21세기의 원유, 정보산업의 빅쟁이라고 불리는 빅데이터가 새로운 미래를 열 것이라는 전망이 가득한 시대에 살고 있는 우리에게 개인정보의 활용은 피할 수 없는 과제라는 생각이 들게 한다. 하지만 개인정보의 활용 과정에서 동전의 양면처럼 따라오는 빅브라더의 출현 우려, 개인정보 및 프라이버시 보호의 가치도 결코 무시할 수 없다.
개인정보의 활용 및 보호, 이 둘의 관계를 어떻게 파악하는가에 따라서 한 나라의 개인정보보호 정책이 결정된다. 개인정보의 활용을 중시하게 되면 개인정보의 보호를 약하게 하여야 한다는 편견이 있는데, 개인정보의 보호를 전제하지 않은 개인정보의 활용을 하게 되면, 프라이버시 침해를 당한 소비자는 결국 자신의 개인정보를 공꽁 숨기는 사태가 발생할 수 밖에 없을 것이기에 이는 분명 잘못된 생각이며, 개인정보보호만을 강조한 나머지 개인정보 활용의 길을 전부 봉쇄하는 '정보 쇄국정책' 역시 다른 나라와의 경쟁에서 뒤쳐지고 종국에는 낙후된 문명을 가져오는 한 원인이 될 것이기 때문에 이 역시 잘못된 생각이다.
개인정보의 활용과 보호, 이 둘 중 어느 하나도 경시해서는 안 되는 것이며, 따라서 개인정보보호 법령의 진정한 과제는 '하나의 법령으로 개인정보의 보호와 활용의 두 마리 토끼를 모두 잡을 수 있을까'라 할 수 있다. 어떻게 하면 개인정보보호 법령의 영원한 숙제인 이 둘의 과제를 달성할 수 있을까에 대하여 제안을 해 보고자 한다.
개인정보보호라는 목적 하에 만들어진 현행 개인정보보호 법령은 개인정보 활용에 도달하는 경로에 높은 고개를 만들어 놓고, 그 고개를 넘은 경우에만 활용이라는 목적지에 도달하게 하고 있다. 개인정보의 중요성, 개인정보보호의 필요성 및 소비자의 신뢰를 고려하건대 이러한 고개를 높게 하는 것이 반드시 비판받을 것은 아니다. 하지만 고개가 하나이고 오직 그 하나의 고개를 통해서만 목적을 달성할 수 있다면 큰 문제가 발생한다.
예컨대 서울 강남에서 강북으로 가는 다리를 모두 막아 놓고 한남대교만 통과하여 이동하라는 지시가 있다면, 강서·잠실 등에 사는 사람들은 얼마나 많은 고생을 하겠는가? 강서·잠실 등에 사는 사람들이 그 지시를 잘 따르겠는가?
개인정보를 활용하는 사업자의 상황은 수천가지 유형으로 나눌 수 있다. 제각기 다른 상황에 처한 사업자에게 오직 하나의 길을 이용하여 개인정보를 활용하게 한다면 중도에 포기하는 사업자도 있을 수 있고, 도달했다 하더라도 과도한 규제비용 때문에 곤란을 겪는 사업자도 생길 수 있다. 경직된 법조문은 준법을 더 어렵게 하는 것이다.
한강의 다리를 여러 개 개방하여 강남 어느 지역이건 강북으로 이동할 수 있도록 해 주는 것이 필요하며, 여러 상황의 사업자를 고려하여 하나 또는 소수의 고개에서 탈피하여 여러 개의 고개를 만들어 줄 필요가 있다. 이렇게 하는 것이 오히려 준법을 촉진하는 요소가 될 것이며 종국적으로 정보주체인 소비자를 보호하는 길이 된다.
현행 개인정보보호 법령은 다른 나라보다 엄격한 수준의 개인정보보호 수준(높은 고개)을 요구하고 있기 때문에 엄격한 체제를 유지하고 있는데다가 여러 개의 고개를 허용하지 않기 때문에 지나치게 경직되어 있다. 이러한 엄격·경직의 법체계에서 탈피하여 엄격·유연의 법체계로 옮기게 되었을 때, 즉 높은 고개를 하나만 만들지 말고 여러 개를 만들어 각각의 사업자가 그 상황에 맞게 이용할 수 있게 할 때, 오히려 현실적인 개인정보보호 수준은 향상될 것이며, 사업자의 규제비용이 줄어들 수 있고, 개인정보의 활용을 촉진시켜 소비자의 편익과 관련산업 발전을 가져올 수 있으며, 개인정보를 제공하는 소비자의 신뢰도 고양될 수 있을 것이다.
아래에서는 대표적인 엄격·경직의 법체계에 대한 예를 들고, 그 예에 대한 해결책을 제시하고자 한다.
첫째 예는 '개인정보의 국외 이전'이다. 우리나라의 개인정보 국외이전에 대한 입법태도는 대단히 경직되어 있다. 우리나라 기업이 외국으로 개인정보를 이전시키려면 반드시 동의를 얻어야 하며, 동의 외에 다른 절차로는 개인정보의 국외이전을 할 수 없게 규정되어 있기 때문이다(정보통신망법 제63조, 개인정보보호법 제17조).
기업의 상황에 상관없이, 이전 목적에 상관없이 일단 수집한 개인정보를 국외에 이전하려면 오직 정보주체의 동의를 얻어야만 가능하게 되어 있는데, 기업은 개인정보의 국외 이전을 꼭 해야만 하는 상황임에도 불구하고 정보주체의 동의를 다시 얻는 게 불가능하므로 이를 포기하는 기업이 매우 많다.
동의만을 규정한 경직성에서 벗어나 유연하게 동의와 유사한 보호 수준의 다른 절차를 만들어 놓으면 좋지 않을까? 개인정보보호가 매우 엄격하다고 알려진 EU법은 정보주체의 동의뿐만 아니라 ① BCRs(Binding Corporate Rules), EU집행위원회가 채택한 표준데이터보호조항, EU 집행위원회가 유효하다고 인정하고 감독기관이 채택한 표준데이터보호조항, 감독기관이 승인한 표준계약조항 중 하나를 만족시킨 경우, ② 적절수준의 판정(Adequacy Decision)을 받은 경우, ③ 국외이전이 계약이행에 필요한 경우, ④정보주체의 이익을 위하여 필요한 경우, ⑤ EU의회에서 승인한 경우, ⑥ 세이프하버 약정에 의한 경우 등에도 개인정보의 국외 이전을 허용하거나 허용할 예정이다.
이처럼 EU의 기업은 자신의 상황에 맞는 절차를 골라 개인정보의 국외 이전이라는 원하는 목적을 달성할 수 있지만, 우리나라 기업은 상황에 무관하게 오직 동의를 얻어야만 개인정보 국외 이전이라는 목적을 달성할 수 있다. 개인정보 국외이전 시 개인정보보호의 과제는 반드시 동의를 거치게 하여야만 달성되는 것일까?
둘째 예는 이미 공개된 정보도 활용할 수 없도록 하는 문제점이다. 법인의 대표자나 이사의 이름·주소, 공공기관의 업무담당자·전화번호, 특정 부동산의 소유자의 정보 등은 공시의 원리에 의하여 이미 대중들에게 알려진 개인정보이다.
하지만 이런 정보들이 개인정보호호법 해석 측면에서 보면 '개인정보'가 아니라고 단정할 수 없기 때문에, 이러한 정보들의 활용에 있어 소극적일 수 밖에 없는 것이 기업이나 공공기관의 태도이다. 개인정보보호의 과잉 현상 때문에 장관 이름을 활용하는 데에도 조심하게 되는 것이 우리의 실정이다.
모든 개인정보를 보호해야 한다는 것은 잘못된 생각이다. 보호해야 할 개인정보가 있는가하면, 공개·공시해야 할 개인정보가 별도로 존재한다. 대통령의 이름이나 장관 이름마저도 보호의 필요성 때문에 동의를 얻고 활용하는 것이 알권리, 정보의 자유, 언론의 자유, 표현의 자유 등이 보장된 민주주의 사회에서 바람직한 현상인가?
이런 현상은 개인정보보호 법령의 경직성으로 말미암은 것이다. 참고로 캐나다의 개인정보보호법은 조직 구성원의 이름·주소·전화번호 등은 개인정보에서 제외하고 있으며, 캐나다의 프라이버시보호법은 개인의 공공기관 재직 경력 등을 개인정보에서 제외하고 있다. 이러한 태도는 개인정보의 범위에 대한 유연한 접근이라 할 수 있지만, 우리 개인정보보호법은 시작부터 경직되어 있는 것이 문제점이라 아니할 수 없다.
셋째 예는 '개인정보의 목적 외 이용·제공'이다. 현행 개인정보보호법 해석상 수집시 동의를 받은 범위에서만 개인정보를 활용할 수 있고, 사후에 추가적인 목적이 생기거나 제공 필요성이 있더라도 따로 동의를 얻어 새로 개인정보를 수집하게 하고 있다. 때문에 기업은 이미 수집한 수 천만개의 개인정보를 놔두고, 별도로 동의 절차를 얻어 수집을 시작할 수 밖에 없다.
하지만 이러한 경직된 절차가 있어야만 개인정보보호 목적을 달성할 수 있고, 다른 절차가 있으면 개인정보보호 목적은 달성할 수 없는 것인가? 예컨대 개인정보보호 위원회나 주무기관이 심의를 하여 목적 외 이용이나 제공을 허용해주면 절대 안 되는 것인가?
현재 공공기관은 개인정보보호위원회의 심의ㆍ의결을 얻어 개인정보의 목적외 이용이나 제공을 할 수 있다. 반면 사기업은 현실적으로 개인정보의 목적외 이용이나 제공을 할 수 있는 방법이 없다. 개인정보보호위원회의 심의ㆍ의결을 사기업에게 확대하고, 주무기관의 심사 절차도 추가하여 경직성에서 탈피할 필요성이 있다고 본다. 그리고 이러한 목적외 이용이나 제공 사실을 사후적으로 개인정보 주체에게 통지하여 추적권을 보장하여 주면 보호와 활용의 균형점을 찾을 수 있을 것이다.
개인정보보호의 수준은 일부 공무원의 머릿속에서 관념적으로 결정되어야 하는 것은 아니고 개인정보를 제공하는 정보주체의 의사에 따라 현실적으로 결정되어야 한다. 특정 목적외 이용이나 제공에 대하여 누가 보아도 정보주체가 동의할 내용으로 보이지만, 법령이 정보주체의 그러한 의사를 무시하고 처음부터 정보주체로부터 다시 동의를 얻어 개인정보를 수집하라고 강요하는 것이 합당한가에 대하여 생각해 볼 문제이다.
기존의 대부분의 규제 법령은 규제 목적을 설정한 다음 규제 수단을 획일화하거나 제한함으로써 손쉽게 규제 목적을 달성하려고 하였다.국민들의 의사나 사업자의 불편은 고려하지 않은 원시적인 접근을 하였던 것이다. 하나의 규제 목적이 반드시 하나의 규제 수단으로만 달성될 수 있는 것은 아니다. 오히려 국민들의 의사를 고려하되, 규제 수단을 다양화하고 유연화 함으로써 사업자의 준법 의욕을 올려주면서 규제 비용을 줄여주는 것이 더 실효성 있는 법령이라 본다. 개인정보보호 법령의 경직된 태도는 IT산업·정보산업의 발전 속도나 시대적 상황에 맞지 않는 점이 너무나 많고 앞으로도 부조리한 상황은 늘어날 수밖에 없다. 경직을 버리고 유연으로써 개인정보보호의 목적을 달성한다면 분명 개인정보의 활용과 보호의 두 마리 토끼를 잡을 수 있을 것이라 확신한다.
* 법무법인 민후 김경환 대표변호사 작성, 블로그(2014. 7. 23.) 기고.
Comentarios