정부가 뒤늦게 개인정보 보호를 위해 발벗고 나섰다. 행정자치부와 정보통신부에서
거의 비슷한 시기에 각각 ‘공공기관의개인정보보호에관한법률(이하 공공기관개인정보보호법)’과 ‘정보통신망이용촉진및정보보호등에관한법률(정보통신망법)’을
입법예고 한 것이다. 이에 대해서는 긍정적 시각이 대부분이다. 하지만 역으로 정보주체들의 자유를 침해한다는 비판의 목소리도 나오고 있다.

갈수록 증가하는 개인정보 침해

지피지기면 백전백승이라고 했다.
다른 사람의 정보를 미리 알 수 있다면, 나 자신은 그 사람보다 유리한 위치에 서게 된다. 정보화 사회에서 정보는 곧 권력이다. 국가는
국민의 효율적인 관리를 목적으로 개인정보를 수집하고, 기업은 마케팅을 위해 수집한다.

그러나 국가는 개인의 정보를 과도하게 수집·통합함으로써 유출시 해당 개인에게 큰 피해를 입힐 우려가 있다는 지적을 받아왔다. 최근의 NEIS
파동이 이에 해당한다.

또 기업 역시 공공연히 회원들의 정보를 타 기업과 공유하거나 거래하는 등 정보주체가 모르는 사이 개인정보를 이용해 이윤을 추구한다는 비난을
받아왔다.

지난 1월에는 H 카드회사가 도산하면서 관리하던 개인정보를 1인당 1만원에 판매해 물의를 빚었고, 5월에는 보험사와 보험대리점이 불법으로
개인정보를 수집해 영업에 활용하기도 했다. 신용정보가 결혼정보업체나 각종 사교클럽에 노출돼 있다는 것은 뉴스거리도 아니다.

이러한 개인정보 침해 사례는 날이 갈수록 증가하고 있는 실정이다. 정통부 발표에 따르면 2001년에 388건이었던 것이 2002년에는 1,237건,
올해는 지난 5월까지 집계된 것만 해도 1,701건이나 된다.

따라서 개인정보 보호를 위한 법적·제도적 안전장치 마련의 필요성이 지속적으로 제기돼 왔다.

시대를 못 따르는 법적 안전장치

그렇다고 안전장치가 없었던 것은 아니다. 현재까지 개인정보보호법제는 공공부문의 ‘공공기관의개인정보보호에관한법률(이하 공공기관개인정보보호법)’과
민간부문의 ‘정보통신망이용촉진및정보보호등에관한법률(정보통신망법)’이 주축을 이루고 있다.

그러나 이 법들은 각각 공공과 민간 부문에서 불완전한 일반법으로서의 역할을 담당하고 있을 뿐이었다.

공공기관개인정보보호법은 1994년 개정된 이래 단 한 번도 바뀐 적이 없었다. 정보통신 기술의 발달과 함께 법도 따라 발전해야 하는데,
법적 보호장치가 뒤따르지 못 했던 것이다.

이 법은 특히 정부의 효율성 측면을 강조하다보니 개인의 정보보호에 소홀했다는 지적을 받았다.

정부기관 상호간 또는 국민에 대한 정부업무의 효율성을 위해 개인정보를 수집하고 처리·이용하는 개인정보 이용의 측면이, 그것들이 어떻게 수집이
되었으며 또 어떤 경로로 이동해 처리되는지 밝히는 투명성 측면에 비해 우위에 있었다는 것이다.

또한 정보통신망법도 역할을 제대로 수행하지 못 하기는 마찬가지였다. 정보통신망법과 개별법들의 일반 원칙이 다른 경우가 많고, 또 개별법에
특별한 규정이 있는 경우에는 정보통신망법은 적용되지 않아 있으나마나 한 법으로 전락한 감이 없지 않았다.

관련 법 개정안 입법예고

정부는
이에 따라 관련 법령의 개정을 서두르고 있다. 행자부는 지난 8월22일 정부 차원에서 개인정보침해신고센터를 설립·운영하고, 개인정보를 통합·관리할
때는 행자부 장관에게 협의할 것을 의무화하는 공공기관개인정보보호법 개정안을 입법예고 했다.

정부 차원에서 개인정보침해선고센터를 설치하는 것은 이번이 처음이다. 이 법안에 따르면 관공서는 법률과 정보주체인 개인의 동의하에서만 개인정보를
수집할 수 있고 이 경우에도 법적 근거와 목적, 이용범위, 정보주체의 권리 등을 서면이나 인터넷 홈페이지를 통해 반드시 개인에게 알려줘야
한다.

또 공공기관에서 개인정보 사용의 남용을 막기 위해 개인정보를 통합할 때는 장관과 사전협의하도록 했다.

공공기관은 또 소관 개인정보의 보호와 관리를 위해 개인정보관리 책임관을 지정, 운영해야 한다. 뿐만 아니라 개인정보의 수집 목적과 제공받은
목적을 달성했을 시에는 해당 개인정보를 파기해야 한다.

개인정보의 유출을 막기 위해서 관공서간 정보통신망으로 개인정보를 이용할 때에는 송·수신하는 과정에서 개인정보에 훼손이나 위조, 변조 등이
발생하지 않도록 보안기술을 적용키로 하는 규정도 마련했다.

이 밖에 모든 관공서는 개인정보보호방침을 인터넷 홈페이지에 게재해 개인정보 수집의 적정성과 이용범위, 정보주체의 권리 등을 국민에게 반드시
알려야 한다.

정통부도 지난 8월1일 해킹 미수범에 대한 형사처벌과 인터넷데이터센터(IDC), 인터넷접속사업자(ISP) 등에 대한 안전기준 부과 등을
골자로 하는 정보통신망법 개정안을 입법예고 했다.

개정안에 따르면 정보통신 이용자가 접근권한이 없거나 접근 권한을 초과해 타인의 통신망에 부정한 목적으로 접근을 시도하는 행위로 3년 이하의
징역 또는5,000만원 이하의 형사처벌을 받는다. 해킹으로 인한 개인정보의 유출 피해를 최소화하기 위한 조치라는 게 정통부의 설명이다.


정통부는 또 주요 인터넷접속사업자(ISP)들에게 정보보호 조치가 미흡한 사용자의 접속을 제한할 수 있는 권한을 주면서 정보통신 이용자에게도
정보보호 책임을 묻게 했다.

또 정부나 지방자치단체가 정보화 사업을 벌일 경우 기획단계에서부터 엄격한 정보보호 기준을 충족토록 의무화한 ‘정보보호 사전평가제’를 도입하는
내용도 있다.

인터넷접속사업자(ISP), 인터넷데이터센터(IDC) 등 민간 사업자도 새로 제시된 정보보호 안전기준도 의무적으로 준수해야 한다.

독립적 감독기구 필요

이러한 정부의 노력에 대해 긍정적인 시각이 지배적이다. 그러나 비판적인 시각도 일부 있다. 정보통신망법의 경우 개별법들과 상충되는 부분에
대한 정비가 여전히 미흡하고, 또 개인의 정보보호를 내세우면서 역으로 사용자들의 자유마저 침해하고 있다는 지적이다. 특히 타인의 통신망에
부당한 목적으로 접근하는 경우에 대한 처벌을 두고 논란이 많다. 집단적인 사이버 테러의 경우 이 법에 적용되기 때문이다. 또 이용자 자신이
정보보호 조치가 미흡할 경우 접속이 제한당하는 것도 지나친 처사라는 것이다. 접속사업자의 자의적 판단에 의해 네티즌의 인터넷 접속 권리가
부당하게 제한될 소지가 있는 탓이다.

공공기관개인정보보호법의 경우도 법적 장치가 마련된 것에 그치지 말고, 관리감독기구가 정상화돼야 한다는 지적이다. 행자부의 개인정보보호 심의위원회는
지난 1998년부터 2002년까지 5년간 겨우 3차례 회의를 열었고 단 1건만 심의했을 뿐이었다. 감독기구가 책임을 방기한 것이다. 현재
위원회는 전체 위원 10명 중 5명이 정부부처 공무원이다.

이에 따라 정보인권을 보호하기 위해 정보의 수집과 유통의 통제권을 보장하기 위한 독립적인 감독기구를 설립해야 한다는 주장이 설득력을 얻고
있다. 물론 이러한 감독기구의 설립은 정통부의 경우도 마찬가지다. 고려대 법학과 이인호 교수는 이와 관련 “전자정부 추진기구인 행자부와
사업자 편인 정통부가 개인정보보호 감독을 맡겠다는 것은 어불성설”이라고 주장했다.



김동옥 기자 aeiou@sisa-news.com