• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보보호법, ┖늦잠┖ 깨울 묘안은 없나? 2007.06.08

개인정보보호법, ‘늦잠’ 깨울 묘안은 없나?


개인정보 및 사생활 보호의 총론 구실을 할 개인정보보호법이 3년째 국회 행정자치위원회에서 심의조차 받지 못한 채 방치되고 있다. 개인정보보호법 제정안은 열린우리당, 한나라당, 민주노동당에서 각기 상이한 법안을 제출, 각 당의 이해관계가 얽혀 차일피일 미뤄지고 있는 가운데 올해 새롭게 제출된 ‘통합안’마저도 개점휴업 상황이다. 여기에 올해 말 있을 대통령 선거는 개인정보보호법을 일찌감치 시야권 밖으로 밀어내버렸다.


갈수록 개인정보 및 사생활 침해의 피해 사례가 급증하고 있지만 이를 보호해줄 개인정보보호법은 태어나기도 전에 여전히 ‘혼수상태’다. 하지만 현재 국회 법제사법위원회에 계류중인 ‘공공기관개인정보보호법 개정안’이 조만간 통과할 예정이라, 공공기관개인정보보호법이 개인정보보호법 해결의 실마리를 제시하지 않을까 조심스런 관측도 제기된다. 이에 개인정보보호법과 공공기관개인정보보호법의 진행 사항을 점검해보았다.                                       

 


3개 법안 모두 행자위에서 ‘방치’…

각 당의 이해관계 얽혀 처리 ‘난항’


광화문에 있는 정보통신부 건물 1층에는 KT가 엄청난 돈을 들여 만들어놓은 유비쿼터스 전시관이 ‘으리으리하게’ 마련되어 있다. 인증된 주인에게만 문을 열어주는 지능형 문을 비롯해 날씨, 주문형 뉴스 등을 보여주는 지능형 TV, 집안에서 유명 미술작품을 감상할 수 있는 디지털 액자 등으로 구성된 u-홈에서부터 u-오피스, u-퍼블릭 존 등으로 구성되어 있다. 정통부는 차갑고 딱딱하게 느껴지는 u-IT 기술이 인간과 교감할 수 있는 따뜻한 기술로 느껴질 수 있도록 하는 데 중점을 두었다고 강조한다.


전자태그나 센서 네트워크를 통해 언제 어디서나 원하는 서비스를 제공받을 수 있는 유비쿼터스 사회. 과연 유비쿼터스는 우리에게 장밋빛 미래의 모습만을 보여줄 것인가. 인프라 면에서는 장밋빛을 보여줄지 모르겠지만 개인정보 및 사생활 보호 측면에서는 먹장구름 가득한 하늘에 불과하다는 게 전문가들의 지적이다. 과거 ‘개똥녀’에서부터 ‘똥습녀’와 ‘박지윤’ 사건에 이르기까지 개인정보 및 사생활 침해 수준은 도를 넘어선 지 오래다. 전문가들은 유비쿼터스 사회를 맞이하기 위해서는 개인정보보호법을 서둘러 마련해야 할 것이라고 지적한다.


지난 4월 25일 NETSEC-KR 2007의 마지막 행사로 열렸던 패널 토의장에서 임종인 고려대 정보보호대학원장은 “선진국이 모두 개인정보보호 관련법을 제정했는데도 우리나라는 3년째 기본법조차 마련되지 않고 있다. 국가 차원의 제도적 개선 등 정책적 뒷받침이 필요하다”고 지적했고 정현철 정보통신부 개인정보보호팀장은 “아침에 집에서 나와서 저녁에 집에 들어갈 때까지 22번 CCTV에 찍힌다는 통계가 있다. 그만큼 우리는 사생활을 노출한 채 살아가고 있다. 이에 대한 국민들의 관심이 아직 많이 부족하며 새로운 개인정보보호 진흥책이 필요하다”고 밝혔다.

 


개인정보의 의미를 둘러싼 견해 차이


유비쿼터스 사회는 다양한 종류의 컴퓨터가 사람, 사물, 환경 속으로 스며들고 서로 연결되어 언제 어디서나 컴퓨팅을 할 수 있는 환경을 말하는 것인데, 이는 거꾸로 언제 어디서나 개인정보의 침해에 노출되어 있음을 반증해준다.


개인정보보호법을 살펴보기에 앞서 ‘개인정보’의 의미부터 살펴볼 필요가 있다. 그것은 ‘개인정보’를 어떻게 해석하느냐에 따라 그 적용범위가 달라질 수 있기 때문이다. 공공기관의 개인정보보호에 관한 법률 제2조 2항 및 정보통신망 이용촉진 및 정보보호에 관한 법률 제2조 6항에 따르면, 개인정보라 함은 ‘생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명·주민번호 등의 사항에 대하여 당해 개인을 식별할 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보’를 뜻한다.


최근 몇 년 사이 개인정보에 대한 국민들의 관심이 빠르게 퍼지면서 ‘정보인권’이라는 용례를 찾아보기 어려운 용어도 검증없이 사용되고 있다. 정보인권을 주창하는 사람들은 개인정보를 인권보호의 시각에서 바라보며 개인정보가 최대한 보호받아야 하는 대상으로 생각한다. 심지어 개인정보가 인격권의 일부이기 때문에 상업적 이용 또는 거래의 대상이 될 수 없다고 주장하기도 한다. 즉 소극적 권리의 전통적 프라이버시와 적극적 권리의 정보 프라이버시 사이에 극심한 혼돈이 일어나고 있는 상황이다.


현재 각 정당에서 내놓은 개인정보보호법의 차이는 개인정보의 인식 차이에서 비롯된다고 하겠다. 어떤 개인정보는 이용과 사용이 장려되거나 의무화되기도 하는 반면, 또다른 개인정보는 오남용시 사생활 침해의 위험이 있기 때문에 수집, 이용, 보관 등에 법적인 규제가 필요하기도 하다. 결국 개인정보보호법의 논란은 이용하느냐, 보호하느냐의 차이에서 비롯된 것이며 세부 내용과 추진체계 등에서 극한적인 의견대립으로 인해 평행선을 달리고 있는 것이다. 

 


개인정보보호법의 과거와 현재


그 동안 우리나라의 개인정보 보호에 대한 법적 근거와 추진체계는 공공부문과 민간부문으로 각각 구분되어 운영해 왔었다. 현재 정보통신망법을 중심으로 정보통신기반보호법, 정보화촉진법, 전자서명법, 전자거래기본법, 전자거래소비자보호법 등에서 정보보호와 관련된 내용을 포괄하고 있다. 이 가운데 정보통신망법과 정보통신기반보호법, 정보화촉진법 등이 정보통신망 보호에 관한 내용을 다루며, 개인정보보호와 관련된 내용은 정보통신망법과 신용정보법, 전자거래기본법으로 규정하고 있다.


개인정보보호 기본법 제정의 필요성은 1990년대 중반부터 시민·사회단체를 중심으로 꾸준히 논의되어 왔다. 노무현 대통령도 지난 2003년 정부혁신지방분권위원회에 이 법의 제정을 지시하기도 했다. 이에 따라 지난 2004년 이은영 열린우리당 의원, 이혜훈 한나라당 의원, 노회찬 민주노동당 의원 등이 각각 개인정보보호법 제정안을 발의, 제정안을 제출한 바 있다.


3개의 법안은 똑같이 개인정보보호에 관한 비슷비슷한 내용을 담고 있지만 각 당의 색깔을 고스란히 드러내고 있다. 예를 들어, 개인정보보호 감독기구의 경우 노의원은 별도의 독립기구 설치를 제안한 반면, 이의원은 국가인권위원회 산하에 개인정보보호위원회를 두자는 식이다. 물과 기름이 섞이지 않듯이 이 3개의 법안은 서로 따로 놀아 국회 행정자치위원회에 제출된 지 3년이 되었지만 계속 방치되고 있는 것이다.


이처럼 시민·사회단체들의 많은 관심 속에서도 개인정보보호법이 표류하고 있는 가운데 지난해 말 변재일 열린우리당 의원과 진영 한나라당 의원은 개인정보보호법 통합안을 제시하기도 했다. 이 통합안은 정보보호진흥원 이창범 박사가 초안을 작성, 진보네트워크 및 참여연대 등의 시민단체와 인터넷기업협회, 온라인쇼핑협회 등 사업자단체, 그리고 각 전문가그룹 등의 의견을 거쳐 완성됐다.


변재일 의원실의 한 관계자는 “서로 다른 3개 법안의 견해차를 좁혀 보자는 것이 이번 통합안의 취지”라고 설명했다. 하지만 이 역시도 정치 일정 및 각 당의 이해관계가 엇갈려 빛을 발하지 못했다. 또 지난해 말에는 개인정보보호법과의 중복 논란 속에서도 보건복지부와 윤호중 열린우리당 의원이 건강정보보호법이라는 개별법을 발의했는데, 의료계의 거센 반대에 부딪혀 옴짝달싹하지 못하고 있는 상황이 연출되고 있다.


이처럼 각 국회의원들이 개인정보보호법에 대해 엇박자로 혼선을 빚고 있는 것은 개별법이 아닌 일반법의 필요성 때문이다. 즉, 현재에도 정보통신망법 상의 개인정보보호법, 공공기관의 개인정보보호법, 신용정보보호법 등 개별 하위법으로도 충분히 개인정보 보호를 다룰 수 있지만 이를 총괄할 수 있는 일반법이 있어야 한다는 게 국회의원들의 입장이다. 개별법들의 경우 한 사안을 두고 서로 바라보는 시각과 잣대가 다르기 때문에 일관되고 통일된 기본법의 제정이 요구되고 있는 것이다.


하지만 최근 들어 정통부는 현재의 정보통신망법에서 개인정보보호에 관한 부분만 따로 떼어내어 특화하는 방안을 마련 중이다. 임종인 고려대학교 교수는 “개인정보보호에 관한 기존의 3가지 법안이나 변재일 의원의 통합안도 대안이라고 할 수 없다. 설사 대안이라고 하더라도 언제까지 여기에 목매달 수는 없다. 정통부에서 추진 중인 새로운 안은 영리나 비영리를 떠나서 모든 서비스 제공업자로 확대함으로써 그동안 사각지대가 발생됐던 문제점을 해소할 수 있을 것”이라고 말했다.


개인정보보호법의 쟁점은 무엇인가

 


현재 개인정보보호법에서 가장 쟁점이 되는 것은 개인정보의 정의, 개인정보의 수집방법, 개인정보정책의 추진주체 및 체계, 개인정보 수집·취급·관리 등의 위임 및 위탁, 개인정보의 제3자 제공·판매·대여 및 공유, 주민등록번호 등 고유 식별자의 사용제한, 개인에 의한 타인의 식별정보 도용, 개인정보의 영향 평가제 등에 관한 부분이다.


앞서 말한 것처럼 개인정보를 어떻게 정의하느냐에 따라 개인정보보호법의 적용 범위가 크게 달라진다. 개인 신상정보에 초점을 두는 방식, 본인 식별성에 초점을 두는 방식, 그리고 본인 식별성에 초점을 두면서 개인 신상정보도 포함하는 방식 등 3가지로 나뉘는데 우리나라는 두 번째인 본인 식별성에 초점을 두는 방식에 무게를 두고 있다. 예를 들어, 전자거래사업자가 수년간에 걸쳐 고객의 온라인 ‘거래습관’을 은밀히 조사해 이메일 마케팅을 펼쳐왔다면 이는 식별성과 관계가 없으므로 개인정보 침해라고 할 수 있다.


즉 정보주체의 이름, 주소, 사진, 지문, 주민번호, ID 및 패스워드 등을 제외하고 개인정보라고 볼 수 없게 된다. 또 이메일 수신확인 서비스, 휴대폰 수신가능 상태 알리미 서비스, 쿠키 정보 등도 개인 신상정보에 초점을 둔다면 개인정보에 포함되지만 본인 식별성에 초점을 두면 해석상 논란이 생길 수밖에 없다.


개인정보 수집방법으로는 옵트인(OPT-IN) 방식과 옵트아웃(OPT-OUT) 방식에 따라 견해차이가 발생한다. 옵트인 방식은 개인정보 취급자가 미리 정보주체로부터 동의를 받은 후 수집하는 방식이고, 옵트아웃 방식은 일단 개인정보를 수집한 후 이용 중지요청이 있을 때 중지하는 방식인데, 우리나라는 옵트인 방식을 채택하고 있다. 하지만 정부안은 정보주체로부터의 직접 수집의 원칙을 채택하고 있지 않으며 고지의무도 부과하고 있지 않는 점에서 문제의 소지가 있다.


현재 개인정보보호법상 가장 차이를 보이고 있는 부분이 바로 추진주체의 성격을 어떻게 규정짓느냐이다. 자료에 따르면 완전히 독립된 개인정보보호기구를 두고 있는 국가는 7~8개(프랑스, 영국, 캐나다, 호주, 뉴질랜드, 홍콩 등)에 불과하고 대다수 국가들은 행정부에 소속되어 있거나 행정부로부터 인력과 예산을 지원받고 있다. 각국의 개인정보보호기구들로 구성된 세계 개인정보보호기구협의회에서도 ‘독립성’을 기능상의 독립성과 그것을 유지할 수 있는 조직, 인사, 예산체계의 독립이지 반드시 물리적 독립을 요구하는 것은 아니라고 정부 관계자들은 전한다.


개인정보보호의 문제점에 대해 임종인 고려대학교 교수는 “개인정보보호 체계상의 문제와 함께 예방보다는 사후 처벌에 중점을 둔 것에 문제가 있었다”면서 “미국도 각 분야별 개별법들을 통해 개인정보보호를 추진하고 있는 것처럼 조속히 법안이 마련되어야 할 것”이라고 전했다.

[월간 정보보호21c 통권 제82호 김완선·동성혜 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>