’12년도~’14년도 개인정보보호 기본계획(안)에 대한 의견의 건

2012-01-30
□ 개인정보보호 기본계획(안) 수립의 기본 골격에 심각한 결함이 있음


- 개인정보 보호법에는 “개인정보의 보호와 정보주체의 권익 보장”을 목적으로 개인정보보호 기본계획(이하 ‘기본계획’)을 수립하도록 하고 그 구체적인 내용으로 1. 개인정보 보호의 기본목표와 추진방향 2. 개인정보 보호와 관련된 제도 및 법령의 개선 3. 개인정보 침해 방지를 위한 대책 4. 개인정보 보호 자율규제의 활성화 5. 개인정보 보호 교육·홍보의 활성화 6. 개인정보 보호를 위한 전문인력의 양성 7. 그 밖에 개인정보 보호를 위하여 필요한 사항 을 포함하도록 하였음(제9조)


- 그러나 기본계획(안)에는 정보주체의 권익을 향상시키기 위한 구체적인 목적(비전)이 누락되어 있을뿐더러 구성체계상 법 제9조 제2항에서 포함하도록 명시한 항목을 따르고 있지 않음. 또한 기본계획(안)은 개인정보보호법에 명시된 여러 원칙과 국가의 책무를 이행하기 위해 법문보다 구체적인 과제를 제시해야 마땅하지만 법문에 대한 추상적인 동어 반복에 그치고 있음


- 기본계획은 개인정보 보호 원칙(제3조)과 정보주체의 권리(제4조)를 이행하기 위한 법제도의 구체적인 개선 방향 등 실질적인 계획을 담아야 마땅함. 특히 개인정보보호법 제5조(국가 등의 책무)에서 “개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구”할 것을 명시하고 있고(제1항), “제4조에 따른 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책”(제2항) 및 “개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진·지원”(제3항)할 것을 명시하고 있는 바, 기본계획은 이러한 법령상 국가의 책무를 보다 구체적으로 이행하기 위한 과제가 명확히 포함되어야 마땅함


- 이러한 결함은 「국가인권정책기본계획」과 비교하여 보았을 때 더욱 도드라짐. 「2007-2011 국가인권정책기본계획」은 체계상 △시민적·정치적 권리의 보호와 증진 △경제적·사회적·문화적 권리의 보호와 증진 △사회적 약자 및 소수자의 인권 △인권교육, 인권 관련 국내·외 협력 및 국제인권규범의 이행 등의 항목 및 목표 하에 각각 ▲국내 기준 ▲국제 기준 ▲현황 ▲쟁점 ▲추진과제 및 이행방안 등 구체적인 계획을 명시하고 개별 법령별 관련 사항도 포함하였음


□ 기본계획(안) 수립의 절차에 결함이 있음


- 본 기본계획(안)의 수립 과정에 민간단체 등 시민사회의 의견수렴 절차 누락되었음


- 유엔이 국가인권정책기본계획의 개발과 이행에 시민사회의 참여를 권고한 이래로(유엔인권고등판무관실, 「국가인권정책기본계획 안내서」, 유엔 전문교육훈련 자료 제10호, 2002년 8월 29일), 국가인권정책기본계획의 수립 과정에는 시민사회의 참여가 공식적으로 보장되어 있음을 참고할 필요가 있음


□ 기본계획(안)의 내용에 결함이 있음


- 기본계획(안)의 비중상 구체적인 법제도 정비나 정보주체의 권리 실현과 같은 계획보다는 국제기구 회원자격 확충이나 총회 유치, 자격증 제도 운영 및 인증마크제 도입과 같은 부수적이고 과시적인 지표 제시에 치중하여 있음.


- 기본계획(안)이 추진배경에서 △정보화에 따른 개인정보 이용․침해 증가 △ 개인정보보호 제도의 변화 △ 해외 개인정보보호 정책동향을 들었으면서도 주요 과제로 1. 개인정보보호 체계 정립(개인정보 관련 법 체계 정비, 범정부 협의체계 구축, 국제협력 강화) 2. 개인정보보호 역량 강화(개인정보보호 인력확충 및 전문성 강화, 중장기 전문인력 양성 및 수급체계 구축, 연구기반 구축 지원) 3. 침해 예방 및 대응 강화(개인정보 처리 실태 점검, 침해 예방 대책 수립, 정보주체의 권리보장 강화) 4. 사회적 인식 제고(자율규제 활성화, 개인정보보호 홍보 강화) 등을 제시한 것은, 범 국가적인 개인정보보호 기본계획이라기 보다는 소극적인 개인정보 보호 및 행정안전부 등 정부 부처의 업무 방향을 제시한 것에 불과함


- 급변하는 IT 및 국제 환경 속에서 본 기본계획(안)은 향후 3년 간 국내 개인정보 보호 환경 및 정보주체의 권익 보장을 담보하기에 부족하며 현재 국내외에서 쟁점이 되고 있는 개인정보 보호 관련 사항도 전혀 반영하고 있지 못함.


□ 다음과 같은 내용이 기본계획에 포함되어야 함


○ 공공기관 개인정보 수집, 이용 및 제공 실태 전체 점검


- 기본계획(안)에서는 “공공기관 및 민간의 일정 규모이상 개인정보파일 운영실태 조사”한다고 하였으나 추상적이고 선언적인 계획에 그침

- 개인정보보호법에 따르면 공공기관이 개인정보를 수집 및 이용할 수 있는 법적 근거는 “법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우”로 규정되어 있고, 이 파일을 목적 외로 이용하거나 제3자에게 제공할 수 있는 경우는 “개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우”로 한정되어 있음

- (구)공공기관의 개인정보 보호에 관한 법률로부터 공공기관의 장이 개인정보파일을 운용하는 경우 그 구체적인 사항을 행정안전부장관에게 등록 및 공개해 왔음. 그러나 그 수집의 법적 근거 등 실태가 엄격히 점검된 바 없고 뚜렷한 법적 근거 없이 기관간 협의에 의해 목적외로 이용되거나 제공되는 일이 다수 발생하여 왔음

- 이에 현재 공공기관이 보유하고 있는 개인정보파일의 실태를 전수 조사하여 그 수집 및 이용·제공의 법적 근거를 명확히 할 필요가 있음


○  주민등록번호 제도의 전면적인 개선


- 기본계획(안)에서는 “주민등록번호 수집․이용 및 유출 최소화 대책 마련”, “주민등록번호 DB와 연결된 관리자 PC에 대해 인터넷망과 분리 의무화 검토” 등을 통해 “주민등록번호 수집․이용 제도 개선”을 한다고 하였음

- 그러나 2008년 옥션 1천8백 만 명, 2011년 네이트/싸이월드 3천5백만 명, 메이플스토리 1천3백만 명 등 주민등록번호 유출의 규모와 그 침해성이 갈수록 커지고 있는 국내 상황은 즉각적이고 전면적인 해결책을 요구하고 있음

- 이러한 기업의 주민등록번호 유출의 배경에는 기업에 시민의 주민등록번호의 수집을 요구하는 인터넷 실명제 등 법제도가 지목되고 있으며 이러한 이유에서 방송통신위원회도 인터넷 실명제 재검토 방침을 밝힌 바, 관련 법제도 개선이 시급히 요구됨.

- 주민등록번호 수집과 이용의 법적 근거는 전체 법령에 걸쳐 있으나 이에 대한 범정부 차원의 체계적인 조사 및 개선 계획은 제출된 바 없음

- 이에 관련 실태 조사를 통하여 주민등록번호의 수집과 이용이 필요한 경우를 법적으로 엄격하게 규정하고 그 외에는 수집을 금지해야 하며, 관행적으로 불필요한 주민등록번호의 기재를 요구하고 있는 각종 서식 및 관련 법률을 개정할 필요가 있음. 특히 국제 인터넷 환경에 부합하지 않는 인터넷 실명제는 폐지되어야 마땅함.

- 2008년 유엔 인권이사회의 제1차 한국 정례인권검토(UPR) 결과, “사생활 보호를 위해 주민등록제도 재검토 및 주민등록번호를 공공서비스 제공을 위해 엄격히 필요한 경우로 제한”할 것이 권고되었음. 이에 대한 한국정부의 입장은 ‘수용’이었음(소관부처: 행정안전부/방송통신위). 2012년 제2차 한국 정례인권검토를 앞두고 한국 정부에는 주민등록번호의 민간 사용 제한 등 주민등록번호 제도 개선을 국제사회에 천명할 것이 시급히 요구되고 있음


○ 정보주체의 권리를 보호하기 위한 구체적인 계획을 포함할 필요가 있음

- 기본계획(안)에서는 “개인정보분쟁조정위원회 기능 강화”, “자기정보 열람권 등 정보주체 권리보장”를 통해 “정보주체의 권리보장 강화”를 한다고 하였음. 특히 “자기정보 열람권 등 정보주체 권리보장”을 위하여 “기관별 개인정보 흐름지도 공시 제도 도입 검토”, “개인정보 열람청구 지원”, “개인정보 정정․삭제․처리정지 요구 현황 및 조치실태 조사” 등의 계획을 제시하고 있음

- 그러나 개인정보보호법에서 보장하고 있는 정보주체의 권리를 일상생활에서 즉각적으로 실현할 수 있는 계획 마련이 시급함.

- 법에서는 정보주체의 권리로 ▲개인정보의 처리에 관한 정보를 제공받을 권리 ▲개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 ▲개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리 ▲개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리 ▲개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 등을 들었으나(법 제4조), 법 시행 6개월이 되어 가는 시점에서 정보주체들이 이와 같은 자신의 권리를 이해하고 실현하고 있다고 보기 어려움. 예컨대 정보주체가 민간기업의 할인카드 등에서 자신의 개인정보 처리에 대한 정지를 요구할 수 있는 권리가 있다는 사실을 알고 손쉽게 이들 권리를 구현할 수 있는 방안이 시급히 알려져야 마땅함

- 공공기관 및 민간기관에서 업무별로 이와 같은 정보주체의 권리를 구체적으로 실현할 수 있는 가이드라인을 마련하고 발표할 필요가 있음

- 또한 주요 공공기관 및 민간기관에 정보주체의 권리를 명시한 안내서 및 부당행위 신고서를 비치하여 정보주체의 권리를 실질적으로 구현할 수 있는 방안을 마련할 필요가 있음


○ 그밖에도 다음과 같은 과제를 검토할 필요가 있음

- ▲개인정보의 위탁처리와 신용정보제공활용 등과 같은 방법을 통한 개인정보의 제3자 유통문제 ▲포털이나 각종 서비스업체의 데이터 마이닝 ▲유출된 주민등록번호에 대한 구제방안 ▲건강정보의 보험사 제공 문제 ▲행정정보공동이용을 통한 개인정보유통 ▲클라우딩 서비스 현황과 실태 ▲전자여권 등 전자신분증과 관련 서비스들의 개인정보보호 실태 파악 ▲공인인증발급 업체에 축적된 개인정보 보호 ▲DPI(Deep Packet Inspection) 기술에 대한 정보수사기관 및 기업의 사용 실태와 정보주체 권리 보호


□ 다음과 같은 사항이 기본계획에서 제외되어야 함


○ 아이핀 보급 확대


- 기본계획(안)에서는 “I-PIN 등 대체수단 전면 보급 및 이용 활성화”라는 기치 하에 ▲본인확인․연령확인 등을 위해 주민번호를 수집하는 웹사이트(약 25,000개)에 대해 I-PIN 사용 의무화 추진 ▲I-PIN 발급 편의성 제고 및 이용 활성화(동사무소 주민등록증 신규 및 재발급 업무시나 각급 학교 등에서 I-PIN 발급) ▲투자 여력이 부족한 영세사업자의 개인정보처리환경에 맞는 모듈 개발지원 및 염가제공 검토 등의 방안을 통해 I-PIN 발급자 수를 현 400만 명에서 2,000만 명 수준까지 확대할 방침

- 그러나 아이핀은 효과성, 신뢰성, 활용도 측면에서 많은 문제점을 가지고 있으며(국회입법조사처, “아이핀 활용에 대한 실효성 조사”, 입법조사화답: 조승수 의원 귀하, 2011. 9. 16.), 2010년 4월 한나라당 이정현 의원이 성균관대학교 정보보호연구소에 의뢰한 「주민번호대체수단 도입 사이트 서비스 운영현황 조사」및 2011년 9월 국정감사 당시 한나라당 김태원 의원의 화면해킹 시연에서 드러났듯이 아이핀도 부정발급에서 안전하지 않음. 실제로 2010년 6월, 유출된 주민번호와 휴대전화 대리인증, 대포폰과 무기명 선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 13,000여 건에 달하는 아이핀을 부정발급한 사건이 발생함. 아이핀의 기술적인 문제가 점차 부분적으로 해결된다도 하더라도 조직적인 개인정보 탈취세력이 있는 한 부정발급 시도가 끊이지 않을 것임.

- 또한 아이핀은 모바일 환경에 부합하지 않아 미래지향적이지도 않음. 네이버 다음 네이트 등 국내 3대 포털의 모바일 접속이 이미 PC 접속의 절반을 넘어선 상황에서(한국경제, 2011. 10. 30.) 모바일 기기에서의 본인확인을 굳이 아이핀으로 해야 할 기술적 필요가 없음. 웹사이트 운영자로서는 아이핀을 사용하는 대신 자신이 운영하는 웹사이트 회원 가입 단계에서 휴대폰으로 본인확인을 하면 기술적으로는 같은 효과를 거둘 수 있음. 이러한 추세를 거스르는 아이핀 의무화는 웹사이트가 누려야 할 영업의 자유나 유저들의 사생활 보호 측면에서는 부정적 효과를 가짐(김기창, “정통망법상 본인확인제도의 한계와 문제점 -기술과 법의 갈등”, 안암법학, Vol.35, p371~404, 2011).

- 무엇보다 본인확인기관에의 개인정보 집중과 영리적 이용의 문제가 심각함. 본인확인기관은 인터넷 사업자 뿐 아니라 개인 가입자 대상으로 영리 사업을 해왔음. 본인확인기관이 보유한 성명/주민등록번호 등 본인확인정보 데이터베이스가 모두 적법하게 구축된 것인지에 대하여서도 의구심이 제기되어 왔음. 즉, 신용정보업자들이 자신의 성명/주민등록번호가 실명확인 서비스 제공 용도로 사용되어도 좋다는 신용정보주체의 명시적 동의를 별도로 받지 않았다면 이들 실명확인 서비스는 신용정보법 제50조 제1항 제5호(신용정보의 부당한 사용)와 주민등록법 제37조 제10호(주민등록번호의 부정 사용)를 위반한 행위라고 평가될 여지가 있음(김기창, 2011).

- 주민번호 유출 문제의 해결책은 아이핀의 도입이 아니라 관련 법제도 개선에 있음. 굳이 주민등록번호나 아이핀과 같은 개인 식별 번호를 모든 웹사이트에 도입해야 할 필요는 없음. 개인정보보호법 제24조 제1항은 정보주체로부터 별도의 동의가 있거나 법령에서 구체적으로 허용하지 않는 한 고유식별정보의 처리를 금지하고 있으므로 법, 제24조 제2항에 따른 주민등록번호의 대체수단도 개인을 식별할 수 있는 정보가 아니라, 익명화 처리 등 다른 수단을 마련하는 것이 법 취지에 부합함.


<끝>

수 신 : 개인정보보호위원회 위원

참 조 : 개인정보보호위원회 배상호 사무관

발 신 : 민주사회를 위한 변호사 모임, 진보네트워크센터, 함께하는시민행동