해외 개인정보보호법 동향과 국내 법적 제재현황과 향후 강화 방안
1. 들어가면서
작년 여러 형태의 개인정보 유출사고 발생으로 인하여 '개인정보보호' 라는 단어가 이제는 특정인에 국한된 문제라기 보다 일반 국민 누구도 관심을 갖게 되는 대상이 되어 버렸다. 이는 '개인정보'의 특성이 어느 누구에게라도 본인의 신상 등에 직접적으로 연관이 있어 본인에게 막대한 영향을 미칠 수 있으므로 일반인들이 유독 관심을 갖게 되는 것은 당연한 결과라고 생각된다.
이렇게 개인정보에 대한 중요성이 점점 확대되고 있는 시점에서 업체나 기관의 입장에서의 개인정보보호는 환경문제와 같이 이미 기업의 사활이 걸린 문제로 대두되고 있으며, 기업 및 기관 보유 고객정보 유출에 대한 사회적 불안감과 경제적 피해를 최소화하고 기업의 신뢰성 제고를 위해 종합적인 보호대책이 필요한 시점이라 할 수 있다.
특히 정보사회가 발전함에 따라 기존 개인정보의 개념(생존하는 개인에 관한 정보)이 인격권과 재산권이 혼재된 새로운 개념으로 범위가 확대되고 있다. 즉, 순수한 개인정보 관점에서 개인 프라이버시 측면의 인격권이라는 개념과 기업 영업활동의 핵심정보로서 고객정보 측면의 재산권이라는 개념이 상호 양립되고 있는 상황이라 볼 수 있다. 따라서, 기업이나 기관 입장에서는 어떠한 원칙과 기준을 가지고 개인정보를 활용해야만 안전한지 그리고 개인 입장에서는 어떻게 나의 중요한 정보를 보호받을 수 있는 지에 대해 다각적인 고민이 필요한 상황이다.
본 회에서는 먼저 개인정보보호에 대한 국제적인 대원칙을 살펴보고 실제 해외 국가들의 개인정보보호 관련 법/규제 적용 현황에 대해 알아본 후 국내에서의 법적 요건과 규제 사항을 실제적인 관점에서 정리해보고자 한다.
2. 국제 기구별 개인정보보호 가이드라인
개인정보보호에 대한 국제 기준을 논하는 경우 OECD Privacy Protection이 가장 빈번하게 언급된다. OECD의 정보보호 규제는 정보시스템, 네트워크, 개인정보 및 기타 영역 4개 분야로 나뉘어 관련 가이드라인이 작성되어 있다. 2004년부터 2006년까지 OECD의 주요 논의는 정보보호가이드라인의 이행, 개인정보 수집 시 고지사항의 국제적 표준화, 개인정보보호 관련 법 이행을 위한 국제협력, 정보보호문화의 확산 추진, 전자인증, 국제여행 보안강화 관련 정보보호 및 프라이버시에 집중되어 있었다.
이 중에서 개인정보의 수집 및 관리에 대해 국제사회의 합의를 반영한 것이 1980년 개인정보보호 가이드라인으로 탄생되었는데, 이는 법적인 구속력을 갖고 있지는 않지만 개인정보보호의 일반 원칙으로 인정되어, 개별국가의 개인정보보호에 관한 각종 법제를 정비하는데 기본적인 지침으로 반영되고 있고 국제적 차원의 개인정보보호 정책 제정과 프라이버시권의 보호에 관한 논의에서 정치적ㆍ도덕적 기준으로 활용되고 있는 상황이다.
2007년 이후 주로 논의된 내용은 인터넷 경제의 미래라는 주제와 연관된 프라이버시 보호에 대한 내용이다. 미래 사회는 경제성과 사회복지가 향상되고, 융합의 혜택을 받으며, 글로벌 인터넷 경제 시대가 도래하기 때문에 개방적인 유비쿼터스 시대에 신뢰를 바탕으로 한 프라이버시의 보호가 중요할 것으로 예상되고 이에 따라 전자정부 서비스에 따른 프라이버시와 개인 정보보호 문제, RFID의 사용에 따른 프라이버시 보호, 유전자 프라이버시와 관련된 프라이버시 보안 문제, 국가간 개인정보 유통(TBDF: Transborder Data Flow)에 따른 보안 문제, 전자인증의 국가간 상호 인증 문제, Digital Identity의 보안 관리 등을 기본적인 이슈로 주된 논의가 진행 중에 있으며 신뢰 구축 및 유지가 큰 타이틀로 설정되어 있다.
또 다른 국제기구로 개인정보의 표준, 도구, 기술을 연구 및 평가하고 개인정보보호 프레임워크를 정의하기 위해 구성된 전 세계 기업과 기술 공급자들의 연합인 ISTPA(The International Security, Trust, and Privacy Alliance)가 있으며 해당 기구에서 제시한 개인정보보호 원칙은 아래와 같다.
ISTPA는 계층 분석적 접근을 통해 개인정보보호 요구사항들을 취급하며 개인정보보호 원칙에 없는 정보의 주체에 의해 세워진 개인정보 사용 제약사항을 준수할 수 있는 7가지 개인정보보호 서비스와 3가지의 갖추어야 할 능력을 개인정보보호 프레임워크로서 정의하고 있다.
또한 IPC(Information and Privacy Commissioner)에서는 개인정보보호에 대한 10원칙을 제정하였고, APEC 회원국 간의 전자 상거래 촉진을 위해 제반 활동을 하는 고위관료회의 산하 특별그룹인 ECSG(Electronic Commerce Steering Group)에서 APF(APEC Privacy Framework: Privacy/Data Protection) 개인정보보호 9원칙을 개발하여 채택한 바가 있다.
상기에서 언급한 국제 기구별 개인정보보호 가이드라인 내용을 비교했을 때 표현이나 수준에서 조금 상이한 부분은 있지만 개인정보 수집을 제한하고 해당 개인정보의 무결성을 검증하고 수집목적을 정확하게 명시하고 활용을 제한하고 저장 시 안전성을 확보하는 등 필수요건을 비슷한 정도로 요구하고 있음을 알 수 있다..
3. 국외 개인정보보호 법/규제 내용
이번에는 해외 개별 국가별 개인정보보호 법/규제 내용을 살펴보겠다.
(1) EU (Europe Union)
EU는 개인정보보호를 위해 필요에 따라 부분별 입법화하기 보다는 적극적인 모습으로 전체를 포괄할 수 있는 일반적인 원리들을 규정하고 있다. 유럽연합 산하 단체인 각료회의이사회(European Council)는 유럽협약의 각료회의의 내용을 기초로 개인의 권리와 자유 및 프라이버시권의 보호 원칙을 포함하는 '개인정보처리에 대한 개인의 보호 및 개인정보의 자유로운 이용에 관한 지침'을 제정하였고, 이 규정에 따라 프라이버시의 보호와 유럽연합 국가 내에 정보의 자유로운 흐름을 지향하고 있다.
유럽 국가들의 정보보호 활용 제도는 1995년 제정된 유럽공동체 개인정보 관리 지침(EU Directive)을 기본으로 삼아 각국의 사정에 따라 수정 보완된 것이다. 유럽 각국은 전화, 팩스번호, e-메일 주소를 모으고 이를 통해 광고물을 보낼 때 사전 동의 또는 사후 동의를 의무화하고 있다. 이에 따라 정보 수집 업체들은 개인의 전화, 팩스, e-메일 가입 때나 설문조사 등 때 사전 동의를 받거나 광고물을 보낸 뒤 사후 동의를 얻고 있다. 또한, 유럽 대부분의 나라는 광고, 판촉물을 아예 받기를 거부하는 사람들의 이름을 모은 로빈슨 리스트(*주1)를 만들어 이들에게는 광고물을 보내지 않도록 업계에서 자율 규제하고 있다.
독일은 개인정보 리스트를 구입한 회사가 이를 마구잡이로 유통시키는 것을 막기 위해 모든 기업이 정보 리스트를 이용해 광고나 판촉물을 보낼 때는 정부 기관인 레터숍(인쇄, 발송 대행회사)을 통하도록 하고 있다. 또한 유럽 국가들은 최근 개인정보 리스트가 다른 나라의 기업들에 제공되는 사례가 늘어나자 이와 관련된 법, 제도를 만들기 위해 노력하고 있는 중이다.
(2) 미국
미국의 개인정보보호는 연방정부기관이 보유하고 있는 개인정보에 관한 보호법규인 1974년의 프라이버시법(Federal Privacy Act 1974)과 각 주단위로 규정된 프라이버시권 관련 법률들이 있다. 미국의 개인정보보호는 공공부문과 민간부문으로 나누어 공공부문에만 법을 적용하고 민간부문에는 원칙적으로 윤리적인 통제만 가능하게 되어 있다.
미국의 개인정보보호제도는 1966년의 정보 공개법(Freedom of Information Act) 제정에 따라 연방정부가 보유하고 있는 정보를 원칙적으로 공개하되 프라이버시법에 의해 정부에 대한 규제를 가하고 민간부문에는 정보의 자유로운 유통을 보장하며 개별 분야에서의 개인정보보호를 목적으로 한 영역별 보호법제를 가지고 있다는 점이 특색이다.
이에 따라 개인정보보호를 위한 많은 개별 법률이 제정되고 있는데 개별법의 장점은 특히 보호가 필요한 개인정보의 취급영역에 한정하여 법적 규제를 행하는 점이라고 하겠으나, 단점으로는 개별 영역별로 법률을 제정하기 때문에 관련업계나 이익단체의 영향을 받을 수 있는 우려가 많다는 점이다.
미국의 경우 이전 부시정부는 프라이버시보다는 국가보안에 우선순위를 두는 입장을 취해왔던 관계로 IT분야의 최고 관심사는 정보수집과 이용에 집중되었다. 따라서 주요통신망에 대한 대규모 도청, 현실세계와 사이버세계의 개인활동내역에 대한 데이터베이스 급증을 초래했다. 또한, 2007년 수립한 사이버전략 중 하나인 리얼ID법은 전 미국인의 개인정보가 담긴 상호 연동된 데이터베이스 구축을 요구하고 있으나 어떠한 정보보호 조항도 담고 있는 폐단을 보이기도 했다.
하지만 올해 출범한 오바마정부는 프라이버시와 국가보안이 균형 잡힌 IT 보안정책을 전개할 것으로 예상된다. 오바마는 연방 CTO(Chief Technology Officer: 국가최고기술책임관)를 신설하여 대통령이 직접 IT 보안 방향을 수립하겠다고 주장함으로써 사이버보안에 우선순위를 두겠다는 의지를 표명했다. 초기 오바마 내각과 자문 구성을 보면 국가보안에 대해 강경노선인 사람과 프라이버시 옹호자가 양립하고 있어 다양한 관점이 전략에 반영될 것으로 고려되며 실제 미국 정책을 개인정보 접근규제 및 이용구제를 하는 유럽식 정책 형태로 만드는 한편 프라이버시와 국가보안정책과의 조화를 이룰 것으로 예상된다.
(3) 일본
일본은 인터넷 시대의 개인정보 대량 유통, 유출사건의 급증 및 프라이버시의 권리 개념의 변모에 의한 필요성에서 2005년에 개인정보보호법을 전면 시행하였다. 일본 개인정보보호법은 주로 EU 개인데이터보호지령 (1995년) 및 OECD 프라이버시 가이드라인 (1980년) 등을 참고하여 작성되었다.
개인정보보호법 제정 이후 긍정적인 면으로는 고객의 개인정보보호를 포함한 정보시스템의 보안에 대한 관심이 높아지고, 투자에 대한 이해도가 상승한 점과 위탁업체에 대한 정보보호 조치를 요구하기 쉬워진 점, 개인정보보호에 관한 보험상품이 충실해지고 개인정보 관련 인증 취득하려는 기업이 늘어나는 효과를 보고 있다.
하지만, 고객이 개인정보보호에 과민 반응하여 개인정보와 관련된 사고에 대한 일절의 책임을 기업에 넘기는 요구가 많아졌고 개인정보에 관한 민원이 급증하고 종업원에 대한 감시가 강화되어 종업원의 스트레스가 증대되는 한편 정보시스템의 보안에 대한 비용이 상승한 점들이 법 제정 이후 일부 부정적인 면으로 인식되고 있는 점들이다.
4. 국내 개인정보보호 법/규제 내용
국내에서 개인정보보호와 연관성을 갖는 법/규제 요건은 굉장히 다양한 종류의 법령 내용 안에 포함되어 있어 공공 및 민간을 포괄하는 개인정보보호 일반법 제정 필요성이 지속적으로 요구되어 왔다. 이에 개인정보보호에 대한 공통적 처리원칙 규정과 국민 권익 구제를 강화한다는 차원에서 OECD 8원칙 등 국제적 기준 반영 및 국내 정책환경을 고려하여 개인정보보호법 발효가 예정되어 있다.
이 개인정보보호법안은 개인정보 보호와 이용의 조화를 꾀하고 기본권 보호가치를 지향하는 한편 국민 편익 증진을 도모하기 위한 측면에서 제정이 추진되었다. 법안의 핵심 내용을 살펴보면 다음과 같다.
(1) 개인정보보호법안의 적용대상
공공ㆍ민간 부문의 모든 개인정보처리자를 적용대상으로 하며 공공기관 뿐만 아니라 비영리단체 등 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자는 모두 이 법안에 따른 개인정보 보호규정을 준수하도록 되어 있다. 또한, 전자적으로 처리되는 개인정보 외에 수기 문서까지 개인정보의 보호범위에 포함시킨 상태이다. 이는 그 동안 개인정보 보호 관련 법률 적용을 받지 않았던 사각지대를 해소함으로써 국가사회 전반의 개인정보 보호수준이 제고될 것으로 기대되는 측면이다.
(2) 개인정보 보호위원회 설치
개인정보 보호 기본계획, 법령 및 제도 개선 등 개인정보에 관한 주요 사항을 심의하기 위하여 국무총리 소속으로 개인정보 보호위원회를 둠으로써 개인정보 보호와 관련한 중요 사항에 대하여 의사결정의 신중성ㆍ전문성ㆍ객관성을 확보할 것으로 기대된다.
(3) 개인정보의 수집, 이용, 제공 등 단계별 보호기준 마련
개인정보를 수집, 이용하거나 제3자에게 제공할 경우에는 정보주체의 동의 등을 얻도록 하고, 개인정보의 수집ㆍ이용 목적의 달성 등으로 불필요하게 된 때에는 지체 없이 개인정보를 파기하도록 하고 있다. 또한, 개인정보의 수집, 이용, 제공, 파기에 이르는 각 단계별로 개인정보처리자가 준수하여야 할 처리기준을 구체적으로 규정함으로써 법규의 실효성이 높아지고 개인정보의 안전한 처리가 가능해질 것으로 기대된다.
(4) 고유식별정보의 처리 제한 강화
주민등록번호 등 법령에 의하여 개인을 고유하게 구별하기 위해 부여된 고유식별정보는 원칙적으로 처리를 금지하고, 별도의 동의를 얻거나 법령에 의한 경우 등에 한하여 제한적으로 예외를 인정하는 한편, 대통령령으로 정하는 개인정보처리자는 홈페이지 회원가입 등 일정한 경우 주민등록번호 외의 방법을 반드시 제공하도록 의무화하고 있다. 이는 주민등록번호의 광범위한 사용 관행을 제한함으로써 주민등록번호 오ㆍ남용을 방지하는 한편, 고유식별정보에 대한 보호가 한층 강화될 것으로 예상된다.
(5) 영상정보처리기기의 설치 제한 근거마련
영상정보처리기기 운영자는 일반적으로 공개된 장소에 범죄예방 등 특정 목적으로만 영상정보처리기기를 설치할 수 있도록 하고 있다. 법안에서는 영상정보처리기기의 설치ㆍ운영 근거를 구체화함으로써, 폐쇄회로 텔레비전 등 영상정보처리기기의 무분별한 설치를 방지하여 개인영상정보 보호를 강화할 수 있을 것으로 기대되고 있다.
(6) 개인정보 영향평가제도 도입
개인정보처리자는 개인정보파일의 구축ㆍ확대 등이 개인정보 보호에 영향을 미칠 우려가 크다고 판단될 경우 자율적으로 영향평가를 수행할 수 있도록 하되, 공공기관은 정보주체의 권리침해 우려가 큰 일정한 사유에 해당될 때에는 영향평가 수행을 의무화한 상태이다. 개인정보 침해로 인한 피해는 원상회복 등 사후 권리구제가 어려우므로 영향평가의 실시로 미리 위험요인을 분석하고 이를 조기에 제거하여 개인정보 유출 및 오ㆍ남용 등의 피해를 효과적으로 예방할 수 있을 것으로 기대된다.
(7) 개인정보 유출사실의 통지제도 도입
개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지하도록 하고 피해의 최소화를 위해 필요한 조치를 하도록 하고 있다. 개인정보 유출로 인한 피해의 확산 방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구제 등에 기여할 수 있을 것으로 예측된다.
(8) 정보주체의 권리 보장
정보주체에게 개인정보의 열람청구권, 정정ㆍ삭제 청구권, 처리정지 요구권 등을 부여하고, 그 권리행사 방법 등을 규정하고 있다. 정보주체의 권리를 명확히 규정함으로써 정보주체가 훨씬 용이하게 개인정보에 대한 자기통제권을 실현할 것으로 기대된다.
(9) 개인정보의 침해사실 신고
개인정보처리자로부터 권리 또는 이익을 침해받은 자는 행정안전부장관에게 그 침해사실을 신고할 수 있으며, 행정안전부장관은 신고 접수 및 업무처리 지원을 위해 개인정보 침해신고센터를 설치ㆍ운영하는 것으로 되어 있다. 개인정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 정보주체의 신속한 권리구제와 고충처리에 기여할 수 있을 것으로 파악된다.
5. 마치면서
이상과 같이 개인정보보호의 법적 요건 및 규제 현황에 대해 국제 기구별 개인정보보호 가이드라인과 국외 및 국내 개인정보보호 법/규제 내용을 중심으로 살펴보았다. 서두에서도 언급한 바대로 최근 발생되는 여러 개인정보 유출 사고로 인해 국내에서도 개인정보 자체가 화두가 되고 있는 상황이고 이에 따라 개인정보보호법안이 상정되어 발효될 예정으로 되어 있다.
개인정보는 양날의 칼과 같이 보호와 활용이라는 두가지 측면이 첨예하게 대립되는 의미를 내포하고 있다. 이러한 개인정보의 속성 및 현재의 법/규제 변화 추이를 고려하여 보다 발전적인 형태의 개인정보보호 기준과 체계가 정립되고 제시되길 기대해 본다. ____________________________________________________________________
(*주1) 로빈슨 리스트: 개인정보의 노출로 인한 우편, 전화, 팩스, 이메일, 문자메시지 등으로의 판촉을 거부하기를 원하는 사람들의 리스트. 네덜란드의 다이렉트 마케팅협회에서 시작된 제도로 위와 같은 여러 방법으로의 판촉을 거부코자하는 개인이 무료로 로빈슨리스트에 등록을 하면 기업들은 로빈슨리스트에 올라 있는 사람에게 판촉을 하면 위반이 되어, 벌금을 물게 되는 제도. 로빈슨 크루소가 무인도에서 외부와 연락을 하지 못하고 생활한 데서 따온 것임
성경원 팀장/SK인포섹
kwseong@skinfosec.co.kr