정보통신망에서의 개인정보침해사건에 대한 분쟁조정업무를 맡아온 개인정보분쟁조정위원회가 3일 설립 2주년을 맞았다. 정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법) 제33조에 의거해 설립된 개인정보분쟁조정위원회는 그동안 국내 유일의 온라인 개인정보피해구제기관으로 네티즌 보호에 앞장서왔다. 정보화의 급속한 진전으로 인해 개인정보 침해사례가 기하급수적으로 증가하고 있는 국내 현실에서 위원회의 존재는 더없이 소중하다. 위원회 설립 2주년을 기념해 전자신문과 개인정보분쟁조정위원회가 공동으로 전문가 좌담회를 마련, 그간의 성과와 앞으로의 과제에 대해 들어봤다.
<참석자>
박준수 개인정보분쟁조정위원회 위원장, 법무법인 송백 변호사
신용섭 정보통신부 정보보호심의관
박수혁 서울시립대 법학부 교수, 한국공법학회 회장
문기운 KTF 굿타임서비스실(고객지원업무담당) 상무
이영규 개인정보분쟁조정위원회 상임위원
사회:윤원창 전자신문 수석논설위원
△사회(윤원창·전자신문 수석논설위원)=개인정보분쟁조정위원회가 설립된 지 벌써 2주년을 맞이했다. 개인정보분쟁도 2년 전과는 양상이 많이 달라졌을 것으로 본다.
△박준수(개인정보분쟁조정위원회 위원장)=위원회는 지난 2001년 12월 설립, 지금까지 1856건의 피해구제 사건을 접수·처리했다. 발족할 당시에는 주로 주민등록번호 도용, 회원탈퇴 및 보관 중인 개인정보 파기요청에 대한 불응, 개인정보의 목적 외 이용이나 제3자 제공 등에 대한 민원이 대부분이었다.
그러나 최근에는 인터넷 검색엔진을 통한 개인정보 유출사건, 웹사이트 자동로그인 시스템의 오류로 인한 개인정보 유출사건, 위치정보 추적서비스에 의한 개인정보침해, 성형 수술 전후 사진의 온라인 공개 등 피해형태가 다양화하는 추세다.
△사회=위원회가 그동안 거둔 성과를 정리한다면
△박준수=최근에는 부모의 동의없이 아동으로부터 개인정보를 수집해 과다한 이용요금이 부과된 데 대한 민원이 급증하고 있다. 위원회는 이에 대한 위법성을 지적하고 부당하게 부과된 요금에 대해 환불과 손해배상을 하도록 결정, 큰 사회적반향을 불러일으킨 바 있다.
특히 정신적인 피해에 대해서도 배상되도록 유도하는 데 힘쓰고 있다. 국내 어떤 분쟁조정위원회에서 정신적 피해보상을 유도하는 경우는 드물다. 정신적 피해는 피해 발생의 입증이 곤란하고 피해규모를 산정하기도 어렵지만 최대한 애쓰고 있다. 또 피해의 재발을 방지하기 위해 관련 사업자에게 부당한 업무관행이나 약관 등을 개선하도록 권고하고 있다.
△사회=최근 개인정보문제는 이름·주소·주민등록번호 등의 오남용을 넘어 CCTV, 근로자감시, 개인위치정보, 생체인식 등으로 확대되고 있다. 현행법으로 규제가 가능한가.
△박수혁(서울시립대 법학부 교수)=우리나라는 민간과 공공분야로 개인정보보호 법제가 이원화돼 있고 신용정보보호법, 의료법 등 부문별로 개별법이 산재돼 있다. 민간분야의 개인정보보호에 관한 일반법 역할을 하고 있는 정보통신망법은 정보통신망을 통해 영리목적으로 수집·이용·제공되는 개인정보와 호텔업, 관광업, 학원 등 일부 오프라인 사업자만을 규제대상으로 한다.
따라서 CCTV, 근로자감시, 신용정보, 의료정보, 생체인식, 스마트카드 등으로 인한 개인정보피해에 대해서는 규제가 어려운 실정이다. 입법의 적시성을 확보하고 개별법들이 효과적으로 개인정보를 보호할 수 있게 하려면 개인정보보호 일반법이 제정돼야 한다고 본다.
△신용섭(정보통신부 정보보호심의관)=통일적인 개인정보보호 원칙이 확립돼야 한다는 점에는 동감한다. 오늘날 개인정보가 온라인, 오프라인의 구분이 없어지고 있기 때문이다. 신용정보의 경우 신용정보의이용및보호에관한법률에 의해 규율되도록 하고 있는데 신용정보가 대표적인 개인정보의 한 유형임을 감안할 때 신용정보에 대해서도 OECD가 권고하는 8원칙이 적용되어야 할 것이다.
또 현재 법적 보호의 사각지대로 남아있는 부동산중개업소나 이미용실, 패스트푸드점 등 오프라인 사업자가 저장관리하는 고객정보도 개인정보보호법의 적용범위에 포함되어야 할 것이다.
△사회=최근 참여연대가 탈퇴 회원 정보를 파기하지 않은 이동통신사업자들을 상대로 위원회에 분쟁조정을 신청한 것으로 알고 있는데 KTF의 입장은 어떤가.
△문기운(KTF 상무·굿타임서비스실장)=KTF는 탈퇴 고객정보를 파기키로 해 분쟁조정신청 대상에서 제외됐다. 탈퇴회원 정보는 향후 있을지도 모르는 분쟁에 대비하기 위해 불가피하게 보관해야 하는 측면이 있다. 상법 등에서 관련 자료를 10년간 보관토록 하는 것도 그런 이유에서다. 물론 각 지역별로 대리점을 운영하다 보면 고객의 개인정보에 대한 부적절한 관리로 인한 분쟁이 발생하기도 한다.
이 때문에 최근에는 고객정보보호 지침 수립, 개인정보 열람서비스 제공, 직원 교육 강화, 보안강화를 위한 시스템 개선, 벌점제 도입, 대리점에 대한 관리강화 등 고객의 개인정보 보호를 위해 다방면으로 노력하고 있다.
△사회=지금까지 국내의 개인정보보호에 관한 여러 현황들을 살펴보았는데 선진국의 개인정보보호제도는 어떤가.
△이영규(개인정보분쟁조정위원회 상임위원)=경제협력개발기구(OECD)는 80년에 개인정보보호를 위한 8원칙을 채택, 세계 각국의 개인정보보호법의 근간이 되게 했으며 유럽연합(EU)도 95년에 개인정보보호 전담기구 설치 등을 의무화한 개인정보보호지침을 제정해 회원국들이 법체계를 정비토록 한 바 있다. 나라마다 약간의 차이는 있지만 대부분의 개인정보보호기구는 피해구제, 지침제정, 법률 및 기술자문, 교육·홍보, 시장감시 등 개인정보보호에 관한 포괄적인 기능을 수행하고 있으며 사업자에 대한 방문조사권, 법원 제소권한 등을 부여받고 있다.
△문기운=OECD나 EU의 개인정보보호지침을 일면으로만 해석하는 것은 위험하다. 이들 지침은 개인정보의 보호와 함께 적절한 이용권도 보장하고 있기 때문이다. 정보사회의 발전을 고려한다면 무조건적인 개인정보보호보다는 개인의 사생활 보호와 기업의 영업활동의 자유가 적절히 조화되도록 하는 것이 바람직하다. 또한 고의적인 정보유출을 통해 편법적 이익을 노리는 고객들로부터 사업자를 보호하기 위한 장치도 마련돼야 한다고 본다.
△사회=위원회는 그동안 다양한 사건에 대해 적절한 피해구제기능을 수행해왔지만 기능이나 권한에 한계도 적지 않아 보인다.
△박수혁=현행 정보통신망법상 위원회의 역할은 매우 제한적일 수밖에 없다. 위원회의 역할은 개인정보피해에 대한 사후적 구제에 초점이 맞춰져 있어 법률·기술 자문, 시정권고, 제도개선 건의, 교육·홍보, 상담 등과 같은 사전예방 기능은 없다. 사무국에서 이런 기능을 일부 수행하고 있지만 법적 근거가 없다는 점이 문제다. 위원회의 활동이 정보통신망에서 야기된 개인정보침해 사건 중심으로 이루어질 수밖에 없다는 점도 문제점 중 하나다. 오늘날 개인정보침해 사고는 온라인과 오프라인의 구분이 없어지고 있다.
△박준수=정보통신망법에는 위원회가 제3자에게 자료 제출을 요청할 수 있는 권한이나 자료제출을 거부·방해하는 경우 제재 수단 등을 규정하고 있지 않아 사실 조사에 어려움이 많다. 소비자분쟁조정위원회나 금융분쟁조정위원회의 경우처럼 조사권, 제3자 자료제출요청권, 자료제출 거부에 대한 처별규정 등이 포함되도록 법이 개정되어야 한다고 본다.
또 개인정보 피해구제는 위원회에, 상담·고충처리 및 제도개선은 한국정보보호진흥원(KISA)에 분산돼 있어 정책의 시너지 효과를 거두기 어렵다는 점도 문제다. 상담과 피해구제는 분리되기 어려운 업무이고 민원인의 입장에서도 원스톱으로 처리되는 것이 바람직하므로 한 곳으로 일원화하는 방안을 검토해야 할 것이다.
△사회=앞으로 위원회가 소비자들의 권리보호에 보다 큰 기여를 하기 위해 많은 역할해야 할것이란 지적이 많다.
△박수혁=앞에서도 지적됐듯이 위원회가 피해구제 기능만 수행토록 해서는 고도 정보사회에서의 개인정보 문제에 효율적으로 대응하기 어렵다고 본다. 위원회가 정보사회에서의 파수꾼으로서의 역할을 제대로 수행하기 위해서는 피해구제 중심의 기능을 법률 및 기술 자문, 교육·홍보 등 피해예방기능 및 제도개선기능으로까지 확대해야 할 것이다.
이를 위해서는 우선 개인정보분쟁조정위원회와 정보보호진흥원의 개인정보침해신고센터로 이원화되어 있는 개인정보보호 업무체계를 하나로 일원화해야 한다고 생각한다. 또한 조속히 개인정보보호 기본법이 제정되어 위원회가 온오프라인을 불문하고 모든 유형의 개인정보 문제를 다룰 수 있도록 기능과 권한이 강화되어야 할 것이다.
△신용섭=당초 개인정보분쟁조정위원회는 개인정보침해로 인한 피해의 사후구제를 목적으로 설립하였고, KISA의 개인정보침해신고센터는 개인정보침해행위의 사전예방기능을 수행하도록 설치된 것이다. 그러나 개인정보보호에 관한 정책 시너지를 높이기 위해서는 양 기능이 융합적으로 운영되는 것이 바람직한 측면은 있다. 위원회와 센터의 기능을 통합하는 것에 대해서는 적극적으로 검토해 보겠다. 위원회 심의기능 제고를 위해서는 현재 위원회의 심의가 한 달에 한 번 이뤄져 간격이 너무 길다는 지적이 있으므로 사무국에 조정부를 둬 심의가 원활하게 진행되도록 하는 방안도 검토 중이다.
△사회=위원회를 비롯한 각종 제도가 제대로 안착돼 개인정보보호수준이 높아지기를 기대해본다. 특히 정통부에서도 자리했지만 정부에서 이 자리에서 논의된 내용을 심도 깊게 검토할 것으로 기대한다. 오랜 시간 진지한 토론에 감사 드린다.
<정리=정소영기자 syjung@etnews.co.kr>