- 행자부, 관련법제 종합 검토 TF 이번주부터 가동

[디지털데일리 이유지기자] 개인정보보호법이 제정, 시행된 지 4년이 지났다. 2000년대 중반부터 대규모 개인정보유출 사고가 잇달아 발생, 큰 사회적 문제로 대두되면서 개인정보보호법은 국회에 처음 법이 발의된 지 10년 만에 제정됐다.

지난 2011년 3월 29일 공포, 그 해 9월 30일 시행된 개인정보보호법은 그간 세 차례 개정됐다.

지난 2014년 8월 시행된 개정법률로 주민등록번호 수집 법정주의가 도입됐고, 주민번호 유출시에 처리자에 최대 5억원 이하의 과징금을 부과할 수 있게 됐다.

2014년 3월에 공포, 내년 1월 1일부터 시행되는 개정법으로 주민번호를 전자적 방법으로 보관하는 모든 기관·사업자에 암호화 조치가 의무화된다. 행정자치부는 주민번호 보관 규모가 100만명 미만인 경우 2016년 12월 31일까지, 100만명 이상인 경우 2017년 12월 31일까지 암호화 조치를 완료하도록 유예기간을 주는 방향으로 시행령을 마련하고 있다.

이후 개인정보보호법은 한차례 더 개정됐다. 카드3사 개인정보 유출 사고를 계기로 법적·징벌적 손해배상제도를 도입하고 개인정보 범죄 처벌 강화, 개인정보보호위원회 기능을 강화한 개정법률안이 올해 7월 24일 공포돼, 내년 7월 25일부터 시행될 예정이다.

개인정보보호법은 공공기관, 사업자, 비영리단체 등 모든 개인정보처리자를 규율하는 ‘일반법’으로 우리나라 개인정보보호 사각지대를 해소하는데 크게 기여했다. 개인정보 수립부터 이용·제공, 폐기까지 각 처리단계별 준수사항이 명시돼 있으며, 개인정보 열람·정정·삭제·처리정지 요청권 등 정보주체의 권리를 보장하고 있다. 개인정보 유출시 통제, 집단분쟁조정, 단체소송 등 피해구제를 위한 내용도 규정돼 있다.

개인정보보호법이 제정된 이후에도 개인정보처리자가 지켜야 하는 조치사항과 처벌 등의 규정을 계속 강화하는 방향으로 법이 개정돼 왔다.

특히 개인정보보호법뿐만 아니라 정보통신망법, 신용정보보호법 등 여러 특별법과 더불어 우리나라 개인정보보호 관련법률은 “전세계에서 가장 강력하다”는 진단이 전문가들 사이에서 나왔다.

일각에서는 ‘과도한 규제’라는 비판과 더불어 이들 개별법과의 상충문제가 지속적으로 제기돼 왔다.

최근에는 개인정보보호법이 클라우드컴퓨팅, 빅데이터, 사물인터넷(IoT) 등의 신산업 발전을 저해하고 있다는 지적이 나오고 있다. 개인정보 관련규제로 인해 신산업 분야에서 필수적인 개인정보 활용이 큰 제약을 받고 있다는 것이다.

이에 따라 최근 개인정보보호법을 비롯해 우리나라 개인정보보호 관련법·제도를 종합적으로 손질해야 한다는 목소리가 높아지고 있다.

개인정보보호위원회와 행정자치부가 주최하고 개인정보보호법학회가 주관해 지난 8일 개최한 개인정보보호법 시행 4주년 세미나에서도 이같은 개인정보보호법제도가 개선돼야 한다는 지적이 잇달아 나왔다.

정하경 개인정보보호위원회 위원장은 “개인정보보호법이 시행된 지 4년이 흘렀다. 법 제정으로 개인정보보호와 관련된 법적용 사각지대를 해소하고 보호 원칙과 기준이 정립됐으며, 독립 전담기구로 개인정보보호위원회가 설치됐으나 시행과정에서 적지 않은 문제점과 한계가 노출됐다”며 특히 “최근 현행 개인정보보호법의 원칙과 기준이 지금 시대에 적합한지 재검토돼야 한다는 목소리가 커지고 있다”고 강조했다.

정 위원장은 “개인정보호법이 제정된 것은 4년여가 지났지만 지난 17대 국회에서 논의가 시작된 지는 10년 이상 흘렀다. 그동안 우리사회의 정보환경이 엄청나게 변화했다”고 지적하면서 “첨단 정보화 사회의 인권이라 할 수 있는 개인정보보호의 가치와 산업자원으로의 가치가 양립할 수 있는 정책적 방안이 모색돼야 한다. 빅데이터와 IoT 초연결사회에 맞는 법·제도, 정책 방향을 논의하는 것이 의미있는 방향이 될 것”이라고 덧붙였다.

이날 행사에서 토론자로 참여한 구태언 테크앤로 대표 변호사(개인정보보호위원회 위원)는 “그동안 개인정보 유출사고가 발생하면 개인정보처리자의 책임을 강화하는 방향으로 개인정보보호법을 개정해 왔다. 결국 타인의 범죄로 인해 개인정보처리자들의 처벌만 늘어난 것으로, 이제는 범죄자를 어떻게 통제할 지 논의가 필요하다”고 제안했다.

구 변호사는 이어 “모바일 시대 출현으로 빅데이터, IoT 사회로 급격하게 변화하고 있다. 이는 10년·20년 후의 이야기가 아니라 현재 진행형”이라며 “이같은 시대에서는 개인정보유출 사고가 매우 다른 양상으로 진행될 것이기 때문에 이를 진단하고 법제도 변화 방향을 논의해야 한다”고 말했다.

그 대안으로는 무인자동차나 웨어러블기기 등을 이용하는 IoT 시대에서는 사전 고지와 동의 원칙을 포괄 동의나 사후통제형(Opt-Out) 제도로 전환하고 정부의 사전적인 예방활동 등의 역할이 필요하다고 제시했다.

또한 현행법에서 ‘잠재적 결합가능성’만 있으면 비식별정보도 개인정보로 보는 광범위한 개인정보 정의 범위 문제를 해소하기 위해 비식별정보는 개인정보처리자가 ‘정보를 결합해 개인을 식별할 때’부터 개인정보로 취급할 수 있도록 ‘합리적 결합가능성’을 반영해 개정해야 한다고 강조했다.

최경진 가천대 법학대학 교수는 “IoT, 빅데이터 시대에서는 개인정보를 활용하지 않을 수 없다. 이들 산업을 굉장히 중요한 미래산업이나 미래 먹거리로 바라보는 상황에서 개인정보보호법이 개인정보 활용을 발목잡는다면 문제다. 하지만 개인정보보호가 이뤄지지 않는다면 이들 산업도 망할 수밖에 없다”며 양립되고 있는 가치에 대한 조화로운 접근을 강조하며, 그동안의 개인정보보호 노력이 물거품되지 않도록 여러 시각에서 개인정보보호법제가 나아가야 할 방향을 논의해야 한다는 점을 강조했다.

이날 최 교수는 개인정보보호법이 개선돼야 하는 방향으로 법의 목적을 ‘보호’뿐만 아니라 ‘안전한 활용’이 함께 고려될 수 있도록 패러다임의 전환이 필요하다는 점과 함께 광범위한 개인정보의 개념과 범위를 명확히 하기 위해 개인정보를 이원화해 규율하는 방식을 고려해야 한다고 제시했다.

이와 함께 손해배상책임, 시정조치, 과징금, 과태료 등의 각종 규제수단에 대해 활용 우선순위를 정함으로써 적정화와 합리화를 모색해야 한다는 점과 과도한 민·형사 책임 제한 형식적 규제로부터 실질적 보호로 규제 프레임워크 전환 개인정보의 국가간 이동에 대한 효과적 규율체계 마련 등도 개선방향으로 제안했다.

행자부 역시 개인정보보호법 개선 방안 연구에 본격 나섰다. 개인정보보호와 빅데이터·IoT 시대 개인정보 활용을 균형있게 조화할 수 있도록 개인정보보호법 개선방안을 도출하기 위해 민간전문가, 관계부처 등이 참여하는 개인정보보호법 검토 태스크포스팀(TF)을 구성하고 이번주부터 본격 가동할 예정이다.

TF는 개인정보보호법 외에도 정보통신망법, 신용정보보호법 등 관련법을 종합적으로 검토할 예정이다.

장한 행자부 개인정보보호정책과장은 “이번에 가동되는 개인정보보호법 개선 연구를 위한 TF는 신산업 발전에 기여하면서도 더욱 안전하게 개인정보를 관리하는데 도움이 되는 방향으로 논의가 이뤄질 것”이라고 밝혔다.

<이유지 기자>yjlee@ddaily.co.kr