개인정보보호관련 법·규정 통합과 일원화·단순화 필요성

[보안뉴스=김종구 한국개인정보보호협의회 상근부회장] 개인정보보호와 관련된 법적 규제가 점차 강화되면서 법 위반 사업자 등에 대한 처벌도 갈수록 무거워지고 있다. 적어도 법상·외형상으론 그렇다.

개인정보보호 관련 법체계가 지나치게 복잡하고 규제기관이 분산돼 있어 법령의 완벽한 준수가 애시당초 불가능하다는 지적도 적지 않다. 특히, 전체 사업자의 절대다수(97%)를 점하는 중소 사업자들이 개인정보보호와 관련된 복잡한 법령이나 규칙, 고시·지침을 100% 준수하기란 말처럼 쉽지 않은 게 현실이다.

대기업이나 공기업, 공공기관의 경우에는 예산도 있고 기술적·관리적 보안조치가 비교적 잘 되어 있는 등 법적인 규제나 의무조치사항(Compliance)을 준수하기가 비교적 용이하다. 하지만 규모가 작고예산과 인력도 태부족한 중소사업자의 경우는 법 준수 수준이나 준비·대응 실태가 대기업이나 공기업, 규모 있는 공공기관과는 다르다고 봐야 한다.

특히, 중소기업의 경우 보안 컨설팅을 거쳐 정보보호관련 인증이라도 취득하고자 하면 총 비용이 수천만 원 이상 소요된다는 게 업계와 사업자들의 엄살(?) 섞인 하소연이다. 이에 따라 일각에서는 행자부나 미래부, 중소기업청 등 국가나 공공기관이 PIMS나 PIPL ISMS 등 ‘인증’ 비용의 일부를 지원하는 제도가 필요하다는 의견도 나오고 있다.

아울러 실제 인증 과정에서의 허점이나 지속적인 사후 보장의 어려움 등을 근거로 인증의 실효성에 의문을 제기하거나 ‘인증제 무용론’을 펴는 전문가들도 적지 않은 것이 사실이다.

정부는 한국인터넷진흥원(KISA) ‘개인정보보호 기술지원센터’ 를 중심으로 중소사업자 등에게 개인정보보호법과 관련된 다양한 기술지원 서비스를 무료로 제공하고, 법 준수를 위해 필요한 기술적 조치를 지원받을 수 있도록 하고 있다.

또 정보통신망법이나 개인정보보호법에 따라 지켜야 하는 의무조치사항과 개인정보의 안전한 기술적·관리적 보호조치 방안과 관련한 상담이나 기본적인 컨설팅을 제공하고 있다. 또한, 웹 취약점 점검 서비스를 통해 홈페이지를 통한 개인정보 유출을 예방하고 불필요한 주민등록번호 수집을 하지 않도록 필요한 조치 등을 지원하고 있다.

하지만 정작 340만 중소기업들이 필요로 하는 것은 형식적이고 제한적인 기술 지원이나 상담·컨설팅이 아니라 좀더 ‘지속적이고 근본적인 정책적 배려와 제도화’라는 주장이 힘을 얻고 있다. 실제로 중소사업자들의 개인정보보호 문제는 정책적·정무적 관점에서 볼 때 매우 중요한 사안임에도 불구하고 정부는 한국인터넷진흥원(KISA)나 한국정보화진흥원(NIA) 등 일부 산하기관을 통한 ‘일시적·제한적인 기술 지원’ 등에 그치고 있다.

하지만 한정된 예산으로 최대의 효과를 내기 위해서는 정부당국의 마인드와 정책방향을 근본적으로 바꿔야 한다는 지적도 업계 안팎에서 꾸준히 제기되고 있다. 현재 정부정책에 있어 아쉬운 점은 정책의 주된 수요자인 350만 민간 사업자 등 ‘시장’의 요구나 필요보다는 ‘정책 공급자’의 관점이나 편의성을 앞세우고 있다는 것이다.

시장과 동떨어진 정책을 수립, 일방적으로 시행하거나 정책사업 수행의 파트너를 산하 공공기관에만 한정함으로써 정책 수행의 효율성(efficiency)과 효과성(effectiveness)을 제대로 거양하지 못하고 있다는 게 정보보호 전문가와 업계 관계자들의 공통된 지적이다.

개인정보보호법이 제정된 지 만 4년이 더 지났음에도 아직까지-특히 민간 부문에서-관련 정책이나 법 집행이 제대로 자리를 잡지 못했다는 문제도 제기된다. 이에 정부는 정책 입안과 시행에 앞서 민간의 의견을 제대로 수렴하고 부문별·기업규모별·업무특성별로 다종다양한 시장의 요구에 좀더 귀를 기울여야 할 것으로 본다.

이를 위해서는 특히 대표성과 공공성을 가진 비영리단체(NPO)들이 정부당국과 정책수립 단계에서부터 긴밀히 협력하고 공조할 수 있도록 특별히 유념해서 노력할 필요가 있다.

이들 단체를 중심으로 350만 사업자 등 개인정보 처리자들에 대한 행정적·기술적·재정적인 지원을 상시적으로 적절히 제공함으로써 법과 정책(기본계획)이 규정한 ‘자율규제’의 구심축이 될 비영리단체를 자연스럽게 육성하고, 이들 단체가 앞장서서 법 준수 캠페인과 관련 교육·홍보·상담·컨설팅 등 활동을 수행해 나갈 수 있게끔 정책적·제도적인 뒷받침을 해줘야 한다는 얘기다.

개인정보보호는 단순한 기술적 보안이나 정부규제의 한 영역이 아니라 ‘사생활의 비밀과 자유’라는 헌법적 가치에 터 잡은 명실상부한 ‘사회적 공동선’의 대과제임을 잊지 말아야 한다. 이제 ‘정부 만능’의 시대는 지났다. 복잡다단한 현대 사회, 21세기 첨단 정보사회에서 한정된 자원과 힘을 가진 정부가 모든 것을 다할 수 없다는 것은 국민과 언론, 시민사회도 충분히 알고 있다.

따라서 정부가 ‘꼭 해야 할 일’ 가운데 정부가 직접 해야 할 것과 그렇지 않은 것을 잘 구분하되 민간이 정부보다 더 잘 할 수 있는 것, 혹은 민간이 하는 것이 더 바람직한 부문이나 과업은 과감히 민간에 맡겨야할 것이다. 대신 정부는 맡겨놓은(위임·위탁) 부문 혹은 과업이 원활히 잘 추진·수행될 수 있도록 제반 권한과 수단을 통해 감독하고 뒷받침 해줘야 한다.

‘개인정보보호법’ 제5조 및 제13조는 개인정보보호에 있어 ‘자율규제’의 중요성에 주목하고 국가나(국가의 대리인 정부가 이를 촉진·지원해야 한다고 규정하고 있다. 또한 개보법의 주무부처인 행자부가 성안하고 대통령 소속 개인정보보호위원회가 심의·의결한 제1차(2011~2014년) 및 제2차(2015~2017) ‘개인정보보호 기본계획’에도 목표와 추진과제 등 곳곳에서 특히 민간 사업자의 자율규제 촉진을 강조하고 있다.

실제로 대다수 중소기업을 비롯한 상당수 기업들은 복잡다단한 개인정보보호관련 법 규정과 컴플라이언스 이슈 중에서 안전성 확보를 위한 기술적 보호조치에만 주력하고 있는 분위기다. ‘정보안심사회구현’이란 개보법의 입법취지나 궁극 목표에는 공감하지만 100% 준수하기에는 복잡하고 비현실적인법규가 너무 많다는 것이다.

따라서 근본적으로 사업자들의 정보보호 조치 강화를 위해서는 이처럼 복잡다단한 개인정보보호 관련 법 규정을 통합일원화 혹은 단순화할 필요가 있다는 주장이 갈수록 설득력을 얻고 있다. 아울러 개인정보 처리자가 해야 할 모든 것을 법에서 일일이 규정할 게 아니라 ‘반드시 갖춰야 할 것’과 ‘해서는 안 될 것’만 정하고 나머지 세부사항은 각 기업별 업무 특성에 따라 적절한 보호조치를 수립·시행할 수 있도록 자율규제의 폭을 넓혀야 한다는 얘기다.

대신 법 위반 시에는 지금보다 더 엄격한 법 집행과 처벌이 이뤄지도록 해야 함은 두말할 나위도 없는 일이다. 획일적 기준에 따른 과도한 규제나 잘못된 규제는 빠른 시일 안에 고치거나 바로잡아야 한다.

당국의 일부 자의적인 점검·단속이나 법원의 온정주의적인 판결 또한 시급히 개선돼야 할 과제다. 법을 위반하거나 잘못한 것은 확실히 처벌해야 하고 대신 잘된 부분은 적절히 상찬하거나 뒷받침해줘야 한다.

[글_김종구 한국개인정보보호협의회 상근부회장겸 개인정보보호범국민운동본부 운영위원장(human7100@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>