2011년 9월 30일 개인정보보호법이 시행되어 현재는 1년이 넘어가고 있다. 짧은 1년이었지만 그 동안 국민들에게 많은 인식의 변화를 유도했고, 많은 개선과 발전을 가져온 것은 큰 성과라고 할 수 있다.
그러나 여전히 몇 가지 문제점을 안고 있고, 또한 현실에 부합하지 않은 점도 나타나고 있으며, 앞으로 개선되어야 할 점도 있어 보인다. 이 글에서는 개인정보보호법 시행 1년을 맞이하여 그간의 문제점을 짚어보고 앞으로 풀어야 할 과제를 제시하고자 한다.
6. CCTV 관리 및 통합의 규제
앞으로 정보주체의 프라이버시를 가장 많이 침해할 것으로 예상되는 것이 영상정보를 활용한 CCTV이다. 정부, 지자체, 기업들은 하루가 다르게 CCTV의 양을 늘리고 있고, 그 CCTV로 인하여 생긴 정보들은 계속 쌓이고 있는 추세이며, 지금은 CCTV를 통합하여 운영·관리하도록 체계를 바꾸는 데에도 주력하고 있다. 예컨대 자치구 내에 CCTV가 5,000개라면, 이를 통합관리하여 하나의 관리센터에서 모든 CCTV의 정보를 파악할 수 있게끔 한다는 것이다.
CCTV의 증대와 통합은 범죄로부터 자유롭고 안전한 거리를 만들기 위한 것으로서 충분히 그 기여점을 인정하지만, 마음만 먹으면 한 사람의 모든 동선을 파악하고 관리할 수 있는 위험이 있으며, 특히 네트워크망을 이용한 CCTV가 주류를 이루고 있다는 점에서 관리소홀이나 해킹으로 인해 외부로 유출된다면 그 파장은 만만치 않을 것이다.
CCTV에 대한 합리적 규제가 이루어지지 않은 상태에서 여건의 변화로 ‘얼굴인식 기술’까지 겹치게 된다면 국민의 사생활이라는 것이 존재하지 않을 수도 있고, 빅브라더의 출현도 당겨질 것으로 예상된다. CCTV, 우리의 빅브라더가 될 수 있다.
7. 보안담당자의 과실책임에 대한 재고
개인정보 유출 사고 등이 있는 경우, 현재 양벌규정에 의하여 기업뿐만 아니라 보안담당자도 형사상 처벌을 받게끔 규정되어 있지만, 보안담당자가 가장 많이 반발하고 이해할 수 없어 하는 조문이 바로 이 보안담당자 형사처벌 조항이다. 특히 해킹 사고 등에서는 보안담당자의 고의적 해태뿐만 아니라 과실의 경우까지도 처벌할 수 있도록 되어 있기 때문에 더더욱 그렇다.
기업에 고용된 보안담당자의 지위는 개인정보보호법상의 ‘개인정보처리자(개인정보보호법 제2조 제5호)’나 정보통신망법의 ‘정보통신서비스제공자(정보통신망법 제2조 제1항 제3호)’는 아니므로 기업의 보안담당자를 이들과 동등하게 취급하는 것은 부당하다. 그리고 보안이라는 것은 보안담당자가 제어할 수 없는 기업의 보안투자 수준이나 기업 CEO의 보안의지, 기업의 개인정보 관리체계의 정비 수준, 개인정보취급자나 서버접근자의 보안의식, 외부해커의 수준 등 여러 가지 요소에 의하여 결정되는 것이다.
또한 건축법 등의 오프라인적 행정법규상의 사실관계와 기술적이며 온라인적인 보안의 사실관계는 그 상황이 다름이 명확하므로 양벌규정에 있어서도 접근방식을 달리하는 것이 타당하다. 이러한 제반 사정을 무시하고 일의적으로, 고의ㆍ과실을 불문하고 유출책임에 대하여 보안담당자를 처벌할 수 있도록 규정한 것은 형법상의 ‘책임주의’에 반할 소지가 있어 보인다. 나아가 보안담당자에 대한 법처우 개선은 정책적으로도 컨설팅 업체로 빠져나가는 고급인력인 보안담당자에 대한 지원과 관심에 크게 기여할 수 있을 것이다.
8. 개인정보의 국외 이전
현재 개인정보 영역에서 가장 뜨거운 이슈라면, 개인정보의 국외 이전 문제이다. 개인정보의 국외 이전에 관하여 정보통신망법 제63조에 규정이 있기는 하지만 이 조문이 현실적인 문제를 해결하지 못하고 있다.
예컨대, IT기술의 발전에 따른 정보시장 및 정보기업의 글로벌화, FTA 체결에 따른 내국민 개인정보의 해외 이전이나 외국민 개인정보의 유입, 개인정보 수집과 저장이 국내외에 분산되는 현상, 개인정보 분쟁이 있을 경우 분쟁의 해결방안, 분쟁에 관한 소송관할 문제, 개인정보 유출사고에 대한 수사관할 문제 등 다양한 문제가 쌓여있다.
나아가 개인정보영향평가의 국제표준화, 개인정보보호에 관한 국제간 협조, 우리나라와 다른 개인정보보호법제 국가 사이의 세이프하버 프레임워크 문제도 같이 생각해 보아야 할 때가 도래하였다.
9. SNS, 클라우드, 빅데이터 시대에 맞는 개인정보보호법제 정비
빅데이터의 일반적인 개념 요소는 정보의 집적, 정보의 결합, 정보의 분석이라 정의할 수 있다. 즉 정보의 자유로운 축적, 결합, 분석이 전제되어야 실질적인 빅데이터가 이루어지는 것이다. 하지만 현행 개인정보보호법제는 지나치게 엄격하게 규정되어 있어 자칫 빅데이터의 달성과 활용을 저해할 수도 있다.
예컨대 빅데이터의 정보 분석으로 인한 새로운 효용가치 창출의 개념, 이용 목적의 유연성은 ‘개인정보보호법 제3조 제2항’의 이용제한의 원칙과 충돌하는 듯 보인다. 이러한 문제들을 어떻게 풀어가야 하는지에 대하여 고민해 보아야 할 것이다. 더불어 데이터 이용 목적이 확대되고 전환될 때에 개인정보 주체에게 별도의 동의를 얻어야 하는지에 대한 절차적인 측면도 같이 고민해 보아야 할 것이다.
10. 개인정보보호위원회의 실질적 역할 및 자율규제 촉진
개인정보에 대한 법제도 좀 더 다듬어가야 할 것이지만, 이를 관장하고 수범할 수 있도록 관리기구나 관장체계의 정비도 필수적이다. 통합적이고 체계적이며, 실질적인 해결책을 제시할 수 있는 기관이 주도적으로 모든 개인정보보호 영역을 관장하는 게 필요하다.
현재 개인정보보호위원회는 조직상 대통령 소속으로 되어 있지만, 여러 가지 이유로 아직 그 위상을 정립하지 못하고 있는 실정이다. 개인정보보호위원회가 하루빨리 자리를 잡아가서 선진국의 관리기구와 같은 역할을 할 수 있기를 기대한다.
이러한 국가의 체계적인 관리로는 변화하는 개인정보 환경에 대응할 수 없을 수 있는 바, 개인정보의 직접 활용하는 기업들의 자율규제도 필수적으로 챙겨야 할 과제이다. 기술과 경영 기법의 발전이 자칫 협소하고 폐쇄적인 법경계 때문에 저해될 수도 있다. 그리고 타율적인 규제는 항상 불만을 수반하는 것이다. 다양한 영역별로 자율기구의 역할이 증대될 때, 정보기업의 선진화, IT 산업의 발전뿐만 아니라 소비자의 기업에 대한 신뢰도 증대될 수 있을 것이다.
개인정보보호법 시행 1년째, 앞으로의 과제를 10가지 정도 살펴보았다. 어떤 사람들은 개인정보에 관하여 ‘파파라치 포상금 제도’를 활용하면 국민의식이 금방 좋아질 것이라고 이야기하고, 어떤 사람들은 한 개인이 갖고 있는 타인 개인정보의 악의적 제공이라는 사소한 일탈까지도 법으로 규율해야 한다고 주장한다. 모두 다 개인정보보호를 통한 프라이버시의 중요성을 언급하는 것이라서 개인정보보호 업무를 하는 필자로서는 일단 기분 좋게 들리기는 한다.
사적 영역에서 개인정보보호란 기본적으로 기업과 소비자 사이의 신뢰의 줄이라고 생각한다. 기업에게 너무 당겨준 줄은 소비자의 불만을 가져올 것이고, 소비자에게 너무 당겨준 줄은 기업의 위축을 가져올 것이다. 기업과 소비자가 모두 만족할 수 있는 텐션(tension)을 찾아가는 것이야말로 개인정보보호에서 가장 중요한 과제가 되어야 할 것이다.
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 12. 3.) 기고.
