개인정보보호위원회 심의·의결의 개선방향

1월 11일 업데이트됨


개인정보보호위원회의 핵심 기능은 개인정보보호법 제8조 제1항에서 정한 12가지의 심의ㆍ의결 사항에 대한 심의ㆍ의결이다. 12가지의 사항 중 특히 개인정보 보호와 관련된 정책ㆍ제도 및 법령의 개선에 관한 사항, 개인정보 보호에 관한 법령의 해석ㆍ운용에 관한 사항, 개인정보의 목적외 이용ㆍ제공(제18조 제2항 제5호)과 관련된 사항, 다른 기관의 장에 대한 조치 권고에 관한 사항 등이 중요하다.

이 중에서도 엄격한 목적제한성을 완화시켜 주는 역할을 하는 ‘개인정보의 목적외 이용ㆍ제공(제18조 제2항 제5호)과 관련된 사항’이 많이 문제되고 있다.

제18조 제2항 제5호에 의하면, 공공기관은 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우’에 개인정보를 원래의 수집ㆍ이용 목적을 벗어나 이용하거나 제공할 수 있다.

이 조문의 활용은 빈번하다. 그간 농림축산식품부의 쌀소득 등 보전직접지불금 부당수령자의 주민등록번호 국회 제공 건, 국방부의 채권추심 목적의 개인정보 제공 건, 교육부의 특성화고 등 취업통계조사를 위한 개인정보 제공 건 등이 심의ㆍ의결 대상으로 논의되었다.

앞으로 이 조문의 활용 빈도는 증가할 것으로 보인다. 하지만 앞으로 엄격한 목적제한성의 벽을 깨면서 유연한 이용이나 제공을 목적으로 하는 이 조문이 제 기능을 발휘하려면 몇 가지 점은 반드시 개선되어야 할 것이다.

첫째, 심의 요건이 너무 엄격하다. 개인정보보호위원회의 심의 요건은 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우’로 되어 있는데, 일단 ‘다른 법률에서 정하는 소관 업무’ 부분이 심의 대상을 대폭 축소시키고 있다.

개인정보보호위원회는 대통령 소속의 개인정보 최고 심의ㆍ의결 기관임에도, 지나치게 심의 대상을 축소시키고 있고, 이 조항의 적용 대상을 대폭 줄임으로써 이 조항을 유명무실하게 하고 있다. ‘다른 법률에서 정하는 소관 업무’ 부분을 ‘다른 법령 또는 조례에서 정하는 소관 업무’로 개정하여 심의 대상을 넓힐 필요가 있다. 즉 법률이 정하는 소관업무에 한정할 것이 아니라 시행령이나 시행규칙, 조례 등에 의하여 정해지는 소관 업무에 대하여도 심의할 수 있도록 해 주는 게 바람직하다.

둘째, ‘소관 업무를 수행할 수 없는 경우’의 인정 요건이 지나치게 까다롭다. ‘소관 업무를 수행할 수 없는 경우’는 문언적으로 ‘불가능한 경우’로 해석되는바, 어떤 경우이든지 다시 동의를 얻어 개인정보를 수집한 다음에 이용하든지 제공하면서 업무를 수행할 수 있다는 점을 고려하면 과연 ‘불가능한 경우’가 있을 수 있나 하는 의구심이 들고, 개인정보 최고 심의ㆍ의결 기관의 위상을 고려하건대 이렇게 재량권을 과도하게 박탈할 필요성이 있나 하는 문제점도 있다.

‘소관 업무를 수행할 수 없는 경우’를 삭제하고 이익형량이나 개인정보보호의 8원칙을 통하여 해결하든지 아니면 ‘소관 업무를 수행하는 것이 곤란한 경우’로 완화하여 개인정보보호위원회의 폭넓은 재량을 인정하는 것이 이 조항의 취지에 부합한다.

셋째, 목적외 제공을 하고자 하는 경우에는 더욱 심각한 논란을 보이고 있다. 예컨대 『개인정보를 제공하는 기관』이 심의를 요청하여야 하는지 아니면 『개인정보를 제공받고자 하는 기관』이 심의를 요청하여야 하는지 아니면 둘 다 심의요청을 할 수 있는지 여부,『개인정보를 제공받고자 하는 기관』이 심의를 요청한 경우, 심의를 요청하지 않은 『개인정보를 제공하는 기관』에게 심의ㆍ의결의 구속력이 미쳐서 심의ㆍ의결에 따른 제공 의무가 발생하는지 여부 등에 관하여 논란이 많다.

위 문제점들을 해결할 수 있는 법문을 포함하여, 제18조 제2항 제5호의 심의ㆍ의결에 관하여 그 절차나 효과에 대한 명시적 규정이 시행령 등으로 정비되어야 할 것이며, 구체적인 절차 등에 대하여는 개인정보보호위원회 규정으로 명시하는 것이 필요해 보인다.

넷째, 사기업의 경우에도 개인정보보호위원회의 심의ㆍ의결로써 이러한 혜택을 누릴 수 있도록 문을 열어주는 것이 바람직해 보인다. 제18조 제2항 제5호는 엄격한 목적제한성을 사후적으로 완화하여 유연하고 융통성 있는 개인정보의 이용 또는 제공을 가능하게 해 주는 조항인바, 이 조항을 공공기관에 제한하여 적용시킬 필연성은 없어 보인다.

대통령 소속의 개인정보 최고 심의ㆍ의결 기관인 개인정보보호위원회의 업무 관장을 공공기관에 제한하여 둘 필연성이 없기 때문이다. 이 조문의 긍정적인 기능은 사기업도 같이 향유할 수 있도록 법령의 문을 열어두는 게 형평성에 반하지 않을 것이다.

지금까지 개인정보보호법 제18조 제2항 제5호를 중심으로 개인정보보호위원회의 심의ㆍ의결 권능에 대하여 살펴보았다. 개인적으로는, 향후 수집과정의 엄격성은 유지하되, 수집 이후의 활용에 관한 이 조문의 적용범위를 확대하고, 심의요건을 완화함으로써 보호위원회의 재량을 늘려, 안전하면서도 유연한 개인정보 활용을 지원하는 방향으로 변모하는 것이 바람직해 보인다.

* 법무법인 민후 김경환 대표변호사 작성, 법률신문(2013. 11. 18.), 보안뉴스(2014. 2. 11.), 블로그(2014. 2. 25.) 기고.

HOT 게시물