최근 인터넷과 정보통신기술의 발전으로 개인정보의 수집, 저장능력이 획기적으로 발전하면서, 기업들이 개인정보를 마케팅 등에 활용하고자 하는 수요도 증가하고 있고, 이에 따라 한국을 비롯한 각국은 개인정보보호에 관한 법제를 정비하고 있다. 한국의 개인정보보호 관련 법률로는, 공공부문에 적용되는“공공기관의 개인정보보호에 관한 법률”, 민간부문에 적용되는“정보통신망 이용촉진 및 정보보호 등에 관한 법률”(“정보통신망법”)이 있으며, 그 외에도 금융거래상의 신용정보를 보호하기 위한 신용정보의 이용 및 보호에 관한 법률(“신용정보법”) 등이 있다. 이러한 개인정보 보호에 관한 법률은 헌법 제17조의 사생활의 비밀과 자유의 일환으로 인정되는 자기정보관리 통제권에 근거한 것이다. 한편, 미국의 경우 1974년 연방프라이버시법(Privacy Act of 1974), 1986년 전자통신프라이버시법(Electronic Communication Privacy Act of 1986) 등 개인정보 보호를 위한 법률이 제정되어 있지만, 기업이 개인정보보호정책을 공지하고 그 정책을 준수할 것을 요구하고 있을 뿐, 그 정책의 내용을 규제하고 있지는 않다. 이와 같이 미국의 개인정보보호 관련 법률은 기업의 개인정보보호 정책내용을 규제하고 있지 않으나, 한국의 개인정보보호 관련 법률은 개인정보의 수집, 이용, 제공에 대한 규정을 두고 있고 개인정보보호방침에 대한 규제를 통해 기업의 개인정보보호 정책 내용까지 규제하고 있다는 점에서 큰 차이가 있다. 최근 한국의 개인정보보호 법제와 관련하여 이슈가 되고 있는 사항에 관한 필자의 생각은 다음과 같다. ① 정보통신망법과 신용정보법의 관계와 관련하여, 정보통신망법이 신용정보법의 특별법이라고 해석하는 견해도 있으나 양법의 입법목적, 규율대상, 수단, 방법 등을 달리하고 있으므로 중첩적으로 적용된다고 보아야 할 것이다. ② 한편, 개인정보의 제3자 제공은“제공받은 제3자의 새로운 법률관계의 성립 및 이행을 위해 제공하는 경우”이고, 개인정보의 취급 위탁은“위탁자의 법률관계의 성립, 이행의 보조 및 대행을 위한 경우”라고 구분할 수 있을 것이다. ③ 개인정보유출로 인한 손해배상책임은 원칙적으로 이용자의 재산상 손해에 한하도록 하되, 이용자가 손해 발생 사실을 구체적으로 입증한 경우에는 정신적 손해에 대한 배상책임도 부담하도록 하는 것이 필요할 것이다. ④ 정보통신망법 제26조는 영업양수와 합병으로 개인정보를 이전하는 경우 개인정보를 이전 받는 자의 성명등을 고지하도록 하고 있으나, 합병과 달리 영업양도를 하기 위해서는 영업재산 이전을 위한 개별적인 동의가 필요하므로, 영업양수도시 합병과 동일하게 개인정보 이전을 위해 고지만으로 가능하도록 하는 조항은 입법적으로 개선할 필요가 있다. 최근 정부는 공공 부문과 민간 부문에 공통적으로 적용될 수 있는“개인정보보호법”을 마련하여 국회에 제출하였는데, 위 법이 제정되는 경우 한국이 개인정보보호법제는 획기적인 변화를 맞이할 것으로 보인다. 그러나, 정보통신망법 및 공공기관의 개인정보보호에 관한 법률 등과 같은 기존의 개인정보보호 법률과 관계, 규제기관간 관할 문제 등에 대한 심도 있는 검토가 필요할 것으로 보인다.

The capacity for gathering and storing personal information has significantly improved due torecent developments in Internet service and information and communications technology. In light ofsuch improvement, there is an increasing demand for companies to utilize personal information formarketing purposes. Consequently, many countries, including Korea, are amending their privacyprotections acts. With regards to Korean privacy laws, the “Act on the Protection of Personal InformationMaintained by Public Agencies”applies to the public sector while the “Act on Promotion ofInformation and Telecommunications Network Use and Protection of Information”(“APITN”)applies to the private sector. In addition, the “Use and Protection of Credit Information Act”(“CreditInformation Act”) protects credit information relating to financial transactions. Such laws that serveto protect personal information are based on the individual’s right to control his/her own personalinformation, a right to personal privacy and freedom detailed in Article 17 of the Korea Constitution.With respect to privacy laws in the United States, despite the establishment of privacy acts such asthe Privacy Act of 1974 and the Electronic Communication Privacy Act of 1986, such laws onlyobligate a company to publicize privacy policies pursuant to such laws; the laws do not regulate thecontent of a company’s privacy policy. In this regard, there is a significant disparity betweenKorean and American privacy acts. While American privacy acts do not regulate the content ofprivacy policy, Korean privacy acts not only dictate the collection, use and provision of personalinformation but also regulate the content of privacy policy.My opinions regarding key issues in Korean privacy laws today are as follows. ①First, withregard to the relationship between the APITN and the Credit Information Act, some advocate theview that the APITN is a special law in relation to the Credit Information Act, and therefore shouldtake precedence. However, in my opinion, both the APITN and the Credit Information Act can beapplied simultaneously since the purpose, object, measure and method of the APITN are differentfrom those of the Credit Information Act. ②Second, providing personal information to a third partyestablishes a new legal relationship with the third party, while entrusting a trustee with personalinformation obligates the trustee to assist or act as an agent in the performance of the provider’slegal relations. ③Third, the compensation for damages incurred by the improper dissemination ofpersonal information should, in principle, be limited to property damages, but mental damages canalso be compensated for if users are able to specifically prove facts relating to the mental damages. ④According to Article 26 of APITN, telecommunication service providers should notify the nameof transferee etc. when transferring personal information for both business transfers as well asmergers. From a legislative perspective, however, I believe there is a need to amend such articlethat provides that it is sufficient only to notify users when there is a business transfer, because thecompany should obtain consent from users on an individual basis for business transfers unlikemergers. The Korean Government has recently submitted the “Act on Protection of PersonalInformation,”a bill applying to both public sector and private sector, for consideration by theNational Assembly. It appears likely that if such an act is established, there will be a significantchange in Korean privacy law system. However, I believe an in-depth study regarding the relationbetween this law and other privacy laws such as APITN and the jurisdiction of these laws will benecessary.

Ⅰ. 서론
Ⅱ. 개인정보 법제의 현황
Ⅲ. 개인정보 법제의 쟁점 및 개선방안
IV. 결론

• 이성엽(김∙장 법률사무소 변호사, 개인정보분쟁조정위원회 위원) | Lee, Seong-Yeob