법제도/정책

“개인정보보호법 지나치게 엄격해” 법조계 개선 요구 높아

이민형 기자
- ‘개인정보’ 범위, 무의미한 개인정보 활용 동의절차 등 논의

[디지털데일리 이민형기자] 정보통신망법, 개인정보보호법 등 개인정보보호 법제 개정이 필요하다는 목소리가 높아지고 있다. ‘개인정보’의 범위와 ‘위법시 처벌강도’등이 너무 강력해 오히려 개인정보보호나 기업활동에 해가 된다는 주장이다.

지난 12일 국회의원회관에서는 이상일 의원(새누리당) 주최로 ‘개인정보보호 법제 개선 토론회’가 개최됐다. 토론회에서는 학계, 법조계, 정부 관계자가 참석해 개인정보보호 법제의 개정의 필요성과 개인정보국외이전문제(opt-out) 등을 논의했다.

구태언 변호사(법률사무소 테크앤로)는 “현재 정보통신망법(정보통신망 이용촉진 및 개인정보보호에 관한 법률)에서 쓰이는 ‘개인정보’는 개인을 특정할 수 있는 정보나 다른 정보와 결합했을 때 알아볼 수 있는 경우의 의미로 쓰이는데, 이는 범위를 한정할 만한 개념 요소가 없기 때문에 너무 광범위하다”고 지적했다.

현재 사정당국은 개인들의 전화번호 뒷자리, 국제모바일기기식별코드(IMEI) 등을 개인정보로 판단하고 있다. 하지만 해당 정보들은 개인정보를 판단하는 ‘개인식별성’과 ‘결합용의성’ 등이 결여돼 사실상 개인정보로 보기 힘들다는 것이 구 변호사의 주장이다.

이에 대해 구 변호사는 “현재 ‘개인정보’의 정의를 제한하는 방향이 필요하다”며 “제2조1항6조에 법문 중 괄호를 삭제하고 특정 개인을 식별할 수 있는 정보로 제한하거나, 개인식별성이 높은 식별자들을 예시적으로 열거해 판단하는 방법 등을 사용할 수 있을 것”이라고 개정안을 제시했다.

또 구 변호사는 너무 강력한 형사처벌 조항이 오히려 사용자들의 피해로 돌아온다는 의견도 내놨다.

그는 “개인정보보호법에는 사용자의 동의 없이 개인정보를 수집하면 5년 이하의 징역에 처한다는 법조문(제71조1항)이 있다”며 “개인정보의 안전한 보호와 적정한 이용의 조화 측면에서 이용자의 동의를 받지 않았다는 이유로 곧바로 형사처벌을 하는 것은 형벌권의 남용”이라고 주장했다.

이어 “이러한 강력한 법안은 동의의 부분을 사용자에게 넘겨 자칫 책임전가로 이어질 수 있으며 개인정보자기결정권을 다른 기본권보다 우위에 놓게 될 수 있다”고 덧붙였다. 즉, 법 제정의 주객이 전도될 수 있다는 의미다.

이러한 처벌조항을 시정권고 등으로 완화하는 것이 장기적인 안목에서 좋다는 것이 구 변호사의 의견이다.

법률상 무분별한 ‘동의’절차가 사업자의 업무효율성을 낮추고 사용자들의 자기정보통제권을 박탈한다는 주장도 제기됐다.

박광배 변호사(법무법인 광장)는 개인정보국외이전에 대한 규정이 실효성이 없다고 말했다. 박 변호사는 “개인정보 국외이전에서 정보주체의 동의제공을 전제로 하는 국내법은 지나치게 엄격하다”고 운을 뗐다.

이어 “국내에서 수집한 수천, 수만명의 개인정보를 위탁처리하기 위해 일일이 동의를 받아야한다면 이를 준수할 수 있는 사업자는 많지 않을 것”이라며 “또 반대로 동의만 있다면 국외이전을 할 수 있다는 사업자의 면책규정으로 악용될 가능성이 있다”고 강조했다.

여기에 대응하기 위해 박 변호사는 옵트아웃(opt-out) 방식을 도입해야 한다고 주장했다. 개인정보에 있어 옵트아웃이란 사용자가 사용자가 거부의사를 밝혀야 개인정보 활용을 하지 않는 방식이다. 반대 방식은 옵트인(opt-in)이며, 국내 개인정보관련 법안은 대부분 옵트인 방식을 사용한다.

박 변호사는 “실제 사용자들은 서비스 이용을 위해 약관에 동의하는 그 절차가 자신의 개인정보를 해당 업체가 사용할 것임을 예상하고 실행하므로, 사용자가 예측할 수 있는 범위 내에서 개인정보를 위탁, 사용할 경우 동의절차를 받지 않아도 될 것”이라고 설명했다.

즉, 무의미한 동의절차를 없애고 사용자가 예측할 수 있는 범위내에서의 개인정보 활용을 허가하자는 것이 박 변호사의 제안이다. 박 변호사는 “ 옵트아웃 방식을 도입할 경우 사업자는 과도한 고지나 동의 부담이 완화돼 영업환경이 좋아지고, 사용자는 실질적인 개인정보에 대한 자기결정권을 강화할 수 있을 것”으로 예상했다.

이날 참석한 한순기 안전행정부 개인정보보호과장은 “개인정보의 정의에 대해서는 경제협력개발기구(OECD) 가이드라인을 그대로 가져온 것으로 문제가 없다고 판단한다”며 “현재 정부에서는 처벌항목을 적용하기보다는 주의, 권고로  사업자들을 계도하고 있다. 처벌강도에 대해선 고민이 필요할 것 같다”고 말했다.

하지만 한 과장은 개인정보보호에 있어 옵트아웃 방식을 도입하기는 시기상조라고 거듭 강조했다. 그는 “사용자가 예측할 수 있는 범위가 어디인지, 또 그 범위는 누가 어떻게 정할지에 대한 논의가 없는 상황에서 옵트아웃 방식은 오히려 위험하다”고 설명했다.

또 “안행부는 개인정보보호법을 각 산업별로 적용할 수 있는 가이드라인을 만들고 있다. 이는 안행부가 혼자할 수 있는 일이 아니며 인터넷기업협회 등 산업 협회들과 함께 만들어야 하는 것”이라며 “시행한지 2년만에 법을 뜯어고치자는 것은 다소 성급할 수 있다”고 개정에 대해선 거리를 뒀다.

끝으로 이상일 의원은 “이번 자리에서 국내 개인정보보호 관련 법제에 대한 많은 논의가 있었던 것 같다”며 “국회에서도 학계, 법조계, 업계 등과 논의해 국민들의 개인정보보호를 위한 실질적인 개선방안을 마련하겠다”고 밝혔다.

<이민형 기자>kiku@ddaily.co.kr

\"ZoomInto:
\"ZoomInto:
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널