DOI QR코드

DOI QR Code

A study on the Development Plan of Personal Information Protection System

개인정보보호 체계 발전 방안에 대한 연구

  • 주상현 (숭실대학교 IT정책경영학과 ) ;
  • 최병훈 (숭실대학교 IT정책경영학과 ) ;
  • 이진용 (숭실대학교 IT정책경영학과 ) ;
  • 전삼현 (숭실대학교 IT정책경영학과 )
  • Received : 2024.06.15
  • Accepted : 2024.08.09
  • Published : 2024.08.31

Abstract

The Personal Information Protection Commission was launched in August 2020 as an integrated control tower for personal information protection, but several problems have been pointed out in the personal information protection operation system. First, despite the fact that Korea's personal information protection system has an integrated legal system that regulates both the public and private sectors, it has been pointed out that it is difficult to carry out smooth personal information protection functions due to incomplete integration of protection functions, such as the Financial Services Commission being in charge of personal credit information protection and the Korea Communications Commission being in charge of personal location information protection. Next, despite the increasing number of public sector personal information leakage incidents, there is a lack of personnel with expertise and specialized support organizations to efficiently investigate them, and there is a concern that the lack of an efficient response system to personal information infringement by global IT companies in Korea in the era of digital commerce may weaken the protection of citizens' personal information. In order to solve these problems, I reviewed overseas cases and literature and proposed the following measures. First, it is necessary to centralize the personal information protection supervision function for credit information and location information to the Personal Information Protection Commission. Second, it is necessary to secure expertise by securing specialized personnel and establishing specialized institutions to respond to public sector personal information leakage incidents. Third, it is necessary to revitalize the domestic agency designation system and establish an international cooperation system to protect people's personal information in the digital commerce era. I believe that these measures to develop the personal information protection system will lead to more systematic personal information protection.

개인정보 보호를 위한 통합 컨트롤 타워로서 2020년 8월에 개인정보보호위원회가 출범하였으나 개인정보보호 운영 체계상 몇 가지 문제점이 지적되고 있다. 먼저 우리나라의 개인정보 보호 체계는 공공과 민간을 함께 규율하는 통합법 체계를 가지고 있음에도 불구하고 개인신용정보 보호 기능은 금융위원회가 담당하고, 개인위치정보 보호 기능은 방송통신위원회가 그대로 담당하는 등 보호 기능의 불완전한 통합으로 원활한 개인정보 보호 기능을 하기 어렵다는 지적이 있다. 다음으로 공공부문 개인정보 유출 사고가 증가하고 있음에도 이를 효율적으로 조사할 전문성을 갖춘 인력과 전문 지원기관이 부족한 문제가 있고, 디지털 통상시대를 맞이하여 글로벌 IT 기업의 자국 내 개인정보 침해에 대한 효율적인 대응체계가 부족하여 국민의 개인정보 보호가 약화 될 우려가 있다. 이러한 문제를 해결하고자 해외사례와 문헌들을 검토하여 다음과 같은 방안을 제시하였다. 첫째, 신용정보와 위치정보에 대한 개인정보 보호 감독 기능을 개인정보보호위원회로 일원화 할 필요가 있다. 둘째, 공공부문 개인정보 유출 사고에 대응하기 위해 전문인력 확보와 전문기관 설립 등 전문성 확보가 필요하다. 셋째, 디지털 통상시대에 국민의 개인정보보호를 위한 국내 대리인지정제도 활성화와 국제 공조 체계 구축 필요성을 제기하였다. 이와 같은 개인정보 보호 체계 발전 방안으로 한층 체계화된 개인정보보호가 이루어질 것으로 생각한다.

Keywords

Ⅰ. 서론

우리나라 개인정보 보호 수행 체계는 과거 금융위원회와 행정안전부 및 방송통신위원회로 나누어져 있어 효율적인 개인정보 보호 수행 체계에 한계를 보였다.

이러한 한계를 극복하고자 여러 부처에 분산되어 있던 개인정보 보호 관련 기능을 2020년 8월에 그림 1처럼 독립적인 중앙행정기관으로 개인정보보호위원회를 출범시켜 일원화하였다.

OTNBBE_2024_v24n4_167_2_f0001.png 이미지

그림 1. 개인정보보호위원회 출범 전후 개인정보 기능 수행 체계

Fig. 1. How the privacy function is organized before and after the Privacy Commissioner's launch

하지만 이러한 노력에도 불구하고 아직도 개인신용정보 보호에 대한 기능은 금융위원회가 그대로 담당하고 개인위치정보 보호에 대한 기능은 방송통신위원회가 담당하는 등 완전한 기능 통합으로 보기 어려운 점이 많다.

따라서 본 연구에서는 문헌자료 분석 등을 통해 현행 개인정보 보호와 관련한 조직과 법체계의 현황 및 문제점, 이슈 등을 검토하고, 영국, 미국, 일본, 캐나다 등 주요 국가 개인정보 보호 관리체계 사례를 분석하여 효율적인 개인정보 보호 운영체계를 마련하고자 한다.

Ⅱ. 개인정보의 개념과 보호의 중요성

1. 개인정보의 개념 및 특징

개인정보 보호법 제2조 제1호에 따르면 “개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보와 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 및 가명정보에 해당하는 정보를 말한다.”라고 정의하고 있다.

이러한 개인정보는 다음과 같은 특징을 가지고 있다. ① ‘살아 있는’ 개인에 관한 정보이다. ② ‘개인’ 자체에 대한 정보이다. ③ ‘정보’의 내용이나 형태는 특정화되어 있지 않다. ④ ‘알아볼 수 있는’ 정보가 개인정보이다. ⑤ ‘해당 정보와 다른 정보를 손쉽게 결합하여 특정 개인을 식별할 수 있는’ 정보도 개인정보이다. ⑥ ‘가명정보’도 개인정보로 본다.[1]

2. 개인정보보호의 중요성

개인정보는 일상생활에서 인터넷을 이용한 물건거래와 은행을 활용할 때 꼭 필요한 요소이다. 최근에는 휴대폰 어플을 이용한 물건과 금융거래가 빈번히 이루어지고 있어 개인정보가 단순히 거래의 도구뿐만 아니라 자산적 가치로 인식되고 있는 상황이다. 이러한 자산적 가치를 지닌 개인정보가 모르는 타인에 의해 불법적으로 유출되거나 수집되어 사용될 경우 개인의 프라이버시 침해와 재산적 피해를 초래할 뿐만 아니라 심각한 경우 범죄에 노출되어 생명까지 위협을 받을 우려가 있다.[2]

이러한 개인정보 침해는 초기에 개인정보의 주된 노출이 대국민 서비스 및 대고객 서비스의 접점인 홈페이지상의 게시판 및 첨부 파일을 통해 노출되고 있어 자동화된 개인정보 노출 진단을 위한 스캐닝 및 필터링 솔루션을 통해 홈페이지상에 무분별하게 노출되는 개인정보를 어느정도 효율적으로 관리하고 통제 해왔다.[3]

하지만 최근 기술 발달에 따라 이러한 홈페이지뿐만아니라 초소형 고성능 IT기기 활용 및 5세대 이동통신(5G)과 사물인터넷이 결합된 다양한 서비스 체계가 나타남에 따라 개인의 위치정보와 의료정보 등 개인정보가 다양한 형태로 수집되고 대량으로 유출이 될 가능성이 높아져 막대한 피해로 이어질 우려가 있다.[4]

이러한 개인정보 보호의 중요성에 대한 인식은 2021년 개인정보 보호 실태조사 결과에서도 그대로 나타났다. 정보주체의 개인정보 보호가 ‘중요하다’고 생각하는 응답은 83.9%로 나타났고 전년 대비 사업자(공공기관)의 개인정보 보호 중요성 인식수준 변화에서도 ‘인식 수준이 높아졌다’ 가 61.6%로 나타났다.[5]

이처럼 개인정보 보호의 중요성에 대한 인식이 전반적으로 높음을 고려 할 때 원활한 개인정보 보호 체계 운영의 필요성이 더욱더 커짐을 의미한다고 하겠다.

Ⅲ. 각국의 개인정보 보호 체계 분석

1. 영국 개인정보 보호 체계

영국은 정보위원회(Information Commissioner Office, 이하 ICO)가 표 1과 같은 업무를 수행하며 공공과 민간 부문 개인정보에 대해 관리·감독 한다.[6]

표 1. 영국 정보보호위원회(ICO)의 주요업무

Table 1. Key tasks of the UK Information Commissioner's Office (ICO)

OTNBBE_2024_v24n4_167_3_t0001.png 이미지

영국은 신용정보와 위치정보 업무를 정보위원회(ICO)가 담당한다. 즉, 신용 조회 기관(CRAs: Credit Reference Agencies)의 신용정보 활용에 대해 개인정보보호법률과 데이터보호 가이드라인 준수여부 및 민원을 처리하고 위치정보도 2018년 GDPR이 본격 시행됨에 따라 개인정보 범위에 포함하여 관리하고 있다.[7][8][9]

개인정보 역외 이전에 대해 영국은 2021년 역외 이전의 적정성 기준을 만족하는 EU의 GDPR 결정을 받는 등 디지털 통상시대에 큰 관심을 보이고 있다.[10]

아울러 영국 정보위원회(ICO)는 원활한 개인정보보호 업무 수행을 위해 전문가 채용 시 최소한 관련 분야 박사 학위를 요구하는 등 조직인력의 전문성을 강조하고 있다.

2. 캐나다 개인정보 보호 체계

캐나다 개인정보 보호 체계는 연방프라이버시커미셔너(OPC)와 주(州) 개인정보 감독기구로 이원화 되어 있으며 연방 개인정보 감독기구(OPC)의 업무는 표 2와 같다.[11]

표 2. 캐나다 연방 개인정보 감독기구(OPC) 주요업무

Table 2. The main responsibilities of the Office of the Privacy Commissioner of Canada (OPC)

OTNBBE_2024_v24n4_167_3_t0002.png 이미지

캐나다 개인정보 감독기구(OPC)는 신용정보와 관련하여 신용 관련 민간기관(Equifax와TransUnion 등)이 기타 금융기관들(은행, 자동차 금융 제공 업체 등)에게 개인신용정보와 모니터링을 제공 할때 발생하는 민원 업무를 처리 한다.[12]

3. 호주 개인정보 보호 체계

호주 개인정보 감독기구는 연방 호주 정보위원회(OAIC)와 주(州)별 개인정보 감독기구로 이원화 되어 있다.

호주 정보위원회(OAIC)는 Australian Information Commissioner Act 2010을 근거로 법무부 소속 독립기관으로 공공과 민간을 통합 감독하고, 각 주(州)는 주(州)별 개인정보 감독기관이 운영한다. 호주 정보위원회(OAIC)는 개인정보 정책을 수행하고, 정보주체의 민원사항을 조사·처리하거나 개인정보 관련 법규 준수 여부를 평가하며, 행정기관을 관리 ·감독한다. 아울러 개인정보 보호와 관련한 정책에 대해 여러 기관에 자문 기능을 하고 있다.[13]

호주 정보위원회(OAIC)는 신용정보 관련 민원을 조사하여 조정하거나 기관의 업무 변경을 통해 추가 피해 예방과 피해에 따른 손실 보상 등을 한다.[14]

4. 미국 개인정보 보호 체계

미국 개인정보 보호는 관리예산처(OMB)가 공공부문을 관리·감독하고, 연방거래위원회(FTC)가 민간부문을 관리·감독하는 이원화된 관리체계를 보인다.[15]

관리예산처(OMB)는 연방정부 산하기관으로 국가재정과 관련한 전반적인 정책 수립·집행뿐만 아니라 전자정부 및 IT, 정보 및 규제 업무를 비롯한 공공부문과 관련한 개인정보 보호 업무를 함께 수행하고 있다.[16]

민간부문 개인정보보호 업무를 담당하는 연방거래위원회(FTC)는 표 3과 같이 각 부서에서 기업과 소비자에게 개인정보의 중요성에 대한 인식을 제고하고, 위법하거나 불공정한 거래 관행에 대해 감시와 조사 권한을 행사한다.[17]

표 3. 미국 연방거래위원회(FTC)의 부서와 기능 [7]

Table 3. Departments and functions of the U.S. Federal Trade Commission (FTC)

OTNBBE_2024_v24n4_167_4_t0001.png 이미지

최근 하원 에너지·상업위원회는 2021년 9월에 연방거래위원회(FTC) 산하에 프라이버시와 개인정보보호를 담당하는 프라이버시국(Privacy Bureau)을 신설하는 예산안을 승인하는 등 개인정보보호에 적극 노력하고 있다.[18]

5. 일본 개인정보 보호 체계

일본 개인정보 보호 체계는 과거에 민간분야는 개인정보보호위원회(PPC)가 공공분야는 총무성(총무대신)이 담당하는 이원적인 구조를 취하고 있었다.

하지만 2022년 4월에 행정기관의 개인정보 보호 등에 관한 법률, 독립행정기관의 개인정보보호 등에 관한 법률 등을 개인정보보호법으로 통합하고 전체 관할권을 개인정보보호위원회(PPC)로 이관하여 민간과 공공부문을 함께 관리하는 일원적 구조로 변경하였다.[19] 이러한 일본 개인정보보호위원회(PPC)는 표 4와 같은 업무를 한다.[20]

표 4. 일본 개인정보 감독기구(PPC) 주요업무

Table 4. Main tasks of the Personal Information Protection Commissioner of Japan (PPC)

OTNBBE_2024_v24n4_167_4_t0002.png 이미지

일본은 국가가 민간 영역을 직접 규제하기보다는 법제화된 ‘인정 개인정보보호 단체’ 지정제도와 민간 자율의 개인정보 보호 지침을 마련하여 규제한다. 즉 ‘인정 개인정보보호 단체’는 자율규제 업무 수행 결과에 대해 정부에 보고하고 정부는 ‘인정 개인정보보호 단체’에게 인정 업무 실시 방법 개선과 지침 변경 등으로 민간 자율규제를 이끈다.

6. 한국 개인정보 보호 체계

우리나라는 개인정보보호위원회(PIPC)가 장관급 중앙행정기관으로 공공과 민간을 모두 규율하며 그림 2처럼 위원장(장관급), 부위원장(차관급), 1처 4국(관) 15과(팀)로 이루어져 있다.

OTNBBE_2024_v24n4_167_4_f0001.png 이미지

그림 2. 한국 개인정보보호위원회(PIPC) 조직

Fig. 2. Organization of the Personal Information Protection Commissioner of Korea (PIPC)

개인정보보호위원회(PIPC)는 개인정보보호법 제7조의 8에 따라 ① 개인정보의 보호와 관련된 법령의 개선에 관한 사항, ② 개인정보 보호와 관련된 정책ㆍ제도ㆍ계획 수립ㆍ집행에 관한 사항, ③ 정보주체의 권리침해에 대한 조사 및 이에 따른 처분에 관한 사항, ④ 개인정보의 처리와 관련한 고충처리ㆍ권리구제 및 개인정보에 관한 분쟁의 조정, ⑤ 개인정보 보호를 위한 국제기구 및 외국의 개인정보 보호기구와의 교류ㆍ협력, ⑥ 개인정보 보호에 관한 법령ㆍ정책ㆍ제도ㆍ실태 등의 조사ㆍ연구, 교육 및 홍보에 관한 사항, ⑦ 개인정보 보호에 관한 기술개발의 지원ㆍ보급, 기술의 표준화 및 전문인력의 양성에 관한 사항의 업무를 처리한다.

이러한 업무 중 일부를 「정보통신망법」 제52조에 따라 설립된 과학기술정보통신부 산하 공공기관인 한국인터넷진흥원(KISA)에 위탁 운영하고 있다. 구체적인 업무는 개인정보보호법 시행령 제62조제3항제1호 내지 제9호까지 적시된 국제회의, 신기술개발 지원, 개인정보 이슈, 교육 홍보, 침해방지 실태점검, 개인정보 영향 평가 등의 업무이다.

7. 시사점

이상과 같이 각국의 개인정보 보호 체계를 살펴본 결과 표 5와 같이 국가별 감독기구의 조직 구성, 기능 및 기타 특이 사항을 비교표로 정리할 수 있다.

표 5. 주요 국가별 개인정보보호 감독기구 비교 정리

Table 5. Comparison of privacy supervisory authorities in major countries

OTNBBE_2024_v24n4_167_5_t0001.png 이미지

이러한 국가 간 비교를 통하여 다음과 같이 우리나라 개인정보 보호 체계 발전 방안에 시사하는 바를 파악할 수 있다.

첫째, 신용정보는 영국, 캐나다, 호주의 개인정보 감독 기구가 일원화된 형태로 관리 감독하고 있고, 위치정보는 영국이 개인정보 범위에 포함하여 관리하고 있다. 이러한 해외사례는 우리나라도 개인신용정보와 개인위치정보에 대해 일원화된 관리체계가 필요함을 제시한다.

둘째, 개인정보 보호 전문성과 관련하여 영국은 인력 채용 시 관련 분야 학위나 실무 근무 경력을 필요로 하는 바 우리나라도 전문성 있는 직원 채용에 시사점을 제시한다. 아울러 전문기관은 현재 한국인터넷진흥원이 개인정보보호위원회를 지원하고 있으나 독립적 지원에 한계가 있는 만큼 새로운 기관을 설치하여 전문성을 강화할 필요성이 있다.

셋째, 디지털 통상시대 도래와 한국, 영국, 일본의 EU GDPR 적정성 결정 통과로 개인정보 보호 범위가 국외로 넓어지고 글로벌 거대 IT기업의 자국 내 개인정보 보호 침해 우려가 커짐에 따라 국제협력 방안 마련이 필요하다.

IV. 우리나라 개인정보 보호 수행체계 한계

1. 개인정보 감독 기능의 불완전 통합

앞서 살펴본 바와 같이 개인정보보호위원회 출범에 따라 개인정보 보호 집행체계 일원화가 어느 정도 실현되었으나 표 6에서 보듯이 여전히 개인신용정보와 개인위치정보 관련 업무는 금융위원회와 방송통신위원회로 이원화되어 있다.

표 6. 개인정보 보호 관련 법과 담당조직

Table 6. Privacy Protection Laws and Responsible Organizations

OTNBBE_2024_v24n4_167_5_t0002.png 이미지

이러한 감독체계 분산은 중복규제와 국민들의 신속한 피해구제를 어렵게 만들어 제대로 된 개인정보 보호를 받지 못하게 한다.[21] 또한 개인정보 보호 법령해석에서도 담당 부처가 나누어져 있다면 부처 간 통일적인 해석을 도출하기 어려워 국민은 혼란을 겪게 되고 궁극적으로 부처간 대립 또는 행정력 낭비로 비추어질 우려가 있다.[22]

일반적으로 별도로 특별한 분야에 관리·감독을 해야 한다면 그에 대한 합리적인 이유가 필요하지만 외국 기관도 개인신용정보와 개인위치정보를 개인정보로 보고 통합된 관리체계를 이끌어가고 있는 상황에서 우리나라에서만 특별히 개인신용정보를 금융위원회가 개인위치정보를 방송통신위원회가 담당할 합리적인 필요성은 찾기 어렵다.[23]

2. 공공분야 개인정보 유출 증가에 대응할 전문성 강화 필요

가. 공공부문 개인정보 유출 사고 증가

공공부문 개인정보 침해는 일반적으로 행정기관이 집행 업무 수행 시 필요한 개인정보를 수집하거나 활용하는 과정에서 발생한다. 국민들은 정부와 공공기관이 본인의 사적 정보를 자세히 알게 된다는 우려와 기관들 실수로 개인정보가 유출되면 발생할 문제 등에 대해 민간부문에 못지않게 공공부문 개인정보 보호에 큰 관심을 가진다.[15]

하지만 표 7의 언론보도처럼 고의성을 띤 의도적 유출과 해킹이나 업무 과실 및 시스템 오류 등 공공기관 개인정보 유출 사고가 빈번하게 발생하고 있다.[24][25][26][27]

표 7. 공공기관 개인정보 유출 사고 관련 언론보도

Table 7. News Report: Data Breach Incident at Public Institution

OTNBBE_2024_v24n4_167_6_t0001.png 이미지

나. 전문성 강화 방안 부족

이처럼 공공부문 개인정보 유출 사고가 증가하고 있으나 이에 대응할 전문성을 갖춘 인력이 부족하고 개인정보보호위원회 지원 전문기관도 부재한 실정이다.

보안뉴스(’22.10.24.)는 “2019년부터 2020년 8월까지 공공기관 개인 정보 유출 규모가 7만건에 달하고 개인정보보호위원회 조사 건수도 2020년 대비 2021년에는 1.6배나 증가했는데 조사 인력이 한 명도 증가하지 않았다.”라고 개인정보보호위원회의 전문 조사 인력 부족을 지적하고 있다.[28]

따라서 개인정보보호위원회 전문성을 강화하기 위해 영국처럼 일정한 학위와 현장 경험이 있는 전문인력을 충원하거나 업무지원을 위한 독립성과 전문성을 가진 균형감 있는 전문 지원기관의 신설을 검토할 필요성이 있다.

3. 디지털 대전환 시대 개인정보 보호 기능 개선 필요

디지털 대전환 시대에 구글, 페이스북, 애플 등 글로벌 IT 기업들의 개인정보보호 침해는 중요한 이슈다. 뉴스1(‘19.10.8)은 아일랜드 데이터보호위원회(IDPC)가 2019년에 구글, 메타, 애플, 트위터 등 미국 글로벌 빅테크 기업의 GDPR 위반 여부를 조사 하였고,[29] 한국경제(22.11.29.)도 아일랜드 데이터보호위원회(IDPC)가 '개인정보 유출'을 한 메타에 '1조7000억' 역대급 벌금을 부과한 것을 보도하였다.[30]

우리나라 개인정보보호위원회도 2022년에 개인정보보호법 위반 혐의에 대해 구글에 692억원, 메타에는 308억원의 과징금을 부과 하였다.[31]

이처럼 다국적 IT 기업들이 개인정보 보호 의무를 위반하고 개인정보를 활용하여 수익 창출을 한 것에 대해 각 국은 벌금을 부과하여 자국의 개인정보 보호에 노력하고 있지만 궁극적으로 이러한 글로벌 기업 본사가 자국에 없어 조사권 행사의 한계로 실질적인 보상을 받기 힘든 상황이다.

아울러 글로벌 기업의 개인정보 보호 위반 사항에 대한 국제적인 공조 체제가 없어 각 나라마다 개별적으로 조사하고 처분 사항을 공유하지 않아 유사한 사례에 대해 다른 나라가 신속하고 정확한 처분을 하는 데 한계가 있다.

Ⅴ. 우리나라 개인정보 보호 수행체계 발전방안

1. 개인신용정보와 개인위치정보 보호 기능 일원화

개인정보 보호를 위해 일원화된 관리·감독 기능을 가진 개인정보보호위원회를 출범시킨 취지를 살리기 위해서라도 개인신용정보 보호 기능과 개인위치정보 보호 기능은 아주 특별한 예외적 사유가 아닌 한 개인정보보호위원회를 중심으로 통합 운영될 필요성이 있다.[32]

가. 개인신용정보 보호기능 이관을 위한 신용정보법 개정 방안

현재 개인신용정보 업무를 담당하고 있는 금융위원회는 금융에 관한 정책 및 제도를 마련하고 집행하며, 금융기관 및 자본시장 감독 등이 주된 업무이므로 개인신용 정보 보호 전문기관으로 보기에는 한계가 있다.

따라서 다음과 같이 「신용정보법」 개정을 통해 개인신용정보 사항을 개인정보보호위원회로 이관할 필요가 있다.

첫째, 개인신용정보 범위를 개인 신용 판단에 객관적으로 필요한 범위로 한정해야 한다. 즉 신용정보 대상에서 거래상대방의 신용을 판단할 수 있는 거래정보 중 「신용정보법」 제2조(정의) 제1의3마목에 있는 “상법 제46조에 따른 상행위에 따른 상거래의 종류, 기간, 내용, 조건 등에 관한 정보”의 삭제를 검토할 필요가 있다.

둘째, 「신용정보법」 제2조(정의) 7호 개인신용정보 수범자 범위를 신용정보 산업과 관련된 신용정보회사‧채권추심회사 등으로 한정하고 신용정보제공과 이용자는 삭제할 필요성이 있다.

셋째, 「개인정보 보호법」 적용과 관련한 유사 중복 규정은 삭제하고, 채권추심 목적의 개인신용정보 제3자 제공 등 신용정보업을 위해 필요한 규정만 존치할 필요가 있다.

나. 개인위치정보 보호기능 이관을 위한 위치정보법 개정 방안

방송통신위원회의 「위치정보법」 제3장 위치정보의 보호와 제6장 벌칙 규정 부분이 「개인정보 보호법」과 유사하여 위치정보 사업자는 「개인정보 보호법」과 「위치정보법」에 따른 안전조치, 수집 동의 등의 의무를 이중으로 부담하는 문제가 있다.

따라서 다음과 같이 「위치정보법」과 「개인정보 보호법」에서 중복되는 개인위치정보 내용을 모두 「개인정보보호법」으로 이관하고 특수한 규정만 남길 필요가 있다.

첫째, 「위치정보법」 제3장 ‘개인위치정보의 보호’에 대한 의무와 ‘개인위치정보주체 등의 권리’ 규정은 「개인정보 보호법」으로 이관시켜 통합하여 규정해야 한다.

둘째, 「위치정보법」 제4장 ‘긴급구조를 위한 개인위치정보 이용’ 역시 「개인정보 보호법」 제15조 제1항 제5호의 규정을 구체화시켜 놓은 것에 불과하므로 삭제해야 한다.

이상과 같이 개인신용정보와 개인위치정보를 「개인정보 보호법」으로 통합시켜 개인정보보호위회가 통일적으로 관리·감독하는 것이 법 해석과 집행에 바람직할 것이다.[33]

2. 개인정보 보호 전문성 강화

앞서 살펴보았듯이 공공부문 개인정보 유출 사고가 급증함에도 개인정보보호위원회의 전문 조사인력이 증가하지 않고 전문 지원기관도 없어 효과적인 대응이 어렵다.

가. 기관의 전문인력 충원방안

개인정보보호위원회가 법 해석을 위한 변호사와 현장 조사를 위한 조사 전문가 등 전문인력을 직접 충원하면 좋지만 행정안전부와 기재부의 승인을 받아야 하는 절차상 한계와 최근 작은 정부 지향의 인력 감축 추세로 원하는 인력을 적기에 충원하기 어렵다.

나. 전문기관 설립 방안

개인정보 보호 업무의 체계적인 전문적 지원을 위해 다음 사항을 고려한 독립적 전문기관 설립이 필요하다.

첫째, 설립 형태는 정부의 위탁 업무 수행과 재정 및 운영의 자율성을 지니며 법적 근거로 설립되는 한국지능정보사회진흥원, 한국고용정보원, 한국소비자원 등의 위탁집행형 준정부기관이 바람직할 것으로 생각한다.

둘째, 새로운 전문기관의 기능은 가명처리, 빅데이터, 마이데이터, AI 등 새로운 분야에 대해 개인정보 침해조사, 교육 컨설팅, 기술개발 사업, 전송 요구권 실질화, 자동화된 의사결정 등을 고려 해야 한다.

셋째, 새로운 전문기관의 조직은 상기 기능 등을 기반으로 그림 3처럼 각 부문의 조직을 구성하여 운영할 수 있을 것으로 생각한다.

OTNBBE_2024_v24n4_167_7_f0001.png 이미지

그림 3. 신설 전문기관 조직 예시

Fig. 3. Example of a new specialty organization

결론적으로 개인정보 분야 전문성 확충 방안은 단기적으로 개인정보보호위원회가 전문인력 충원에 지속적으로 노력하고 장기적으로 개인정보보호위원회 산하에 전문기관을 설립함으로써 개인정보 침해에 대한 예방과 대응수준을 제고하고 데이터의 안전한 활용 촉진을 이끌어 나갈 필요가 있다고 생각한다.

3. 디지털 대전환에 따른 효율적 개인정보 보호 제도 개선

가. 국내 대리인 지정제도 실효성 확보 방안

디지털 통상시대에 글로벌 기업들의 개인정보 침해 사례가 늘고 있어 국민의 정보 주권을 보호하기 위해서는 해당 기업과 연락하여 자료를 제출받아 조사할 필요가 있다. 하지만 대부분 글로벌 기업들이 해외에 본사를 두고 있어 실질적인 조사가 어렵다.

이러한 어려움을 해결하고자 우리나라는 ‘국내 대리인 지정제도’를 운영하고 있다. ‘국내 대리인 지정제도’는 글로벌 국외 사업자를 대상으로 국내에 대리인을 지정하도록 한 제도이다.[34]

하지만 일부 사업자의 경우 국내 대리인의 성명, 주소, 전화번호를 개인정보 처리방침에 포함하지 않거나 상담원 연결 없이 ARS만 운영하는 등 개인정보 침해사건 발생 시 구체적인 조사를 하기 어려운 경우가 발생한다.[35]

이러한 미비점을 보완하기 위하여 「개인정보 보호법」에 국내 대리인 지정 여부의 신속한 파악과 사건 발생 시 원활한 조사를 하기 위해 해외 사업자가 국내 대리인 지정 시 위원회에 통지하는 의무를 부과 할 필요가 있다.

구체적으로 「개인정보 보호법」 제39조의11에 “국내에 주소 또는 영업소가 없는 정보통신서비스 제공자 등으로...... 다음 각 호의 사항을 대리하는 자(이하 “국내 대리인”이라 한다)를 서면으로 지정하여야 한다.”로 규정되어 있는데 여기서 단순히 ‘서면으로 지정함’에 그치지 말고 ‘그 지정 사실과 관련 사항을 개인정보보호위원회에 알리고 요건 미비 시 수정·보완 지시가 가능하도록 하며 위반 시 제재 규정을 부과함’이라는 내용으로 규정하여 국내 대리인 지정제도의 실효성을 확보할 필요성이 있다.

나. 조사 업무와 관련한 국제 협력체계 구축

현재 개인정보 보호와 관련한 국제협의체로는 글로벌 프라이버시 총회(GPA), 아시아 태평양 프라이버시 집행기관(APPA), 경제협력개발기구 디지털경제의 데이터 거버넌스 프라이버시 작업반(OECD PDGP), 유럽평의회(CoE), 프라이버시 집행기구 네트워크(GPEN) 등이 있어 국가 간 다양한 개인정보보호의 이슈와 법제 동향 기술 방안 등을 논의하고 있다.

이러한 국제협의체를 글로벌 기업의 개인정보 침해 사건에 있어 국가 간의 공조체계로 활용한다면 보다 더 효율적인 범세계적 대응이 되지 않을까 생각한다.

이를 위해 단기적으로는 우리나라가 MOU를 맺고 있는 영국과 프랑스 개인정보 보호 관리 감독기구에 인력을 상호 파견하여 개인정보 보호 조사 노하우 공유와 글로벌 기업의 개인정보침해 사례에 대한 정보공유를 통하여 적극적인 개인정보 보호 공조 체계를 이끌 어 나갈 필요가 있다.

중장기적으로 세계 각국과 개인정보 보호 조사 공조 체계를 구축하는 방안이 필요하다. 현재 범죄와 관련된 정보를 공유하고 수사에 협력함으로써 효과적인 범죄 검거에 나서고 있는 인터폴(국제형사경찰기구)처럼 개인정보보호위원회가 주도적으로 글로벌 해외기업의 개인정보보호 침해 사건에 대한 국제협의체를 구성하는 것도 바람직한 방안이라고 생각한다.

Ⅵ. 결론

해외 주요 개인정보 보호감독 기구들의 조직과 기능을 살펴보고 공공부문 개인정보유출 증가 및 디지털 통상시대에서 우리나라 개인정보보호 체계에 대한 문제점을 도출하였고 다음과 같은 발전 방향들을 제시하였다.

첫째, 신용정보법과 위치정보법의 개정을 통해 개인신용정보와 개인위치정보의 관리‧감독 기능을 개인정보보호위원회로 일원화하여야 한다.

둘째, 증가하는 공공부문 개인정보 유출 사고에 대응하기 위한 전문성 제고를 위해 지속적인 전문인력 충원과 전문기관 설립 방안을 제시하였다.

셋째, 디지털 통상시대에 해외 거대 IT기업의 개인정보 침해에 능동적으로 대응하기 위해 국내 대리인 지정 제도 개선 방안과 국제협력 공조 체계 마련을 제시하였다.

하지만, 개인신용정보와 개인위치정보의 관리 감독권을 개인정보보호위원회로 일원화하기 위한 「신용정보법」과 「위치정보법」의 구체적인 개정안을 만들어 내지 못하였다. 그리고 전문성 제고를 위한 전문기관 설립 방안은 국회 및 관련 부처와의 설득이 병행되어야 하는 한계를 가지고 있다. 아울러 디지털 통상시대에서 개인정보 침해 현황과 문제점을 구체적으로 분석하지 못한 아쉬움이 있다.

향후에는 이러한 한계를 극복하고 보다 면밀한 연구를 통하여 효과적인 개인정보 보호 체계 방안을 마련할 필요가 있다고 생각한다.

아무쪼록 본 연구를 통해 우리나라 개인정보보호위원회의 개인정보보호 체계를 어떻게 개선해야 할지에 대한 방향 제시에 조금이라도 도움이 되었기를 바란다.

References

  1. Personal Information Protection Commission Korea. (2020). Explanation of Personal Information Protection Laws, Guidelines, and Notices. 
  2. The importance of personal information, "The Privacy Portal Homepage", Retrieved June 11, 2024. from https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=34 
  3. Ho-Young Hwang, & Nam-Yun Kim, "Personal Information Protection System for Web Service.", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 11, No. 6, pp. 261-66, 2011. DOI: https://doi.org/10.7236/JIWIT.2011.11.6.261 
  4. Min-Woo Kim, "A constitutional study on the concept and the protection of personal information", Graduate School Sungkyunkwan University, 2021, Seoul, Korea. from http://www.riss.kr/link?id=T15921193 
  5. Personal Information Protection Commission and Korea Internet & Security Agency Korea. (2022). 2021 Information Security Status Survey. from https://www.kisa.or.kr/20505/form?postSeq=2&lang_type=KO 
  6. ICO Operations, "ICO Homepage", Retrieved June 11, 2024, from https://ico.org.uk/about-the-ico/what-we-do/ 
  7. ICO Credit Information, "ICO Homepage", Retrieved June 11, 2024, from https://ico.org.uk/your-data-matters/credit/ 
  8. Does an organisation need my consent?, "ICO Homepage", Retrieved June 11, 2024, from https://ico.org.uk/your-data-matters/does-an-organisation-need-my-consent/ 
  9. ICO Location data , "ICO Homepage", Retrieved June 11, 2024, from https://ico.org.uk/for-organisations/direct-marketing-and-privacy-and-electronic-communications/guide-to-pecr/communications-networks-and-services/location-data/ 
  10. Ministry of Trade, Industry and Energy (MOTIE) and Korean Standards Association (KSA) Korea. (2021). Basics of Digital Trade Made Easy with Examples. 
  11. OPC Operations, "OPC Homepage", Retrieved June 11, 2024, from https://www.priv.gc.ca/en/about-the-opc/who-we-are/organizational-structure/ 
  12. Canadn Credit Information, "Canada Homepage", Retrieved June 11, 2024, from https://www.canada.ca/en/financial-consumer-agency/services/credit-reports-score/credit-report-score-basics.html 
  13. OAIC Operations, "OAIC Homepage", Retrieved June 11, 2024, from https://www.oaic.gov.au/about-the-OAIC/what-we-do 
  14. OAIC Credit Information, "OAIC Homepage", Retrieved June 11, 2024, from https://www.oaic.gov.au/privacy/credit-reporting/ 
  15. In-Ho Lee, "Some Analyses on the Legal Regime of Data Protection in the United States.", CHUNG-ANG JOURNAL OF LEGAL STUDIES, Vol. 29, No. 1, pp. 193-217, 2005. from https://www.riss.kr/link?id=A346499 
  16. OMB Organization, "Whitehouse Homepage", Retrieved June 11, 2024, from https://www.whitehouse.gov/omb/ 
  17. FTC Organization, "FTC Homepage", Retrieved June 11, 2024, from https://www.ftc.gov/about-ftc/bureaus-offices 
  18. Reuter, "ACLU, 26 other groups support $1 billion boost for FTC privacy work", September 24, 2021. Retrieved from https://www.reuters.com/world/us/aclu-26-other-groups-support-1-billion-boost-ftc-privacy-work-2021-09-23/ 
  19. Lawtimes, "Amendments and Implications of the Japanese Personal Information Protection Law Scheduled for Implementation in April", March 28, 2022. Retrieved from https://www.lawtimes.co.kr/opinion/177397?serial=177397 
  20. PPC Operations, "PPC Homepage", Retrieved June 11, 2024, from https://www.ppc.go.jp/aboutus/commission/ 
  21. In-Ho Lee, "Strategies for Effective Data Protection Governance in South Korea.", Industry-Academia Cooperation Foundation Chung-Ang University, 2017. Retrieved from https://www.prism.go.kr/homepage/entire/researchDetail.do?researchId=1079930-201700004&gubun=totalSearch&menuNo=I0000002 
  22. Min-Ho Kim, "Improvement Measures for the Functions and Roles of the Personal Information Protection Commission", Implementation Status and Legislative Tasks of the Personal Information Protection Act (Academic Seminar), pp. 53-71, 2012. Retrieved from https://www.nars.go.kr/report/view.do?cmsCode=CM0008&brdSeq=542 
  23. Il-hwan Kim, "A Study on the Role and Function of Personal Information Protection Commission.", Study on the American Constitution, Vol 28, No 2, 219-273. from https://www.riss.kr/link?id=A103478179  103478179
  24. SEGYEILBO, "Police officers jailed for unauthorized viewing of CCTV to see if female officer met anyone before dating...", January 20, 2022. Retrieved from https://www.segye.com/newsView/20220120510113 
  25. BOANNEWS, "Seoul National University Hospital hacked, patient information leaked", July 8, 2021. Retrieved from https://m.boannews.com/html/detail.html?idx=98932 
  26. KBS, "Dozens of people's social security numbers and contact information exposed on health center-lent phones", January 28, 2022. Retrieved from https://news.kbs.co.kr/news/pc/view/view.do?ncd=5384340 
  27. MDTODAY, "NHIS Sends Personal Information to Wrong Recipients in 'Eligibility Change Notice' Error", January 22, 2021. Retrieved from https://mdtoday.co.kr/news/view/179515948607980 
  28. BOANNEWS, "Public institutional personal information leakage incidents↑ Disposal agency and investigation power↓", October 24, 2022. Retrieved from https://www.boannews.com/media/view.asp?idx=110929 
  29. NEWS1, "Facebook could face $2 trillion fine in EU for 'privacy violations'", October 8, 2019. Retrieved from https://www.news1.kr/articles/?3738821 
  30. HANKYUNG, "Ireland Imposes Record Fine of 1.7 Trillion Won on Meta for 'Data Breach'", May 22, 2023. Retrieved from https://www.hankyung.com/article/202305222170i 
  31. HANKYUNG, "Google, Meta fined 100 billion for 'illegal collection of personal information'", September 14, 2022. Retrieved from https://www.hankyung.com/article/2022091403391 
  32. Hyun-Kyung Kim, "Critical review on the scope of personal credit information -Is all the basic commerce transaction information personal credit information?-.", Ewha Law Journal, Vol. 25, No. 2, pp. 257-291, 2020. DOI: https://doi.org/10.32632/elj.2020.25.2.257 
  33. Hyun-Kyung Kim, "Study on Consistency of the Personal Information Legal Framework - focusing on the finance.healthecare.ICT areas.", SungKyunKwan Law Review, Vol. 28, No. 1, pp. 31-69, 2016. https://www.riss.kr/link?id=A101838288  101838288
  34. AJU PRESS, "Google, Facebook, and other global tech companies set up representatives in Korea", March 18, 2019. Retrieved from https://www.ajunews.com/view/20190318153557342 
  35. KUKINEWS, "Korea Communications Commission (KCC) to Develop Improvement Measures for Domestic Agent Designation System and Local Residents' Rights in Submarine Cable Systems ", October 21, 2019. Retrieved from https://www.kukinews.com/newsView/kuk201910210272