[법률사무소 민후 김경환 변호사] 지난 12월 19일 대선 결과 전자공학과 출신의 박근혜 후보가 당선되자 ICT 분야에서는 이전 정부와는 달리 적극적인 투자와 관련부처 확대를 기대하고 있고, 실제로 박근혜 당선자의 대선 공약도 이 기대와 방향을 같이하고 있다.
자원이 빈약한 우리나라의 상황에서 ICT 산업발전이야말로 국가경쟁력을 제고시키고 실업률을 감소시키며 나아가 선진국으로의 큰 성장동력이 될 수 있다는 점에서 극히 바람직한 방향이라 본다.
ICT 산업의 발전이란 인터넷, 데이터, 방송, 통신, 콘텐츠, 산업기술, 솔루션 등의 여러 분야의 성장을 의미하지만, 개인정보의 측면에서 보면 구글이나 페이스북, 아마존 등과 같은 인터넷 기업의 등장을 의미하기도 한다. 구글이나 페이스북, 아마존 등의 인터넷 기업은 개인정보 및 빅데이터를 활용해 세계 일류기업이 됐는바, 이제 개인정보는 단순히 인격권을 구성하는 한 요소에 머무르는 것이 아니라 중요한 기업자산이자 주요한 고부가가치 데이터인 것이다.
같은 맥락에서, 균형적이고 바람직한 개인정보보호는 단순히 프라이버시 극대화를 추구하는 것이 아니라, 개인정보를 보다 안전하게 활용할 수 있는 가이드라인을 제시하고 이를 준수할 수 있게끔 이루어져야 하는 것이다. 한마디로 이제는 개인정보보호가 개인정보의 활용 억제가 아니라 개인정보의 ‘합헌적인’ 활용 ‘촉진’에 초점이 맞춰져야 한다.
한편, 2013년 출범할 새정부는 개인정보보호위원회의 역할에 대해 축소 내지 부처에의 흡수를 예고하고 있는바, 개인정보보호위원회의 업무가 여러 부처의 개인정보보호업무와 중복된다는 것이 그 주요한 이유다. (참고로 현재 개인정보보호위원회는 대통령 소속으로서, 개인정보보호 업무에 관한 정책심의·의결 권한만 있고, 정책수립 및 집행은 없으며, 분쟁 조정 기능도 가지고 있지 않다)
새정부의 개인정보보호위원회에 대한 관점이 근거가 없는 것은 아니나, 그렇다고 해 현실부합적이거나 미래지향적인 것도 아니다. ICT 산업 발전과 국민의 프라이버시 보호라는 두 마리 토끼를 잡기 위해서는 개인정보보호위원회의 역할에 대한 이해와 재정립이 필수적이기 때문이다. 그 이유를 세 가지 측면에서 설명해 보고자 한다.
우선 첫째로, 개인정보보호위원회의 존재목적에 대해 논하고자 한다. 일부에서는 개인정보보호위원회에 국가인권위원회의 개인정보보호 소관업무를 기대하고 있다. 이런 입장에서 보면 오직 개인정보를 잘 보존하고 프라이버시를 최대한 보장하는 것이 개인정보보호위원회의 역할이라고 생각하게 된다.
그러나 이런 관점은 개인정보보호의 한쪽 측면만을 강조한 것으로서 바람직하지도 않고 현실적이지도 않다. 바람직한 개인정보보호의 목적이 합헌적인 개인정보의 활용에 있어야 한다면, 응당 개인정보보호위원회의 존재목적은 개인정보의 활용 억제가 아닌, 합헌적인 개인정보 활용 방법의 제시 및 감독에 있는 것이다.
실제로 선진국의 개인정보감독기구는 개인정보의 보호를 단순한 ‘보호’ 내지 ‘활용 억제’로 보지 않고, 합헌적 활용, 안전한 활용의 관점에서 보고 있으며, 기업의 개인정보 처리 억제 업무보다는 어떻게 하면 기업이 개인정보를 합헌적으로 안전하게 활용할 수 있는지에 대한 가이드라인 제시에 초점을 맞추고 있다.
정리하면, 개인정보보호위원회란 ICT 산업의 발전을 억제하고 기업의 개인정보 활용에 트집을 잡는 기관이 아니며, 오히려 바람직한 개인정보 활용의 길을 밝히며, 정보주체의 신뢰 및 개인정보 활용에 있어 소비자·기업 사이의 균형설정에 기여하면서, 지속가능하고 안정적인 ICT 산업의 발전을 도모해 낼 수 있는 기관이라는 것이다. 새정부의 ICT 산업 부흥정책에 반드시 필요한 기관인 것이다.
둘째로, 박근혜 당선자 측은 각 부처의 개인정보보호업무와 개인정보보호위원회의 업무가 중첩된다고 파악하고 있으나 이는 지나치게 형식적인 고찰이라 생각된다.
개인정보보호 업무에 대해 대부분의 부처에서 다루고 있기는 하지만, 각 부처의 존재 목적이 다른바, 개인정보에 대한 입장은 같을 수 없고, 개인정보보호 및 활용의 목적 역시 같을 수 없으며, 관심 있는 개인정보의 범위 역시 같을 수 없다. 실제로 어떤 부처는 개인정보의 활용에 관심이 있고, 어떤 부처는 개인정보에 관한 규제에 관심이 있으며, 어떤 부처는 개인정보의 관리에 관심이 있으며, 어떤 부처는 공공기관의 개인정보에만 관심이 있다.
나아가 개인정보보호위원회를 축소하고 각 부처에 개인정보보호 업무를 배포하는 경우, 통일적이고 체계적인 개인정보보호 업무가 이루어질 수 없을 것이며, 충돌하는 개인정보보호 업무에 대한 입장과 이견에 대해 조정해주고 합의점을 찾아줄 전문적인 기관이 없게 될 수 있다. 개인정보보호 업무는 융합 업무로서 법, 정책, IT, 정보보안에 대한 전문성이 있을 때에 비로소 제대로 수행할 수 있는 업무라는 점도 고려돼야 할 것이다.
셋째로, 개인정보보호 업무는 주권이 미치는 한 국가만의 문제가 아니라 세계 각국의 공조가 필요하면서도 반대로 외국의 규제에 대응해야 하는 업무이며, 현재의 문제가 아니라 기술발전 및 IT 환경 변화에 따라 신속하게 대응해야 하는 장래의 업무이고, 개인의 프라이버시에만 관련된 업무가 아니라 국가안보와도 밀접한 관련이 있는 업무라는 점이 고려돼야 한다.
클라우드 환경의 실현, SNS의 발전, 빅데이터 시대의 도래에 따라 대규모의 개인정보가 국경이라는 경계 없이 이전하고 있고 이용자의 국적과 다른 국적의 기업에 의해 개인정보가 활용되고 있는바, 세계 각국은 개인정보보호에 대해 공조하면서 또는 자국의 산업발전을 위해 외국 기업에 대한 경계와 규제를 늦추지 않고 있다.
실제로 EU는 미국 인터넷 기업에 의한 국부유출을 우려하고 있기에 구글이나 페이스북에 대한 규제에 신경을 곤두세우고 있다. 이런 글로벌적인 환경에서, 개인정보에 대한 입장이 다른 각 부처가 외국의 단일화된 창구와 교섭을 한다면 어떤 결론이 나오더라도 우리에게 불리할 수밖에 없게 될 것이며, 각종 국제조직이나 국제회의에서 일관성 있고 전체이익을 대변하면서도 심오한 의견을 제시하지 못해 국내 기업의 해외 진출에 큰 힘이 되지 못할 수 있다.
개인정보보호 업무는 새로운 기술 및 기업 환경에 끊임없이 대응해야 하는 업무이다. 클라우드 환경이 나오면 그에 맞는 개인정보보호 방안을 논의해야 하며, 빅데이터 환경이 도래하면 그에 부합하는 프레임워크가 필요한 영역이다.
얼굴인식이라는 기술이 나오면 그 기술이 개인정보보호에 어떠한 영향을 줄 것인지를 분석해 합헌적인 기술 활용에 대해 가이드라인을 정해주어야 하며, 새로운 개인정보 활용 비즈니스 모델이 나오면 개인정보보호 관점에서 허용될 수 있는지를 논의해야 한다.
전문성뿐만 아니라 시의적절한 관심과 참견이 필요한 업무인데, 각 부처가 중복으로 관여한다면 행정효율성이 떨어질 수밖에 없고, 각 부처가 서로 자기 영역이 아니라고 미룬다면 개인정보보호의 사각지대가 생길 수밖에 없게 된다. 전문성이 없는 부처가 이를 관장한다면 비현실적인 결론이 나올 수도 있는 것이다.
개인정보보호 업무는 개인의 프라이버시 보호라는 측면만 있지 않다. 우리는 그간 수많은 대량 해킹 사건을 겪으면서, 우리나라 국민 대다수의 개인정보는 외국에 존재할 것이며 누군가에 의해 활용될 수 있다는 생각을 갖고 있고 실제로 그러한 현상이 보이고 있다.
개인정보 유출은 개인의 재산에 손해를 줄 수 있고, 그 개인에게 스팸이나 TM 전화에 의한 정신적 피곤함을 줄 수 있지만, 정보의 축적과 정보융합의 기술 발전, 데이터 사이언스의 발전으로 인해 얼마든지 외국 정부에 의해 악용돼, 궁극적으로 국가안보에도 영향을 줄 수 있는 것이다. 사이버국방이나 국가안보 측면에서의 개인정보보호의 중요성을 간과해서는 아니 될 것이다.
그동안 짧은 기간이지만 개인정보보호위원회는 많은 실적을 내었으며, 특히 국민의 개인정보 인식 제고에 크게 기여해 왔고, 개인정보보호 업무를 하는 여러 기관을 통합하는 직무를 성공적으로 실행해 왔다.
앞으로, 전문성 제고나 독립적인 업무 수행을 위한 제도 정비 등이 보완된다면 모범적인 개인정보보호 감독기구로서 정착할 수 있을 것으로 예상된다. 또한 개인정보보호위원회의 성공적이고 균형적인 개인정보보호 업무의 수행이 있을 때에 비로소 ICT 산업 발전과 프라이버시 보호라는 두 마리 토끼를 잡을 수 있으며, 지속가능한 ICT 산업 발전이 있을 것이라고 확신한다.