함께하는 시민행동이 주관하고 문화연대, 진보네트워크센터, 민주노총, 참여연대 등 9개단체가 공동 주최하는 <연속워크숍 - 프라이버시 보호법제 개선의 쟁점들>이 한국정보문화운동협의회의 후원으로 지난 8월 12일부터 진행되고 있습니다. 8월 21일에는 그 두 번째로, <프라이버시 감독 체계의 개선 방안을 모색한다>라는 제목의 워크숍이 개최되었습니다. (사진은 월간 <네트워커> 제공)
이 날 워크숍에서는 프라이버시 감독 기구가 제기능을 수행하기 위해서는 어떤 위상과 권한을 가져야 하는지가 주로 논의되었습니다. 참가한 발표자·토론자들 모두, 현재 프라이버시 보호를 담당하는 기관들의 권한과 독립성이 상당히 미흡하며, 개선이 필요하다는 점에 공감을 이루었습니다. 또한, 프라이버시 영향 평가제도를 소개한 박종찬 교수는 NEIS와 모 이동통신사에 대한 시뮬레이션 결과를 발표하여, 영향평가제 도입에 대한 공감을 이끌어냈습니다.
이 날 참가자들 사이에서는 ▲ 프라이버시 감독 기구가 어느 정도의 강제권을 가져야 하는가 ▲ 공공 부문 감독 기구와 민간 부문 감독 기구를 분리할 것인가, 통합할 것인가라는 두 가지 문제가 주로 쟁점이 되었습니다.
이창범 개인정보분쟁조정위원회 사무국장은 “프라이버시 감독 기구가 권력 기구화되어서는 안된다”며 “교육 및 의견 제시, 분쟁 조정 등 서비스 기능을 수행해야 한다”고 지적했습니다. 반면, 장여경 진보네트워크 정책국장이나 윤현식 지문날인반대연대 활동가, 김정진 민주노동당 정책부장 등 시민사회단체 측 참석자들은 한국의 행정․사법 현실상 감독기구의 의견 제시나 조정이 무시되지 않도록 충분한 의무 조항이 뒷받침되어야 한다“고 주장했습니다.
또, 이창범 사무국장은 공공 부문과 민간 부문이 서로 규제원리가 다른 만큼 감독 기구 또한 분리되어야 한다고 지적한 반면, 이인호 중앙대 법대 교수는 “규제 법리는 다르더라도, 보호 원칙은 다르지 않다”며 “단일한 감독 기관이 이 보호 원칙들에 입각해 각 부문에서 가장 적합한 보호 방식을 마련하여 감독하는 것이 적절하다”고 반론을 폈습니다.
아래는 이날 참석한 주요 발표자와 토론자들의 발표 내용을 요약한 것입니다.
정영화(서경대 법학과 교수) : 프라이버시 감독 기구가 잘 운영되고 있는 나라로는 프랑스, 영국, 벨기에, 독일, 캐나다 등을 들 수 있다. 각 국가에서 감독기구가 운영되는 형태는 조금씩 다르다. 프랑스의 정보자유위원회는 독립적 행정기구로, 회계검사원, 정보처리전문가 등 다양한 영역에서 17명의 위원들이 추천된다. 특이한 것은 정치적 영역에서도 상․하원 의원이 각 2명씩 위원으로 참여하고 있다는 점이다. 벨기에의 경우 법무부에 개인정보보호원이 설치되어 있으나, 위원은 상․하원에서 각 2명씩 선출하며, 운영에 있어서도 완벽한 독립성을 보장하고 있다. 독일의 경우, 연방데이터보호원과 주데이터보호원으로 나뉘어져있는데, 연방 감독기구의 경우 연방 정부의 법적 감독을 받으며, 연방 공공기관의 개인정보보호를 감독한다. 반면, 주데이터보호원은 주의회에 소속되며, 주의 공공기관과 민간기관을 포괄하여 감독한다. 영국 데이터보호원은 공익법인으로서의 지위를 갖고 있다. 캐나다의 프라이버시 보호원은 옴부즈만의 지위를 갖고 있는 의회 소속 행정기구이다.
이처럼 프라이버시 감독 기구는 독립성이 매우 중요하다. 정보사회에서 프라이버시 보호는 민주주의의 사활과 관련된 문제이다. 해외의 경우를 보면, 행정과 거래의 투명성이 진전된 나라가 프라이버시 보호에 있어서도 앞서 있다.
이창범(개인정보분쟁조정위원회 사무국장) : 현재 공공부문의 개인정보 보호는 행정자치부 산하 개인정보심의위원회가 감독기구의 역할을 하고 있으나, 1995년 설치 이래 지금까지 개최된 적이 3회에 불과할 정도로 유명무실하다. 게다가, 위상 역시 행정자치부 장관의 자문기구에 불과하다. 실상, 공공부문의 프라이버시 감독관 역할을 하는 사람은 행정자치부 장관이다.
민간부문에는 개인정보 분쟁조정위원회와 개인정보침해신고센터가 있다. 그러나, 독립성이 미흡하다. 또한, 분쟁조정위원회는 그 기능이 분쟁조정에 국한되어 감독기구의 핵심 기능인 자문, 정책 검토, 감시 및 모니터링, 교육 기능 등을 보장받지 못하고 있다. 또한, 시정명령·권고·사실조사권 등이 없다. 이런 기능들은 정보통신부와 개인정보침해신고센터에 분산되어 있어, 체계적 개인정보 보호가 어려운 실정이다. 위원회의 업무 범위 역시 민간부문의 개인정보 일반, 그리고 공공부문 중 공기업 등에 대한 개인정보를 다룰 수 있도록 해야 한다. 공공부문과 민간부문의 프라이버시 보호 법리가 다르므로, 공공부문까지 통합하는 것은 현실에 맞지 않다고 본다.
장여경(진보네트워크센터 정책국장) : 프라이버시권은 국민의 중요한 인권 중 하나이다. 따라서, 프라이버시 감독 기구는 유엔의 국가인권기구의 지위에 관한 원칙(이하 파리 원칙)을 모델로 만들어져야 할 것이다. 파리 원칙의 핵심은 국가인권기구의 구성에 있어 독립성과 다원성을 보장하는 것이다. 행정부로부터 독립하여 대통령과 의회에 대해 직접 책임을 지는 위상이 부여되어야 하며, 자체 예산편성권을 가져야 한다. 또한 진정과 청원을 심의할 수 있는 권한이 주어져야 한다.
프라이버시 감독기구에 대해 규정하고 있는 EU의 개인정보 보호 지침 제 28조 역시 독립성을 가장 강조하고 있다. 또한, 행정 수단이나 법률 제정시, 감독기구의 의견을 듣도록 명문화하고 있다. 또한 수사권, 조정권, 제소권 등을 부여해야 한다고 규정하고 있다. 한국의 프라이버시 감독기구 역시 이러한 원칙들에 근거하여 구성되어야 할 것이다. 이 외에, 분쟁조정 같은 신속간편한 구제절차의 마련, 정보의 차단, 삭제, 정보처리의 일시적 제한, 적정 조치 권고 등의 권한이 필요하다. 한 걸음 더 나아가, 프라이버시 영향평가를 실시할 수 있도록 해야 할 것이다.
이인호(중앙대 법학과 교수) : 개인정보 보호와 관련된 문제의 심각성은 정보주체가 인식하지도 못한 상태에서 개인정보가 정부나 기업에 의해 광범위하게 수집·축적·처리·제공된다는 사실에 있다. 게다가 특정 개인이 아니라 수많은 개인을 대상으로 하는 것이다. 때문에, 개인에게 주어지는 법률상 권리가 실효성이 없을 경우가 많으며, 피해 또한 집단적 성격을 띤다. 따라서, 독립적 감독기구의 존재가 매우 중요하다. 그러나, 현재 우리나라에는 감독 기구의 역할을 하고 있는 기구가 없다.
공공부문과 민간부문의 감독 기구가 구분될 필요는 없다. 양자의 규제 법리가 다름은 분명하지만, 개인정보 자기결정권의 기본 요청, 즉 정보주체가 자신에 관한 정보 처리 과정에 참여할 수 있어야 한다는 원칙은 동일하다. 또한, 정부와 민간 부문이 서로 통합되는 경향이 점차 발전하고 있으며, 개인정보 침해 기술과 보호 기술에 대한 분석 역할도 해야 한다는 점에서 단일한 감독기구가 바람직하다. 물론, 독립성 확보는 반드시 필요하다.
김정진(민주노동당 정책부장, 변호사) : 현행 법제에서는 프라이버시를 효과적으로 보호받기 어렵다. 대부분 새롭게 발생하는 문제여서, 구체적 법률이 없는 경우 법원의 재량에 거의 의존하게 된다는 것이다. 물론, 기본법 제정이 필요하겠지만, 그 전까지는 국가인권위원회를 활용할 필요가 있다.
우선, 법원에 비해 신속한 결정을 내려줄 수 있다. 민간 영역에 적용하기 어렵다는 문제가 있지만, 평등권 영역을 잘 활용하면, 많은 부분 개입이 가능하다. 또한, 다른 영역과 달리 확립된 보호범위나 구제 수단이 없기 때문에, 소송이나 수사가 진행중인 사안이라도 다룰 수 있을 것이다. 마지막으로 절차가 간편하다.
강달천(한국정보보호진흥원 선임연구원) : 감독기구가 가져야할 권한을 크게 다섯 가지 정도로 나누어볼 수 있다. 첫째, 모니터링 및 실태조사이다. 둘째, 교육 및 홍보이다. 셋째, 법률․지침의 재․개정 및 제도 개선에 대한 의견 제시 및 권고 권한이다. 넷째, 자율규제 지침을 마련하고 가이드라인을 제시하는 기능이다. 여기에는 개인정보보호마크 등의 인증제도 운영과 정보보호 기술의 활용을 선도하는 것도 포함된다. 마지막으로 사전프라이버시영향평가를 수행하는 것이 필요하다.
이 외에, 호주의 경우 민간 프라이버시 규칙을 승인하고 준수여부를 조사하는 권한을 갖고 있으며, 캐나다의 경우 실무지침 개발권을, 독일의 경우 정보보호정책에 대한 검토 및 권고권을 갖고 있으며, 영국의 경우 정보공개명령권, 세부지침 제정권, 비공식적 화해 조정권 등을 갖고 있다.
정준현(선문대 법학과 교수) : 감독기구가 사후 구제 임무를 수행하기 위해 가져야할 권한이 몇 가지 있다. 첫째, 정보통신경찰권의 보유이다. 각종 위반 행위에 대한 수사권과 필요한 경찰조치(시정명령, 원상회복명령 등)를 취할 수 있어야 한다. 또, 고발조치를 할 수 있게 해야 한다. 다음으로, 개인정보 불법수집 거래나 스팸메일 등의 경우에는 개인정보 침해를 통한 불법 이익을 환수할 수 있는 과징금 제도를 도입할 필요가 있다. 또, 기본적 보안조치를 취하지 않은 경우 영업정지나 시정 명령을 내릴 수 있어야 하며, 이의 실효성을 담보하기 위한 이행강제금 부과권 등을 도입할 필요가 있다.
셋째, 분쟁조정의 경우, 감독기구가 공증 권한을 부여함으로써 집행가능한 조정안에 대해서 강제집행을 할 수 있도록 하며, 그렇지 않은 경우에는 공증증서로서의 효력을 갖도록 해야 할 것이다. 마지막으로, 감독기구가 정기적 여론 조사 등을 통해 개인정보 침해에 따른 평균적 피해액을 산정해 고시할 수 있는 권한을 갖고, 이를 법정 최저 위자료액으로 강제하는 방안도 검토할 필요가 있다.
박종찬(고려대 경상대 교수) : 개인정보보호법률이 제정되어 운용되고 있으나, 개인정보를 수집하는 쪽에서는 어떤 행위가 옳고 그른지에 대해 확신을 갖기 어려운 경우가 많다. 또한 대량의 개인정보를 수집하는 경우, 사후 부작용과 문제 치유에 투입되는 비용이 엄청나게 커질 수 있다. 때문에, 사전영향평가제도를 통해 불필요한 프라이버시 침해 및 비용 낭비를 막을 필요가 있다. NEIS의 경우만 하더라도, 이 제도를 실시했었다면 상당히 문제를 완화시킬 수 있었을 것이다.
사전영향평가제도는 새로운 기술 또는 정책의 도입시, 현존 기술 및 시스템의 통합시, 개인정보 침해 가능성이 있음이 알려진 시스템의 설치를 확대할 시에 수행되어야 하며, 그 수행 주체가 학계 등 독립적일 때 신뢰도가 높아진다.
배성훈(한양대 정보통신대학원 박사과정) : 자율 규제를 중심으로 하는 미국의 경우, 프라이버시의 비경제적·인권적 측면을 무시하기 쉽다는 문제가 있다. 최근 미국에서도 시장 자율규제에 대한 회의가 커지고 있다. 반면, EU의 경우, 중앙집권적 감독 기구를 중심으로 규제가 이루어지는데, 실효성에 대한 의문이 제기되고 있다. 또한 새로운 기술 및 조직구조의 변화를 충분히 고려하지 못한다는 비판도 잇다.
마지막으로, 기술에 의한 보호는 그 자체만으로는 개인정보 보호의 기본 원칙들을 실현하는 것을 보장할 수 없으며, 공공정책적 관점보다 산업적 관점에 따라 좌우되기 쉽다. 때문에, 독립적인 감독기구를 설치하되, 시장상황을 고려하는 능력과 기술통제를 효과적으로 구사할 수 있는 능력을 갖추게 해야 한다.
윤현식(지문날인 반대연대) : 독일의 경우 데이터보호법의 규정을 위반한 자를 제소하는 것은 연방데이터보호위원회의 권한이자 의무이다. 자의적 판단에 따른 제소 유보가 있을 수 없는 것이다. 프랑스에서는 위원회의 조사 대상들이 위원회의 활동에 반대할 수 없고, 임무 수행을 용이하게 하기 위해 필요한 모든 조치를 취하도록 규정하고 있다. 이처럼 해외 프라이버시 감독기구들의 경우 타 기관에 대해서뿐만 아니라 스스로의 역할에 대해서도 의무 규정들을 두고 있다.
한편, 우리의 인접 위원회들을 살펴보자. 국가인권위원회는 독립기구의 위상을 갖는다. 그러나, 그 권한 행사 중 의무로 규정된 것이 거의 없다. 반면, 의문사 진상규명위원회는 대통령 직속기구이며, 민주화운동관련자 명예회복 및 보상심의위원회나 제주4·3사건진상규명및희생자명예회복위원회의 경우 국무총리 소속이다. 그럼에도, 이들의 경우 의무 규정들을 상당 부분 두고 있다. 이런 점을 볼 때, 법제에서 강력한 의무 규정을 두는 것이 독립성 못지 않게 중요함을 알 수 있다. 특히, 법안제출이나 법률에 대한 의견개진 권한이 보장되고, 고발권을 권한이자 동시에 의무화할 필요가 있다.
발표자료 내려받기
