4차산업혁명시대, 개인정보보호 제대로 하려면…

4차산업혁명과 빅데이터 시대를 맞아 개인정보 보호와 이용이 동등한 사회적 의제로 대두됐다.

정부 일각에선 그간 보호에 치중했던 개인정보 관련 정책 방향을 보호와 이용 모두 추구하는 쪽으로 바꾸겠다는 움직임을 보이고 있다.

하지만 국내에 수년간 크고 작은 개인정보보호 유출사고가 이어지고 있는 상황에서 '보호라도 제대로 해 왔느냐'는 비판을 면키 어려운 실정이다.

이런 가운데 개인정보보호를 위한 현행 법제와 그 관할 정부조직 구성이 오히려 개인정보보호 역할을 제대로 달성하지 못해 개정이 시급하다는 진단이 나왔다. 부처별 정책, 법률, 시행령간의 충돌과 규율체계 혼선 등 제도운영 문제가 많고, 감독기구 형태도 국제적 흐름과 맞지 않다는 분석에서다. 관련 법률과 제도는 많은데 오히려 개인과 기업 등 적용 당사자에겐 혼란스러운 측면이 크다는 평가다.

성균관대학교 법학전문대학원 김일환 교수가 8일 여의도 국회의원회관에서 열린 '4차산업혁명시대 개인정보보호 컨트롤타워' 토론회 발제를 통해 개인정보보호 관련 현행 제도와 감독기구, 부처별 관련 업무의 문제점을 분석하며 내놓은 견해다.

그는 수년전부터 민간의 혼란을 야기하고 공공부문을 개인정보침해 사각지대로 남겨 둔 국내 개인정보보호 법체계 문제점을 지속 제기해 온 학자다.

김 교수에 따르면 현행법상 개보위와 행안부 개인정보관련 업무와 권한을 구별하기 어렵다. 집행과 감독권은 행안부에 있고 개보위는 주로 정책형성 심의의결권을 갖는 형태로 기능이 분산돼 있다. 개보위와 행안부와 방통위와 금융위 등이 소관업무에 따라 지자체, 공공기관, 민간을 동시규율하는 다중규율체계라 입법자, 집행담당자, 준수당사자 모두 개별법을 전부 검토해야 한다. 통일된 법령해석을 기대하기도 어렵다.

토론회를 주관한 더불어민주당 변재일 국회의원은 인삿말을 통해 "프라이버시를 훼손할 정도의 개인정보 악용사례가 나타나는 상황에서 개인정보보호법이 만들어졌지만, 업무수행부처가 분야별로 분산돼 컨트롤타워 필요성이 제기되는 상황"이라며 "4차산업혁명 시대에 개인정보활용이 기업뿐아니라 개인 복지후생증진에 어떻게 기여할지, 토론을 통해 좋은 방안이 마련되길 바란다"고 말했다.

■"개인정보보호법, 감독 혼선…현행 추진체계, EU GDPR 개인정보국외이전 적정성평가에 우려"

이날 김 교수는 2011년 개인정보보호법 시행과 함께 출범한 개인정보보호위원회(이하 '개보위')의 권한과 기능이 "개인정보유출사고가 많아지면서 조금씩 강화되고 있지만 충분치 않다"면서 "문재인 정부가 발표한 국정운영 5개년 계획에 따르면 2018년부터 개인정보보호 거버넌스를 강화하고 체계를 효율화하며 무분별한 개인정보 이용 제재를 강화한다는 내용이 포함돼 관련 법제정비가 시급하다"고 강조했다.

현행 개인정보보호 법제 및 관할 정부부처는 일반법인 '개인정보보호법'을 맡고 있는 개보위, 개별(특별)법인 '전자정부법'을 맡고 있는 행정안전부, '정보통신망법'을 맡고 있는 방송통신위원회, '신용정보법'을 맡고 있는 금융위원회 등으로 분산돼 있다. 또 개인정보보호법은 공공과 민간을 뭉뚱그려 규제하고, 행안부, 방통위, 금융위 등의 다중규율체계가 중첩돼 이를 적용받는 기업과 개인에게 부담을 준다.

김 교수는 "개인정보보호법 제정 이후 (개정을 거치면서) 보호는 더 되고 있을지 모르지만 감독 측면에선 혼선을 더하고 있다"며 "개인정보보호법제 체계 정합성을 확보해야 하는데, 부처이기주의나 각종 이해관계 등에 따라 존재하는 개인정보보호 관련 불필요한 법률들만 정비하더라도 실무계에서 겪고 있는 상당수의 적용상 혼란과 해석상 오류는 해소될 것"이라고 주장했다.

그는 또 "GDPR 시행 준비 및 적정성평가를 준비하는 행안부, 방통위는 EU가 요구하는 독립된 개인정보보호기구가 아니고 소관업무 제한 등에 따라 활동과 대응에 한계가 있을 수밖에 없다"며 "GDPR은 개인정보 국외이전을 위한 적정성평가 기준중 하나로 독립적 감독기관의 유무 및 해당 기관의 효과적인 작동 여부를 제시하는데 현재와 같은 개보위 및 추진체계는 평가에 긍정적으로 작용하지 않을 것"이라 봤다.

김 교수는 개보위가 현행법상 독립성이 없음을 지적하고 이를 독립성이 보장되는 개인정보보호기구로 정비할 것을 제안했다. 행안부가 행사하는 사무국 직원 인사 및 예산권을 직접 행사하도록, 비상임으로 불완전한 위원장 직위를 상임으로, 사무국을 사무처로 확대하도록, 위원장과 상임위원이 국회 및 국무회의 출석 등으로 조직 의사결정을 대외에 표시할 권한을 갖도록 바꿔야 한다는 내용이었다.

그는 이어진 토론패널 중 "네이버 '개인정보보호위원회' 있다는 건 알아도 대통령 직속 국가기관 개인정보보호위원회(이하 '개보위')가 있다는 건 모른다더라"며 "관련 법제를 정비해 일원화하는 것과, 규제감독기구를 정비하는 건 분리될 사안이 아니다"고도 발언했다. '관련 법령이 여러개라 문제인 건 맞는데, 각 부처별 분산된 업무를 하나의 감독기구로 단일화하자는 건 너무 앞선게 아니냐'는 의견에 답하면서다.

■패널들, '중복규제 비효율·법제 정비 필요' 공감…'컨트롤타워 위상·역할' 세부 논의 이어져야

발제 후 학계 및 법조계와 행안부, 개보위, 방통위 등 부처별 개인정보보호관련 업무를 맡고 있는 부서 공무원 등 6명이 패널로 참가한 토론이 이어졌다. 발제자 왼쪽에 법무법인 민후 김경환 변호사, 동국대학교 경찰사법대학 이창범 겸임교수, 정보인권연구소 이은우 이사가 자리했다. 오른쪽에 행안부 장한 개인정보보호정책과장, 개보위 배상호 분쟁조정과장, 방통위 최윤정 개인정보보호윤리과장이 참석했다.

민후 김경환 변호사는 "당면과제는 행안부(개인정보보호법), 방통위(정보통신망법), 금융위(신용정보법) 등 관할 기관마다 나뉜 관련법령을 공동소관법령으로 모으는 것이라 생각한다"고 말했다. 이어 "망법, 신용정보법, 의료정보나 학생정보 등 처리규정을 개인정보보호법으로 옮겨 통합법을 마련하고 부처별 필요사안을 특별조문으로 규율하는 형태가 바람직하다"고 말했다.

동국대 이창범 교수는 "개인정보보호위원회 전문성이 부족하고 독립성에도 다소 문제가 있어 이미 있는 9~10가지 기능이라도 충실히 하기 부족한 것 같은데, 그걸 할 전문성과 독립성을 보장하는게 시급하다"고 말했다. 이어 "아직 기업 개인정보 관련 인식이 낮은 수준이라 법집행 체계를 강화할 필요가 있다"며 "각 산업분야별 수준을 부처가 좀더 끌어올리고 (별도기구는) 5~6년뒤 만드는 게 적절하다"고 말했다.

정보인권연구소 이은우 이사는 "ICT생태계가 개인에 혜택을 주면서 기업이 골고루 성장하고 국가에 도움되게 할 것인가 하는 관점에서 4차산업혁명같은 혁신과정에 개인정보보호위원회가 (컨트롤타워로) 자리를 잘 잡아야 한다"며 "'프라이버시 바이 디자인' 관점에선 법이 방통위, 금융위 이렇게 흩어져 있어선 안 되고 전체적 철학을 갖고 (개인정보보호 업무를) 할 수 있어야 한다"고 말했다.

행안부 장한 개인정보보호정책과장은 "법체계 개선이 필요하다는 패널 말씀에 실무자로서 공감한다"고 말했다. 이어 "근본 문제는 개인정보 활용으로 이득을 보는 기업과 정보 유출로 피해를 보는 개인간 이해 대립을 조정하는 것"이라며 "개인정보를 얼마나 보호하고 활용할지에 대한 윤리적 한계, 이를 지킬 제도적 안전장치, 어겼을 때의 책임과 배상, 3가지에 사회적 합의가 필요하다"고 말했다.

관련기사

개보위 배상호 분쟁조정과장은 "발제 내용대로 위원회가 개인정보보호 '컨트롤타워' 기능을 충분히 수행하려면 운영 독립성과 자율성을 갖추고 조사 및 감독 등 기능과 위원회 신분보장이 확보돼야 한다"고 말했다. 이어 "집행 실무 담당자인 저희조차 어느 법을 어떤 식으로 적용할지 헷갈리는데 정보주체와 기업 입장에서는 더 힘들 것"이라며 "이들 입장에서 반드시 법령정비 이뤄지고 일원화돼야 한다"고 말했다.

방통위 최윤정 개인정보보호윤리과장은 "개보위가 컨트롤타워로서 독립성 강화, 구성원 자격 개선, 실질적 기능 강화 필요하다고 동의한다"며 "공식입장이라 말하긴 어렵지만 일반법과 특별법 관점에서 정비할 것을 정비하면 중복규제 문제는 상당히 해소될 수 있다 생각하고, 개보위 중심의 관계부처협의회를 구성해 통일된 정책방향을 지향하는 게 바람직하다"고 말했다.