오늘 함께하는 시민행동은 정보통신부가 입법예고한 민간부문의개인정보보호에관한법률(안)(정보통신부공고 제2004-32호)을 검토하여 의견서를 발표하였습니다. 시민행동이 제출한 의견서의 주요 내용은 다음과 같습니다.
1. 이 법안은 그 목적에서는 민간부문 일반법안의 위상을 자임하고 있는 반면, 수범대상 및 부칙을 살펴볼 때는 정보통신망법 개정안의 성격을 가지는 등, 그 목적과 위상이 부적절하게 혼재되어 있습니다.
이 법안은 그 수범 대상을 영리 목적으로 개인정보를 처리하는 자로 규정하고 있습니다. 따라서, 공공부문 및 비영리부문에서 행해지는 수익목적의 개인정보 처리를 규율 대상으로 하는지 불분명하며, 공공부문 및 비영리부문의 수익목적 없는 회원제 서비스 등은 규율 대상에서 제외하고 있습니다. 또, 금융부문의 개인정보를 적용 예외대상으로 규정한데다, 보도·학술 목적의 개인정보 보호를 적용 예외 대상으로 규정함으로써, 보도·학술과 관련된 개인정보 수집과정에서 이루어지는 영리 행위를 규율 대상에서 제외할 우려가 있습니다.
이로 인해 법 제정을 통해 기대할 수 있는 개인정보 보호 관련 법익들을 상당 부분 달성하지 못하고 있습니다.
2. 반면 이 법안은 현행 정보통신망법의 정보통신망서비스제공자 개념을 그대로 옮겨옴으로써, 수집시 고지의무(제12조), 개인정보관리책임자의 지정(제14조), 기술적·관리적 조치(제15조), 입증책임의 전환(제23조) 등에서 영세한 개인정보취급사업자들을 무리하게 규율하는 문제도 발생하고 있습니다.
3. 또한 정보보호라는 기술적·관리적 측면에서의 전문성을 가진 정보통신부가 개인정보자기결정권이라는 사법적·기본권적 영역을 관할하는 것으로 인해서 발생하는 난점들도 존재합니다. 예컨대 이 법안은 정보통신부 장관에게 자료제출 요구권을 부여한 것은 물론, 정보통신부 직원들이 사업장에 출입하여 업무상황, 장부, 서류등을 검사할 수 있도록 하고 있습니다. 이는 영장주의에 위배되는 것이며 정보통신부 직원들에게 사법경찰권을 부여한 것과 마찬가지입니다.
이런 문제점을 완화하기 위해 이 법안은 대통령이 임명 혹은 위촉하는 개인정보보호위원회를 구성하여 개인정보 보호 임무를 부여하고 있습니다. 그러나 보호위원회의 권한에서 정책 심의권을 제외한 채 정책 건의권과 집행방안 결정권만을 부여하고 있으며, 조직적 측면에서도 공무원 신분을 가지는 1인의 상임위원이 사무국 운영을 책임지게 되는 등 위원회의 자율성이 충분히 보장되지 않고 있습니다. 위원회의 독립성이 충분히 보장되어야 하며, 분쟁조정 미이행시 위원회의 소송 대리권 등 개인정보 보호를 위한 권한들이 충분히 확대되어야 합니다.
4 위에서 말한 여러 가지 난점들과 현재 개인정보보호기본법이 제정 과정에 있음을 감안할 때, 이 법은 기술적·관리적 대책을 규정하는 법률로 전면 개편하여 기본법에 포함하거나 기본법 하위법률의 위상을 분명히 하도록 해야 할 것입니다.
5. 그 외에 이 법안은 개인정보 사전영향평가에 관한 규정을 두고 있습니다. 그런데, 평가주체에 관해서는 명문의 규정이 없으며, 평가 기준, 절차, 방법 등도 정보통신부 장관의 고시만으로 결정하도록 하고 있습니다.
6. 개개인의 피해 규모는 작지만 전체 피해규모는 엄청나게 큰 개인정보 침해 사건의 특성상 개인정보 침해를 겪한 특정 당사자가 소송을 통해 피해를 구제받는 것은 현실적으로 매우 어렵습니다. 따라서 소송, 혹은 분쟁조정에 있어 집단/단체소송 제도를 도입하여야 할 것입니다.
7. 이 법안은 개인의 사상·신조를 비롯하여 개인의 권리·이익 및 사생활에 심각한 영향을 미치는 정보의 수집을 금지하고 있으나 이에 대한 처벌조항이 없습니다. 또한 동의 없는 수집, 동의 철회의 거부, 열람·내역 및 정정의 거부, 파기의무 위반 등 기본권인 개인정보자기통제권 침해에 대해 과태료를 적용하고 있습니다. 이를 형사처벌로 변경해야 할 것입니다. <끝>
검토의견서 전문 보기
[시 민 행 동]
Tweet 1. 이 법안은 그 목적에서는 민간부문 일반법안의 위상을 자임하고 있는 반면, 수범대상 및 부칙을 살펴볼 때는 정보통신망법 개정안의 성격을 가지는 등, 그 목적과 위상이 부적절하게 혼재되어 있습니다.
이 법안은 그 수범 대상을 영리 목적으로 개인정보를 처리하는 자로 규정하고 있습니다. 따라서, 공공부문 및 비영리부문에서 행해지는 수익목적의 개인정보 처리를 규율 대상으로 하는지 불분명하며, 공공부문 및 비영리부문의 수익목적 없는 회원제 서비스 등은 규율 대상에서 제외하고 있습니다. 또, 금융부문의 개인정보를 적용 예외대상으로 규정한데다, 보도·학술 목적의 개인정보 보호를 적용 예외 대상으로 규정함으로써, 보도·학술과 관련된 개인정보 수집과정에서 이루어지는 영리 행위를 규율 대상에서 제외할 우려가 있습니다.
이로 인해 법 제정을 통해 기대할 수 있는 개인정보 보호 관련 법익들을 상당 부분 달성하지 못하고 있습니다.
2. 반면 이 법안은 현행 정보통신망법의 정보통신망서비스제공자 개념을 그대로 옮겨옴으로써, 수집시 고지의무(제12조), 개인정보관리책임자의 지정(제14조), 기술적·관리적 조치(제15조), 입증책임의 전환(제23조) 등에서 영세한 개인정보취급사업자들을 무리하게 규율하는 문제도 발생하고 있습니다.
3. 또한 정보보호라는 기술적·관리적 측면에서의 전문성을 가진 정보통신부가 개인정보자기결정권이라는 사법적·기본권적 영역을 관할하는 것으로 인해서 발생하는 난점들도 존재합니다. 예컨대 이 법안은 정보통신부 장관에게 자료제출 요구권을 부여한 것은 물론, 정보통신부 직원들이 사업장에 출입하여 업무상황, 장부, 서류등을 검사할 수 있도록 하고 있습니다. 이는 영장주의에 위배되는 것이며 정보통신부 직원들에게 사법경찰권을 부여한 것과 마찬가지입니다.
이런 문제점을 완화하기 위해 이 법안은 대통령이 임명 혹은 위촉하는 개인정보보호위원회를 구성하여 개인정보 보호 임무를 부여하고 있습니다. 그러나 보호위원회의 권한에서 정책 심의권을 제외한 채 정책 건의권과 집행방안 결정권만을 부여하고 있으며, 조직적 측면에서도 공무원 신분을 가지는 1인의 상임위원이 사무국 운영을 책임지게 되는 등 위원회의 자율성이 충분히 보장되지 않고 있습니다. 위원회의 독립성이 충분히 보장되어야 하며, 분쟁조정 미이행시 위원회의 소송 대리권 등 개인정보 보호를 위한 권한들이 충분히 확대되어야 합니다.
4 위에서 말한 여러 가지 난점들과 현재 개인정보보호기본법이 제정 과정에 있음을 감안할 때, 이 법은 기술적·관리적 대책을 규정하는 법률로 전면 개편하여 기본법에 포함하거나 기본법 하위법률의 위상을 분명히 하도록 해야 할 것입니다.
5. 그 외에 이 법안은 개인정보 사전영향평가에 관한 규정을 두고 있습니다. 그런데, 평가주체에 관해서는 명문의 규정이 없으며, 평가 기준, 절차, 방법 등도 정보통신부 장관의 고시만으로 결정하도록 하고 있습니다.
6. 개개인의 피해 규모는 작지만 전체 피해규모는 엄청나게 큰 개인정보 침해 사건의 특성상 개인정보 침해를 겪한 특정 당사자가 소송을 통해 피해를 구제받는 것은 현실적으로 매우 어렵습니다. 따라서 소송, 혹은 분쟁조정에 있어 집단/단체소송 제도를 도입하여야 할 것입니다.
7. 이 법안은 개인의 사상·신조를 비롯하여 개인의 권리·이익 및 사생활에 심각한 영향을 미치는 정보의 수집을 금지하고 있으나 이에 대한 처벌조항이 없습니다. 또한 동의 없는 수집, 동의 철회의 거부, 열람·내역 및 정정의 거부, 파기의무 위반 등 기본권인 개인정보자기통제권 침해에 대해 과태료를 적용하고 있습니다. 이를 형사처벌로 변경해야 할 것입니다. <끝>
검토의견서 전문 보기
[시 민 행 동]
