[월요논단] 개인정보 보호 위한 디지털 항암제

서종렬 한국인터넷진흥원 원정
서종렬 한국인터넷진흥원 원정

인터넷이 의견을 피력하고, 인맥을 넓히며, 물품을 거래하는 제2 현실공간이 되면서 개인정보 중요성은 더욱 커졌다. 개인정보는 본인임을 확인하기 위한, 즉 제2 현실공간에 들어가기 위한 ‘디지털 열쇠’이기 때문이다.

 최근 해커가 불법으로 빼낸 개인정보를 이용, 신용카드를 발급받으려고 카드회사에 등록된 피해자의 주소, 전화번호를 임의로 변경했다가 미수에 그친 사건이 있었다. 다행히 2차 피해는 막았지만, 유출 개인정보가 금전적 피해를 가져올 수도 있다는 점을 보여줘 사회적 파장을 빚었다.

 개인정보는 개인을 식별할 정보를 말한다. 생각보다 종류가 다양하다. 신분관계는 물론 소득규모와 재산상황, 건강상태, 사회경력, 심지어 사상과 가치관 같은 내면의 비밀도 개인정보에 포함된다. 유출 피해 유형도 다양해질 수밖에 없다. 계정 탈취, 명의 도용은 물론 대량의 개인정보가 기업에 의해 데이터베이스화되면 고의 또는 과실로 언제라도 침해당해 스팸메일과 보이스 피싱 등의 부메랑으로 되돌아올 수 있다.

 개인정보 유출을 사전에 예방하고, 사고가 발생하더라도 신속하게 대처할 방법은 없을까. 지난 2004년 발의된 후 8년여 만인 9월 30일부터 시행에 들어가는 개인정보보호법이 바로 ‘해법’이 될 것으로 보인다.

 이 법의 가장 큰 특징은 일반법으로 법 적용의 ‘사각지대’를 없앴다는 점이다. 그동안 개인정보 보호에 관한 법 적용은 각 정부 부처 소관 분야 별로 특별법을 적용해 왔다. 금융 분야 ‘신용정보의이용및보호에관한법률’, 공공행정 분야의 ‘공공기관의개인정보보호에관한법률’ 등이다.

 공공기관, 기업 등 이른바 개인정보처리자는 51만 수준이었지만 개인정보보호법이 시행되면 협회, 동창회, 동호회 등을 포함해 약 7배 늘어난 350만이 된다. 기존엔 컴퓨터상에서 처리되는 정보만 보호 대상으로 삼았지만 앞으로 개인정보가 담겨진 수기문서까지 보호받는다.

 개인정보를 수집할 때 개인정보처리자의 의무 역시 강화된다. 개인정보 최소 수집 원칙이 선언적 의무에 불과해 무분별한 개인정보 수집이 이뤄졌다. 앞으로 서비스에 필요한 최소한의 정보만 수집해야 한다. 입증 책임도 져야 한다.

 주민등록번호와 같이 개인을 식별할 정보나 사상, 건강, 종교 등 개인의 사생활을 침해할 민감한 정보는 다른 개인정보와 구분해 별도 동의를 받아야 한다. 동의를 받지 않거나 법령에 근거하지 않으면 원칙적으로 수집 및 이용이 금지된다.

 CCTV, 네트워크카메라 등영상정보처리기기의 설치 및 운영도 제한된다. 도로·공원·주차장·놀이터·유원지 등 공개 장소나 사생활 침해 우려가 큰 목욕탕·화장실·탈의실 등에 법령이 허용하거나 공익 목적이 아니면 이를 설치, 운영할 수 없다. 안내판도 의무적으로 설치해야 한다.

 개인정보 주체인 국민의 권리도 강화된다. 개인정보를 제공했더라도 이를 처리하지 못하도록 요청하는 개인정보 처리정지 요구권이 대표적이다. 또 유출되면 개인정보처리자가 유출 항목, 시점, 경위, 그리고 피해구제 방법 등을 지체 없이 개인정보 주체에게 알려야 한다. 피해구제도 용이해진다. 다수의 사람에게 동일하거나 유사한 피해가 발생할 경우 분쟁조정위원회에 분쟁조정을 신청, 복잡한 소송 없이 피해보상을 받을 수 있다.

 개인정보의 중요성은 아무리 강조해도 지나치지 않다. 개방·공유·참여를 모토로 한 웹2.0 시대에 개인정보 유출은 안전하고 건강한 인터넷을 밑에서 흔드는 악성종양이기 때문이다. 개인정보보호법이 ‘디지털 항암제’ 역할을 할 것으로 기대된다.

 서종렬 한국인터넷진흥원장 simonsuh@kisa.or.kr