3장.개인 정보의 보호

3. 개인정보보호법

1998년 전자주민증 반대운동 때부터 한국 시민사회는 프라이버시법의 제정을 요구하였다. 한국의 정보화는 빠른 속도로 확산되었으나 개인정보를 보호할 수 있는 법제도는 제대로 갖추지 못하고 있었다. 1994년 <공공기관의 개인정보호보호에 관한 법률>이 제정되었으나 정보주체의 권리를 보호하는 수준이 충분하지 못하였다. 2003년 NEIS(교육행정정보시스템) 논란을 겪으며 본격적으로 개인정보보호법의 제정 필요성이 공론화되었다. 2004년부터 국회에 개인정보보호법안들이 발의되기 시작하며 관련 논의가 활발해졌다.

2011년 3월 29일 마침내 <개인정보보호법>이 국회를 통과하여 2011년 9월 30일부터 시행되고 있다. 개인정보보호법의 제정 목적은 “개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함”(제1조)에 있고, 개인정보 보호 국제규범에 비교적 부합한 개인정보 보호를 위한 일반원칙(제3조)을 선언하고 있다.

특히 이 법이 대통령 산하에 개인정보보호위원회를 설립하여 개인정보보호를 감독하도록 한 점이 매우 중요하다. 그러나 현행 개인정보보호위원회는 국제기준에 부합하는 감독기구의 독립성과 조사권 등 기능이 부족하여 제 역할을 수행하고 있지 못하다는 점이 비판을 받고 있다.

한편 개인정보보호법이 정보·수사기관의 필요에 의해 많은 예외를 부여하고 있다는 사실이 비판을 받고 있다. 특히 건강보험관리공단 등 공공기관이 보유하고 있는 민감한 개인정보가 영장 없이 수사기관에 제공되고 있다(개인정보보호법 제18조 제2항 제7호). 경찰은 때로 장애인 활동보조인 정보 등 지방자치단체가 보유하고 있는 개인정보를 수백, 수천 건씩 대규모로 제공받아 먼지털이식으로 수사하며 사회적 약자를 괴롭히기도 한다.

최근에는 사물인터넷과 빅데이터 시대 개인정보 보호에 대한 관심과 우려가 증가하고 있다. 기업이 소비자 개인정보를 수집하고 이용할 때 정보주체의 동의를 받도록 한 개인정보보호의 원칙이 존중받고 있지 못한 것이다. 홈플러스 사건에서 드러났듯이 소비자 개인정보는 시장에서 이미 정보주체 모르게 널리 매매되고 있다. 그러나 소비자와 이용자들의 박탈감에도 불구하고 정부와 기업이 개인정보 보호 규범을 완화하려고 하면서 논란이 일고 있다.

3-1. 교육행정정보시스템 (NEIS)

1990년대 말 전자주민카드 논쟁 이후 시민사회는 ‘프라이버시보호법’의 제정을 계속 요구하며 ‘프라이버시권’의 개념을 토착적으로 보급하기 위하여 노력하였다. 이때 시민사회 일부가 제기한 ‘정보인권’이라는 개념어를 대중화하고 제도화의 전기를 마련하게 된 계기가 NEIS 논쟁이다.

NEIS(National Education Information System, 교육행정정보시스템)는 단위학교 내에서 처리되던 기존의 교육행정 업무 전반을 웹기반으로 옮겨 처리하는 시스템을 말한다. 시·도교육청 및 교육인적자원부에 시스템을 구축하고 모든 교육행정기관 및 초·중등학교를 인터넷으로 연결하여 단위학교 내 행정처리는 물론 교육행정기관에서 처리해야 할 학사·인사·회계 등 교육행정 전반업무를 전자적으로 연계처리하는 시스템이다.

2002년 들어 NEIS에 반대하는 교사·학부모·학생들의 목소리가 커져갔다. 중앙정부에 전국 학교 교육주체들의 정보가 모두 집중되는 것에 대하여 우려가 일었고 정보주체의 동의나 법적 근거 없이 국가가 정보를 수집하는 것이 ‘정보인권’ 침해라는 인식이 확산되었다. 2002년 12월 서울시 교육청에서 3만 명의 교원 개인정보가 유출되는 사건이 발생하여 교육현장에서 반대 목소리가 더욱 커졌다. 2003년 2월 19일 NEIS를 반대하였던 전교조 등 교육·시민단체는 이 문제를 국가인권위에 진정하였다.

2003년 5월 12일 NEIS에 대한 국가인권위의 인권침해 결정이 있었다. 국가인권위원회는  교무·학사, 입(진)학, 보건영역을 제외한 업무만 NEIS로 운영하도록 권고함으로써 NEIS 의 정보인권 침해를 인정하였다.

교육부가 NEIS 우선시행 방침을 굽히지 않자 인권단체는 농성에 돌입하였다. NEIS 논쟁을 중재하기 위해 국무총리실에 교육정보화 위원회가 구성되어 교원단체 등 이해당사자가 참여하였다. 이 위원회는 NEIS에서 교무·학사, 보건, 입(진)학 등 3개 영역을 분리해 단독 또는 그룹 서버를 구축하고 이를 16개 시도교육청 단위로 분산 운영하는 것을 골자로 한 새 시스템 구축 방안을 확정하였다.

NEIS 논쟁을 통해 시민사회는 정부 일방의 정보화 정책에 대한 문제를 제기하였을 뿐 아니라 개인정보 보호 관련 법제도를 시급하게 보완할 필요가 있다는 사실을 확인하였다.

3-2. 개인정보보호법 입법운동

시민사회의 오랜 요구에도 불구하고 온라인과 오프라인에 모두 적용되는 통합적인 개인정보보호법이 제정된 것은 2011년에 이르러서였다. 개인정보 보호의 국가적 규범 정립과 정보주체의 권리보장은 오랫동안 공백 상태였다. 개인정보 보호의 감독체계도 마련되어 있지 못했다.

2005년 헌법재판소가 ‘개인정보 자기결정권’을 헌법상의 권리로 인정하였다. 새로운 독자적 기본권으로서의 개인정보 자기결정권을 헌법적으로 승인할 필요성이 대두된 것은 디지털 시대의 변동을 배경으로 한다. 정보통신기술의 발달은 행정기관의 정보 수집 및 관리 역량을 획기적으로 향상시킴으로써 행정의 효율성과 공정성을 높이는 데 크게 기여하고 개인정보의 처리와 이용이 시공에 구애됨이 없이 간편하고 신속하게 이루어질 수 있게 되었고, 한 기관이 보유하고 있는 개인정보를 모든 기관이 동시에 활용하는 것이 가능하게 되었다. 다른 한편으로 개인의 인적 사항이나 생활상의 각종 정보가 정보주체의 의사와는 전혀 무관하게 타인의 수중에서 무한대로 집적되고 이용 또는 공개될 수 있는 새로운 정보환경에 처하게 되었고, 개인정보의 수집·처리에 있어서 국가적 역량의 강화로 국가의 개인에 대한 감시능력이 현격히 증대되어 국가가 개인의 일상사를 낱낱이 파악할 수 있게 되었다. 이와 같은 사회적 상황 하에서 현대의 정보통신기술의 발달에 내재된 위험성으로부터 개인정보를 보호함으로써 궁극적으로는 개인의 결정의 자유를 보호하고, 나아가 자유민주 체제의 근간이 총체적으로 훼손될 가능성을 차단하기 위하여 필요한 최소한의 헌법적 보장장치로서 개인정보자기결정권을 헌법상 기본권으로 승인할 필요가 있다.

NEIS 논쟁 이후 2004년부터 개인정보보호법 제정 논의가 물살을 탔다. <공공기관의 개인정보보호에 관한 법률>을 중심으로 공공기관을 규율하고 <정보통신망 이용촉진 및 정보보호 등에 관한 법률>에 따라 정보통신망만을 규율하던 기존의 개인정보 보호 추진체계를 개선하여 공공과 민간 영역을 통합적으로 규율하는 내용의 개인정보보호법안이 국회에 다수 발의되었다. 오랫동안 개인정보보호법 제정을 요구해온 시민사회는 가장 먼저 노회찬 의원을 통해 ‘개인정보보호기본법안(의안번호: 170938, 2004-11-22 )’을 발의하고 개인정보 감독기구는 독립기구로 두었다. 여당인 열린우리당에서는 이은영 의원이 국가인권위를 개인정보 감독기구로 규정한 ‘개인정보보호기본법안(의안번호: 171334, 2005-02-02)’을 발의하였으나 국가인권위가 ‘개인정보보호기구 별도설치’ 의견을 냄에 따라 철회하였다가 국무총리 소속 하에 감독기구를 둔 ‘개인정보보호법안(의안번호: 172219, 2005-07-11)’을 재발의하였다. 야당인 한나라당에서는 이혜훈 의원이 국무총리 소속으로 감독기구를 두는 ‘개인정보보호법안(의안번호: 172953, 2005-10-17)’을 발의하였다. 17대 국회 말미에 이들 법안을 통합하는 논의가 이루어졌으나 공공기관에서 개인정보 보호를 주무해온 행정자치부 및 정보통신망에서 개인정보 보호를 주무해온 정보통신부의 소극적인 태도 속에 별다른 성과 없이 막을 내렸다.

이후 18대 국회 들어 새로 출범한 이명박 정부가 정부조직을 개편하면서 개인정보 보호 업무를 통합적으로 이관받게 된 행정안전부가 개인정보보호법 제정에 나섰다. 그러나 같은 해 8월 행정안전부가 입법예고를 통해 공개한 개인정보보호법은 개인정보 보호를 위한 의견, 권고 및 시정조치 등 주요 업무를 자기 부처 장관이 담당하도록 하였다. 시민사회는 핵심이라 할 독립적인 개인정보보호위원회를 설립하지 않은 것은 개인정보 보호의 취지를 무색케 하는 것이라고 즉각 비판하였다.

국제규범의 예를 제시하며 독립적 감독기구를 요구하는 시민단체의 반대 속에서도 정부는 ‘개인정보보호법안’(의안번호: 1802369, 2008-11-28)을 빠른 속도로 발의하였고, 정부 법안에 대한 국회 공청회 등을 통해 감독기구의 독립성을 둘러싼 논쟁이 공개적으로 이루어졌다.

개인정보보호법은 추진체계를 둘러싼 여러 논란 끝에 2011년 3월 29일 제정되었다. 부족하나마 개인정보 감독기구로서 개인정보보호위원회의 기능을 보장하기 위해 정부안에 대한 수정과 타협이 다음과 같이 이루어졌다. (1) 개인정보보호위원회를 개인정보 보호에 관한 사항을 ‘심의’하기 위하여 국무총리 소속으로 두도록 한 것에서 개인정보 보호에 관한 사항을 ‘심의·의결’하기 위하여 대통령 소속으로 두도록 수정이 이루어졌다. 또 “보호위원회는 그 권한에 속하는 업무를 독립하여 수행한다”고 명시하였다. (2) 상임직이 없는 정부안을 수정하여 상임위원 1명을 두도록 하되 정무직 공무원으로 임명하도록 하였다. 위원장은 공무원이 아닌 민간 위원 중에 위촉하도록 하였으나 상임은 아니다. (3) 민간 위원을 정부가 모두 임명하도록 한 정부안을 수정하여 위원 중 5명은 국회가 선출하는 자를, 5명은 대법원장이 지명하는 자를 임명하거나 위촉하고 그 나머지 위원을 정부에서 위촉하도록 하되 고위 공무원단을 배제하여 정부 중심성을 축소하였다. (4) 위원 임기를 2년에서 3년으로 늘려 보장하고 시행령으로 위임했던 위원회 회의 운영과 관련한 몇 가지 사항을 법률로 규정하였다. (5) 사무 지원기구를 규정하지 않아 사실상 주무 부처인 행정안전부에 종속될 수 밖에 없었던 정부안을 수정하여 독자적인 사무국을 두도록 하였다. (6) 보호위원회의 기능에 있어서도 대통령, 보호위원회의 위원장이 부치는 사항만 심의하도록 했던 정부안을 수정하여 위원 2명 이상이 회의에 부치는 사항도 심의 및 의결할 수 있도록 하였다. (7) 위원회가 공공기관 등 관계 기관에 대하여 자료 제출을 요구할 수 있도록 하였다.

3-3. 개인정보보호위원회

개인정보 감독기구의 설립은 국제 디지털 프라이버시 규범에 있어서는 아주 오래된 의제이다. 1990년 유엔 총회에서 승인된 <컴퓨터화된 개인 정보파일의 규율에 관한 지침>에서는 “모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치”하도록 하였다. 유럽연합 회원국에 대해 강제력이 있는 <개인정보보호에 관한 유럽의회와 각료회의 지침(95/46/EC)>에서는 제28조(감독기관)에서 “당해 기관은 위임받은 임무를 완전히 독립적으로 수행한다”고 규정하였다.

이처럼 감독기구의 요건 중 가장 중요한 것은 독립성이다. 2001년 유럽이사회(Council of Europe)가 채택한 <감독기구와 국경 간 정보이동과 관련한 개인정보의 자동처리에 관한 개인 보호 협약의 추가의정서>에서는 개인정보 감독기구에게 필요한 권한 및 독립성을 위한 요건을 구체적으로 규정하고 있다. 개인정보 감독기구에는 조사권, 개인정보수집자에 대한 시정요구권 등 개입권, 법적 절차를 개시할 권한과 사법기관에 소추할 권한 및 침해신고의 접수권 등이 보장되어야 한다. 또한 개인정보 감독기구는 효과적으로 감독을 하기 위해 이러한 권한을 완전히 독립적으로 수행해야 하는데, 독립성은 감독기구의 구성, 위원의 임명방법, 임기와 해촉 조건, 충분한 자원의 배분, 외부 명령없이 결정을 채택할 수 있는지의 여부 등이 관련이 된다.

주로 유럽의 규범에서 구체적인 집행력을 가지고 있던 감독기구에 대한 논의가 유엔으로 확대된 것은 2013년 미 국가안보국(NSA)의 디지털 감시에 대한 폭로 사건이 일으킨 반향이다. 2013년 12월 유엔 총회는 디지털시대 프라이버시권에 대한 결의안을 발표하면서 각국 정부에 독립적이고 실질적인 개인정보 감독체계를 수립할 것을 촉구하였다. 이는 국가 감시에 투명성과 책임성을 보장하기 위해서이다.

2014년 유엔 인권최고대표는 유엔 총회의 요청에 따라 현대 디지털 기술과 감시 수단에 직면한 프라이버시 문제의 복잡성에 대해 살펴보았다. 유엔 인권최고대표에 따르면 자유권 규약을 비롯해 국제 인권규범이 보장해온 프라이버시권은 최근 위기에 처해 있다. 국가안보를 이유로 비밀로 수립되는 규칙들과 입법적·사법적 비밀 해석들은 정보기관을 비롯한 국가의 재량권을 자의적으로 집행할 위험을 높여 왔다. 따라서 독립적인 개인정보 감독권이 반드시 필요하다는 지적이다. 또 급격하고 극적으로 진화하는 디지털 시대에 프라이버시 문제의 복잡성은 정부, 시민사회, 과학기술 전문가, 기업, 학계 및 인권 전문가 등 다양한 이해관계자들이 참여하고 대화할 필요가 있다는 것이 최고대표의 결론이었다.

1996년 전자주민카드 도입논란으로부터 시작된 한국 시민사회의 프라이버시보호법 제정 요구는 2011년 개인정보보호법 제정으로 일단락되었다고 볼 수 있다. 그러나 우리 개인정보보호위원회는 사실상 독립적인 기구로 보기 어렵다. 국가인권위원회는 개인정보보호위원회의 인사와 예산이 독립되어 있지 않으며, 심의⋅의결 기능만 존재하고 조사권도 결여되어 있어 독립적 개인정보 보호기구로서의 역할이 미흡하다고 보고, 개인정보보호위원회를 명실상부한 독립기구로 재편하고, 개인정보보호에 관한 업무를 개인정보보호위원회로 통합할 것을 제언하였다(정보인권 보고서).

2014년 카드3사에서 1억 건 이상의 개인정보가 유출되자 정부차원에서 개인정보보호위원회의 기능 강화가 논의되었다. 그러나 개인정보보호위원회가 주어진 사명을 독립적이고 실질적으로 수행하고 있는지에 대한 평가는 아직 부정적일 수 밖에 없다. 개인정보보호법(제33조)에서 행정자치부가 주무하는 개인정보 영향평가 결과에 관한 사항을 위원회가 심의·의결하도록 되어 있음에도 개인정보 영향평가기관(’14년 3월 현재, 11개 기관)이 매우 적다는 사실은 위원회의 권위와 실효성이 부족한 현실을 방증하고 있다.

3-4. 빅데이터와 개인정보 보호

개인정보의 상업적 처리가 늘어나는 빅데이터 시대를 앞두고 우리 개인정보보호법이 소비자 개인정보를 충분히 보호할 수 있을 것인가에 대한 우려가 커지고 있다.

2015년 홈플러스가 2천 4백만 건에 달하는 소비자 개인정보를 건당 1천9백8십원 혹은 2천8백원을 받고 보험사에 판매하여 무려 231억원의 부당이득을 올린 혐의로 기소되었다. 다국적 빅데이터기업 IMS헬스코리아는 병원, 약국 등지에서 우리 국민 4천4백만 명의 개인정보 47억 건을 몰래 사들여 빅데이터 처리 후 제약회사에 재판매하여 50억원의 부당이득을 올렸다. 이 모든 개인정보 판매행위는 정보주체에게 동의를 받지 않고 몰래 이루어졌다.

그러나 홈플러스 사건 1심 형사재판부는 무죄판결로 기업의 잘못된 개인정보 처리관행에 면죄부를 주었다. 소비자와 이용자들의 박탈감에도 불구하고 정부와 기업은 빅데이터 산업을 활성화한다며 개인정보 보호를 완화하려고 한다. ‘비식별화’ 처리를 하면 정보주체의 동의없이 개인정보를 처리할 수 있다고 해석하는 등 개인정보 보호를 완화하는 정부의 가이드라인이나 입법안들이 계속 등장하고 있다.

전세계적으로 빅데이터 산업이 개인정보 보호에 미칠 영향을 둘러싼 논의가 진지하게 이루어지고 있다. 2015년 유럽 개인정보감독관(EDPS)은 기업의 빅데이터 이용이 소비자들의 프라이버시권에 미치는 영향 또한 커지고 있다고 지적하였다. 과거보다 기업들이 개인정보를 더 많이 수집하고 이용하고, 심지어 판매하면서 정보주체의 개인정보 자기결정권이 무시되고 있고 사상, 정치적 신념, 종교, 성적 지향, 건강 등 민감한 정보에 대한 권리도 침해되고 있다는 것이다. 이런 문제의식을 바탕으로 유럽연합은 2016년 4월 개인정보보호 일반규정(GDPR)을 수립하면서 빅데이터 시대 정보주체의 권리를 보장하기 위해 프로파일링 처리에 대한 동의, 프로파일링을 거부할 권리, 프로파일링의 제한 등 정보주체의 권리를 신설하였다.

특히 한국은 계속된 개인정보 유출 사고로 개인정보 보호 토대가 취약해진 것으로 지적받고 있다. 정부와 국회는 빅데이터 시대 예상되는 기업의 무분별한 개인정보 처리로부터 소비자의 개인정보를 보호하기 위하여 프로파일링을 규제하는 등 보호조치 마련에 우선적으로 나서야 할 것이다. 국가인권위원회는 △ 빅데이터 및 클라우드컴퓨팅 환경에 맞게 개인정보보호원칙을 현대화하고 정보주체의 권리를 보장할 수 있는 실질적 보호장치 마련할 것과, 이를 위해 △ 데이터 또는 데이터베이스 간 통합⋅연동의 요건, 기준 및 절차 등을 마련하고 △ 추적차단기능(Do-Not-Track), 프라이버시 기본설정(Privacy by Default), 프라이버시 중심설계(Privacy by Design), 개인정보 영향평가제, 잊혀질 권리 등을 도입할 것을 제언하였다(정보인권 보고서).