9월 말부터 ‘개인정보보호법’이 시행된다. 정보통신, 금융, 의료, 교육, 공공분야의 개별법에 따라 산발적으로 다룬 개인정보보호를 하나의 법체계로 통합해 대형화·지능화·다양화하는 각종 개인정보 유출, 오·남용 사고로부터 국민의 피해 구제와 사생활 보호 등의 권리와 이익을 지키기 위한 것이다.
적용 대상은 공공·민간부문과 비영리단체 등 개인정보를 처리하는 모든 대상자로 전자적 처리 외에 수기문서까지 보호범위가 확대돼 개인정보의 안전한 처리와 정보주체의 권리 보장을 추구한다. 구체적으로 개인정보보호 의무적용 대상이 50만여 정보통신서비스 및 준용사업자 중심에서 모든 민간사업자, 비영리 단체, 개인 등 300만 이상으로 확대된다. 각각 다양한 환경에서 효과적으로 대응하는 것이 필요하다. 보호할 개인정보도 기존 서비스 이용자 등 고객정보에서 공공·민간 사업자 등 모든 종사자의 신상정보를 비롯한 모든 정보로 확대된다. 정보 주체의 권리보장을 위한 열람·정정·삭제 청구권, 처리정지 요구권 등 정보 제공자의 자기통제권 실현 준비도 해야 한다.
시행령과 시행규칙, 지침, 해설서 등 하위법령들은 8월 말 이후에 공표된다. 개인정보 처리와 관련한 개인정보의 수집·이용·제공·파기, 기술적·관리적·물리적 안전조치 의무, 열람·정정·삭제·처리정지 등 정보주체의 권리 부문은 이미 시행된 ‘정보통신망법 제4장 개인정보의 보호’ 부문과 큰 차이가 없다. 일반법인 ‘개인정보보호법’은 개별법인 ‘정보통신망법’의 상위 법령이므로 적용 대상이 더 넓고 다양해 규제수준이 높지 않다. 우선 정보통신망법과 관련한 하위 기준, 지침, 해설서들과 기 적용 사업자들의 솔루션 구축·운영 경험을 충분히 활용해 대응할 수 있다. 주민등록번호와 같은 고유식별정보 처리 제한에 따른 대체수단 마련, 개인정보의 분실·도난·유출·변조·훼손 방지를 위한 안전조치와 비밀번호 등 암호화 대상 개인정보, 사용 암호화 프로그램에 대해서도 정보통신망법과 크게 다르지 않을 것으로 예상된다.
특히 개인정보보호법상 민간부분의 ‘개인정보처리자’가 법 시행이전에 준비 가능한 사항을 살펴보면 첫째, 현재 보유하고 있거나 앞으로 수집할 개인정보를 법에서 요구하는 최소한으로 하고, 이용목적을 달성했거나 불필요한 개인정보들을 즉시 파기해 관리상의 위험부담을 줄이도록 한다. 둘째, 보유한 개인정보의 목적 외 이용이나 제3자 제공·공유가 불가피한 경우에는 반드시 사전에 정보주체의 동의를 받아서 처리한다. 셋째, 개인정보 처리에 대한 업무 위탁이 불가피한 경우 처리 금지 사항, 보호조치 등에 관한 사항을 반드시 문서로 작성하도록 한다. 넷째, 상시 50인 이상 근로자 사업장은 ‘개인정보보호책임자’를 지정해야 하므로 미리 적임자를 물색해 업무 수행에 필요한 준비를 하도록 한다. 이밖에 법 시행 이후 개인정보처리방침의 공개, 정보 주체 이외로부터 수집 시 출처 고지, 개인정보 유출 사실 통지 및 신고, 종업원을 포함한 정보주체의 자기통제권 수용 등이 의무화된다.
개인정보보호법이 제대로 시행되려면 헌법기관을 포함한 공공기관부터 법인·단체·개인에 이르기까지 각각에 맞는 효율적인 보호 방안들을 마련해야 한다. 개인정보보호에 대한 인식과 준비, 여력도 천차만별이므로 남은 시간 동안 하위 법령들을 철저히 마련해야겠다. 소규모 영세 사업자를 위한 홍보·계도·지원 여건을 조성하고, 정보주체인 일반 국민의 개인정보보호 인식을 제고하기 위한 부단한 조치들을 강구해야 한다.
이홍섭 건국대학교 석좌교수 hslee5685@naver.com