빅 데이터, 인공지능 등 발전된 정보통신기술 시대를 대비하기 위하여 개인정보의 활용이 절실한 지금, 엄격한 사전 동의 방식을 채택하고 있는 우리의 「개인정보 보호법」이 처리자의 활용 재량을 확대하는 방향으로 개정되어야 한다는 논의가 활발하다.
이런 맥락에서 등장한 것이 「개인정보 보호법」을 개정하여 유럽과 같이 개인정보 처리에 있어서 양립 가능성 개념을 도입하자는 논의이다. 최근의 「개인정보 보호법」의 개정안 중에는 개인정보의 수집·이용(제15조), 제3자 제공(제17조) 및 목적 외 이용·제공(제18조)에 양립가능성 개념을 도입하고 정보주체의 동의 없이도 처리가 가능하도록 예외를 인정하는 법안들이 등장하였다. 그 취지는 개인정보의 보호와 활용의 균형점을 찾는다는 의미에서 의의가 있다고 볼 수 있다.
그러나 양립 가능성을 도입하고 있는 「개인정보 보호법」 개정안들도 법 기술방식과 인정 범위에는 차이가 있다. 또한 ‘정당한 이익’의 개념과 혼재되어 사용되고 있기도 하다. 이는 「개인정보 보호법」과 GDPR에서의 개인정보 ‘처리’(processing)를 규정하는 방식이 서로 다르고, 양립 가능성을 우리의 언어로 법문화 하는 과정에서 기인한 차이라고 보인다. 이러한 차이점을 최대한 수렴하여 아래와 같이 개정 방안을 제안하고자 한다.
‘양립 가능성’은 개인정보의 최초 수집이 있고, 그 수집 목적과 다른 새로운 목적이 생겼을 때 양립 가능한지를 판단하는 제도이다. 따라서 「개인정보 보호법」에서의 처리 단계 중에서 ‘목적 외 이용·제공’을 규정하는 제18조에 개념을 도입하고, 양립 가능성 여부를 판단하는 기준도 같은 조문에서 규정하는 것이 바람직할 것으로 보인다. ‘양립 가능한’의 개념은 개정안에 ‘수집 목적과 관련성이 있다고 합리적으로 인정되는’으로 법문화 되었는데 이는 정당한 이익의 개념과 혼동을 줄 수 있으므로, ‘양립 가능한’으로 기술하되 개념의 유동성은 그 판단 기준을 제공함으로써 완화할 수 있을 것이다. 현행 「개인정보 보호법」에서도 통계작성 등 목적으로 ‘특정 개인을 알아볼 수 없는 형태’로 제공하는 것은 동의없이 목적 외로 이용 또는 제공이 가능하다. 그러나 특정 개인을 알아볼 수 없는 형태에 대하여 규정하고 있는 별도의 조항이 없다. 따라서 ‘특정 개인을 알아볼 수 없는 형태’를 ‘가명처리’ 개념으로 대체하고, 통계작성 등 목적 외 처리가 인정되는 경우라 하더라도 가명처리 등 안전조치를 의무화하는 병행 개정이 이루어져야 할 것이다.
사물인터넷, 빅데이터 등 개인정보를 적극적으 로 활용하는 기술이 발전하면서, 프라이버시 침해 위험도 커지고 있다. 개인정보 보호가 중요해지고 있는 이 시점에서, 정보주체의 동의에 의존하고 있는 현행 개인정보 보호 법제에 대한 비판의 목 소리가 많다. EU의 개인정보보호규정(GDPR)은 개인정보 자기결정권을 강화하면서도, 개인정보 보호를 개인의 책임으로만 남겨두지 않고 여러 구 조적⋅기술적 조치를 도입했다. 그중 개인정보 영 향평가는 사생활 침해 위험을 사전에 완화한다는 점에서 매우 중요한 제도이다. GDPR은 개인정보 영향평가 및 사전 협의 제도를 도입하고 있으며, 이는 우리나라 개인정보보호법에도 시사점을 준다. 우선 민간분야에 의무적인 영향평가를 도입해 야 하는지에 대해 검토할 필요가 있다. 또한 감독 기관이 영향평가 결과를 활용하여 적극적인 자문 역할을 하는 점도 참고할 만하다. 평가 대상을 결 정할 때 위험성을 초래하는 상황을 고려하는 점, 영향평가 의무 위반에 대해 강력히 제재하는 점도 고려해볼 필요가 있다. 현재처럼 평가주체를 특정 기관으로 지정해야 할지에 대해서도 고민이 필요 하다. 앞으로 평가방법론 등 개인정보 영향평가에 대한 많은 연구를 통해, 개인정보를 선제적으로 보호할 수 있는 환경을 조성할 필요가 있다.
스마트 폰(Smart phone)의 등장을 비롯하여 인터넷전화(VoIP), 인터넷 TV(IPTV), 클라우드 컴퓨팅(Cloud computing), 스마트 그리드(Smart grid), OTT 등 인터넷 프로토콜을 기반으로 한 신 규 응용서비스들의 등장은 인터넷 통신망에서의 폭발적인 데이터 트래픽 증가를 가져왔다. 위와 같 은 이른바 관리형 서비스(QOS, quality of service) 의 등장은 인터넷망 사업자의 망 증설비용 증가를 초래했고, 인터넷시장의 가입자 포화는 인터넷망 사업자의 수익정체로 이어져, 당초 선순환적인 상 호보완관계에 있던 인터넷망 사업자와 컨텐츠, 서 비스, 어플리케이션 사업자 간의 관계는 점차 갈 등관계로 변화하게 되었다. 그 결과 인터넷망 사 업자는 트래픽 관리를 시도하거나 망 증설비용 분 담을 요구하기에 이르렀고, 컨텐츠 사업자 등은 인터넷상의 모든 전송행위는 네트워크 상에서 동 일한 속도로 전달되어야 하고, 이를 부당하게 차 단하거나 차별해서는 아니된다는 이른바 망중립성(Net Neutrality)의 원칙을 주장하게 되었다.
차별금지의 원칙, 차단금지의 원칙, 투명성의 원 칙 등을 주요 내용으로 하는 망중립성의 원칙은 우 리나라에서는 이른바 하나TV 사건, NHN 사건, 삼 성TV 사건, 카카오톡 mVoIP 차단사건 등을 통해 조명되었고, 미국의 경우 일찍이 2003년경 Tim Wu 교수가 개념을 언급한 이래 Madison River 사건, Brand X 사건, 2010년 Comcast 사건을 통 해 논의가 본격화 되었다. 특히 2014년 1월 미 연 방항소법원은 Verizon 사건에서 연방통신위원회 (FCC)가 인터넷망 서비스를 통신서비스가 아닌 정보서비스로 분류한 만큼 여기에 통신법상의 Common carrier로서의 의무를 지우는 것은 위법 하다고 판시하였고, 이로써 망중립성 논의는 새 국 면을 맞게 되었다.
인터넷 이용이 활발해지고 온라인 서비스를 비 롯한 각종 정보통신기술이 사람들의 생활 깊숙이 들어오면서 개인정보 유출사고 역시 급격히 증가 하고 있다. 이에 따라 미국은 California 주를 비롯 한 거의 모든 주에서 개인정보 유출사고 발생 시 정 보주체에게 그 사실을 통지하도록 의무화하는 개 인정보 유출통지법(Security Breach Notification Laws)을 운영하고 있다. 미국의 개인정보 유출통 지법의 내용은 크게 통지대상이 되는 개인정보, 통 지의무자 및 대상, 통지요건, 통지시기, 통지방법, 통지내용, 처벌조항으로 구성된다.
우리나라 또한 2011년 3월 29일 개인정보 보 호법 제정을 통하여 개인정보 유출사고 발생 시 정 보통신서비스제공자가 유출된 정보, 유출시점 및 대처방법 등을 이용자에게 통지하고 안전행정부장 관에게 신고하도록 의무화하는 규정을 추가하였 다. 그러나 위 규정상의 통지시점이 획일적이고 통지방법이 다양하지 못하며 개인정보 유출신고절차 가 이용자 보호에 미흡하다는 문제점이 있다. 뿐만 아니라 과태료 규정은 그 부과기준이 불명확하고 통지의무 준수 여부를 감독할 개인정보 보호위원 회의 독립성과 전문성도 보장되어 있지 않다. 향후 개인정보 보호법 개정을 통하여 위와 같은 입법적 미비는 개선될 필요가 있고, 이러한 점에서 장기간 의 입법적 노력과 선진적인 실무경험이 담겨있는 미국 각 주의 개인정보 유출통지법은 중요한 자료 로 활용될 수 있을 것이다.
This paper which took effect in September 2011 to comply with the Privacy Act were studied in terms of the provisions for penalties. Article 70 to 75 of Privacy Act in was considered with mandatory provisions of items, and for the compliance required actions was developed and item indexing according to collection, use, offer, charge, destroying of life cycle of personal information.
본 논문은 개인정보보호법의 벌칙조항 및 양벌규정을 기관 및 기업체의 CEO 및 최 고경영자의 관점에서 제 70조에서 제75조의 벌칙조항을 구체적이고 간결하게 기술하 였다. 이 논문의 주요 구성은 제정된 개인정보보호법에 관하여 먼저, 개인정보의 정의, 개인정보의 유형, 개인정보의 특성을 알아보았다. 또한 개인정보보호법에 대한 주요내 용과 경영진의 주요 관심사인 개인정보보호법의 처벌조항과 양벌규정에 대해 연구하 였다.
현재 개인정보보호법제는 공공부문은「공공기관의 개인정보보호에 관한 법률」이 제정되어 있으나, 민간부문에서의 개인정보보호에 관한 일반법은 아직 제정되어 있지 않다. 개인정보보호를 실질화하기 위해서는 공공부문과 민간부문을 아우르는 통합법의 제정이 필요하다. 이러한 요청을 반영하여 공공부문과 민간부문을 통합하는 성격을 가진 개인정보보호법제정법률안이 2개의 의원안과 1개의 정부안으로 지난 국회에 제출되었으나 입법되지 못하고 자동폐기되었다. 그러나 종래 상정되었던 3건의 제정법률안 속에 개인정보보호법의 핵심내용들이 망라되어 있고 추후에 개인정보보호법의 전부개정이 이루어진다면 이들 3개 제정법률안의 내용이 골격을 이룰 것으로 예상되고 있다. 따라서 이들 3개의 제정법률안을 다룰 필요성은 현시점에서도 여전히 존재한다. 그리하여 종래 상정되었던 3개 제정법률안의 주요사항을 비교검토를 통해 각 제정법률안의 장단점을 분석하는데 주안점을 두었다.결국 개인정보보호 통합입법에 실패함으로써 개별법률간 처리기준의 상이성문제, 공공․민간을 망라하지 못하는 개인정보 처리원칙문제, 개인정보 침해로 인한 국민의 피해구제의 불충분성 등이 심화되고 있다. 개인정보보호법상 개인정보영향평가제도와 관련해서도 개인정보영향평가 실시대상의 설정문제, 평가대상 확정시 적절한 기준과 절차에 따른 평가실시와 객관성과 실질성을 담보할 수 있는 최소한의 절차상 장치 마련문제, 평가결과의 수용 여부를 감독하고 제재할 수 있는 방안의 모색문제 등이 현안이 도사리고 있다. 그리고 개인정보감독기구도 전형적인 세 가지 감독기능인 예방적 기능, 사후적 민원해결기능, 그리고 정책조언기능을 완전하게 수행할 수 있도록 제도도입이 이루어져야 할 것이다. 위와 같은 개인정보보호 관련 문제점을 근원적으로 해결하기 위해서라도 조속한 개인정보 통합입법이 이루어져야 할 것이다.