[보안뉴스=이정운 김·장 법률사무소 변호사] 요즘 거리를 지나다 보면 어렵지 않게 건물 입구에 설치된 CCTV 안내판을 발견하게 된다. 동네 작은 병원에서 진료를 위해 개인정보 처리 동의서를 작성하는 모습도 더 이상 낯선 광경이 아니다.

개인정보보호법이 시행된지 2년이 채 지나지 않았지만, 새로운 규범은 빠른 속도로 사회를 변화시키고 있다. 개인정보 보호에 있어 법적 사각지대가 해소되고, 개인정보에 대한 사회구성원들의 의식이 개선됐다는 점에서 개인정보보호법은 이미 적지 않은 성과를 가져왔다고 할 것이다.

하지만 관련 법령들의 상이한 규제 내용이나 동의 원칙에 대한 합리적인 예외가 충분히 허용되지 않고 있다는 점 등은 여전히 풀어야 할 숙제로 남아 있다. 법의 해석과 집행이 합리성을 잃게 되면, 수범자 입장에서는 이러한 법령을 ‘지킬 수 없는 법’으로 여기게 되고, 법의 실효성이 크게 반감될 수밖에 없다. 새로운 법체계가 자

리잡아 가는 이 시점에 규제의 실효성에 대해 고민해야 하는 이유이다.

개인정보보호 규제의 실효성을 제고하기 위해 우선 관련 규제체계의 통일적인 정비가 필요하다. 개인정보의 처리를 규제하는 법률로 일반법인 개인정보보호법 외에 정보통신서비스 제공자가 이용자의 개인정보를 처리하는 경우 적용되는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’), 신용정보의 처리에 관하여 규율하는 ‘신용정보의 이용 및 보호에 관한 법률’ 등 개별 법률들이 산재해 있다.

이러한 법률들은 그 규제 내용이 서로 상이할 뿐만 아니라 적용 범위나 법률간의 관계 또한 분명치 않아 수범자 입장에서 법률 준수에 적지 않은 어려움을 겪고 있다. 개인정보 보호와 관련하여 개인정보보호법이 일반법의 지위를 갖는다고 하지만, 개별법인 정보통신망법의 규제체계를 빌려오면서 일부 규제 내용을 바꾸는 측면이 있다 보니, 구체적인 법 적용 단계에서 다소 혼란이 야기되고 있는 것이 사실이다.

예를 들어 개인정보보호법은 개인정보 수집·이용 동의를 받을 때 고지하는 사항 중 하나로 ‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’을 정하고 있는 반면, 정보통신망법에서는 이러한 항목의 고지를 요구하고 있지 않다. 정보통신망법이 먼저 시행되고 있던 터라 정보통신망법이 개인정보보호법상의 고지의무를 특별히 완화한 것이라고 해석하기 어려운 면이 있다.

반대로 개인정보보호법상의 규제가 가벼운 경우에도 해석상 혼란이 야기된다. 개인정보보호법은 개인정보처리자가 정보주체의 동의 없이 개인정보를 수집할 수 있는 경우를 상대적으로 넓게 인정하고 있으나, 정보통신망법은 매우 제한적인 경우에만 예외를 인정하고 있다. 이 때 정보통신서비스 제공자가 일반법인 개인정보보호법상의 규정을 원용하여 동의 의무의 예외를 주장할 수 있을지에 대해서도 명확한 답을 내리기 어렵다.

그 외에 개인정보 처리업무의 위탁이나 개인정보 국외이전에 관한 규제 내용도 정보통신망법과 개인정보보호법이 서로 다르다. 그런데 대부분의 사업자들이 온라인과 오프라인을 불문하고 고객과의 접점을 늘려가는 현실에서 단순히 개인정보가 어떠한 방식으로 수집되었는지에 따라 실질적인 규제의 내용이 달라진다는 것은 때론 매우 불합리한 결과를 야기할 수 있다.

따라서 일반법인 개인정보보호법을 중심으로 합리적인 규제체계를 수립해 나가면서 각 개별법에는 해당 영역에서 문제되는 특유한 사항들만 규정하는 방향으로 전체 법체계를 정비할 필요가 있다.

다음으로 사전동의 원칙에 대한 합리적 수정을 고려해 볼 필요가 있다. 개인정보 처리에 대한 사전 동의 방식(opt-in)은 정보주체로 하여금 자신의 개인정보가 어떻게 처리되는지에 대한 충분한 정보를 가지고 직접 의사결정(informed decision)을 할 수 있도록 한다는 점에서 이론적으로 자기정보통제권 보장에 가장 충실한 방식이라고 할 것이다.

하지만 현실에서 이루어지는 동의는 이러한 이론과는 거리가 있어 보인다. 개인정보처리자들이 관련 법령에 따라 빼곡히 동의사항을 나열한 동의서를 제공하고, 서비스나 재화를 제공받고자 하는 정보주체들은 충분한 검토나 고민 없이 기계적으로 동의 버튼을 클릭하거나 서명란에 서명을 하는 것이 일반적이다.

이런 현실을 감안하면, 개인정보 처리와 관련하여 무조건 많은 정보를 제공하는 것이, 그리고 많은 선택권을 제공하는 것이 항상 정보주체의 이익에 부합한다고 할 수는 없다. 실제 개인정보처리자 입장에서는 정보주체로부터 동의만 받으면 동의서에 기재된 범위 내에서는 자유롭게 개인정보를 이용할 수 있는데, 이러한 규제 방식이 오히려 정보주체의 자기정보통제권을 크게 침해할 우려를 함께 지니고 있다.

형식적인 결정권한에만 주목할 것이 아니라, 정보주체의 인식가능성을 고려하여 정보 제공의 적절한 범위와 방법부터 고민해야 할 것이다. 그리고 일정한 경우에는 사후 철회방식(opt-out)을 통해서 정보주체의 자기정보통제권을 보장할 수 있다는 탄력적인 규제시각도 필요할 것으로 보인다.

나아가 사전 동의 방식의 규제가 실효성을 확보하기 위해서는 합리적인 예외를 적절히 허용하는 것이 매우 중요하다. 하지만 현재 개인정보보호법상 허용되는 예외는 그 범위가 매우 제한적이고, 탄력적으로 해석할 수 있는 일반 예외 조항도 존재하지 않는다.

이 때문에 실무상 법 문언에 얽매여 상식선에서 조차 납득키 어려운 방향의 법 해석을 해야 하는 경우도 적지 않다. 이러한 해석들이 당해 법률이 가지는 규범적 성격에 대한 의문을 가져오는 것은 당연한 결과이다.

또한, 현행 규정상으로는 ‘개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우’ 동의 없이 개인정보를 수집할 수는 있어도, 이미 수집한 개인정보를 목적 외로 이용할 수는 없는 등의 문제가 있는 바, 현행 예외 규정들에 대한 체계적인 정비도 함께 진행되어야 할 것이다.

아무리 규제의 정당성이 확실하고, 위반시 처벌이 무겁다고 하더라도 지키기 어려운 법은 실효성이 떨어질 수밖에 없다. 개인정보 보호에 관한 규제 체계와 규제 내용을 합리적으로 정비하여 정보주체의 권리를 실질적으로 보장함과 동시에 개인정보처리자가 합법적으로 개인정보를 활용할 수 있는 길도 넓혀가야 할 것이다.

[글 _ 이 정 운 김·장 법률사무소 변호사(jungun.lee@kimchang.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>