[시론] 개인정보 보호를 위한 첫째 조건 / 김기중

김기중 변호사

국가적 재난 수준으로 금융권 개인정보가 통째로 유출되고 이동통신사 가입정보가 통째로 털리고 있는 이 엄중한 시기에, 개인정보보호위원회(이하 보호위)의 목소리는 전혀 들리지 않는다. 방송통신위원회는 개인정보보호법에 규정된 기준을 가이드라인으로 변경하려 하고 있으나, 보호위는 이에 대해서도 아무런 입장을 밝히지 못하고 있다. 보호위는 2012년 3월 강력한 개인정보보호법(이하 보호법)의 시행과 함께 출범한 대통령 소속의 개인정보 전담 정부조직인데 어떻게 이렇게 되었을까.

보호위의 위상과 권한에 그 힌트가 있다. 보호위의 권한은 참으로 형식적이며, 그 위상은 안전행정부가 수립한 정책에 대한 심의기관에 불과하다. 보호위는 개인정보의 보호에 관한 사항을 ‘심의·의결’할 수 있을 뿐이고, 정책을 수립하고 집행하는 핵심 권한은 모두 안전행정부에 있다. 이런 상황에서 ‘대통령 소속’이라거나 ‘독립적 업무수행’이라는 법문상의 문구가 무슨 의미가 있는지 모르겠다.

개인정보 대량 유출과 오남용의 원인에는 다양한 진단이 있다. 하지만 근본적인 원인은 주민등록번호제 등 엄격한 주민관리시스템과 이 시스템의 제한 없는 이용, 개인정보의 무분별한 수집과 이용을 보장하는 법제도와 관행에 있을 것이다. 이러한 근본적이고 제도적인 문제를 해결하기 전에는 개인정보의 부당한 수집과 잘못된 이용 및 대량 유출이 없는 안전한 사회를 만드는 것은 결코 가능하지 않다.

근본적 해결을 위해서는 개인정보 전담조직은 법령, 제도, 정책에 깊이 개입할 수 있어야 하고 독립적이어야 한다. 개인정보 보호에 반하는, 하지만 효율적인, 일반 법제도와 관행에 대한 문제제기는 일반 제도와 정책에서 한발 떨어져 있는 독립적인 개인정보 전담조직에서만 가능하기 때문이다. 하지만 보호위는 ‘개인정보 보호 관련 정책, 제도 및 법령의 개선에 관한 사항’에 관하여 심의, 의결을 할 수 있을 뿐이며 조사권한은 아예 없다. 보호위는 그동안 몇건의 정책권고를 의결하였으나 법률에 명시적인 권한이 없는 이러한 권고에 힘이 있을 리 없다.

많은 외국 개인정보보호위원회가 독립된 조직과 충분한 권한을 갖고 개인정보 관련 정책, 제도, 법령은 물론이고 관행에 대해서도 조사하고 필요한 경우 시정을 권고하는 활동을 하고 있는 이유는 바로 법령, 제도, 정책, 관행의 개선에 문제 해결의 근원이 있다고 보기 때문이다. 개인정보 통합법률안이 2004년 17대 국회에 처음 제안된 이래 그 제안주체가 여당이든 야당이든 관계없이 모두 공통적으로 보호위의 독립성을 보장하고 보호위에 정책 수립 및 집행기능을 부여했던 이유도 같은 것이다.

그런데 이명박 정부의 정부조직 개편에 의해 정보통신부가 해체되고 그 기능 중 개인정보 업무가 당시 행정안전부로 이관되면서 문제가 생겼다. 행안부가 강력한 법안추진자가 되어 당시 발생하였던 옥션의 개인정보 유출 등 사회문제를 배경으로 현행 법률과 같은 잘못된 법안이 통과되어 버린 것이다. 하지만 법이 시행된 2년 동안 대량의 정보유출 사고가 끊이지 않았고 보안기술에 대한 강조를 제외하고는 큰 변화가 없는 현실을 보면, 현행 법체계에 문제가 있음을 알 수 있을 것이다.

이제 잘못된 선택을 바로잡아야 한다. 마침 정부조직 개편에 관한 논의가 있고, 그 논의의 핵심은 안전행정부의 권한 재분배라고 하므로, 보호위의 위상과 권한에 관하여도 재논의하여, 위와 같은 잘못을 바로잡아야 한다. 특히 주민등록번호와 주민관리시스템의 주무부처인 안전행정부를 개인정보에 관한 국가정책의 수립기관으로 그대로 둔 채 개인정보 보호제도를 논하는 것은 있을 수 없는 일이다.

김기중 변호사