특별기획 01 - 개인정보 보호제도의 이해와 규제동향
우리나라는 2001년에 「정보통신망법」에 개인정보 보호에 대한 조항을 포함시키면서 정보통신망을 이용하여 영리를 추구하는 사업자들을 대상으로 규제를 시작하였다.
그러나 제조업, 의료, 환경 등 정보통신을 제외한 부문은 적용범위에 없는 상태로 빈 공간으로 남아있었다.
그러던 중 2011년 9월 사업자이든 비영리단체이든 또는 개인이든 모두에게 적용되는「개인정보보호법」이 시행되었다.
전체를 아우르는 법률을 제정하게 됨으로써 개인정보 보호를 위한 규제가 선진화되었다는 긍정적인 측면이 있는 반면, 타법과의 충돌, 우선적용의 원칙, 법률간의 상관관계 해석 등에서 어려움이 있는 등 해결해야 하는 과제도 남게 되었다.
여기에서는 이러한 복잡한 관계속에서 합리적인 해석방법에 대한 기본적인 원리를 전달하고 나아가 최근 각종의 심각한 개인정보 유출사고 등으로 인하여 강화되고 있는 규제들에 대해서도 살펴보기로 한다.
「개인정보보호법」의 개요
IT와 통신사업 분야에서 서비스이용 촉진과 더불어 건전하고 안전한 환경을 조성하고자 제정된 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 2001년 7월 1일에 개인정보 보호규정이 마련되었다.
이로써 우리나라에서는 제한적이지만 개인정보 보호를 위한 법률적 근거가 갖춰지게 되었다.
그러나 정보통신망과 관련되지 않은 많은 분야는 여전히 동법이 적용되지 못하는 사각지대에 놓여 있게 되었다.
그러던 중 일반적으로 적용시킬 수 있는 「개인정보보호법」을 제정하기 위한 노력이 2004년부터 있어 왔으나 다양한 분야의 의견수렴 과정에서 2011년 9월 30일에야 제정 및 시행되기에 이르렀다.
제정된 「개인정보보호법」은 경제개발협력기구(OECD)가 국가간 경제활성화를 위해 어떻게 하면 프라이버시를 보호하면서 유통을 활발하게 할 수 있을 것인지를 연구한 결과 제정한 「개인정보의 국제유통과 프라이버시 보호에 관한 가이드라인」 (Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)(이하 「OECD 프라이버시 가이드라인」이라 함)에서 제시하는 8원칙을 그대로 따르고 있다.
여기서 8원칙이란 ① 수집제한의 원칙, ② 정보내용 정확성의 원칙, ③ 수집목적 명확화의 원칙, ④ 이용제한의 원칙, ⑤ 안전확보의 원칙, ⑥ 공개의 원칙, ⑦ 개인참가의 원칙, ⑧ 책임의 원칙 등을 가리킨다.
‘수집제한의 원칙’이란 꼭 필요한 개인정보만을 수집하도록 하는것으로 서비스에 꼭 필요하지 않다면 수집하지 않아야 한다는 의미이다.
우리나라의 경우 서비스에 꼭 필요하지 않은 개인정보도 관행처럼 수집하고 있는 경우가 많아서 제1원칙을 준수하지 못하고 있는 것이 현실이다.
‘정보내용 정확성의 원칙’이란 기존의 개인정보가 최신정보로 갱신되어 있어야 한다는 의미이다.
SNS 등에 제공된 과거의 개인정보가 최신정보로 갱신되지 않고 유지되고 있다면 이는 동 원칙을 준수하지 못한다고 할 수 있다.
항상 개인정보는 변경될 수 있다는 점에서 역시 동 원칙이 준수되기에는 많은 준비와 노력이 필요해 보인다.
‘수집목적 명확화의 원칙’은 개인정보를 수집할 때에는 목적을 명시하고 명시된 목적으로만 사용되어야 한다는 의미이다.
많은 기업들에서 수집과 이용은 별개로 이루어진 경우가 많았었던 것이 우리의 현실이었다.
‘이용제한의 원칙’이란 수집시 동의받은 이용목적의 범위내에서만 이용되어야 한다는 것이다.
역시 우리 현실은 새로운 상품의 프로모션 등을 위해 수집시 동 목적으로 동의를 받지 않았음에도 불구하고 이용하는 경우가 허다하였다.
‘안전확보의 원칙’이란 개인정보를 수집하였다면 수집한 자가 재산권 없이 이용에 대한 동의를 받은 것에 불과하므로 정보주체의 개인정보에 대하여 철저하고 안전하게 보호하라는 의미이다.
개인정보가 유출되는 경우 이러한 원칙이 준수되지 못했을 가능성이 높다고 하겠다.
‘공개의 원칙’이란 개인정보의 주체인 개개인들이 수집자가 개인정보 보호를 위해 어떠한 정책을 가지고 있는지 쉽게 확인할 수 있도록 하자는 취지이다.
홈페이지 등에 게시하는 개인정보 처리방침이 하나의 예가 될 수 있다.
‘개인참가의 원칙’이란 정보주체로서 자신의 개인정보에 대한 소유권한을 행사하도록 하는 것이다.
가령, 자신의 정보에 대한 이용확인, 갱신, 파기 등이 정보주체에 의하여 가능하도록 하여야 한다는 것이다.
마지막으로 ‘책임의 원칙’이란 개인정보 관리자는 위에서 제시한 원칙들이 지켜지도록 제반조치를 취하여야 하는 책임이 있다는 것이다.
상기 8원칙의 핵심은 결국 정보주체가 소유권을 가지고 있으므로 개인정보를 수집하는 자가 재산권을 행사하면 안되며 보장을 해주어야 함은 물론 수집할 때도 필요 최소한으로 수집하여야 한다는 점이다.
국내 「개인정보보호법」도 기본이념은 OECD 프라이버시 가이드 라인의 8원칙과 동일하다.
따라서 개인정보에 대한 생명주기인 수집·이용 → 저장·관리 → 제공·위탁 → 파기 등에 있어서 타 법률이 있을 경우 동 법률에 우선권을 주되, 일반론적으로는 정보주체를 기본적으로 존중하고 보호해 준다는 철학으로 접근하는 것이라 하겠다.
「개인정보보호법」의 주요내용
「개인정보보호법」은 전체 9장으로 구성되어 있다. 제1장은 총칙, 제2장은 개인정보 보호정책의 수립관련 기관간의 역할 등을 다루고 있고, 제3장과 제4장은 개인정보를 수집한 개인정보처리자가 준수해야 할 사항을 다루고 있다.
제5장~제7장은 정보주체의 권리보장을 위한 내용을 다루고 있고, 제8장과 제9장에서는 각각 보칙과 벌칙을 규정하고 있다.
개인정보를 처리하는 사업자 입장에서는 제3장과 제4장인 개인정보의 처리에 대한 규정들이 주로 관련되기 때문에 여기에서는 동범위에서 살펴보도록 하겠다. 그림 1 은 개인정보처리자가 준수하여야 하는 전체적인 프레임워크이다.
개인정보처리자의 개인정보 처리는 수집부터 시작된다.
서비스에 꼭 필요한 필수적인 정보와 선택적인 정보로 구분하여 별도 동의할 수 있도록 정보주체에게 선택권을 부여하고 필수정보는 처리자가 최소한의 정보임을 입증할 수 있다는 전제하에서 꼭 필요한 항목만 최소한으로 수집하도록 하고 수집목적, 수집항목, 이용기한, 미동의시 서비스 제약받을 수 있음을 알리고 동의를 받도록 하고 있다.
또한 민감정보나 주민등록번호 등 고유한 식별성을 가지고 있는 정보의 수집은 필수정보와 분리하여 별도의 동의선택권을 제시하도록 하고 있다.
주민등록번호는 오남용 가능성이 높으므로 특별히 법률적 근거가 없는 경우는 수집하지 못하도록 하고 있기도 하다.
OECD 8원칙 중 ‘수집제한의 원칙’과 ‘목적 명확성의 원칙’에 해당한다고 볼 수 있다.
수집 후에 이용하는 경우에는 물론 타 법률에 근거한 동 범위외 목적이나 계약이행, 처리자의 정당한 이익달성을 위한 경우가 있을 수는 있지만 수집시 동의받은 목적범위내에서만 이용해야 한다는 것이 기본개념이다.
OECD 8원칙 중 ‘목적 명확성의 원칙’, ‘이용제한의 원칙’에 해당된다.
개인정보의 저장 및 관리의 경우 안전성을 확보하기 위하여 안전성 확보조치를 마련하고 이를 책임질 수 있는 개인정보보호책임자를 지정하며 주민등록번호를 이용하지 않고도 회원에 가입할 수 있는 방법을 제공하도록 명시하고 있다.
안전성 확보조치란 개인정보를 저장 및 전송하는 과정에서 외부 또는 내부에 권한이 없는 자의 접근을 차단하거나 권한이 있다고 하더라도 내부통제에 의하여 업무가 수행되도록 하는 것을 말하는 것이다.
안전성을 확보하기 위해서는 기본원칙이 내부망처럼 사용하자는 것인데, 만약 외부에서 인터넷 등을 통하여 접근할 경우 내부망과 유사한 개념인 전송구간 암호화와 상호인증이 되도록 하되, 침해위협이 높으므로 보다 강한 인증과 안전한 암호알고리듬을 사용하자는 취지이다.
가령 VPN(Virtual Private Network)은 외부망임에도 마치 내부망인 것처럼 전송암호화와 인증기능을 수행해주므로 하나의 수단이 될 수 있다고 하겠다.
그리고 핵심적인 개인정보는 저장과 전송구간에서도 암호화하여 유출이 되더라도 유출자가 알아볼 수 없도록 하자는 취지를 담고 있다.
IT기술의 발전속도는 매우 빠르다. 이와 궤를 같이 하는 것이 IT를 침해하기 위한 취약점과 공격 또한 IT기술의 발전속도 못지않게 빠르다.
따라서 해킹 등 개인정보를 유출하기 위한 시도는 지속적으로 변모하면서 우리에게 위협을 주고 있는데, 이러한 동적인 상황을 지능적으로 대처하고 대응할 수 있도록 전문성을 지닌 사람을 개인정보보호책임자로 지정하여 침해하고가 발생되지 않도록 하자는 것이다.
개인정보를 제공하거나 위탁하는 경우에도 당초 동의를 받은 목적성 범위내에서 이루어져야 한다.
개인정보를 제3자에게 제공한다는 의미는 수탁자의 용도로 변경됨을 의미하므로 동의과정을 밟아야 한다.
위탁의 경우는 위탁자를 위한 처리로서 당초의 목적성 범위내에서 이루어진다는 점이 기본전제로 깔려있다.
위탁자의 본연의 업무를 단순 아웃소싱한다는 개념일경우는 홈페이지 등에 게시하면 되지만 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 경우에는 위탁이기는 하지만 정도가 단순위탁의 범위를 벗어난다고 판단하여 개인들에게 고지하도록 하고 있다.
개인정보 수집시 동의요건 중의 하나인 이용시한을 초과할 경우 타 법률적 근거가 없는 이상 지체없이 파기해야 한다.
개인정보는 정보주체의 재산이지 개인정보처리자의 재산이 아니기 때문에 잠깐 빌려 사용하여 용도가 끝나면 재산권 행사를 할 수 없다는 의미이다.
즉 온전하게 삭제하여 어느 누가 볼 수 없도록 함은 물론이거니와 회복시킬 수도 없도록 해야 한다.
데이터베이스에 여러 정보들과 함께 구축되어 있어 일부만 삭제하기 곤란한 경우, 삭제를 하더라도 하드디스크에 보이지는 않지만 회복할 수 있는 가능성이 있는 경우, 하드디스크를 포맷하게 될 경우 회복이 불가능하도록 완전하게 삭제되는지 등이 이슈가 될 수 있다.
어떠한 상황이든 다시 회복이 불가능하도록 완전파기하라는 것이 법적인 취지이니 삭제하는 방법에 따라 법적인 요건을 만족하는지 각론에서 따져보아야 할 일이다.
기타 제5장~제7장에서는 개인정보가 유출될 경우 피해확산을 방지하기 위하여 지체없이 안전행정부 또는 한국정보화진흥원이나 한국인터넷진흥원에 신고하고 피해 정보주체에게는 이메일, 전화 등 법적으로 허용된 방법으로 통지하며 통지를 받아보기 어려운 피해자들을 위해 홈페이지에 7일 동안 게시하도록 의무를 지우고 있다.
그리고 정보주체로서 자신의 개인정보에 대하여 열람, 정정 및 삭제, 처리정지를 요청할 수 있도록 하고 있다.
또한 유출 등이 발생될 경우 정보주체의 피해를 신속하게 구제하기 위하여 시일이 오래 걸리는 법적분쟁 이전에 신속한 피해구제가 가능한 분쟁조정 기능을 두고 있으며 집단분쟁조정 등도 수행할 수 있도록 하고 있다.
최근 규제의 변화
2008년 옥션, GS칼텍스의 개인정보 유출사고에 이어 2011년 농협 해킹, SK컴즈, Nexon, 현대캐피탈, KT 개인정보 유출사고가 발생하였고, 2013년 12월 은행에서의 개인정보 유출사건에 이어 2014년초에는 카드 3사에서 1억 4백만건 규모의 개인정보가 유출되는 등 점점 그 규모가 커져가고 있어 심각성이 높아지고 있다.
이러한 유출사고의 형태에 맞추어 정부기관에서는 개인정보 보호 등 정보보호를 위한 제도를 점차 강화시켜오고 있었는데, 2014년 카드사고 이후 수많은 법 개정 움직임이 전개되고 있다.
「개인정보보호법」은 주민등록번호 수집을 원칙적으로 금지시키고 주민등록번호가 유출될 경우 5억원 이하의 과징금을 부과하며 개인정보 보호책임자에 대한 징계를 권고하는 조항이 2013년에 신설된 이후 20여개 이상의 개정 제안이 이루어진 상태이다.
또한 「정보통신망법」은 주민등록번호를 법적인 근거없이 보유하지 못하도록 2014년 8월 18일부터 시행에 들어가게 개정된 이후 현재 6건의 개정안이 제안된 상태이다.
금융분야의 「전자금융거래법」의 경우도 2013년 3.20 사이버 공격 이후 해킹이 발생된 경우 이용자에게 손해를 배상, 정보기술부문 계획을 수립하여 CEO 승인 후 금융위원회 제출, 전자금융기반시설에 대한 취약점 분석·평가 의무화, 금융위원회에 ‘침해사고대응전담반’ 운영, 법 위반에 대한 제재수준을 영업정지까지 강화, 보안강화 요구에 불응 또는 보안인증수단의 대여 등을 고의 및 중과실 범위에 추가, 2016년말까지 금융전산 망분리 의무화, 금융회사내 정보보호위원회 설치 및 운영, 보안규정 위반에 따른 내부처벌 규정마련 의무화, 내부통신망에서 파일배포시 무결성검증 필수, 임직원에 대한 교육, 침해사고 대응 및 복구훈련 매년 1회 이상 실시 등을 담고 있는데, 현재 추가로 4건이 개정 제안되고 있고 「신용정보보호법」도 14건이 제안되어 있다.
상기의 여러 개정법안들이 제안되어 있는 상태인데, 이들을 종합해보면 ① 개인정보 보호관련 국가거버넌스 체계를 재정립하는 것으로 개인정보보호위원회를 중심으로 안전행정부는 공공분야를 담당하고 기타 부처는 해당분야를 관할하자는것, ② 정보보호최고책임자를 임원급으로 두고 IT부서와 독립운용하는 것, ③ 피해에 대한 입증과 상관없이 법정 손해배상 또는 피해액의 최대 3배까지도 징벌적으로 손해를 배상하는 것, ④ 현행 최고처벌보다 2~3배 높이는 것 등이 주내용으로 진행되고 있어 개인정보처리자의 사회적책임을 매우 강화하고 있는 추세이다.
「개인정보보호법」은 행정벌뿐만 아니라 형사벌도 있으며, 때로는 민사적 해결이 필요한 경우도 있기 때문에 법의 민감하고 모호한 세부적인 사항에 대해서는 전문적인 해석의 도움을 받기를 권고한다.