2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다.
특히, 정보화 시대의 그림자로 평가받고 있는 정보 프라이버시 침해문제에 대하여 깊은 인식을 하면서 국제적 기준에 부합하는 개인정보 보호 원칙을 실현했으며, 대통령 직속으로 개인정보보호위원회를 설치해 전담체계를 갖추었다는 점에서 큰 기여를 했다고 볼 수 있다.
그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다.
1. 개인정보 범위의 모호
개인정보보호법상의 ‘개인정보’에 해당하려면, 살아 있는 개인에 관한 정보이어야 하고, 식별성 있는 정보이어야 한다. 나아가 다른 정보와 쉽게 결합하여 식별성을 띠는 정보도 개인정보에 포함시키고 있다.
그러나 위 개인정보보호법상의 ‘개인정보’의 개념이 모호하고, 그 범위 설정이 쉽지 않다는 문제점이 있다. 우선, 누구를 기준으로 식별성을 따져야 하는지가 문제이다. 정보주체를 잘 알고 있는 사람이라면 그렇지 않은 일반인보다 훨씬 더 식별성의 범위가 넓기 때문이다.
다른 정보와 쉽게 결합하여 식별성을 가지는 정보도 개인정보보호법상의 개인정보에 해당하지만, 수차에 걸쳐 결합시키면 모든 정보는 식별성을 가지게 되는 문제점도 있으며, ‘쉽게’라는 표현이 무슨 의미인지 모호하다.
현재 서울중앙지방법원은 개인정보의 개념에 대해 “구하기 쉬운지 어려운지와 상관 없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인을 알아볼 수 있게 되는 것”이라고 파악하고 있다.
또한, 어떤 조건에서 쉽게 결합하여 식별성을 가져야 하는지도 알 수 없어 개인정보가 상대적 개념으로 바뀔 수 있다는 문제점도 있으며, 쉽게 결합하여 식별성을 가지는 정보도 포함됨으로써 개인정보의 범위가 상식선을 넘어 매우 넓어질 수 있다는 문제점도 있다.
개인정보는 살아 있는 개인의 정보이므로 사망한 사람의 정보는 개인정보로 보지 않지만, 사망한 사람의 정보는 살이 있는 후손의 정보도 내포하기 마련이다. 이 경우에도 개인정보로 보지 말아야 하는 것인지, 아니면 살아 있는 후손의 개인정보인지 의문이며, 개인의 정보가 아닌 법인·단체의 정보는 개인정보로 보지 않지만 법인·단체의 임직원 정보는 개인정보인지 아닌지 모호하기 그지 없다.
개인정보보호법으로 보호해야 할 개인정보의 개념과 범위에 관하여 보다 명확하게 규정할 필요가 있다. 더불어 합리적이고 상식에 맞게끔 범위를 정할 필요가 있다. 그렇게 하기 위해서는 애매한 법조문 보다는 명확한 법조문, 누구나 이해할 수 있고 예측할 수 있는 법표현이 규정되어 있어야 할 것이다.
2. 다른 개인정보보호법제와의 관계 정립
대표적인 개인정보보호법제로는 개인정보보호법 외에 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’이 있다.
이들의 관계에 대하여 개인정보보호법 제6조는 “개인정보 보호에 관하여는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”라고 규정하고 있다.
즉, 개인정보보호법과 정보통신망법·신용정보법 사이에 모순점이 있는 경우 정보통신망법·신용정보법이 우선 적용된다는 것이다.
위 제6조에 의하면, 정보통신망법에 의하여 규율되고 있으면 개인정보보호법의 적용은 배제된다는 것인데, 여기서 문제점이 발생하고 있다.
정보통신망법의 규율대상인 ‘정보통신서비스 제공자’는 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로 정의되어 있다(제2조 제3호). 위 ‘정보통신서비스 제공자’에는 순수한 정보통신서비스 제공자뿐만 아니라 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자도 포함하고 있다.
그런데 단순히 영리 목적으로 인터넷을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자의 범위는 단순한 인터넷 사업자까지 포함하고 있는 바, 그렇다면 인터넷 공간에서 개인정보보호법이 적용되는 자는 사실상 거의 없게 되는 결론이 된다. 개인정보보호법이 정보통신망법 때문에 유명무실화되었다는 것이다.
두 법령 사이의 체계를 다시 정립할 필요성이 매우 크다. 그 방안으로는 정보통신망법 규정에서 개인정보보호 규정을 삭제하는 방안(제1안)과 정보통신망법의 ‘정보통신서비스 제공자’의 범위를 순수한 정보통신서비스 제공자로 한정하는 방안(제2안)이 논의되고 있다.
개인적으로 법령 상호간의 체계를 유지하고, 국민들의 혼란을 줄일 수 있다는 점에서 제1안을 지지한다. 다만 방송통신위원회의 감독권은 그대로 존치시키는 것이 바람직하다고 본다.
<계속>
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 10. 22.) 기고.