법제도/정책

“개인정보보호법으론 학생정보 보호 못해”

이민형

[디지털데일리 이민형기자] 지난해 9월 채동욱 전 검찰총장의 혼외자 의혹 보도 이후 학생 교육정보 보호에 대한 관심이 높아지고 있다. 하지만 현행법상 학생들의 교육정보를 모두 보호할 수 있는 방법이 없어 정부의 고민이 필요하다는 지적이 제기됐다.

법률사무소 민후 김경환 변호사는 지난 10일 서울 프레스센터에서 열린 학교 개인정보보호 포럼에서 “현행 교육기본법, 초·중등교육법, 개인정보보호법 등으로는 학생정보를 완벽히 보호할 수 없다”며 “개인정보보호법에는 학생정보에 대한 내용이 담겨있지 않으며, 교육법 역시 구체적인 내용이 없어 현재 상황을 반영하지 않는다”고 꼬집었다.

교육기본법 제23조3항에는 ‘학교생활기록 등의 학생정보는 교육적 목적으로 수집·처리·이용 및 관리돼야 한다’는 조항이 있다. 하지만 여기서 말하는 ‘교육적 목적’이 구체적이지 않아 학생정보의 어디서부터 어디까지가 목적에 부합하는지 여부를 교육부에서도 판단하기 힘든 실정이다.

김 변호사는 “특히 교육행정정보시스템(나이스, NEIS)에 대한 구체적인 법령이 없다는 것이 가장 큰 문제”라며 “나이스에 학생정보를 어디까지 기록해야 할지에 대한 시도교육청의 가이드라인이 다르며, 나이스에 기록된 정보들을 어떻게 보호할 것인지에 대한 해결책도 법령상으론 존재하지 않는다”고 말했다.

현재 나이스는 지난 2월 국가 주요정보통신기반시설로 지정돼 보안이 크게 강화된 것은 사실이다. 하지만 정보주체(학생) 인권을 어떻게 보호할 것인지, 어떤 절차를 밟아갈 것인지, 이의제기는 어떻게 할 것인지에 대한 규정이 전혀없다.

인터넷 등 정보통신망을 사용해 비즈니스를 하는 기업의 경우 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 기술적 보호조치를 반드시 취해야 한다. 이는 주요정보통신기발시설 지정과는 별도로 기업들이 반드시 지켜야하는 법이다.

하지만 학생정보의 총괄 책임자인 교육부가 나이스의 보안과 관련된 법령을 가지고 있지 않아 문제가 되고 있다.

김 변호사는 “가장 먼저 교육정보의 개념을 정립해 다른 개인정보와의 구별을 하는 것이 필요하다”며 “나이스가 다루는 정보나 학교가 다룰 수 있는 정보에 대해 법령에서 구체적으로 획정해 주는 것이 바람직하다”고 지적했다.

이어 “혹여나 발생할 수 있는 유출사고에 대비하기 위해 교육정보에 대한 관리주체를 명시하고, 관리주체를 중심으로 구체적인 의무와 책임을 규정하는 이른바 ‘관리적 조치 강화’가 필요하다”고 덧붙였다.

다만 관련법을 제정하는 과정에서 개인정보보호법 등 기존 법과의 통일성, 일관성을 유지해야 할 것으로 보인다. 또 OECD가 제정한 개인정보보호 8가지 원칙(수집제한, 정보내용 정확성, 목적 명확화, 이용제한, 안정성 확보, 공개, 개인참가, 책임)도 반드시 준수할 수 있도록 조치해야한다고 김 변호사는 강조했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널