새로운 기술환경하에서 개인정보의 보호와 이용의 조화를 위한 개인정보보호규제 합리화 방안

Abstract

2014년 상반기에 일어난 은행 및 신용카드사의 개인정보 유출사건과 세월호 침몰사고라는 두 가지 초대형사건은 우리 사회의 행정규제의 역할과 위상에 대한 엄청난 변화를 예고하고 있다. 규제혁신 내지 규제완화를 통한 기업활력 제고와 국민경제의 성장이라는 신자유주의적 정책추진이 아닌 국민의 안전과 국가사회의 보안이라는 대명제를 달성하기 위한 적정한 규제의 신설이나 강화가 화두가 되고 있다. 개인정보보호에 더욱 더 강력한 규제신설과 강화가 이루어지고 있다. 그러나 현재에도 다수의 개인정보보호 법령이 존재하는 것은 물론이고 법령간 중복 및 충돌, 판례나 유권해석례의 부족, 규제기관의 보수적 법해석과 집행, 다수의 규제기관의 중복적 법집행등으로 인하여 수범자는 정말 갈 길 잃은 양의 신세인데다 규제의 숫자와 강도는 계속 강화되고 있어, 결국 개인정보보호 규제의 실효성은 점차 약화되고 있다고 할 수 있다. 개인정보는 사생활의 보호라는 헌법적 가치를 가지는 중요한 기본권임과 동시에 기업의 개인정보 활용을 통한 사회적 편의 제고 및 대고객 서비스 제공이라는 측면을 가진다고 할 수 있다. 특히, 빅데이터, 클라우드, 사물인터넷, 검색엔진 등의 새로운 ICT 환경은 기업의 생산성을 획기적으로 증가시킴은 물론 인류의 생활에도 혁명적 변화를 만들어 내고 있으나, 여기에서 파생되는 Privacy 문제, 저작권 문제등도 간과할 수 없는 문제이다. 개인정보의 보호와 이용에 관한 규제는 공익(public interest)의 달성이라는 상위가치 아래에서 적절하게 조화되어야 하는 것이다. 약 10년 동안 짧은 개인정보보호의 행정규제업무, 법조이론 및 실무를 돌이켜 보면, 가장 아쉬운 것은 유출사건때마다 임기응변적으로 개인정보 규제가 복잡해지고 강화되어 온 점이다. 또한, 규제기관과 법원 역시 수범자들에게 엄격한 보수적인 법률해석만을 해오면서 오히려 법집행 및 법준수의 가능성을 약화시켜 온 점도 아쉬운 대목이다. 이제라도 시급히 Global Standard에 부합하고 규제기관의 집행 및 수범자의 준수가 가능한 합리적 규제로 전환하기 위해 개인정보 수집, 이용, 제공 위탁의 경우 포괄동의, 사후동의를 도입하고, 개인정보의 이용가능성 증대를 위해 비식별화, 익명화된 개인정보의 경우 개인정보 범위에서 제외함으로써 동의 없이 통계, 학술정보 목적의 이용이 가능하도록 하여 빅데이터 시대를 대비할 필요가 있다. 다만, 동의의 경우에도 형식적인 동의가 아니라 명확한 고지와 인식이 가능하도록 하도록 동의항목을 최소화, 단순화하여 정보주체의 개인정보자기결정권을 실질적으로 보완할 필요가 있다. 끝으로 무엇보다도 시급히 해결하여야 할 과제가 바로 개인정보보호법, 정보통신망법, 신용정보법의 관계 설정, 각 법률상 보호대상 개인정보 및 수범자의 구분 및 명확화이다. 이는 당장은 규제기관간 업무조정의 이슈가 포함된 것이 아니기 때문에 중장기적으로 해결할 과제가 아니라 규제기관간 합의가 있다면 단기적으로 얼마든지 해결할 수 있는 문제라고 본다.

Credit card company's private information leakage events and Seweolho ship sinking events which happened in the first half of 2014 foretell the tremendous changes in the role and status of administrative regulations of our society. The creation and strengthening of appropriate regulation for promoting public safety and national security rather than neo-liberal policies through regulatory innovation or deregulation to improve businesses energy and achieve the growth of the national economy has become buzzwordMore and more powerful privacy regulations are being made and enhanced. But even now there are a large number of privacy laws, as well as duplication and conflict between the statutes, the lack of precedent and interpretation cases, the conservative law interpretation and enforcement of regulatory agencies, the overlapping law enforcement of a number of regulatory agencies. These make people lost sheep who does not know the right way. After all, the effectiveness of privacy regulation can be gradually weakened. Personal information has a constitutional value of right to privacy. At the same time the use of personal information is related to the enhancement of social benefit and provision of customer service of company. In particular, the company's new ICT environment, such as big data, cloud, Internet of things, search engines, dramatically increases productivity of enterprise. Further, it creates a revolutionary change in quality of human life. But privacy and copyright issues derived from it can not be overlooked. The regulation of protection and use of personal information will need to be harmonized under the achievement of public interest as higher value. As I retrospect administrative privacy regulatory affairs, legal theory and practice for about 10 years, it is regrettable regulation has been complex and strengthened whenever the leakage events of personal information happen. In addition, as regulatory agencies and the courts also have made only strict and conservative interpretation of the law, the possibility of the law enforcement and legal compliance has bee weakening. Even now urgently to meet global standard regarding privacy and switch resonable regulation, comprehensive agreement and opt-out agreement need to be introduced as personal information is collected, used and provided. In order to increase the availability of personal information and use it for the purpose of academy and statistics, non-identifying and anonymous personal information can be excluded from the scope of personal information. However, rather than the agreement is formal agreement, it should be substantial protection of self-information determination rights. It should allow a clear recognition of the notice and consent items by information subject. For this consent items should be minimized and simplified. Above all, the end of the project which should be urgently resolved immediately is setting the relationship among Privacy Act, Information Network Act and Credit Information Act and separation and clarification of concept of information and the category of information subject. It is now an issue of coordination between regulatory agencies, not mid and long term issues, because it does not require organizational changes.