이은우(민주사회를위한변호사모임 변호사) : 현재처럼 정보의 범주와 수단, 방법을 기준으로 법률을 제정해 개별적으로 대응하는 개별법 주의는, 과학기술의 발달로 새로운 개인정보 침해 영역이 확장되어가는 상황에 대응하지 못한다. 개인이 식별되는 모든 개인정보로 보호범위를 확장해야 한다. 개인정보 보호법의 수범자도 '누구나', 즉 모든 사람이 되어야 한다. 단, 공공기관의 경우에는 적용되는 법리가 달라질 수 있으므로 민간영역과 별도로 규정할 수도 있다. 제안된 법안은 통합입법을 제안하고 있는데, 민간법과 공공법을 분리할 수도 있을 것이다.

제안된 법안은 OECD 8원칙을 비롯한 국제적 기준에 부합하는 개인정보 보호 원칙을 구체화하고 보완하고 있다. 직접 수집을 원칙으로 할 것, 수집 관련 사항에 대해 명시하고 이를 당사자에 충분하게 고지할 것, 고유 식별자에 대한 보호, 익명성의 원칙, 데이터베이스 매칭에 대한 규제 등이 포함된다.

더욱 중요한 것은 감독기구에 대한 것이다. 유럽연합의 개인정보 보호 지침 및 주요 국가의 개인정보감독기구를 살펴보면, 완전한 독립성이 특히 중요한 요건이다. 인사, 예산, 업무집행 영역 각각에서 독립성이 보장되어야 한다. 특히 인사와 관련해서 국가인권위원회나 방송위원회처럼 대통령, 국회, 대법원장이 지명하는 자로 구성하는 것이 좋겠다. 또한 위원회 산하에 사무국을 두어야 할 것이다. 프랑스 CNIL의 조직도(자료집 35p)를 참조하면 좋을 것이다.

관할 영역으로는 공공분야와 민간분야 양자를 포괄해야 할 것이다. 감독기구는 조사와 피해 구제 외에도 정책 입안, 교육, 연구, 홍보, 국제 연대 등 다양한 활동을 해야 하므로 공공분야와 민간분야를 구분하는 것은 역량의 낭비이다. 또한 피해구제를 받기 위해서 해당 사안이 공공분야에 해당하는 것인지, 민간분야에 해당하는 것인지 먼저 판단해야 하는 것도 적절하지 못하다.

기능과 관련해서는 피해구제 기능, 감독기능, 법·제도 등에 대한 의견제시 기능, 연구·교육 기능, 국제연대 기능 등이 기본적으로 부여되어야 한다. 그 외에 규칙 등 하위법령과 지침, 자율규제 협약안 등을 제정하는 준입법적 기능도 포함될 수 있으며, 프랑스 등에서 시행되는 데이터베이스 등록·허가제도 고려할 필요가 있다.

피해 구제 등의 기능과 관련해서 위원회에 어느 정도의 권한을 부여할 것인지도 중요하다. 우선, 법적 안정성을 고려할 때 피해구제를 신청할 수 있는 기간을 1년 이내로 제한하는 것이 필요하다. 또한, 전체 피해 규모는 크지만 개개인의 피해는 작다는 개인정보 침해 사건의 특성을 고려할 때, 집단 소송을 도입하는 문제도 고려해볼 필요가 있다. 위원회 결정의 실효성을 보장하기 위해 시정조치와 배상명령에 대해서는 30일 내에 이의를 제기하지 않은 경우 확정판결과 같은 효력을 부여하는 방법을 검토할 수 있다. 만일 이런 방식이 너무 강력하다면, 결정에 대해서 권고적 효력만을 부여하되, 따르지 않을 경우 감독기구가 제소할 수 있고 승소할 경우 과태료를 부과하는 방법도 검토해볼 수 있다.

공청회 자료집 전문 보기

김기권(정보통신부 이용보호과장) : 독립 감독기구의 필요성에 동의한다. 그런데, 국가기관으로부터의 독립과 민간 사업자들로부터의 독립에는 차이가 있다. 사업자로부터의 독립을 위해서는 인권위 형태의 기구가 바람직하지 않다. 집행력이 약하기 때문이다. 따라서 독립 감독기구를 보좌하는 민간영역 감독기구를 둘 필요가 있다.

한편, 정보통신부가 내놓은 '민간부문의개인정보보호에관한법률'에 대해 명칭에서부터 오해가 있는 것 같다. 민간부문의 일반법을 지향하기보다는 정보통신망에서 일어나는 개인정보 침해를 막기 위한 법률이다. 오해의 소지가 없도록 수정할 예정이다. 결코 기본법을 물타기하려는 의도가 아니다.

이인호(중앙대 법대 교수, 정부혁신지방분권위원회 자문위원) : 기본법과 독립 감독기구를 마련한다는 기본 방향에 동의한다. 그러나, 구체적 내용에서 의문사항이 많이 있다. 첫째, 민간부문의 일반법인지 공공과 민간을 포괄하는 법인지 애매하다. 제출된 법안 15조 1항에 따르면, "본 법과 공공기관의 개인정보 보호에 관한 법률의 준수여부를 감독하기 위하여 개인정보보호위원회를 둔다"고 되어 있다. 이 조항을 보면 민간부문 일반법인 것 같다. 그런데, 공공부문법과 민간부문법을 구분한다면, 독립감독기구를 민간부문 보호법에서 규정하는 것은 입법체계상 적절하지 못한 것 같다.

둘째, 개인정보보호기구에 지나치게 많은 권한을 부여하고 있는 것 같다. 감독기구의 핵심 기능은 '조사권'이다. 그러나, 이 법은 감독기구에 '사법권'까지 대폭 부여하고 있다. 지나치게 많은 역할을 부여하면 오히려 실효성을 약화시킬 우려가 있다.

셋째, 조직 구성과 관련하여 11명의 개인정보보호위원을 대통령, 국회의장, 대법원장이 추천하도록 하고 있다. 다른 법률에도 이런 경우가 있는데, 사법기구의 수장인 대법원장이 국가기관 구성에 관여하는 것이 적절한지 의문이다. 다른 나라에 이런 예가 있는지도 모르겠다. 오히려 상임위원에 대해서는 대통령이 지명하고 국회의 동의절차를 밟도록 하는 것이 어떨까? 비상임위원에 대해서는 대통령 지명으로 충분할 것 같다. 또하나의 문제는 위원회를 어느 기구 산하에 둘 것인지이다. 인권위 형태의 독립기구와 대통령 산하 기구, 국무총리 산하 기구 등을 생각해볼 수 있다. 그런데, 인권위 같은 기구가 되면 오히려 공공기관의 비밀스러운 개인정보 처리를 파악·통제하기 어렵기 때문에 집행력에서 문제가 발생한다. 대통령을 믿을 수 있는지도 문제가 될 수 있겠지만 집행권한의 강화라는 점에서 대통령 산하 기구가 적절할 듯하다.

마지막으로, 제4조제1항제4호에서 동의의 예외로 '범죄의 수사 등의 목적으로 필요한 경우'를 규정하고 있는데, 지나치게 포괄적인 규정이다. 통신비밀보호법과 충돌하는 것 같다. 정부가 민간에 개인정보를 요구하는 경우에 대한 구체적 규제 조항이 필요하다. 이런 조항은 민간분야법과 공공분야법 어느 쪽에도 규정하기 어렵다. 통합법제를 마련해야 규율가능한 부분이다.

오병일(NEIS반대·정보인권수호를위한공동대책위원회 운영위원장, 진보네트워크센터 사무국장) : 기본법과 감독기구, 영향평가 등이 있었으면 NEIS 같은 문제는 나타나지 않았을 것이다. 많이 늦은 감이 있지만 공감이 이루어지고 있어 다행이다. 빨리 추진하길 바란다. 한 가지 아쉬운 것은 체계적 로드맵이 없다는 점이다. 전체적인 입법안이 안 보이는 상황이다. 포괄입법과 각각의 개별법들의 체계를 잡은 후 진행하길 바란다. 혁신위와 주요 부처, 시민사회단체들을 포괄하는 협의 틀을 제안하고 싶다. 행정자치부와 정보통신부도 현재 추진중인 입법을 중단하고, 로드맵에 입각하여 활동해야 할 것이다.

한편, 독립 감독기구와 정보통신부의 감독기구 사이의 관계가 여전히 불명확하다. 기본적으로 행정자치부와 정보통신부가 개인정보 보호를 잘 할 수 있느냐에 대한 의문이 많이 제기되어 있다. 따라서 포괄적 독립기구를 두는 것이 옳을 것이다. 정보통신부 산하의 한국정보보호진흥원이나 정보통신정책연구원에서도 반관반민 기구, 혹은 준입법·준사법권을 갖는 독립기구 등의 표현으로 통합기구를 제안한 논의들이 많이 있었다. 입법 과정에서 이런 논의들이 검토가 되었는지 궁금하다.

김종남(서울YMCA 열린정보센터) : 가닥은 잡힌 것 같다. 통합입법에 반대하는 분이 없어 행복하다. 일관성있게 법을 다듬는 것은 필요하다. 행정자치부와 정보통신부로 나누는 방식은 너무 기능적인 사고인 것 같다. 또한 민간분야 법률을 제정하면 부처간 업무조정 문제도 발생할 것이다. 향후 6개월 내로 기본법 제정이 가능하다면, 굳이 분야별 법률을 서두를 필요는 없을 것 같다.

윤현식(민주노동당 정책연구원) : 현재로서는 공공기관의개인정보보호에관한법률 개정안(이하 행자부 안), 민간부문의개인정보보호에관한법률 제정안(이하 정통부 안), 그리고 현재 시민단체들이 제출한 법안의 세 가지 안이 있는 셈이다. 보호기구 중심으로 이 세 안을 평가해보고자 한다.

행자부 안의 경우, 국무총리 산하의 개인정보심의위원회와 행정자치부장관 산하의 개인정보침해신고센터를 두고 있다. 침해신고센터는 '침해 신고의 접수·조사·처리 및 상담'과 교육·홍보 등을 수행하는데 이는 사실 심의기구와 밀접한 협력관계를 통해서만 효과가 담보될 수 있다. 그러나, 이 안에서는 완전히 다른 편제에 의해 업무가 수행된다. 또, 행정자치부가 주관하는 법률에 대한 심의기구가 국무총리 산하라는 것은 체계상 불균형이 너무 큰 것 같다. 현행 공공기관의개인정보보호에관한법률에 규정된 국무총리 산하 심의위원회가 사실상 운영되지 않았던 것도 이 때문이라 생각된다.
정통부 안의 경우 더욱 심각하다. 이 안은 민간부문 전체의 개인정보 침해를 다루지도 못하는 법인데다 예외조항과 위임조항이 지나치게 많다. 민간부문 전체의 개인정보를 보호하는 법률인지, 정보통신망 이용을 위해 정보통신망이용촉진및정보보호등에관한법률에 규정된 기존 규제들을 약화시키겠다는 법률인지 분간이 가지 않을 정도이다. 이처럼 협소한 범위의 개인정보를 다루기에는 정통부 안에 규정된 개인정보보호위원회가 너무 크다. 게다가 개인정보보호정책협의회도 따로 두고 있다.

오늘 제출된 법안에서 상정한 개인정보보호위원회가 가장 바람직한 방향으로 보인다. 다만, 법안에 규정된 보호위원회의 권한이 대부분 '∼할 수 있다'로 되어 있어 실제 보호위원회의 집행력을 약화시키는 것 같다. 필요한 부분들에 대해 '하여야 한다'로 고쳐서 실질적인 집행력을 담보해야 한다. 또한 사전영향평가제도와 관련해서 개인정보보호위원회의 역할이 규정되어 있지 않은데 이 부분을 분명히 밝혀두는 것이 바람직하다.

이하는 종합 토론 내용입니다. 발표 및 여타 토론과 중복되는 내용은 최대한 생략했습니다.

이은우 : 개인정보보호위원회가 준사법권을 가져야 한다고 본다. 구체적인 수위는 열린 사고로 검토할 수 있다. 그러나, 실효성을 보장하는 수준이어야 한다. 해외에서는 인권전문법원을 설치하는 경우도 있다. 개인정보보호위원회가 준사법권을 갖는 것이 무리라면, 인권전문법원을 설치하여 여기서 처리하도록 하는 것도 검토해볼 필요가 있다. 한편 감독기구의 위치와 관련해서는 대통령 직속으로 두는 것도 가능할 것이다. 보호위원회로의 민원 집중 문제를 풀기 위해, 현재의 여러 분쟁조정기구를 적절히 통합/정리하여 몇 개의 부처별 조정기구를 두는 것은 검토해볼 수 있겠다.

김기권 : 대통령 산하에 청소년보호위원회가 있지만 실제로 충분히 집행력을 갖지 못하고 있다. 각 부처가 실제로 협조해야 일이 진행된다. 개인정보보호위원회도 마찬가지라고 생각된다. 한편, 정보통신부도 전체적 로드맵이 빨리 그려지기를 바라고 있다. 혁신위 주도로 공청회 등을 통해 충분히 논의될 것으로 안다.

오병일 : 공청회 같은 형태도 있겠지만, 많은 공청회가 형식화되는 경향이 있다. 좀 더 일상적이고 광범위한 합의를 모을 수 있는 논의틀이 필요하다.

정연수(한국정보보호진흥원 팀장) : 제안된 개인정보보호위원회는 시정명령 정도를 제외하면 강제력이 약하다. 국가기관은 이 정도로도 말을 들을 수 있겠지만, 민간사업자들을 규율하기에는 역부족일 것이다. 사실, 우리 법제에서는 공정거래위원회를 제외하면 집행권을 갖는 감독기구가 존재한 적이 없다. 대개 집행권을 가지면 부처에 대한 독립성이 약화되고, 독립성이 강화되면 집행권이 약화되는 딜레마가 존재한다.

둘째, 개인정보는 보호와 이용이 모두 필요한 영역이다. 이 법안은 지나치게 '인권' 측면만 강조하는 느낌이다. 그렇다면 이 법의 보호기구는 인권위와 어떤 차이가 있는가?

셋째, 근본적으로 개인정보 '침해'라는 것이 무엇인지가 의문이다. 과연 대통령과 국회가 모여서 기구를 구성해야 할 필연성이 있는 사안인지를 정리할 필요가 있다.

이인호 : 개인정보 보호와 이용의 가치를 조화시켜야 하는 것이 당연하다. 그런데 지금 시점에서 보호쪽에 비중을 두는 것은 기술발전이 워낙 급속하기 때문이다. 추적과 이를 통한 완벽한 신원 파악이 가능한 수준의 기술발전 속도와 균형을 맞추기 위해 법률은 보호를 강조해야 한다.

오히려 기존 정보통신망법이 어떤 경우에는 너무 무리할 때도 있다. 현재 법률은 기밀 보호를 위해 직원에 대해 동의없는 E-mail 감시를 하거나 텔레마케팅을 위해 동의 없이 전화번호를 사용해도 형사처벌 대상이 된다. 오히려 기본법을 통해 이런 과도한 부분에 대한 균형을 잡아줄 필요가 있다.

개인적으로 정통부 안은 지나치게 서두를 필요가 없다고 생각한다. 다른 토론자들은 예외가 너무 많다고도 하지만, 그 안은 사실상 민간부문 일반법이다. 정보통신망법 상의 특수한 규율을 민간부문 일반법에 그대로 가져온 탓에, 집행의지에 따라 지나치게 강한 법률이 될 수도 있다. 민간부문 일반법은 최소한의 기준만을 제시하는 것이 타당하다. 굳이 추진한다면 법무부 소관으로 하는 것이 바람직하다. 오히려 정보통신부는 '위치정보', '쿠키', 'RFID', '스팸' 등 온라인 상에서 기술적 측면이 강한 사안들에 대한 대책을 마련하는 데 역량을 집중할 필요가 있다.

집행기구와 감독기구는 구분해서 생각해야 한다. 수사 등의 형사적 제재와 조정 등의 민사적 제재, 과태료와 정지 명령 같은 행정 제재가 존재한다. 감독 기구가 행정권을 가질 수 있는지는 의문이다. 행정권은 주관부처가 집행한다. 개인정보 보호는 특정부처가 전담할 수 없으며, 전 국가기관의 힘을 모아야 한다.

혁신위가 좀 더 적극적으로 논의를 모으고 로드맵과 기본법을 추진해야 한다는 데 동의한다. 오늘 나온 얘기를 혁신위에 전달하여 협의 틀을 만들 수 있도록 노력하겠다. 일단 혁신위는 6월 중 3차례 토론회를 개최한 후 안을 내놓을 예정이라고 알고 있다. 현재로서는 통합법/통합감독기구가 혁신위의 기본 입장이다.