2015년 7월 24일 시행된 개정 개인정보보호법은 개인정보보호위원회(보호위원회)에 대해 많은 권한을 확대해 주고 있다.
예컨대 개인정보 보호위원회에 정책·제도 개선권고권 및 이행점검권, 자료제출요구권, 개인정보 분쟁조정위원 위촉권 부여(제8조제4항·제5항, 제8조의2, 제11조제1항, 제40조제3항·제4항 및 제63조제4항) 등이 이러한 예이다.
이 중에서도 개인정보 침해요인 평가 제도는 입법을 해야 하는 공공기관이 반드시 대비해야 하는 제도인바, 그 주요 내용을 설명하고자 한다.
새로 도입된 개인정보 침해요인 평가 제도는 제8조의2에 신설됐고, 그 시행은 2016년 7월 25이다. 그 조문을 살펴보면 아래와 같다.
제8조의2(개인정보 침해요인 평가) ① 중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통해 개인정보 처리를 수반하는 정책이나 제도를 도입·변경하는 경우에는 보호위원회에 개인정보 침해요인 평가를 요청해야 한다. ② 보호위원회가 제1항에 따른 요청을 받은 때에는 해당 법령의 개인정보 침해요인을 분석·검토해 그 법령의 소관기관의 장에게 그 개선을 위해 필요한 사항을 권고할 수 있다. ③ 제1항에 따른 개인정보 침해요인 평가의 절차와 방법에 관해 필요한 사항은 대통령령으로 정한다. [본조신설 2015.7.24.] [시행일 : 2016.7.25.]
개인정보 침해요인 평가 제도는 중앙행정기관의 장이 새로운 입법 또는 개정을 할 때 개인정보에 관한 내용이 포함되는 경우 반드시 보호위원회로부터 개인정보 침해요인이 있는지에 대한 평가를 받아야 하는 제도이다. 정부 입법 과정에서 규제에 관해는 ‘규제영향분석’이 있는 것처럼, 개인정보에 관해는 침해요인평가를 받아야 하는 것이다.
보호위원회는 침해요인 평가를 한 후 해당 법령의 개선이 필요한 경우 개선사항을 권고할 수 있다. 때문에 입법 과정에서 이를 사전에 대비하지 않으면 제때 입법이 되지 못하는 사태도 발생할 수 있다.
그 구체적인 절차와 방법은 시행령이 나올 때까지 기다려 봐야 할 것이지만, 충분히 예측 가능한 부분만 언급하면 아래와 같다.
첫째, 개인정보 침해요인은 개인정보보호법을 기준으로 판단된다는 점이다. 즉 어떤 입법이 나온 경우 보호위원회는 개인정보보호법의 내용이나 개인정보보호원칙을 근거로 해, 당해 입법이 개인정보보호법의 내용이나 개인정보보호원칙을 준수했는지 평가하고, 만일 어긋난 것이 있다면 그 원인은 무엇인지 그 정당한 근거가 있는지를 따져 볼 것이다. 따라서 개인정보보호법의 내용이나 개인정보보호원칙에 준수되지 않은 부분이 있다면 미리 그 원인과 정당성 등을 준비하는 것이 바람직 할 것으로 보인다.
둘째, 대상은 중앙행정기관의 ‘소관 법령’이라고 돼 있는바, 법률뿐만 아니라 시행령·시행규칙 등이 포함된다. 나아가 정부 입법뿐만 아니라 의원 입법, 나아가 조례 등도 포함될지에 대해 이견이 있을 수 있지만, 개인적으로는 중앙행정기관의 ‘소관 법령’에 포함시키는 것이 타당할 것으로 보인다. 실제로 개인정보 침해요인은 의원 입법이나 조례 등에서 많이 발생하고 있다는 점을 고려하면 이 제도를 취지를 살리기 위해서 필요하다고 본다.
셋째, 소관 법령 중 ‘개인정보 처리를 수반하는 정책이나 제도를 도입·변경하는 경우’에만 개인정보 침해요인 평가 대상이 된다. 여기서 핵심은 개인정보 범위에 관한 문제이다. 아직도 개인정보 해당성 여부에 관해 논란이 있는 부분이 있는바, 개인정보 범위 해석을 전제로 깔고 당해 법령이 침해정보 침해요인 평가 대상이 되는지에 관해 이견이 생길 수 있다. 하지만 이를 엄격하게 따져서는 아니될 것이고, 개인정보에 관해 의심이 있거나 또는 개인에 관한 정보이면 일단 평가 대상으로 삼는 것이 바람직하다고 본다.
넷째, 이 제도의 원활한 실행을 위해서는 보호위원회의 조직이 정비돼야 한다. 개인적으로는 상당한 수의 인원이 충원돼야만 이 제도가 원활하게 운영될 것으로 보인다. 다만 개인정보 침해요인 평가 조직의 규모와 무관하게, 보호위원회가 이러한 업무를 모두 이행해야 하는지 아니면 별도의 상설 평가위원회를 두어야 하는지에 대해는 미리 고민을 하는 것이 필요할 것으로 보인다.
그동안 비전문가에 의한 개인정보 입법이 많았기에 입법에 의한 개인정보 침해는 적지 않았다. 이러한 입법에 의한 개인정보 침해 문제를 근본적으로 해결하기 위해 도입된 것이 바로 개인정보 침해요인 평가 제도이다. 이 제도의 조속한 정착이 필요할 것이며, 다만 시행령을 만들 때 입법기간이 지나치게 늘어나지 않도록 주의해야 할 것이고, 보호위원회는 형식적인 심사가 아닌 실질적인 심사를 해 국민의 개인정보 자기결정권이 충분히 보호될 수 있도록 해야 할 것이다.
<끝>
* 법무법인 민후 김경환 변호사 작성, 법률신문(2015. 8. 10.), 블로그(2015. 8. 11.), 디지털데일리(2015. 9. 25.) 기고.