개인정보보호 법령, 하나로 통합해야


금년 1월에 발생했던 신용정보 유출 사건에서 볼 수 있듯이, 개인정보 보호라는 것은 단순히 한 개인의 프라이버시 보호나 개인정보자기결정권을 보호하는 것에 그치는 것이 아니다. 신용정보를 활용하다가 어이없는 관리로 1억개 이상의 신용정보를 유출시킨 카드 3사는 매출 실적의 악화를 겪고 있으며, 잦은 개인정보 유출사고를 냈던 한 통신사 역시 고객 이탈현상을 겪고 있다.

개인정보 보호는 고객의 신뢰를 의미한다. 개인정보를 활용하는 기업이 보유하고 있는 개인정보를 제대로 관리하지 못하여 잦은 사고를 내는 경우 고객의 신뢰는 바닥으로 내려가고 결국 기업의 불신으로 이어질 수밖에 없다. 결국 개인정보 보호라는 것은 경제성장의 전제가 되는 것이다. 미국의 오바마 대통령 역시 2012년 '온라인 프라이버시에 대한 프레임워크'에서 '소비자의 개인정보 관리에 대한 신뢰는 디지털 경제의 지속적인 성장에 필수적"이라고 밝힌 바 있다.

개인정보 보호는 단순히 인권 보호의 문제가 아니라 기업의 생존이 걸린 문제임에도 불구하고 우리나라의 개인정보 보호 현황은 매우 암울하다. SK컴즈의 3,500만명, 넥슨의 1,320만명, KT의 870만명, EBS의 400만명, 국민·롯데·농협카드의 1억 400만명, KT의 1,200만명 등등. 국민의 개인정보 보호에 대한 요구나 인식은 높아져만 가는데, 현실은 왜 그렇지 않을까?

그 원인으로는 주무기관의 느슨한 법집행, 각 주무기관 사이의 비형평적인 규제, 책임을 지지 않아도 되는 풍토, 피해자에게 배상하지 않아도 되는 기존 관행 등이 있지만, 근본적인 원인은 '복잡하고 준수하기 어려운 개인정보보호 법체계'에 있다.

위 표에서 볼 수 있듯이 개인정보에 대하여 감독기구 별로 여러 개의 법령을 관리하고 있고, 그 법들이 복잡하게 얽혀있다 보니, 금융기관 개인정보에 관하여 신용정보보호법, 전자금융거래법, 정보통신망법, 개인정보보호법의 4개의 법률을 지켜야 고, 대통령령, 부령, 고시까지 고려하면 30개의 법령을 준수하여야만 하는 게 현실이다.

개인정보보호 법령이 이렇게 복잡하게 얽혀 있는 이유는, 우리나라 법령의 대부분이 통일적인 체계에 의하여 만들어지거나 유지되는 것이 아니기 때문이다. 어떤 현상이 발생하면 여러 개의 관련 부처나 감독기구는 필요에 따라 법령을 만들다 보니, 유사한 법령이 여러 개 중복되어 존재하고 있고, 그 내용이 통일되어 있지도 않다.

이렇게 국민들이나 사업자들과 같은 법령 수요자는 제쳐두고 법령 공급자 입장에서 제정된 법령의 수범을 강요받다 보니, 국민들이나 사업자들은 법령 창조나 준수과정에서 소외될 수밖에 없으며, 사업자는 법 준수의 강한 의지가 있어도 이를 제대로 현실화시키지 못하는 실정이다.

복잡한 개인정보 보호 법체계때문에 수범자뿐만 아니라 감독기구까지도 그 내용에 대하여 극심한 혼란을 겪고 있으며, 여러가지 문제점을 발생시키고 있다. 예컨대, 일부 금융기관은 금융위원회 소관 법령만 지키면 되고 안전행정부 소관의 개인정보보호법을 지킬 필요가 없으며 따라서 주민등록번호의 암호화 의무는 없다고 주장하고 있고, 기업들이 사업운영시 온라인적 방법과 오프라인적 방법을 동시에 동원하여 개인정보를 수집하는 경우 온라인 고객용 DB는 정보통신망법을 적용하고 오프라인 고객용 DB는 개인정보보호법을 적용하여 법적용을 따로따로 하여야 하는가의 문제도 발생하고 있으며, 기업들 입장에서는 두 DB를 따로따로 관리하여야 하는가의 문제도 발생하고 있고, 개인정보보호법에는 개인정보 위탁시 문서로써 위탁을 하도록 하지만 정보통신망법은 이러한 규정이 없는바, 만일 정보통신사업자가 문서로써 위탁을 하지 않을 경우 방송통신위원회는 이를 처벌할 수 있을까에 대하여 전문가들의 견해가 갈리고 있다.

나아가 복잡한 여러 개의 규제적인 개인정보 보호 법령은 중복규제 문제를 필수적으로 안고 있다. 중복규제는 법의 실효성을 낮추고 기업의 비용을 증가시키는 주요 원인이 됨에도, 사업자들은 같은 사항이라도 유사한 여러 법령에 노출되어 그 법령을 모두 검토하고 지켜야 하는바, 기업의 규제 준수 비용은 올라감에도 불구하고 어떤 법을 준수하여야 하는지, 어디까지 준수하여야 하는지에 대하여 정확한 판단이 어려운 게 현실이다.

더 큰 문제는, 각 사업자에 대한 책임이나 제재가 통일적이지 않아, 아래 표에서 볼 수 있듯이 같은 위반사항이라도 동일한 사고에 대하여 정보통신망법이 적용되는 정보통신서비스제공자는 과징금 제재를 받을 수 있는 반면, 금융회사는 1천만 원 이하의 과태료에 처해지는 불공평한 상황이 발생한다는 것이다.

실제 사례 중에 실수로 카페탈퇴자에 대하여 이메일을 발송한 카페장에게는 700만 원의 과태료 처분이 나온 반면, 수백만 명의 개인정보를 유출한 금융기관에게는 600만원의 과태료 처분이 나온 적도 존재하였다.


나아가 현재의 복잡한 법체계는 피해구제에 방해 요소가 되고 있다. 예컨대 신용정보회사가 주민등록번호를 암호화하지 않고 유출한 경우, 주민등록번호 암호화 부분은 개인정보보호법 제39조를 청구권원으로 하고, 주민등록번호 유출 부분은 신용정보보호법 제43조를 청구권원으로 하여야 하는가의 해석 문제가 발생하는바, 피해자들은 관련 조항을 전부 챙겨야만 그나마 받은 피해를 주장이라도 할 수 있는 실정이다.

이러한 문제를 해결하기 위한 최선책은 분산된 여러 개의 개인정보 보호 법령을 국민과 사업자 입장을 고려하여 최대한 하나로 통합하는 것이다.

통합법의 형태는 여러가지 선택이 가능할 것이지만, 하나의 통합법을 통하여 통일적으로 법적용을 하면, 규제가 단순화·일원화됨으로 인하여 분리감독 체제시 우려될 수 있는 규제의 분화 현상이 발생하지 않을 것이며, 모든 수범자는 '개인정보'에 관하여 하나의 법률만 지키면되므로 중복규제는 없어지고, 규제도 불공평하지 않으며, 법 적용상의 혼란이나 피해구제의 난점도 발생하지 않을 것이고, 통합법으로 인하여 각 주무기관 사이의 규제 정도나 전문성 등이 비교 가능할 것인바, 각 주무기관 사이의 선의의 경쟁이 유도되어 개인정보보호 발전에 기여할 것이다.

<이 글은 2014. 3. 새누리당 강은희 의원 주최로 열린 개인정보보호 세미나에서 발표한 '개인정보보호법제 통합 및 정부조직 개선방향'의 내용을 재구성한 것입니다.>

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2014. 7. 23.) 기고.

  • Instagram

서울특별시 강남구 테헤란로 134 포스코타워역삼 21층

02-532-3483

​바로가기

© 2020 by NEPLA. All Rights Reserved.