[인터뷰] 가톨릭대학교 법학부 이민영 교수
▲ 가톨릭대학교 법학부 이민영 교수
"개인정보보호법이 시행되어 큰 사회적 지각변동이 일어난다면 법이 잘못된 것이라고 생각한다. 정부에서 채찍을 들고 법을 집행해 나가려는 분위기는 결코 바람직하지 않다. 법의 조기 정착을 위해서는 민간 사업자들에 대한 구속과 통제 보다는 자율규제가 강화되어야 한다."
가톨릭대학교 법학부 이민영 교수는 개인정보보호법 시행과 관련 구속과 통제보다는 자율규제를 강조했다. 행안부는 개인정보보호법 제정('11. 3. 29) 이후 지난 5월에 안정적인 개인정보보호법 시행을 위해 시행령, 표준지침 등의 제정을 지원하는 개인정보보호연구회를 발족했는데, 이 교수는 개인정보보호연구회 시행령분과 위원장을 맡고 있다.
이 교수는 사업자들이 '개인정보보호법이 필요하다, 지켜야겠다'가 아닌, 걸리지 않기 위해 마지못해 지켜야 하는 입장에서만 바라보게 되어 그 실효성이 떨어질 수 있다는 점을 가장 우려하고 있다.
이민영 교수는 "법은 지켜야 할 의무사항이 많은 게 아니라, 최소한이라도 지킬 수 있도록 만들어져야 한다. 그리고 개인정보보호를 법에 정해져 있어서가 하는 게 아니라 '사회적 도리(道理)'로 생각해야 한다. 즉, 정보처리자는 정보주체의 권리를 생각해 무엇을 해야 하는지 판단하고, 다른 서비스 이용 시 처리자도 정보주체가 될 수 있기 때문에 정보주체 입장에서 무엇을 주장할 수 있는지 생각해 자율적으로 이뤄지는 게 바람직하다"고 강조했다.
개인정보보호법 준비 과정의 문제점 및 법 시행 이후 예상되는 이슈에 대해 이민영 교수를 통해 들어본다.
행안부의 과도한 권한은 '법 집행의 걸림돌'
개인정보보호법 시행으로 사업자들의 부담이 큰데.
▶ 법적용 대상이 확대됐고 주민번호 등 고유 식별정보의 민간사용 제한 및 처리 시 암호화 등 안전조치 의무화가 됐다. 처벌 수위 또한 높아져 민간사업자 입장에서는 부담이 큰 것으로 안다. 개인정보보호법은 기존의 공공 개인정보보호법과 정보통신망법을 짜깁기 해놓은 부분이 많다. 영상정보처리기기 규제, 인터넷상 주민등록번호 외 회원가입방법 제공 등도 공공 외에 민간으로까지 확대하거나 정보통신서비스제공자 외에 공공 및 일부 민간분야 개인정보처리자로 확대하는 것이지, 전혀 새로운 내용은 아니다.
앞으로 정통망법 등 특별법을 우선 적용 받겠지만, 개인정보보호법은 일반법이므로 민간이든 공공이든 모두 적용을 받게 된다. 벌써부터 사업자들이 못 지키겠다, 특별법을 통해 빠져나갈 다른 방법을 찾고 있다는 것은 법 제정 과정에서 의견수렴이 제대로 안됐다는 것을 의미한다. 못 만든 법이라고 안 지킬 수 있는 것은 아니다. 법 시행 이후 잘못된 부분을 설득하여 개정되도록 해야 할 것이다.
개인정보보호위원회의 독립성과 기능에 대한 지적이 높다.
▶개인정보보호위원회가 발족되더라도 행안부에서 정책(안)을 만들면 위원회에서 심의하는 것밖에 역할을 못할 것이다. 어디 소속이냐가 중요한 것은 아니지만, 독립성과 기능의 문제이다. 개인정보보호위원회를 만들어 놓고 권고안을 만들 때 함께 논의/ 판단을 하는 게 아니라, 권고안을 채택할지 말지 심의/ 의결만 하라고만 한다면 위원회에서는 행안부의 거수기 역할밖에 못하게 된다. 행안부는 대통령이 감독하는 하위기관이라 대통령 눈치를 봐야하는 데다가, 행안부 내 개인정보보호과에서는 국민들의 개인정보를 보호해줘야 할 입장이지만 다른 과에서는 전자주민증 등 여전히 개인정보를 활용해야 한다는 상충된 생각을 가지고 있기 때문에 개인정보보호법 집행을 제대로 하기 힘들 것으로 본다.
지난 9년간 개인정보보호법을 못 만든 이유는 위원회를 어떻게 만들지에 대한 사회적 합의가 안됐기 때문이었다. 90년대 나온 EU 지침에도 개인정보보호법을 집행/ 감독하는 전담기구는 독립적으로 가져가야 한다는 필요성이 지적된 바 있다. 위원회가 독립성을 갖지 못하고 행안부가 법 집행까지 과도한 권한을 가지게 되면, 사업자들은 행안부의 눈치를 보기 쉽고 위원회의 조직 인사도 정치 인사로 문제가 될 수 있다. 위원회에서 방통위에 제대로 하라고 지시를 내리지도 못하고, 행안부는 행안부대로 방통위는 방통위대로 계속 혼란 속에 법을 가져갈 수밖에 없다.
시행령· 지침 제정은 행안부가, '연구회는 들러리에 불과'
개인정보보호연구회에서는 어떤 일을 하고 있나.
▶시행령 분과위원회에서는 행안부, KISA에서 만들어 놓은 시행령을 검토만 했다. 개인정보보호연구회를 위촉했으면 같이 논의해 만들어야 할 텐데 그렇게 안했다. 검토해 달라고도 하지 않다가 검토 안 된 상태에서 입법예고를 하는 게 말이 안 되니까 시행령, 지침 등을 한꺼번에 검토할 기회를 줬다. 60몇 조가 되는 것을 3~4시간 동안 검토하라고 했는데, 제대로 보라는 의도로 생각하지 않는다. 결국 5월 21일 토요일에 변호사, KISA와 NIA 담당자들 5명이 다시 모여 시행령만 검토를 했다. 조항이 많아 한 번에 검토를 하는 게 쉽지 않았다. 참여한 분들의 생각이 다 똑같지 않고 중요한 부분은 논의가 많이 이뤄져야 하기 때문이다.
시행령이 나왔을 때 무슨 변화가 생기는지, 입법취지에 맞는지, 규제심사와 검찰심사에 갔을 때 계속 수정되어야 하는 상황인지 등에 대한 논의지 여기서 크게 바뀌는 부분은 없다.
시행령이 나오면 크게 달라지는 부분은.
▶가장 큰 부분은 사업자별 사업행태나 관리 특성에 맞게 개인정보에 대한 안전 조치로 암호화 외의 것들이 허용되는 것이다. 시행령 안에서는 암호화 등 필요한 조치를 하도록 되어 있다. 법 자체에서 암호화는 필요한 보호조치의 하나이기 때문에 무조건 암호화를 해야 하는 것은 아니다. 일률적인 조치를 취하도록 하는 것이 아니라 암호화 외에 다른 더 좋은 보호조치 방법이 있으면 반영해 달라는 의견이 공청회 때도 제기됐다. 따라서 암호화 이상의 수준을 유지할 수 있으면 다른 보호조치를 해도 상관없게 됐다.
법 시행 이후에도 우왕좌왕, 대혼란 불가피
법 제정이후 시행까지 6개월로 준비기간이 부족한 것 같은데.
▶법이 공포된 즉시 시행되는 게 보통은 일반적이다. 개인정보보호법은 6개월이라는 준비기간을 둔 것이다. 그러나 6개월이 적정한 준비기간인지는 다시 한 번 생각해볼 필요가 있다. 현재 산업별 기업들이 우왕좌왕하는 것을 설득도 하여 논의과정을 거쳐 차근차근 준비해 갈 수 있는 기간을 두는 게 맞을 것 같다. 행안부는 9월 30일 법이 시행된다는 생각에 지침도 시행령도 정신없이 만들고 있는데, 현재 상황을 예상하여 본회의 통과할 때 준비기간을 6개월 이상 두자고 얘기를 했어야 할 것이다. 법 시행을 1달여 앞두고 행안부와 KISA에서는 법적용 사업자 및 대국민을 대상으로 교육과 홍보에 중점을 두고 있는데, 이 역시 잘 하고 있는지도 의문이다. '법이 바뀌어서 지켜야 합니다'는 식의 홍보는 오히려 부담과 불안감만 증폭시킬 수 있기 때문이다.
전 세계적으로 가장 강한 법이라는데, 잘 지켜질지 의문이다.
▶2000년도 이전까지는 개인정보보호법이 강한 편은 아니었다. 1995년 공공 개인정보보호법이 제정되었으나 선언적인 내용이 많았고 강한 것은 절대 아니었다. 2000년도 이후 정보유출 사건 사고의 증가로 법도 강화되었다. 정보통신망법에 정보보호 등의 내용을 넣으며 강화되기 시작했다. 정통부에서는 이용자 권리니까 EU지침을 따르자며 강하게 나서, 사업자들에 대한 보호 요구가 높아졌다. 개인정보보호법 시행은 의무를 강화시키는데 목적이 있는 게 아니라, 온라인 외에 오프라인상 개인정보까지 다 보호하므로 개인정보가 안전한 사회를 구현하는 기반이 다져진다는데 의의가 있다고 본다.
김정은 기자
jekim92@itdaily.kr