해외 개인정보보호 법제도 어떻게 운영되나

[글 = 채승완 한국인터넷진흥원 개인정보정책단장]

20 세기 후반의 인터넷 혁명으로 인한 정보사회로의 진입은 사회 경제적 환경을 급속히 변화시켰다. 이와 함께 개인정보 처리는 사생활 보호라는, 새로운 차원의 사회적 문제로 드러나게 됐었다.

자신의 사생활을 자신이 통제하고자 하는 적극적 권리가 주장됐고, 이는 국가 차원에서 보호해야 할 기본적 권리로 인식됐다.

즉, 자신의 정보를 타인이 함부로 취급하는 것을 통제할 수 있는 개인의 권리가 인정받게 됐다.

이후 2016년 1월 다보스포럼에서 이른바 4 차 산업혁명 시대의 도래가 선언되면서 개인정보보호 환경의 패러다임도 변화하고 있다.

물리학, 생물학, 디지털 등 기술융합을 기반으로 한 새로운 환경은 사물인터넷, 인공지능, 미래 자동차, 차세대 바이오 등 모든 분야에서 데이터를 네트워크로 연결하는 것을 핵심으로 하고 있다.

이러한 환경은 프라이버시에 대한 우려를 더욱 증대시킬 수밖에 없고 유럽연합 등 세계 각국은 새로운 시대에서의 사이버보안뿐만 아니라 프라이버시 보호 등 문제에 대응하기 위한 법제도 마련을 최우선의 국가적 선결 문제로 삼고 있다.

유럽, 인권으로서의 개인정보보호

개인정보보호와 관련한 입법 움직임은 개인정보를 인권(right to personal data protection)으로 인정하는 유럽에서부터 시작됐다고 볼 수 있다.

1995년에 유럽연합은 회원국들의 개인정보보호에 관한 입법을 통일시키고 회원국 전체에 적용할 수 있도록 개인정보보호지침(data protection directive; 95/46/EC)을 제정했다. 이 지침은 개인정보를 처리하는 공공과 민간부문 모두에 적용되는 개인정보보호를 위한 일반 원칙을 담고 있다.

향후에 이 지침의 기본원칙들은 독일, 프랑스 등 유럽뿐만 아니라 캐나다, 호주, 한국, 일본 등 개인정보보호법 체계를 가진 거의 모든 국가에 개인정보보호법의 기초를 제공하는 역할을 했다.

이에 따라 해외 각국은 정보 처리자가 개인정보 수집 시 수집목적 등 일정한 사항을 고지하고 동의를 얻도록 하는 원칙들을 규정하고 있다.

유럽연합은 2016년 4월에 개인정보보호지침을 대체하는 보다 강한 법적 효력을 가진 일반 개인정보보호규칙(General Data Protection Regulation; GDPR)을 채택했고, 이 규칙은 2018년 5월 25일 시행될 예정이다.

이 규칙은 유럽연합 회원국 간의 개인정보보호 법률이 서로 달라 유럽연합 전체 차원의 강력하고 통일된 기준이 필요하고, 나아가 글로벌 디지털 경제와 빅데이터, 사물인터넷 등 신산업에 대비한 유럽연합 국민의 개인정보의 이용과 활용의 조화를 모색해야 한다는 인식에서 비롯됐다.

유럽연합은 통일된 디지털 규범과 발전전략을 채택함과 동시에 유럽연합 내 디지털 경제활동의 제약요인을 제거하고 하나의 시장을 형성하고자 했다.

즉 유럽연합 역내 외의 보이지 않는 경계를 허물고 빅데이터 등 신기술을 활용한 글로벌 경제활동을 극대화 하는 ‘디지털 싱글마켓(digital single market)’ 구축을 위해 개인정보를 유럽연합 내에서 자유롭게 유통돼야 할 대상으로 인식하고 있다.

특히 개인정보의 보호와 활용의 조화를 꾀하고 있다는 것은 주목할 필요가 있다.

GDPR는 1995 년 개인정보보호지침과 달리 유럽연합 내 국민의 개인정보를 처리하는 경우에는 유럽연합 역내 외를 불문하고 법적 효력이 직접 미치게 된다.

이에 따라 유럽연합 내 정보주체의 개인정보를 처리하는 우리나라 기업에게도 적용된다.

또 고지나 동의 조건 강화 , 개인정보 국외이전 요건 강화 등 개인정보처리자의 책임을 한층 더 강화했을 뿐만 아니라 개인정보 열람권, 삭제권(잊힐 권리), 개인정보 처리제한권, 개인정보 이동권 신설 등 정보주체의 권리도 강화했다.

개인정보의 안전한 관리 측면에 있어서도 개인정보 침해의 위험성을 고려하여 개인정보 처리시점에서부터 개인정보를 보호할 수 있도록 설계하는 등 기술적 관리적 조치를 취하도록 규정하고 있다.

이 규칙의 가장 큰 특징 중 하나는 1000만~2000만 유로(한화 약 124억~248억 원) 또는 전 세계 매출액의 2~4% 중에서 높은 금액의 과징금을 부과한다는 규정을 두고 있어 향후 유럽연합 국민의 개인정보를 처리하는 국가에게 많은 영향을 미칠 것으로 예상된다 .

일본, 신산업 발전 위한 법 개정

일본은 정보화 진전에 따른 개인정보 침해에 대한 권리를 보장하기 위해 2003 년 개인정보보호법을 제정했다.

이 법은 개인정보의 수집에 있어서 사전 동의 요건은 없고, 수집 시 이용목적을 특정하여 그 범위 내에서 사용하도록 규정하고 있어 유럽연합의 개인정보보호지침과 우리나라의 동의 또는 고지 요건보다는 상대적으로 유연한 규제 태도를 보이고 있다. 이후 2015년 9월 개인정보보호법이 대폭 개정됐다.

개정의 핵심 목적은 개인정보보호법의 제정 당시 예상하지 못했던 정보통신의 발전에 따른 개인정보 활용의 급증에 적정하게 대응하기 위해서였다.

일본 개인정보보호법 제정 시에는 그 목적이 개인정보의 활용의 가치를 고려하면서 정보주체의 권리와 이익을 보호하는 것이었다.

하지만, 개정을 통해 빅데이터, 사물인터넷 등의 신산업 활성화에 개인정보의 적정하고 효과적인 활용의 가치를 인정하면서, 안전한 이용을 도모하는 것으로 개인정보보호법의 목적을 새롭게 규정했다.

아울러 개인정보의 개념을 특정 개인을 식별하는 정보(개인식별부호)가 포함된 것으로 명확히 하여 어떤 정보가 개인정보에 해당되는지를 두고 제기되는 의문을 최소화해 개인정보 취급사업자의 애로사항을 해결하고자 했다.

일본은 또 빅데이터 등 개인에 관한 정보를 활용하여 산업진흥에 도움이 되게 하는 동시에 개인정보를 보호하기 위해 소위 ‘익명가공정보’ 조항을 신설했다.

이는 유럽연합의 익명정보와 가명처리 정보. 미국의 비식별 조치된 정보의 개념을 익명가공정보라고 정의하여 개인정보의 효과적이고 안전한 활용을 추구하기 위한 것이다.

이외에도 개인정보보호위원회를 신설해 개정 전의 주무대신에 의한 보고, 권고, 명령의 감독체계를 개인정보보호위원회에 의한 보고와 자료제출 요구, 출입 검사, 권고, 명령의 강화된 개인정보 감독체계로 강화하였다.

또 개인정보 국외 이전 조항을 신설하여 일본과 동등한 개인정보보호 수준을 갖추고 있다고 개인정보보호위원회 규칙이 정한 국가에는 개인정보 이전을 인정했다.

이는 국외로 이전되는 일본 국민의 개인정보를 보호하는 한편, 유럽연합의 적정성 평가를 받기 위한 것으로 국제수준의 개인정보보호 수준을 인정받기 위한 대응이라고 볼 수 있다.

미국, 소비자 보호로서의 개인정보보호

미국은 공공과 민간부문을 분리해 이원적으로 개인정보를 보호하는 접근방식을 취하고 있다.

공공부문에 있어서는 프라이버시법(Privacy Act 1974)을 통해 엄격하게 국민의 개인정보를 보호하고 있다.

이러한 면에서 공공부문에서는 유럽연합의 법체계와 크게 다르지 않다. 민간부문에 있어서는 주로 연방거래위원회(Federal Trade Commission)에서 공정경쟁 등의 집행권한과 관련해 시장에서의 개인정보 처리에 문제가 있는 경우에는 불공정거래행위로 하여 소비자의 프라이버시를 보호하고 있다.

미국은 민간부문에서의 개인정보보호는 필요한 경우 개별법을 통해 규제하고 있다.

공정신용조사법, 금융서비스현대화법, 비디오프라이버시법, 건강보험 이동성 및 책임법, 가족의 교육권 및 프라이버시법 등 각 분야에서 개별법을 제정해 신용정보, 건강정보 등 중요한 개인정보를 보호하고 있는 것이다.

한편, 미국은 유럽연합보다는 훨씬 유연하게 개인정보 활용을 인정하고 있다. 건강보험이동성및 책임법의 프라이버시 규칙 , 가족의 교육권 및 프라이버시법 등에서는 비식별조치한 정보에 대해서는 보호대상의 개인정보에서 명시적으로 제외하여 자유로운 이용과 제3자 제공, 공개 등을 인정하고 있는 것이 그 예라고 할 수 있다.

APEC, 국경 간 프라이버시 규칙 운영

아시아태평양경제협력체(APEC)는 글로벌 서비스 활성화 등으로 개인정보 국외 이전이 증가함에도 불구하고 국가 간 개인정보보호수준의 차이와 타 국가에 대한 법집행 한계 등 장애를 해결하기 위해 노력하고 있다.

APEC은 회원국간 이전되는 개인정보를 안전하게 보호함으로써 개인정보의 자유로운 이동을 보장하고자 회원국 공동의 보호기준을 만들어 법집행력 강화를 위한 협력체계가 필요하다는 인식 아래 2011년 ‘국경 간 프라이버시 규칙(CBPRs; Cross-Border Privacy Rules system)’을 개발했다.

CBPRs은 APEC 프라이버시보호 원칙(APEC Privacy Framework)을 기반으로 한 기업의 개인정보보호수준을 평가하는 인증체계다.

이를 통해 회원국 간 개인정보와 관련한 공조가 가능해지고 우리나라 국민의 개인정보를 처리하는 타국 기업에 대해서도 간접규제를 할 수 있게 됐다.

또 각국 국민의 입장에서는 국외로 이전돼 처리되는 자신의 개인정보에 대한 투명성과 피해구제 절차를 보장받을 수 있게 됐고, 회원국의 기업은 타국의 개인정보보호 법규 준수라는 부담이 없어 국가 간 시장진입이 완화됐다. 현재 CBPRs에는 미국, 멕시코, 일본, 캐나다, 한국이 가입하고 있다.

중복규제, 사업자 혼란 해소해야

우리나라의 개인정보보호 관련 법체계는 일반법인 개인정보보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률 등 분야별 특별법을 통해 규율하는 다원적 법체계라고 할 수 있다.

일부 전문가들은 우리나라의 개인정보보호법과 기타 특별법의 체계 및 내용, CBPRs 가입 등에 비추어 보면 유럽연합의 GDPR 등과 비교하여 손색이 없을 만큼 유사한 보호 원칙과 엄격한 보호수준을 갖추고 있다고 설명하기도 한다.

그러나 많은 전문가들이 일반법으로서의 개인정보보호법이 시행되고 있음에도 불구하고, 각 분야의 소관부처에서 정보통신망법, 신용정보법 등 특별법을 가지고 개인정보 보호업무를 수행함으로써 중복규제와 불합리한 규제수준 등 문제가 존재한다고 지적하고 있다.

실제로 개인정보를 처리하는 사업자 입장에서는 동일한 사항에 대해 동시에 여러 부처의 감독을 받게 되고, 규제 수준의 차이, 복잡한 법률체계에 대한 이해부족 등 법집행에 대한 예측가능성이 현저히 떨어져 개인정보보호 관련 법령을 준수하기 어려운 경우도 상당수 발생하고 있다.

이미 온라인과 오프라인의 구분이 무의미한 글로벌 네트워크 사회에서, 특히 개인정보보호법과 정보통신망법의 오프라인 및 온라인 사업자에 대한 이원적 규제는 중복규제와 사업자 혼란이 상존한다는 문제점을 노출하고 있다.

유럽연합의 경우에는 정보통신 분야에만 특정한 사항만 일부 별도로 규제하는 체계를 갖고 있으며, 세계 주요국은 오프라인과 온라인을 구분해 규제하고 있지는 않다.

유럽연합과 일본 등은 개인정보보호 단일법 체계를 가지고 체계적이고 일관적 개인정보보호 규제를 하고 있으며, 미국의 경우에는 상대적으로 개인정보 활용이 자유롭지만, 중요하다고 인정되는 영역에서는 개별법으로 구체적 문제를 해결하고 있다는 점에서 의미 있는 시사점을 주고 있다.

특히 일본의 경우에는 익명 가공정보 조항 신설, 개인정보보호위원회의 기능 강화 등 개인정보의 효과적 이용과 보호를 도모하고 있는 점에서 중요한 시사점을 주고 있다.

유럽연합, 일본, 미국 등의 개인정보보호 법체계에 있어서 무엇보다 중요한 것은 적어도 그들의 법체계가 중복규제나 사업자 혼란 등의 문제를 야기하지는 않는다는 것이다 .

우리나라의 법체계가 유럽연합 등 주요국가와 비교하여 크게 뒤처지고 있다고 보이지는 않는다.

그럼에도 불구하고 우리의 법 체계는 효과적 단일법 체계, 4 차 산업혁명 시대에서의 개인정보의 보호와 안전한 이용이라는 측면에서는 최근의 세계의 개인정보보호 법제도 변화 추세에는 뒤처지고 있음을 부인하기 어렵다.

따라서 현행의 개인정보보호 관련 법률체계를 전반적으로 살펴보고 정비해야 할 사항을 도출하여 범정부적 차원의 체계적이고 일관적인 법률체계를 마련해야 할 것이다.

<본 기사는 테크M 제53호(2017년 9월) 기사입니다>