요즘처럼 개인정보보호의 중요성이 강조된 적이 없다. 개인정보는 우리 일상생활, 업무 순간순간 일종의 ‘공기’ ‘산소’와 같은 존재이다. 꼭 필요한 것이기도 하고, 잘못되면 곳곳에서 탈이 난다. 이번 카드사 사건은 그 문제의 심각성이 크게 부각되는 계기가 되고 있다.

앞으로 우리는 개인정보 관리실태 및 보호수준 개선을 위해 무엇을 어떻게 해 나가야 하는 것일까? 이러한 시점에 개인정보보호의 기본원칙, 법령 체계 및 개인정보관리 및 통제방향에 대한 이해가 무엇보다 중요하다고 하겠다.

우선 대부분 국가에서 개인정보보호법제의 기본원칙으로 삼고, 그 지침으로 활용하고 있는 ‘OECD 프라이버시 가이드라인’에 대해서 살펴보자.

OECD는 일찍부터 개인정보처리와 국외 이전의 중요성을 인식하고 1980년에 ‘개인정보의 국제유통과 프라이버시 보호에 관한 가이드라인(Recommendation Concerning Guide lines Governing the Protection of Privacy and Transborder Flows of Personal Data)’을 채택하였다.

그 내용은 ① 수집제한의 원칙 ② 정보정확성의 원칙 ③ 목적 명확성의 원칙 ④ 이용 제한의 원칙 ⑤ 안전성 보호의 원칙 ⑥ 공개의 원칙 ⑦ 개인참여의 원칙 ⑧ 책임성의 원칙이다. 우리나라도 이러한 원칙을 반영하여 2011년부터 개인정보보호법을 제정·시행하고 있다.

최근에 OECD는 변화하는 기술, 시장과 이용자 행태, 증가하는 사이버 정체성의 중요성을 천명하여 ‘OECD Privacy Framework’라는 이름으로 개정판을 발표하였다(2013년 7월 11일). 특히, 법과 기술의 격차를 해소하기 위해 기업의 책임성(Accountability)을 원칙으로 규정하고 이를 위한 실천방안으로 프라이버시 관리 프로그램(Privacy Management Programme) 개념을 강조한 부분이 눈에 띈다. 이는 최근의 사건, 사고와 관련해서 시사하는 바가 크다고 하겠다.

둘째, 우리나라의 개인정보보호법은 공공·민간분야를 망라하고, 온-오프라인상 처리되는 개인정보 보호에 관한 일반원칙과 기준을 담고 있다.

모든 개인정보처리자 즉, 개인정보를 업무 목적으로 수집·이용 및 관리하는 모든 기관·기업은 동 법에 따른 필수 조치사항을 이행해야 한다. 각 분야별로 이러한 사항들이 조치되고, 뿌리내리는 데에는 다소 시간이 걸리겠지만, 핵심적인 3가지 원칙(3M ;① 최소 수집, Minimization ② 목적 명확성, Manifest ③ 관리책임, Management) 만은 우선적으로 각종 법령·지침 및 업무절차에 조속히 반영되고 지켜지도록 하여 비정상적인 관행을 조속히 정상화해야 한다.

특히, 입법정책과 법해석 관점에서 보면, 신용정보법, 의료법, 병역법 등 각종 법령에 이러한 원칙이 반영되고, 특히, 일반법인 개인정보보호법 시행 이후, 특별법으로서의 의미와 지위가 사라지고 있는 법령에 대해서는 중복 규제 해소 및 법적용 혼란 최소화 차원에서 논의가 필요한 시점이라고 하겠다.

둘째, 개인정보 관리 및 통제방안은 개인정보 보유현황 파악(자산식별)에서 출발하여 개인정보 조회·활용 감시와 함께 외부 전송·유출 통제가 반드시 이뤄져야 한다.

① 개인정보 보유현황 파악은 기관·기업차원에서는 PC뿐 아니라, DBMS, 파일서버내 개인정보, 스마트폰에 저장된 개인정보파일까지 이루어지도록 하여 전사적인 자산식별이 필요하다. ② 개인정보가 어떻게 조회·활용되는지는 업무·서비스별 개인정보 흐름 분석과 함께 조회·이용자에 대한 통제가 필요하다. 개발자·DB관리자 접근에 그치지 않고, 어플리케이션을 통한 일반 취급자 접근과 외부 위탁·용역직원 접근, 개인정보 활용 개발테스트 금지 등 통제·감시도 필수이다. ③ 특히, 무엇보다도 개인정보가 특정 기관·기업 외부로는 어떠한 형식과 매체로 전송·유출되는지에 대한 관리·통제가 중요하다. 최근 매체·미디어 발달에 따라, 반입·반출, 외부 전송 통제기법의 고도화 및 엄격한 승인·인가절차가 더욱 필요하다.

이와 관련해서 ‘개인정보보호 인증제(안행부 2013년 11월 시행)’가 주는 시사점이 크다고 하겠다. 개인정보보호 관리과정과 보호대책 구현여부에 대해 전문인력에 의해 객관적이고 공정한 심사를 거쳐 그 수준을 인증하는 제도이다. 특히, 법령이나 내무관리계획 등에서 규정한 세부 보호조치들의 구현 및 운영상황 점검에 대해서는 법조 인력의 관심과 참여가 요구되는 사항이다.

 

저작권자 © 법조신문 무단전재 및 재배포 금지