일반법 시행으로 심의·의결·집행 기능 제도화 추진

2011년 9월 30일 개인정보보호법이 제정되면서 공공과 민간 부문 모두 전면 시행에 들어갔다. 이에 따라 일상생활에서도 지나친 개인정보를 물어볼 수 없게 됐다. 이 법에 근거해 설립된 개인정보보호위원회는 독립적인 개인정보 감독기구로 설립됐다는 점에서 의의가 크다. 개인정보보호 기구는 개인정보를 수집하고 이용하려는 정부 및 시장의 욕구와 이를 보호해야 한다는 헌법적 요청의 상충을 적절히 조절하고 개인정보 보호와 관련한 사전예방 및 사후교정 기능을 수행할 수 있어야 한다. 그러자면 개인정보 보호기구가 특정 정부부처로부터 조직상 독립되어야 함은 물론, 독자적 정책 수립 및 집행 기능을 가져야 한다. 위원회가 개인정보보호 전담하는 컨트롤타워의 역할을 본격화하고 일반법 시행으로 심의ㆍ의결ㆍ집행 기능을 제도화할 수 있을 것이라는 기대가 큰 이유도 여기에 있다.

김종영 편집장 sisacolumn@ciomediagroup.com

개인정보보호법은 2004년부터 여러 차례의 공청회와 장기간의 국회 논의 과정을 통해 제정됐다. 개인정보 유출로 인한 피해가 갈수록 심각해짐에 따라 정부는 개인정보보호법을 제정하고 이에 근거해 개인정보보호위원회를 설립하였다. 개인정보보호법은 17대 국회에서 여야 의원들이 법안을 발의해 18대 국회에서 조정돼 2011년에 제정됐다. 18대 국회 들어와 이동통신사, 보험사, 인터넷 업체 등의 내부자가 수백만 명의 개인정보를 유출한 사건이 발생했고, 이동통신사나 유선전화 업체에서 해지자에 대한 개인정보를 허술하게 관리하고 있는 것으로 드러났다. 주민등록번호를 비롯한 개인 신상정보가 인터넷을 통해 쉽게 검색할 수 있는 것도 문제점으로 지적됐다. 개인정보 보호를 위한 근본적인 대책 마련이 필요하다는 인식이 광범위하게 확산됐고, 그에 따라 개인정보보호법이 제정되었고 개인정보보호위원회가 설립되었다. 개인정보보호위원회 출범의 의의는 정보화 사회가 진전되는 상황 속에서 개인정보 관련 주요 정책을 총괄 조정하는 위원회를 설치·운영함으로써 체계적이고 효과적인 개인정보보호 정책의 수립·추진이 가능해졌다는 점을 우선 손꼽을 수 있다. 또 중앙행정기관, 지자체, 헌법기관의 위법 행위에 대한 시정?권고??통해 국민의 권익을 보호할 수 있게 됐다는 점도 그 의의로 꼽을 수 있다. 개인정보보호위원회는 개인정보보호법에 따라 설치된 대통령 소속의 독립된 행정위원회로서 그 권한에 속하는 업무를 독립적으로 수행하도록 법에 명기되어 있다. 총 15명의 위원으로 구성하며 5명은 대통령, 5명은 대법원장, 5명은 국회에서 지명·위촉하도록 돼 있다. 위촉된 위원들은 학계, 법조계, 관련단체 등 다양한 분야의 전문가들로 구성되어 있다. 개인의 권리를 보호하기 위한 역할이 크기 때문에 법적 보호와 쟁점 판단 등을 위해 법조계 인사 비중이 높은 편이다. 정만석 개인정보보호위원회 사무국장은 개인정보보호법이 본격 시행됨에 따라 앞으로 법적 차원에서 많은 변화가 있을 것이라고 전망했다. 우선 개인정보보호법의 시행은 일반국민들에게 개인정보보호의 중요성에 대한 인식을 새롭게 하는 계기가 되었다고 평가했다. 정 사무국장은 “정부는 법 시행 초기에 예상되는 혼란 등을 예방하기 위해 개인정보보호법에 대한 교육과 홍보를 통해 국민들에게 개인정보의 중요성을 일깨우는 한편 개인정보 처리 담당자를 대상으로 개인정보보호의 필요성을 집중 강조하였다”고 법 시행과 관련한 정부의 최근 추진상황을 설명했다. 한편 일반법 성격을 갖는 개인정보보호법의 제정·시행에 따라 법 적용대상 및 법에 의해 보호받는 범위가 확대되었다는 점도 의의가 있다고 설명했다. 또 법 적용 대상도 법 시행 전 개별법에 의해 보호했던 개인정보보호 의무 적용 대상이 공공 및 민간 부문의 모든 개인정보처리자로 확대(50만→350만)됐을 뿐만 아니라, 법의 보호 범위도 처리 방식이나 형태에 관계없이 모든 개인정보 파일로 확대되었다. 정 사무국장은 “정보 주체의 개인정보 침해에 대한 권리구제도 강화되었다”며 “정보 주체에게 개인정보 열람 및 처리정지 요구권 등이 부여됐고, 개인정보분쟁조정위원회를 통한 집단분쟁조정, 단체소송 제도의 도입으로 정보 주체의 권리 보장이 강화되었다”고 설명했다. 위원회는 현재 개인정보보호 정책을 수립하고 추진하기 위한 기본계획, 시행계획 등을 마련해 올해 본격적으로 추진할 예정이다. 이와 함께 정책에 필요한 의견은 지속적으로 수렴해 세부적인 측면까지 다듬어 정책이나 제도를 개선해 나갈 방침이다. 개인정보보호를 위한 더 나은 정책과제와 개선안을 만들기 위해서다. 2012년 위원회가 중점적으로 추진할 주요 업무는 개인정보 보호법상 위원회에 부여된 기본 기능을 충실하게 수행하는 것과 개인정보보호 법령 및 정책을 개선하는 것이다. 2012~2014년 3년 동안의 우리나라 개인정보보호 정책의 기본방향과 전략, 실천과제를 담은 개인정보보호 기본계획과 각 부처가 수립하는 2012년 시행계획을 심의·의결하게 된다. 국내 개인정보보호 관련 정책, 실태, 개선과제를 담은 연차보고서를 작성해 국회에 제출할 계획이다. 또한 개인정보보호법 및 관련 제도의 문제점을 파악하고 제도 개선을 적극 추진할 예정이다. 정만석 개인정보보호위원회 사무국장 “개인정보에 의한 불이익 크다는 인식 키워야 할 때” ▲지난해 개인정보보호법이 제정되면서 개인정보보호에 대한 인식이 많이 바뀌었을 것 같은데, 어떻게 생각하는가? 아직은 만족할 만한 수준이 아니라고 본다. CIO와 같은 개인정보를 직접 담당하는 임원은 개인정보보호의 필요성과 책임의 중요성을 알기에 주주총회 등 기회가 있을 때마다 개인정보보호에 대한 투자의 필요성을 설명하고 있다. 하지만 아직까지는 주주나 경영진에서 개인정보보호의 중요성과 이를 제대로 관리하지 못했을 때 초래될 문제에 대한 인식이 부족한 것 같다. 주주나 CEO들이 단기간 내에 눈에 보이고 손에 잡히는 성과나 이익만을 강조하다 보니, 정보보호나 보안과 같이 눈에 보이지 않는 부분에 대한 투자를 단순한 매몰비용이라고 인식하는 점이 걸림돌로 작용하고 있다. 기업 규모와 상관없이 인식 전환 필요 ▲대기업은 비교적 준비가 잘 되고 있는 반면 중소기업 등은 여러 가지 이유로 법에 맞춰 준비하는 게 쉽지 않다는 말도 많이 있다. 기업 규모와는 상관없이 인식의 전환이 필요한 시점이라는 생각이 더 크다. 대기업 경영진들도 개인정보보호에 대한 마인드가 아직은 약한 편이다. 이에 대해 개인적으로 안타깝게 생각한다. 또한 우리나라의 경우 개인정보 유출, 오·남용에 대해 법원이 엄격한 잣대를 적용한 판례가 아직 축적되어 있지 않다. 법령 자체는 선진모델을 받아들였지만, 아직 뿌리 내리지 못한 상황이다. 지금은 경영진을 비롯한 모든 사람들이 개인정보보호에 대한 인식을 획기적으로 바꾸고 깊은 관심을 기울이지 않으면 안 된다. ▲개인정보보호에 왜 깊은 관심을 기울여야 하나? 현대사회가 디지털사회로 급속히 전환되고 있기 때문이다. 디지털 사회에서는 대량의 개인정보를 수집하고 축적하고 가공하고 활용하는 게 기술적으로 가능하고 또 용이하다. 정보가 돈이 되는 시대다. 페이스북이 50억 달러 규모로 기업공개(IPO)를 한다고 밝혔다. 구글이 17억 달러였는데, 약 세 배가 넘는 규모다. 언론에 보도된 내용을 보면, 페이스북 창업자이자 최고경영자(CEO)인 저커버그는 31조원의 갑부가 된다. 28살에 세계 굴지의 갑부가 되는 셈이다. 페이스북은 순전히 개인정보를 바탕으로 IPO를 하는 것이다. 페이스북이라는 기업의 가치는 이용자가 페이스북에 올린 개인정보나 페이스북 서비스를 이용하는 과정에서 남긴 개인정보의 가치에 기반하고 있다. 그런데 이용자 개인정보를 통해 기업의 가치를 이 수준까지 높일 수 있다는 것은 그 반대의 경우도 가능하다는 뜻이기도 하다. 개인정보 유출로 인해 생길 수 있는 피해는 상상할 수 없을 만큼 커질 것이기 때문이다. 기업의 생존을 직접 좌우할 수 있다는 것이다. 개인정보보호에 각별한 관심을 기울이지 않으면 안 되는 시대에 지금 우리는 서 있다. ▲해외의 경우 주요 법제 동향은 어떠한가? 개인정보보호는 유럽 국가를 중심으로 개인정보보호 관련 일반법과 기본법의 법제화를 시작했다. 1971년 독일 헤센(Hessen) 주에서 세계 최초로 개인정보보호법을 마련했고, 유럽 각국은 ‘EU 개인정보보호 지침’에 따라 일반법을 제정·시행하고 전담기구를 설치했다. 미국, 일본 등도 각국의 특성에 맞게 개인정보보호를 제도화했다. 미국은 프라이버시법을 통해 공공기관을 규제하고, 민간은 개별법을 적용하는 방식이다. 일본도 개인정보보호에 대한 일반법을 제정했으나 집행과 감독은 각 부처들에게 역할을 분담하고 있다. 국제기구의 경우 개인정보 보호를 위한 가이드라인이나 지침은 오랜 전부터 시행하고 있는데 OECD는 1980년, UN은 1990년, EU는 1995년에 관련 지침 등을 제정, 적용하고 있다. EU 등 선진 사례 참조해 바림직한 방향 정립해야 ▲개인정보보호법에서 위원회의 역할 및 바람직한 개인정보보호위원회의 모델은? 위원회는 개인정보보호 관련 법령, 제도 등의 정책 방향을 설정하고 이를 총괄적으로 조정하는 독립적인 최고 정책결정기구다. 개인정보보호와 관련된 주요 정책 및 제도, 법령의 해석·개선 등을 심의 의결하고 중앙행정기관, 지방자치단체, 법원, 헌법기관 등의 법 위반행위에 대한 시정권고, 개인정보보호 시책의 추진 현황·평가 등을 담은 연차보고서를 국회에 보고하는 역할을 수행한다. 개인적인 의견으로는, 개인정보보호위원회는 국제적으로 개인정보보호 분야에서 가장 앞서 있는 EU의 정보보호 감독기구(European Data Protection Supervisor)를 모델로 해야 한다고 생각한다. EU의 정보보호 감독기구는 공공기관의 개인정보 처리 감독, 개인정보 처리의 위법 여부 조사, 개인정보보호제도의 개선안 제시, 공공기관에 대한 개인정보보호 가이드라인 제시 등 정보 주체의 프라이버시 보호 역할을 수행하고 있어 유용하게 참조할 수 있는 모델이다. ▲위원회 출범 이후의 활동은? 2011년 9월 30일 위원회가 출범한 이후 위원회 운영규칙 제정 등 위원회의 운영체계를 마련하고, 2012~2014년도 개인정보보호 기본계획을 심의했다. 또 개인정보보호 관련 주요 이슈 및 동향, 정책개선과제 발굴 등을 논의해왔다. ▲2012년 주요 계획은? 2012년은 우리 위원회 구성이 완료되어 실질적으로 운영되는 첫해로, 개인정보보호법의 각종 유예조치가 종료되는 등 법을 본격 시행하는 해다. 이러한 여건을 고려해 △위원회 운영체제 정비 △위원회 기능의 효과적 수행 △개인정보보호 발전을 위한 제도 개선·연구 활동 강화 등을 중점적으로 추진할 예정이다. 중점 과제를 효과적으로 추진하기 위해 유관기관 간 협조체계를 구축하는 한편 GPEN(글로벌 프라이버시 법집행 네트워크), ICDPPC(International Conference of Data Protection and Privacy Commissioners) 등 개인정보보호 국제협의체 가입 및 교류 활동 등도 추진할 예정이다. 향후 3년간의 개인정보보호 비전, 목표, 추진방향 등을 담은 과 각 부처의 개인정보보호 시행계획을 심의·의결하고 개인정보보호 추진상황에 대한 연차보고서도 작성하여 국회에 제출하게 된다. 공공기관 개인정보보호 실태 조사 분석, 개인정보보호법과 각 개별법과의 체계 정비 방안 연구, 해외 개인정보보호 제도 및 운영사례 등을 주제로 한 연구용역, 전문가 세미나 및 포럼 등을 통해 정책 개선 과제도 발굴할 계획이다. 정만석 1963년 출생. 행시 36회. 군산 제일고와 서울대 사회교육학과를 졸업했다. 서울대 행정대학원과 미국 콜로라도주립대에서 석사 학위를 받았다. 중앙인사위원회 소청행정과장과 인력기획과장, 행정안전부 인사정책과장, 국무총리실 행정정책과장 등을 역임했다. 현재 개인정보보호위원회 사무국장으로 재직중이다.