보호 법제의 개선은 어느 특정 부처의 역할이 아니라 모든 부처가 함께해야 할 과제라고 생각한다. 특히, 개인정보보호의 주된 법률을 관장하고 있는 개인정보보호위원회와 안전행정부, 방송통신위원회가 긴밀히 협력하여 개인정보보호 법제의 개선을 주도해 나가야 할 것이다.

[글_ 김 성 훈 개인정보보호위원회 기획총괄과장(ksh2703@hanmail.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>