3. 개인정보처리자의 책임 및 개인정보주체의 피해구제에 대한 보완
개인정보보호법은 개인정보처리자에 대한 강한 책임을 규정하고 있어 외견상 개인정보처리자의 개인정보보호법 위반은 대단히 중대한 사안으로 인식되는 듯 하나, 사실상 개인정보보호법을 위반한 개인정보처리자가 강한 처벌을 받은 사례는 거의 없었다. 그 이유는 국민의 위반자에 대한 법감정이나 비난의 정도가 처벌규정에 따르지 못한 것도 있지만, 비현실적인 규율과 불합리한 운용이 더 큰 문제이다.
현행 개인정보보호법은 기업의 규모에 상관 없이 기업이 취해야 할 기술적ㆍ관리적 안전성 확보 조치의 최소한만을 규정하고 있어, 실제로 발생하는 거대한 유출 사고에 대하여 오히려 대기업에게 면죄부를 주고 있다. 한 대기업은 무려 수천만명의 개인정보가 유출되었음에도 불구하고 이렇다할 책임을 지지 않고 있으며, 이 포털은 오히려 자신은 법이 정한 기술적ㆍ관리적 안전성 확보 조치를 다하였으므로 자신에게 법적 책임을 부과하는 것은 부당하다고 항변하고 있다. 또한 융통성 없이 제정되어 시행되고 있는 기업이 취해야 할 기술적ㆍ관리적 안전성 확보 조치는 오히려 중소기업에게는 큰 부담이 되고 있어 부작용도 만만치 않다.
실제 개인정보를 유출당한 피해자가 법원에 가서 피해배상을 요구하는 과정도 만만치 않다. 일단 정보가 구조적으로 기업에 편중되어 있어 기업의 정보 개시가 법적으로 보장되지 않는 한 정보주체의 노력만으로는 구체적인 피해사실 입증이 곤란함에도 불구하고 실무적으로 이러한 점이 보장되어 있지 않고, 법원은 과거와 달리 최근에 대규모 개인정보 유출에 대한 손해배상 의무 인정을 주저하는 경향이 있어 피해자들의 피해배상은 점점 멀어져가고 있는 것이 실정이다.
개인정보처리자에 대한 책임을 묻는 방법이나 피해자들의 피해배상 방법도 대단히 경직되어 있어 현실적인 피해구제가 되지 않는 것에 일조하고 있다. 안전성 확보 조치를 다하지 못한 기업에 대하여 과징금을 부과하고 보안투자에 대한 약속을 받는 등의 다양하고 유연성 있는 제도의 도입도 고려해 볼만하고, 일단 유출이 되었다는 사실이 인정되면 행정부의 명령에 의하여 피해구제를 유도하는 제도나 피해자들의 손해액 산정의 곤란 해소를 위한 법정손해배상 제도의 도입도 고려해 볼만하다.
4. 비식별정보에 대한 규제 필요
개인정보보호법 제2조 제1호는 개인정보의 개념에 대하여 설명하고 있다. 즉 개인정보에 대하여 개인정보보호법은 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”라고 규정하고 있어 개인정보보호법의 적용범위를 제시하고 있다. 즉 식별성 있는 개인의 정보라면 개인정보보호법이 적용되지만, 식별성이 없거나 사물의 정보라면 개인정보보호법의 적용이 없는 것이다.
그런데, 최근에는 오히려 쿠키파일이나 로그파일과 같은 비식별정보에 대한 문제점이 크게 부각되고 있어 식별정보에만 적용범위를 한정하는 개인정보보호법의 태도가 타당한지에 대한 의문이 제기되고 있다. 실제로 기업들은 엄격한 개인정보보호법의 적용을 피하고 여러 가지 규제 요소를 제거하여 자유로운 정보활용을 달성하고자, 되도록 데이터의 비식별성이나 익명성을 유지하려고 노력하고 있다.
하지만, 비식별정보가 다수 쌓이고 결합된다면 그 원래의 비식별성이나 익명성이 유지되지 않는다는 것이 문제이다. 이러한 현상을 많은 학자들이 지적하였고 현실적으로도 이러한 현상은 다수 발생하고 있다. 이러한 상황에서 개인정보호보법의 적용범위를 기존과 같이 식별정보로 한정하는 것이 타당한가의 검토가 필요하다고 본다. 다만 이 과정에서 언제부터 비식별정보가 식별성을 띠게 되는지에 대한 점에 대한 굉장히 풀기 어려운 과제가 현출되고 있다.
5. 공공분야와 민간분야의 분리 규율
현행 개인정보보호법은 공공분야와 민간분야를 같이 규율하고 있다. 규율의 일관성 측면에서 바람직하지만 이렇게 같이 규율해야 할 필요성은 크지 않다고 본다. 미국의 경우에도 공공분야에 대하여는 옵트인 제도, 까다로운 절차 등을 통한 엄격한 규율을 하지만 민간분야에 대하여는 옵트아웃의 인정, 자율규제의 추세, 데이터의 자유로운 이용 등을 보장하고 있어 공공분야와는 다른 차원에서 접근하고 있다.
공공분야의 경우 기본적으로 재정충당이 쉽기 때문에 안전성 확보조치를 충분히 달성할 확률이 크지만, 민간분야의 상당부분을 차지하고 있는 중소기업의 경우 보안투자에 대하여 의식이 없는 경우도 허다하여 현실적으로 중소기업 중 몇 퍼센트나 개인정보보호법이 정한 안전성 확보조치를 이행하고 있는지 의문이다.
가장 중요한 것은 데이터에 대한 관점이 다르다는 것이다. 공공분야의 경우, 데이터의 보관 및 처리의 목적은 공익 달성의 목적이 주이므로 이윤 창출이나 자유로운 이용 측면에서 접근하고 있지는 않지만, 민간분야의 경우, 데이터의 보관 및 처리의 목적은 공익 달성이 아닌 기업의 이윤 창출 및 자유롭고 창의적인 이용이 주된 목적이므로 개인정보보호 규율에 대한 접근법도 공공분야와는 상이할 수밖에 없어야 한다. 그럼에도 불구하고 현행 개인정보보호법은 두 개의 서로 다른 성격의 데이터 목적을 한 통 속에 밀어넣어 규율하고 있기에 향후 부작용도 발생할 것으로 예상되며 규율이 오히려 IT 산업 발전을 저해할 수도 있을 것이다.
특히 이러한 통합 규율이 민간 분야에서 발생하고 있는 현상 즉 데이터 활용방법의 다양화, 자율규제의 필요성 증대 현상에 얼마나 잘 대응할 수 있을지도 의문이다. 현행 개인정보보호법이 기여하고 있는 민간분야에 대한 개인정보보호에 대한 의식제고 및 기업의 보안투자 유도가 충분히 달성되는 즈음에는 오히려 공공분야와 민간분야의 규율을 분리하는 것이 장점이 많을 것이다.
<계속>
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2012. 11. 6.), 블로그(2012. 11. 24.) 기고.