신용정보, 의료정보 등의 개인정보에 대하여 법률적 규제를 파악하여 결론을 내리려면 20개 정도의 법령을 검토하여야 한다. 그만큼 개인정보보호 법령은 여러 법령으로 분산되어 있고, 그 체계도 일관적이지 않으며, 각 개별 법령 사이의 규정이나 책임도 평준화되어 있지 않고 들쑥날쑥한 실정이다.

현재 오프라인 기업이나 공공기관에 적용되는 개인정보보호법은 안전행정부 소관, 온라인 기업에 적용되는 정보통신망법은 방송통신위원회 소관, 금융기관에 적용되는 신용정보법은 금융위원회 소관, 의료 기관에 적용되는 의료법은 보건복지부 소관 등으로 적용 대상 기업과 주무기관, 규제 법령이 분산되어 있다.

게다가 규제의 정도도 차이가 많다. 예컨대 개인정보 유출에 대하여 신용정보법이나 개인정보보호법은 과징금 규정이 없지만, 정보통신망법은 과징금 규정이 존재한다. 개인정보 유출이라는 동일한 현상에 대하여 어느 법의 적용을 받는지에 따라 제재 여부가 결정되는 복불복 상황인 것이다.

규제의 내용도 통일되지 않아 혼란을 가중시키고 있다. 예컨대 정보통신망법은 개인정보 위탁시 정보주체의 동의를 얻게 하고 있지만, 개인정보보호법은 공개만으로 위탁이 가능하게 하고 있다. 어느 법의 적용을 받는지에 따라 손쉽게 위탁할 수도 있고, 위탁이 불가능하기도 한 것이다.

국민들이나 사업자 입장에서 보면 개인정보 영역만큼 법령이 산만한 영역도 없다. 그만큼 법령을 준수하는 것이 쉽지 않고, 이해도 쉽지 않은 것이 개인정보 영역이다.

신용정보법, 정보통신망법, 의료법, 개인정보보호법, 위치정보법 등에 산재되어 있는 개인정보들을 하나로 묶어 통합 법령을 만들면 좋지 않을까 제안해 본다. 개인정보의 라이프 사이클, 즉 수집부터 파기까지의 과정을 하나로 묶어 규율하되, 각 영역의 특수성은 법 내에서 별도의 장으로 규율하여 살린다면, 국민들의 입장에서 훨씬 접근이 용이하며, 규제의 형평성이나 통일성을 가져올 수 있고, 정합성이나 체계성을 상승시킬 수 있을 것이다.

* 법무법인 민후 김경환 변호사 작성, 법률신문(2014. 3. 3.) 기고.