[기고-임규철] 개인정보보호법 부작용 우려된다

입력 2011-10-20 17:44


오랜 논의 끝에 마련된 개인정보보호법이 9월 30일자로 시행됐다. 주요 내용으로는 개인정보 보호의무가 있는 정보처리자의 범위를 규정하고, 개인정보 수집시 당사자의 명시적 동의를 받도록 하면서 정보 수집의 목적이 달성되면 수집된 정보는 즉시 파기하도록 규정하고 있다. 또한 주민등록번호 등과 민감한 정보는 암호화해 보관 및 전송하도록 정하고 있다.

이 법은 개인정보의 수집과 활용을 제한함으로써 정보 주체인 인간의 존엄성을 확보하고자 한다. 그러나 개인정보의 수집과 활용을 전제로 하는 정보사회 속성상 무제한적인 개인정보 보호는 불가능하다. 보호와 활용이라는 상반된 목적을 조화롭게 달성하기 위해서는 개인정보 처리자의 개념, 개인정보 수집 및 폐기 등의 개념 등을 가능한 한 명확하게 법령에 규정해야 하지만 현행 법령은 그에 미치지 못하고 있다.

그 이유는 첫째, 개인정보 처리자의 개념을 ‘업무목적으로 개인정보 파일을 운영하는 자’로 설정한 것이 문제다. 개인정보보호법에 형법상 업무방해죄의 ‘업무’의 개념을 도입했다. 그러나 법원도 업무방해죄의 ‘업무’를 사안별로 상이하게 해석하고 있는 상황에서 개인정보보호법에 이를 그대로 적용한다면 사안에 따라 개인정보보호법이 때로는 너무 좁게, 때로는 너무 넓게 적용돼 누구에게 정보보호 의무가 있는지 알 수 없게 된다.

둘째, 개인정보의 수집에 대한 규정도 그리 명확한 것은 아니다. 예를 들어 표준지침에서는 명함 교환 당시의 정황에 비추어 사회통념상 개인정보 제공의 동의가 있다고 인정되는 범위 내에서 이용할 수 있다는 애매한 문구로 법률의 공백을 메우려 하고 있다. 좀더 구체적으로 세분화해야 한다.

셋째, 개인정보의 파기 시기인 ‘개인정보가 불필요하게 된 경우’를 하위 규범에서 좀더 명확하게 할 필요가 있다. 개인정보가 불필요하게 된 경우가 업종과 상황마다 다르기 때문에 그 특수성을 고려해 개인정보의 합리적인 보유 기간을 하위 법령에 명시할 필요가 있다. 동시에 보관된 정보의 침해방지 대책 수립을 전제로 별도 보관 시스템을 마련토록 하고 해당 정보의 목적 이외 활용은 엄격히 제한해야 한다.

새로운 규제나 제도가 도입되면서 초기의 혼란은 피할 수 없는 것일 수도 있다. 그러나 혼란을 최소화하는 것 또한 정부의 역할이다. 마지막으로 그동안 법 적용의 사각지대였던 취업 혹은 대리운전, CCTV 시장 등의 과다 정보수집이나 공유 형식을 통한 활용의 제한 필요성에 대해 학계나 현장에서 주장하는 정책들이 고시, 가이드라인, 매뉴얼 등에라도 적극적으로 수용되지 않은 것은 매우 아쉬운 부분이다.

빠른 시일 내 법령이나 시행규칙의 제·개정을 통해 현실적으로 발생하는 문제를 보완해야 한다. 혼란 방지를 위해 시행되는 개인정보보호법이 또 다른 혼란을 초래하지 않기를 바란다.

임규철 동국대 교수 법학