출처 : http://www.boannews.com/media/view.asp?idx=55256&page=1&kind=2
인공지능, 로봇공학, 사물인터넷, 무인전송수단 등으로 대표되는 4차 산업혁명에 대한 기대가 높다. 이러한 기술은 데이터를 핵심으로 하고 있어 결국 4차 산업혁명에서의 주된 이슈는 데이터의 가치와 중요성이라 할 수 있다. 데이터가 4차 산업의 핵심인 만큼 데이터의 가치 증대와 함께 개인정보 유출이나 오남용에 대한 우려와 고민도 함께 깊어지고 있다. 개인정보보호법 및 정책, 관리체계 등에 대한 선진화나 합리화에 대한 요구와 목소리가 높은 이유도 여기에 있다.
개인정보보호법 시행 이후 개인정보보호법과 제도는 개인정보보호법의 실효성과 현실과의 괴리, 지나친 보호주의에 따른 사업자의 위축 등 수많은 도전과제를 마주하게 되었다. 특히 개인정보보호 관리체계에 대해서도 많은 이슈들이 제기되고 있는데, ①개인정보보호 담당 인력의 전문성 부족, 담당 인력의 효율적 관리 미비 ②개인정보 관련 권한과 업무의 분산에 따른 혼란과 비효율 ③개별 부처 및 기관의 개인정보보호 전담조직의 미설치 ④개인정보보호위원회의 독립성과 불명확한 업무 및 권한 ⑤개인정보의 보호, 감독, 집행 등의 업무 수행에 있어 부처간 혼선 존재 ⑥개인정보 보호법과 관련 개별법과의 충돌 및 모순 등이 대표적 논의사항이다. 이와 관련해 여기에서는 개인정보의 안전한 이용과 활용성 제고를 위한 제도적 개선방안을 제시해보고자 한다.
첫째, 개인정보의 이용 및 제공의 법률행위는 결국 사적자치의 지배를 받는 사인간의 거래에 해당한다는 점을 인식해야 한다. 즉, 정보주체인 개인은 사업자의 서비스를 제공받기 위하여 개인의 정보를 제공하고, 이를 제공받은 사업자는 해당 정보를 이용하거나 이를 바탕으로 한 서비스를 제공하는 계약관계에 놓이게 된다는 것이다. 따라서 정보주체의 정보를 어떤 사람에게 어떤 방식으로 제공하고 공개할 것인지, 이를 이용하는 상대방은 어떤 방식으로 정보주체의 정보를 이용할 것인지는 사적자치의 원칙에 따라 판단하여야 한다.
다만, 사적자치를 기본으로 한다 하더라도 계약 당사자간 이익의 불균형이 발생하거나 하는 등 법률관계의 대등성이 저하될 경우 국가가 예외적으로 개입하는 것이다. 이는 공익이나 공공복리, 시장의 공정질서 유지 등의 목적으로 소비자 보호규제와 같은 형태로 나타난다. 따라서 국가의 개입이 요구되는 경우가 아니라면 시장에서의 개인정보 거래행위는 사적자치의 원칙에 따라 판단해야 한다. 한편, 개인정보를 제공받는 상대방이 국가가 되는 경우에는 사법(私法)의 영역이 아닌 공법(公法)의 영역의 문제로 엄격한 행정법적 원리에 의해 통제되어야 할 것이다.
둘쨰, 개인정보보호 관리체계는 개인정보의 특성에 따라 일반관리 분야와 특수관리 분야로 나누어야 한다. 의료, 금융, 사회복지, 교육, 정보통신 등 관리 대상 정보가 민감한 특성을 갖고 있거나 사업화의 기반정보가 되는 분야는 개인정보를 둘러싼 법률관계가 복잡하고 상이하며, 다양하게 전개되기 때문에 특별한 관리가 필요하다. 따라서 이러한 경우에는 각 분야의 개별법에 따라 개별 부처에서 전문적으로 이를 관리할 수 있도록 해야 한다. 분야별 특수성이 존재하지 않는 분야는 개인정보보호법이라는 일반법에 따라 관리를 하면 된다.
앞서 제기한 방향의 구체적 실현안은 다음과 같다. 개인간 거래의 경우는 사적자치의 영역에 두고 개인정보 관련한 문제가 발생한 경우 분야별 소관부처가 개입하는 것을 원칙으로 하되, 분야별 특수성 때문에 특별한 관리가 필요한 경우에는 1차적으로 이를 분야별 소관부처가 관리할 수 있도록 개편되어야 한다.
그리고 개인정보보호위원회는 특별분야를 제외한 일반분야를 관장하되, 분야별 소관부처의 책임이행을 관리·감독하는 권한과 기능을 갖도록 해야 한다. 따라서 2차적으로 개인정보보호위원회가 개입하는 경우는 문제 발생에 대하여 적당한 조치가 이루어졌는지를 감시하고 적절한 조치가 이루어지지 않았을 경우 개선을 강제할 수 있도록 함으로써 관리·감독체계의 실효성을 갖추도록 해야 한다.
3차적으로는 개인정보보호위원회가 구제 기능을 전담하여 피해 예방, 관리·감독, 피해구제 등 개인정보관리체계 전반을 관장하는 중심기구가 되어야 한다는 점이다. 더 나아가 변화하는 기술 및 시장환경에 맞추어 개인정보보호에만 집중하는 것이 아닌 개인정보 활용에 관한 사항도 관리할 수 있도록 함으로써 개인정보의 이용과 보호라는 프레임에 맞는 관리·감독기구로서의 위상을 갖도록 해야 할 것이다.
[글_ 권헌영 고려대 정보보호대학원 교수/개인정보보호포럼 위원]
'old > 관리적 보안' 카테고리의 다른 글
| [기사] EU GDPR 대비 우리나라의 개인정보보호 대응방향은? (0) | 2017.08.14 |
|---|---|
| [자료] GDPR과 필리핀 Data Privacy Act of 2012 비교 (0) | 2017.07.13 |
| [기사] NYCRR 500 관련 기사 (0) | 2017.05.17 |
| [자료] 국제 개인정보 법령 확인 (0) | 2017.05.12 |
| [자료] GDPR 관련 자료 (0) | 2017.04.29 |
