[포럼] 개인정보 유출 막을 컨트롤타워 급하다

정완 경희대 법학전문대학원 교수·사이버범죄연구회장

오늘날 사이버범죄대책 가운데 가장 중요한 것은 무엇일까? 사실 사이버범죄 가운데 심각하지 않은 범죄는 없다. 따라서 그 대책 역시 선후를 가릴 수 있는 문제는 아니다. 하지만 개인정보 유출범죄의 경우 그 침해행위로 끝나지 않고 개인정보 소유자 및 관련자에게 2차, 3차의 추가피해를 야기할 수 있는 범죄라는 점에서 개인정보 보호정책이야말로 오늘날 가장 중요한 사이버범죄대책이 아닐까 생각된다. 그런데 개인정보보호의 역사가 벌써 30여년에 이르고 있지만 그 보호상황은 여전히 답보상태에 있는 것 같다.

개인정보란 무엇인가? 개인정보보호법에 의하면 "살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보"를 말하며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다. 따라서, 사망한 자, 법인, 단체 또는 사물 등에 관한 정보 및 여럿이 모여서 이룬 집단의 통계값 등은 개인정보가 아니며, 살아있는 개인의 정보라도 특정인을 알아보기 어려운 정보는 보호대상 개인정보가 아니다. 즉, 특정인을 알아볼 수 없는 정보는 보호대상이 아니므로 예컨대 익명화나 가명화를 통한 개인정보 비식별조치를 취한 후 개인정보를 이용할 수 있게 하는 것이 글로벌 추세이며, 행정안전부 가이드라인도 이러한 내용의 비식별조치를 제시하고 있다.

개인정보 보호관련 기본법은 개인정보보호법이고 정책담당기구로 개인정보보호위원회를 두고 있다. 이밖에 정보통신망법과 신용정보법에도 개인정보 관련규정이 있어 수범자인 사업자와 국민은 관련 법률에 개인정보 관련규정이 산재되어 있는 것에 의문을 제기하고 있고 그에 따라 개인정보 관련법을 통합할 필요가 있다거나 개인정보보호위원회의 위상과 권한을 크게 강화하여 보다 효율성 있는 개인정보보호정책을 집행할 필요가 있다고 주장하는 의견이 많다.

오늘날 정보사회에서는 사회의 모든 영역에 걸쳐 개인정보 수집과 이용이 보편화되는 등 그 가치가 전례 없이 증대되고 있고 그에 따라 개인정보의 유출과 오남용 사고 및 개인정보 관련분쟁이 빈발하고 있다. 아울러 이로 인한 피해도 수많은 사람에게 동시에 발생할 수 있고, 원상회복은 거의 불가능하여 이러한 피해의 신속한 구제를 위해 개인정보분쟁조정위원회를 통한 분쟁조정제도를 운영하고 있는 것은 매우 바람직하다.

그런데 개인정보보호정책 담당기구인 개인정보보호위원회의 위상과 권한이 너무 약하여 실질적인 개인정보보호정책을 취할 수 없다는 주장에 동조하지 않을 수 없다. 이와 관련 외국의 경우 많은 국가에서 컨트롤타워 없이 분산된 기구에 의하여 개인정보를 보호하는 방식을 취하고 있어도 아무런 문제가 없으므로 우리도 그럴 필요가 없다거나, 혹은 개인정보보호위의 전문성이 미약하여 실질적 정책입안이나 집행의 권한을 맡기는 것은 고려해야 한다는 의견들도 주장되고 있다.

하지만 과거 개인정보 대량유출사고가 끊임없이 발생해 왔고 문제해결은 쉽지 않았던 상황에서 볼 때, 보다 강력한 권한을 가진 개인정보보호위원회가 필요하고 그럼으로써 이 위원회가 실질적인 컨트롤타워의 역할을 해야 한다고 생각한다. 현 대통령의 대선 당시 공약중 하나가 국가정보보안 컨트롤타워의 신설이었는데, 산재된 보안관련 업무를 통일하여 관리할 필요성은 매우 강한 것이 사실이다. 아울러 해킹 등 개인정보 유출범죄에 대한 형벌을 외국과 같은 수준으로 강화하여 개인정보 유출범죄를 꿈도 꾸지 못하게 해야 한다.