전자상거래법 11월2일발표 개인정보보호에 관한 비교법적 검토

■ 개인정보 보호에 관한 비교법적 검토 ■
Ⅰ. 들어가는 글

화요일 발표 “개인정보의 개념, 개인정보의 필요성 침해실태”를 통해서 현재 전자상거래에 있어서 수많은 개인의 정보가 본인의 의사와는 무관하게 누출이 되고 다른 목적으로 사용되는 경우가 많이 있어 커다란 문제로 대두되고 있다는 것을 알게 되었다. 따라서 이번 발표주제인 “개인정보보호에 관한 비교법적 검토”를 통해서 개인정보보호에 관한 주요 외국의 법제를 살펴보고 우리나라의 관련 법제를 개관함으로써 개인 정보에 관한 입법적인 문제점과 대안을 간략히 제시하고자 한다.
Ⅱ. 외국의 개인정보 보호 법제
1. 국제기구
(1) OECD
1980년 9월에 OECD가 이사회 권고형식으로 공표한 “프라이버시 보호와 개인정보의 국제유통에 관한 가이드라인”은 개인정보의 취급에 관한 세계적인 지침이 되었다. 공적 ․ 사적부분에서의 특정 개인과 관련된 모든 정보를 대상으로 하고 있는 이 지침은 개인정보보호를 위한 8원칙을 제시하였다. 동 지침은 개인정보의 사생활권 보호, 정보의 자유로운 유통장려, 국내사생활 보호입법에 의한 자유로운 정보유통에 대한 부당한 제한방지, 관련 국내법 규정과의 조화를 주 목적으로 하고 있다. 이 원칙은 강제력은 없으나, 각국의 개인정보보호 관련 법 ․ 제도, 지침 등의 모델이 되었을 뿐만 아니라 이후 전자상거래 과정에서 제기되는 개인정보보호 문제에 대한 정부대책을 추진함에 있어서 중요한 지침으로 활용되고 있다. OECD가 개인정보보호를 위하여 국내법이 준수할 최소한의 원칙으로서 제시한 가이드라인 8원칙을 살펴보면 다음과 같다.

가. 수집제한의 원칙
개인정보의 수집에는 제한을 두어야 한다. 개인정보 수집은 적법하고 공정한 절차에 의하고 가능한 경우에는 정보주체에게 알리거나 동의를 받은 후에 수집하여야 한다.
나. 정보정확성의 원칙
개인정보의 수집은 그 이용목적에 부합하는 것이어야 하며, 이용목적에 필요한 범위 내에서 정확하고 안전하며 최신의 것이어야 한다.‘이용목적에 부합하여야 한다.’는 것은 개인정보가 이용되는 목적과 관계가 있는 것이어야 한다는 것이며,‘정확하고 안전하며 최신의 것이어야 한다.’는 것은 개인정보의 내용상의 개념요소를 이룬다.
다. 목적특정의 원칙
개인정보를 수집하는 목적은 정보를 수집할 당시에 특정되어야 하며, 수집 이후의 개인정보의 이용은 수집목적의 달성 또는 수집목적과 양립할 수 있는 경우로 제한되어야 한다. 또한 목적이 변경되었을 때는 그때마다 수집목적을 특정하여야 한다.
라. 이용제한의 원칙
개인정보는 특정된 목적이외의 목적을 위하여 개시, 이용, 기타 사용에 제공되어서는 아니된다. 다만, 정보주체의 동의가 있는 경우 또는 법률의 규정에 의한 경우를 제외한다.

마. 보안장치의 원칙
개인정보는 분실 또는 불법적인 접근, 파괴, 사용, 수정, 공개 등의 위험에 대하여 합리적이고 적절한 안전장치를 강구함으로써 보호되어야 한다. 사업자는 보유되는 개인정보의 누설, 훼손 등을 방지하기 위한 적절한 기술적 조치를 강구하는 외에
① 개인정보안전관리자의 책무 ② 개인정보의 처리 등에 종사하는 자가 개인정보의 보호를 위해 준수해야할 사항(개인정보의 누설금지를 포함한다)등을 내용으로 하는 ‘개인정보의 보호에 관한 규정’을 정해 개인정보의 처리 등에 종사하는 자에 대해서 동 규정을 주지시키고, 개인정보안전관리자를 배치하는 등의 구체적인 수단을 강구하여야 한다.
바. 공개의 원칙
개인정보와 관련된 개발, 실시, 정책에 대하여는 일반적인 공개정책을 취하여야 한다. 개인정보의 존재, 성질 및 그 주요 이용목적과 함께 데이터 관리자의 식별 및 주소를 명확하게 하기 위한 수단은 용이하게 이용할 수 있어야 한다. 이것은 개인참가의 원칙이 실질적으로 보장되기 위한 토대이다. 용이하게 이용될 수 있는 수단이란 개인이 시간, 사전지식, 교통편, 비용 등에 관해서 부당한 부담을 지지 않고 정보를 얻을 수 있는 것을 의미한다.
사. 개인참가의 원칙
개인은 데이터 관리자가 자기에 관한 정보를 가지고 있는지 여부에 대하여 데이터 관리자 또는 기타의 자로부터 확인을 받을 권리를 가지며, 필요한 경우에는 자신에 관한 정보를 합리적인 기간 내에 합리적인 비용과 방법에 의해 알기 쉬운 형태로 통지받을 권리를 가진다. 이러한 권리가 거부되는 경우에 개인은 그 이유를 밝히도록 하고, 이와 같은 거부에 대하여 이의를 제기하거나 그 정보의 폐기, 정정, 보완을 청구할 권리를 가진다.

아. 책임의 원칙
데이터 관리자에게는 위에 언급한 원칙을 실시하기 위한 조치에 따를 책임이 있다.
※ 개인정보의 국제적 유통에 대한 보호원칙
OECE 지침은 국내적인 원칙외에도 개인정보의 국제적 유통에 대한 보호원칙을 제시하였다. 가. 회원국은 다른 회원국의 국내에서 개인정보의 처리와 역수출의 문제를 고려하여야 한다.
나. 회원국은 개인정보의 국제간 유통이 방해받지 않고 확보될 수 있도록 정당하고 합당한 조치를 수립하여야 한다.
다. 회원국은 회원국과 비회원국간의 개인정보의 국제적인 유통을 제한하는 행위를 삼가야 한다.
라. 회원국은 프라이버시와 개인자유의 보호라는 명목하에 보호에 필요한 조건을 벗어나는 국제간의 유통을 방해하는 법, 정책 및 활동의 개발을 피해야 한다.

(2) EU
1995년 10월 EU의 유럽회의와 각료회의는 「개인정보의 처리와 개인정보의 자유로운 유통에 관한 개인의 보호」라는 개인정보지침을 공동으로 발표하였다. 동 지침은 회원국 국민의 기본적 권리와 자유를 보호하고, 개인정보처리와 관련한 프라이버시를 보호하며 동시에 회원국 상호간에 개인정보의 자유로운 유통을 촉진하기 위해 제정된 것으로, 여기서 개인정보라 함은 식별된 혹은 식별할 수 있는 자연인(정보주체)에 관한 전체정보를 말한다. 본 지침은 컴퓨터, 데이터베이스에 의한 전체적으로 또는 부분적으로 자동화 수단에 의한 개인정보의 처리에 적용되며, 개인정보를 자동화 수단 이외의 방법에 의하여 파일링 시스템(기능적 또는 지리적 근거에 따라 중앙통제되거나 분산되었거나 또는 흩어져 있는 지의 여부에 상관없이 특정한 기준에 의하여 접속할 수 있는 개인정보의 구조화된 장치)의 일부를 형성하거나 형성할 의도로 처리하는 경우에도 적용한다. 개인 정보의 관리자, 처리자에는 자연인, 법인, 정부기관, 민간기관이 포함된다. 이러한 EU 개인정보보호 지침을 구체적으로 살펴보면 아래와 같다.
가. 정보의 질과 관련한 원칙
회원국은 개인정보를 처리함에 있어서 공정하고 적법하게 처리하여야 하고, 특정되고, 명백하고 정당한 목적을 위해서 개인정보를 수집하여야 하며, 당해 목적과 모순되는 방법에 의하여 재처리를 하여서는 아니 된다. 개인정보의 수집 및 재처리되는 목적에 비추어 적절하고 관련이 있어야 한다. 개인정보는 정확하여야 하고 필요한 경우 최신정보로 갱신하여야 한다.
나. 정당한 정보처리를 위한 기준
회원국은 정보주체가 그의 동의를 명확하게 표시한 경우, 정보주체가 당사자인 계약의 이행에 필요한 경우 또는 계약을 체결하기 전에 정보주체의 요구에 따른 조치를 취하기 위하여 필요한 경우, 정보주체의 중대한 이익을 보호하기 위하여 필요한 경우 등 개인정보를 처리할 수 있는 요건을 명시하여야 한다.
회원국은 정보주체가 당해 정보처리에 명백하게 동의한 경우 등을 제외하고는 민족, 인종, 정치적 성향, 종교적 ․ 철학적 신념, 노동조합 가입여부, 건강이나 성생활에 관련된 개인정보의 처리를 금지하여야 한다.
다. 정보주체에 대한 고지
정보주체로부터 정보를 수집하는 경우에 정보관리자나 그 대리인은 정보주체에게 정보관리자와 그 대리인의 신원, 정보의 처리목적, 정보의 수령인, 질문에 대한 응답이 의무적인지 임의적인지의 여부 및 응답을 거부한 경우에 초래될 결과, 정보주체와 관련한 정보의 접근권과 정정요구권의 존부 등에 관한 사항을 고지하여야 한다.
라. 정보주체의 정보접근권
회원국은 모든 정보주체에게 합리적인 절차에 따라 과도한 지연이나 비용 부담 없이 자신에 관한 정보의 처리여부 등을 확인 할 수 있도록 하여야 하며, 정보의 불완전․부정확한 처리시 정정권과 이의 신청권 등을 보장하여야 한다.
마. 개인정보의 처리시의 기밀유지 및 보안
정보관리자와 개인정보 처리자의 지휘에 따라 개인정보에 접속하는 자는 정보관리자의 지시가 있는 경우를 제외하고는 개인정보를 처리할 수 없도록 하여 개인정보 처리시 기밀을 유지하도록 하고 있다. 특히 통신망을 이용한 정보의 전송을 포함하는 처리의 경우에 있어 과실 혹은 불법적인 파괴, 과실에 의한 손해, 변조, 승인받지 않은 공개 또는 접속, 그리고 기타 모든 불법적인 형식에 의한 처리를 방지하기 위하여 정보관리자로 하여금 적절한 기술적․조직적 보안조치를 강구하도록 하고 있다.
바. 제3국으로의 개인정보의 이전
회원국은 원칙적으로 제3국이 보호의 적절한 수준을 보장하는 경우에 한하여 개인정보를 제3국으로 이전할 수 이으며, 보호의 적정수준은 정보이전작업 혹은 일련의 정보이전작업을 둘러싼 모든 상황을 평가하여야 한다. 즉 정보의 성질, 제안된 처리 ․ 가공의 목적과 기간, 정보의 최초 이전국과 초종 도착국, 당해 제3국에서 시행되는 일반적․부분적 법 원리, 제3국에서 적용되는 전문적 법규와 보안조치 등에 관한 특별한 고려를 포함한다.
다만, 예외적으로 정보주체가 이전에 명백히 동의한 경우, 정보주체와 정보관리자 사이에 체결된 계약의 이행에 필요한 이전 혹은 정보주체의 요청에 따라 채택된 계약전 조치를 이행하기 위하여 필요한 이전, 정보관리자와 정보관리자와 제3자사이에 정보주체의 이익을 위한 계약의 체결 혹은 이행을 위하여 필요한 이전, 중대한 공익적 근거에 기초하여 필요하거나 혹은 법적으로 의무지워 진 이전 또는 소송의 제기 ․ 수행 ․ 방어에 필요한 이전, 정보주체의 중대한 이익의 보호를 위하여 필요한 이전 등의 경우에 한하여 개인정보보호의 적정한 수준을 보장하지 않는 제3국으로 이전할 수 있도록 하고 있다.
사. 감독관청 및 개인정보보호자문위원회
동 지침은 회원국이 채택한 규정의 영토 내 적용을 감시하는 하나 또는 그 이상의 공공관청을 감독관청으로 두고, 당해 감독관청은 위탁받은 임무를 수행함에 있어서 완전히 독립적으로 하도록 하고 있다. 감독관청은 처리 ․ 가공의 대상이 되는 정보에 대한 접근권 ․ 수사권 및 감독의무를 이행하는데 필요한 정보를 수집할 권한, 개인정보의 처리 ․ 가공 ․ 이전에 의견을 제시할 권한과 같은 간섭권, 당해 의견의 공표, 정보의 유통금지, 삭제 및 폐기명령의 공표, 의회와 정치적 기관에 청원한 사항의 적절한 공표를 보장하는 간섭권, 동 지침에 따라 채택된 국내 규정에 위반한 경우 법적 절차를 개시할 권한 및 당해 위반을 사법기관에 소추할 권한을 갖는다.
또한 동 지침은 개인정보의 보호에 관한 자문을 위하여 개인정보보호자문위원회를 설립하도록 규정하고 있다. 자문위원회는 감독관청 또는 각 회원국에 의하여 지명된 관청의 대표, 공동체의 기관, 단체를 위하여 설립된 관청의 대표 그리고 유럽진행위원회의 대표로 구성된다. 자문위원회는 국내 조치의 통일적 적용에 기여하기 위하여 동 지침에 의하여 채택된 국내조치의 적용을 포함한 문제의 심사, 공동체 내에서 그리고 제3국에서의 보호의 수준에 관한 의견을 집행위원회에 제출, 개인정보의 처리와 관련한 자연인의 권리와 자유를 보호하기 위한 추가적 또는 특정의 조치에 관한 것 및 당해 권리와 자유에 영향을 주는 기타 공동체 조치 안에 관한 것으로 동 지침의 개정안에 관한 집행위원회에 대한 자문 등을 수행한다.
또한 공동체내에서 그리고 제3국에서 개인정보의 처리와 관련한 자연인의 보호에 대한 상황에 대한 연례보고를 작성하고, 동 보고서를 위원회, 유럽의회, 각료회의에 제출하고 이를 공개하는 역할도 수행한다.
(3) UN인권협약상의 개인정보보호
1966년 UN총회에서 채택된 유엔인권협약 제3부에는 개인의 시민적․정치적 자유권에 관한 내용을 수록하고 있는데, 동 내용은 구속력 있는 국제규범으로서 회원국내에서 직접적 효력을 갖는다. 유엔 인권협약 제17조 1항은 “어느 누구도 자기의 프라이버시, 가정, 가족에 대하여 임의로 또는 불법으로 간섭받지 않으며, 명예와 신용을 침해받지 아니한다.”고 규정하고 있다. 더 나아가 동조 제2항은 “모든 사람은 이와 같은 간섭 또는 침해에 대하여 법의 보호를 받을 권리를 갖는다.”고 규정하고 있다. 그런데 여기서 고려해야 할 것은 동조가 단지 “통신”에 대한 보호만을 규정하고 있기 때문에 전자매체를 통한 네트워크상에서의 개인정보보호를 포함하느냐 하는 것이다. 이에 관해서는 유럽인권위원회가 일반적 견해에서 밝힌 바와 같이, 통신을 확대해석하여 정보통신망에 의한 또는 정보통신망안에서의 개인정보보호가 포함된다고 보아야 할 것이다. 또한 제17조를 목적론적으로 해석하여 의사교환매체에 관계없이 개인정보는 보호되어야 하고 여기에 당연히 전자매체를 통한 정보도 보호된다고 본다. 사자의 경우 정보보호권의 주체가 될 수 있는지에 대해 동 협약의 규정은 분명치 않으나, 정보보호권이 개인정보의 유출에 따라 느끼는 정신적인 고통을 보호하려는데 그 의의가 있다 할 것이므로, 원칙적으로 사자는 정보보호권의 주체가 될 수 없다고 보아야 할 것이다. 그러나 사자의 개인정보 유출로 인하여 다른 생존자, 즉 가족 등의 권리가 침해된다면 사자의 개인정보 역시 보호되어야 할 것이다. 법인이나 권리능력 없는 사단도 개인정보보의 주체가 될 수 있느냐에 대하여 유엔인권협약이나 유엔인권위원회는 명시적으로 밝히고 있지 않다.
유엔인권협약 제17조상의 정보보호권은 국가로부터의 침해 또는 간섭에 대한 개인의 방어권을 의미한다. 그러나 제3자에 대한 침해 또는 간섭으로부터 개인정보를 보호해야 한다는 데에는 이견이 없다. 유엔인권위원회도 “일반적 견해”에서 개인영역과 공적영역을 구별하지 않고 있다. 따라서 유엔인권협약 가입국들은 사적 네트워크간에 또는 사적 네트워크 내에서 개인정보를 보호하기 위한 필요한 조치를 취해야 한다.
2. 주요국가 법제동향
(1) 미국
1998년 11월에 미국 상무부는 개인정보보호를 위한 안전판 원칙(Safe Harbor Principles)을 제시하였다. 안전판 원칙은 7가지 항목(고지, 선택권, 제3자에의 정보이전, 안전성, 무결성, 접근, 실효성 담보)으로 구성되어있는데, 이 원칙을 충족하는 미국기업은 EU기준에 적합한 개인정보보호에 충실한 기업으로 추정되어 향후 아무런 제재 없이 EU와의 개인 데이터를 이전할 수 있게 하기 위하여, 미국산업계에 이행을 권고하고 한편으로는 EU와 협상하기 위하여 만들어진 것이다. 이 원칙은 1998년 처음 발표된 이래 1999년 11월 15일 “안전판 원칙(International Safe Harbor Privacy Principles)"로 수정 제안되고 있다. 안전판 원칙에서는 수집하는 개인정보의 유형, 해당 정보의 수집방법, 당해 정보의 수집목적, 조직체의 유형, 당해 조직체가 정보주체에게 당해 정보의 이용과 공개를 제한할 수 있는 선택권과 조치를 제공하고 있음을 알려주도록 규정하고 있다. 미국에서는 현재 다양한 개인 정보보호 관련 법규가 있으나 종합적인 개인정보보호 법규가 아닌 적용범위가 매우 제한되어 있고 특정 환경 또는 서비스에 대한 법규내 개인정보보호 관련 규정이 포함되어 있다. 또한, 미국에서는 표준 프라이버시 준수 운영방안을 제시하고 일정조건을 충족하는 업체에”TRUSTe"나 “BBB 온라인 마크”와 같은 인증마크를 부여하는 제도를 시행해 오고 있으며, 정부 및 비영리단체는 “Privacy Plicy"를 작성하여 홈페이지에 게시함으로써 그들 기관의 개인정보취급 방침등에 관하여 자세히 설명하고 있다.
(2) 일본
일본의 경우에 공공부문의 개인정보보호를 위하여 1988년 12월에 ‘행정기관이보유하는전자계산기처리에따른 개인정보의보호에관한법’을 제정하였으며, 민간부문에서의 개인정보 처리시 개인정보보호는 1997년 3월 개정된 ‘민간부문에서의 전자계산기 처리에 관련된 개인정보 보호에 관한 가이드라인’에 기초하고 있다. 일본의 각 사업자단체는 통산성의 가이드라인을 참고하여 자체적인 가이드라인을 제정하여 운영하고 있다. 1997년 사이버산업연합회의 ‘사이버산업에서의 개인정보를 위한 가이드라인’ 1998년 3월 전자상거래실증추진협의회의 ‘전자상거래에 있어서의 개인정보보호 가이드라인’등이 그것이다. 한편, 일본은 EU지침에서 규정한 “적절한 개인정보보호 수준 확보”의 한 방안으로서 일본 산업규격인 개인정보보호 규격을 1999년 3월에 제정하여 개인정보보호에 관한 인식제고에 노력하고 있다. 또한 EU등 국제 간 거래환경 조성을 위해 개인정보보호의 중요성을 부각시키기 위한 다각적인 노력을 하고 있으며 이와 아울러 통산성 산하 재단법인 일본정보처리 개발협회에서는 1998년 4월 1일부터 “개인정보보호지침”을 근거로 하여 개인정보 취급 관련 전 사업자를 대상으로 민간부문에서 자율적으로 개인정보보호를 위해 프라이버시마크 제도를 시행하고 있다.
한편 일본은 개인정보가 이미 사회전반에 널리 사용되어지는 현재의 시점에서 공공부문과 민간부문에 모두에 적용할 기본법을 제정하기 위하여 2000년 작업결과를 토대로 2001년 중에 입법화할 것을 목표로 고도정보통신사회추진본부 산하에 ‘개인정보보호연구회’를 구성하여 활동중이다. ‘개인정보보호연구회’는 1999년 11월에 발표한 중간보고서에서는
①전분야를 포괄하는 기본법을 제정, 관민 모두에게 적용할 수 있는 원칙을 확립하고
② 신용정보, 의료정보, 전기통신의 3개분야는 개별법을 제정하여 대응하며
③ 보도․출판, 학술․연구 분야에 대해서는 원칙의 적용을 제외하는 것을 검토한다 등을 주요내용으로 하고 있다.
3. 외국 법제의 시사점
정보사회의 도래와 함께 개인정보보호가 전 세계적으로 사회적인 문제로 대두되기 시작하면서 국가별로 자구책 마련에 고심하고 있다. 하지만 규제방식에 대해서는 정부의 적극적인 주도로 이루어지는 정부규제와 민간 자율적으로 시행지침을 마련하고 준수하는 자율규제가 서로 공존하고 있어 각 나라간에 입장을 달리하고 있다
자율규제 정책을 시행하고 있는 국가들은 사생활 보호 차원의 지나친 규제는 정보의 자유로운유통을 저해하고 이제 막 성장기에 접어든 전자상거래를 위축시킬 가능성이 있다고 주장하고 있으며 또한 개인정보보호 문제는 민간 자율에 맡기고 자율규제가 실패할 경우에만 정부가 개입해야 한다는 입장을 밝히고 있다. 그러나 정부규제 정책을 시행하는 국가들은 네트워크상의 개인정보보호와 신용정보사회를 구현하기 위해서는 국가가 적극적으로 개입해야 한다고 강력히 맞서고 있다.
전자상거래에서와 같이 앞으로 네트워크를 통한 국가간의 거래가 활발히 진행될 것이 예상되고 있고, 각 국마다 자국의 실정에 맞는 개인정보보호 법제를 유지하고 있기 때문에 서로간의 마찰이 발생하였을 때 이를 줄이기 위한 노력이 필요하다
Ⅲ. 한국의 개인정보보호 법제
우리나라의 경우 프라이버시 및 개인정보보호와 관련된 국내의 법률로는 공공기관의 컴퓨터로 처리되는 개인정보를 주요대상으로 하는 1994년에 제정된 ‘공공기관의 개인정보보호에 관한 법률’과 소비자의 개인정보 중 주로 신용과 관련된 정보가 보호대상인 1995년에 제정된 ‘신용정보의 이용 및 보호에 관한 법률’ 및 인터넷 등의 민간부문에 적용되는 ‘정보통신망이용촉진등에 관한 법률’이 있다. 기타 전자서명법, 전자거래기본법, 의료법, 금융 실거래 및 비밀보장에 관한 법률, 전기통신사업법, 전자거래기본법 등에서 소관분야별 개인정보보호 및 이용에 대한 간략하게 규정하고 있다.
1. 정보통신망이용촉진등에 관한 법률
인터넷에서의 개인정보의 오 ․ 남용을 방지하기 위한 조치로서 1999년 2월 개정된 정보통신망이용촉진등에 관한 법률(이하 정보통신망법)에서 개인정보 수집 시에 개인정보 관리책임자의 소속 ․ 성명 및 전화번호 기타 연락처, 개인정보의 수집목적 및 이용목적, 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공 및 제공할 정보의 내용, 이용자의 권리 및 그 행사 방법, 수집하는 개인 정보의 보유기간 및 이용 기간을 미리 이용자에게 고지하거나 정보 통신서비스 이용 약관에 명시하는 의무를 정보통신서비스제공자에게 부과하고 있다. 정보통신망법은 OECD의 개인정보보호원칙에 맞춰 인터넷 등 가상공간에서의 개인정보를 보호하기 위하여 이용자의 동의에 기초한 적절한 개인정보수집․이용․처리․제공 및 이용자의 권리보장을 규정하고 있다. 정보통신망법의 개인정보보호 과녈ㄴ 규정의 주요내용은 다음과 같다.
가. 개인정보의 수집 및 취급 원칙
첫째, 정보통신서비스의 제공에 필요한 최소한의 정보를 수집하여야 한다. 둘째, 당해 이용자의 동의를 받아야 한다. 다만, 서비스 이용계약의 이행을 위하여 필요한 경우와 요금정산을 위하여 필요한 경우에는 예외이다. 셋째, 제2항의 규정에 의한 동의를 받고자 하는 경우에는 개인정보관리책임자의 소속 ․ 성명 및 전화번호 기타 연락처, 개인정보의 수집목적 및 이용목적, 개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공할 정보의 내용, 이용자의 권리 및 그 행사 방법을 미리 이용자에게 고지하거나 정보통신서비스 이용약관에 명시하여야 한다. 넷째, 정보통신서비스제공자는 수집된 이용자의 개인 정보자는 수집된 이용자의 개인정보를 취급함에 있어서 안전성 확보에 필요한 기술적 조치 등을 강구하여야 한다.
나. 개인정보의 이용 및 제공의 제한 원칙
첫째, 정보통신서비스제공자는 이용자의 개인정보를 고지 또는 명시한 범위를 초과하여 이용하거나 제3자에게 제공하고자 하는 때에는 미리 당해 이용자의 동의를 받아야 한다. 둘째, 정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 제공받은 목적이외의 용도로 이용하거나 제3자에게 제공하여서는 아니 된다. 셋째, 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체 없이 파기하여야 한다. 넷째, 정보통신서비스제공자는 개인정보 관리책임자를 지정하고 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다. 다섯째, 이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게된 개인정보를 타인에게 누설하거나 제공하여서는 아니된다.
다. 이용자(정보주체)의 권리
첫째, 이용자는 언제든지 동의를 철회할 수 있다. 둘째, 이용자는 자신의 개인정보에 대한 열람을 요구할 수 있으며, 오류가 있는 경우에는 그 정정을 요구할 수 있다. 셋째, 정보통신서비스제공자는 이용자가 철회, 열람 또는 정정요구를 하는 경우에는 지체 없이 필요한 조치를 취하여야 한다. 넷째, 정보통신서비스제공자는 이용자로부터 오류의 정정을 받은 경우에는 그 오류를 정정할 때까지 당해 개인정보를 이용하여서는 아니 된다.
라. 상기 의무사항 실천을 위한 기타조치
정보통신망법은 상기 의무사항의 실천을 위하여 첫째, 정보통신부장관에게 정보통신망을 통하여 유통되는 개인정보의 보호를 위한 시책을 강구하도록 하고 있으며, 둘째, 정보통신부장관에게 정보통신서비스제공자에대한 자료제출요구, 조사, 시정조치를 명할 수 있도록 하고 있다. 셋째, 벌칙사항으로 의무사항 위반 시 사안에 따라 500만원이하의 과태료를 부과하거나 1년 이하의 징역 또는1,000만원 이하의 벌금에 처하도록 규정하고 있다.
마. 신용정보의이용 및 보호에 관한 법률
신용정보의 오용 및 남용을 방지하고 국민의 프라이버시 보호 및 신용질서를 확립하기 위한 법으로써 신용정보업자와 신용정보집중기관 등을 대상으로 규율하고 있다. 이 법에서 신용정보를 ‘금융거래 등 상거래에 있어서 거래상대방에 대한 식별 ․ 신용도 ․ 신용거래능력 등의판단을 위하여 필요로 하는 정보로서 대통령령이 정하는 정보’로 정의하고 있다 이법에서는 신용정보의 수집․조사 및 처리, 신용정보의 유통․이용 및 관리, 신용정보주체의 보호 등을 마련하고 있으며, 개인의 정치적 사상, 종교적 신념 기타 신용정보와 무관한 사생활에 관한 정보, 불확실한 개인정보 등에 대한 수집․조사 자체를 금지하는 등 개인정보보호를 위한 규정을 마련하고 있다. 또한 신용정보관련자에 대하여“업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀”을 업무목적 외에 누설 또는 이용하지 못하도록 규정하고 있다.
2. 기타
인터넷 전자상거래 업체의 경우에는 정보통신망법, 신용정보의 이용 및 보호에 관한 법률(이하 “신용정보이용법”이라 한다) 및 전자상거래기본법의 개인정보보호 조항이 적용을 받게된다. 이 세 가지 법률 중 적용순위는 상거래를 위하여 개인정보를 수집 이용하는 경우에는 우선 신용정보이용법이 적용되고, 동 법에서 규정되어 있지 않은 사항에 대하여는 정보통신망이용촉진법이 적용된다. 개인정보보호에 관하여는 다른 법에 특별히 규정된 사항이외에는 정보통신망법이 적용되기 때문이다. 전자상거래기본법의 개인정보보호 관련 내용은 정보통신망이용 촉진법에 포함될 수 있다.
특히 신용정보이용법에서는 정보통신망법의 고지의무와 목적 달성 후 지체 없는 파기, 동의철회 요구 시 조치 등은 규정하고 있지 않으므로, 이 부분에 대하여는 정보통신망법이 적용된다. 법률 적용의 구분은 다음과 같다
개인정보호호에 관한 법률 적용 구분

구분
적용법률
신용정보 수집, 이용의 경우
신용정보법 적용, 다만 신용정보법에 규정되어어 있지 않은 경우는 정보통신망이용촉진법 적용
비신용정보수집, 이용의 경우
정보통신망법 적용
여기서 비신용정보는 상거래와 관계없이 인터넷에서 상담․고충처리․민원접수․디지털정보 제공 등을 위하여 수집하는 개인정보나 신용정보와 같은 서식(예 신용카드 회원가입신청서)에서 수집되더라도 신용정보가 아닌 정보(취미, 결혼일, 동거가족 등)등을 말한다.
그러나 인터넷 쇼핑몰에서 정보통신망법과 신용정보이용법이 상충되는 것이 아니라 서로 보완적인 관계에 있기 때문에 적용에 큰 혼란은 없을 것으로 보인다.
3. 개인정보보호 관련 법제의 입법형식과 법적 문제점
개인정보보호에 관한 위나라의 법제도는 크게 나누어 공공부문과 민간부문에 관한 법제로 구분할 수 있다.
우선 전자에 관하여는 공공기관의 개인정보보호에 관한 법률이 포괄적으로 공공부문의 개인정보보호에 관하여 규정하고 있고, 기타 전기통신사업법 등 개별법이 있다. 후자에 관하여는 정보통신망이용촉진 등에 관한 법률과 기타 신용정보보호법 등 개별법이 있다.
개인정보보호법의 입법형식으로서는 유렵연합 회원국은 주로 포괄적인 법률의 제정을 통하여 문제를 해결하려는 경향인 반면, 미국과 일본은 개별법에 의하여 문제를 해결하는 접근방법을 취하고 있다.
현재 우리나라는 개인정보보호를 위하여 공공부문만을 규율하는 일반법과 개별적인 법률에 관련 규정을 갖고 있기 때문에 개인정보보호법제를 선진국 수준으로 향상시키기 위한 방안으로는 다음과 같은 내용이 제시되고 있다. 첫째, 개인정보보호에 관하여 공공부문과 민간부문을 모두 규율하는 일반법을 제정하는 방안(통합법제정), 둘째 기존의 공공기관의 개인정보보호에 관한 법률의 체계를 그대로 유지한 채로 부분 수정하고, 보호되지 않고 있는 민간부분에 적용되는 법률을 제정하는 방안이다(부분별 특별법 제정방안) 이 중에서 개인정보보호를 위한 일반통합법제정 방안을 제시하는 견해도 있다.
우리나라의 개인정보보호법제에 관한 정책 방향은 대체로 일본의 정책방향을 토대로 하여 이루어지고 있는 것 같다. 현재 민간부분에 관한 개인정보보호를 위하여 정보통신망법에 규정을 두고 있고, 개별적인 전자거래사업자가 정보주체의 개인정보를 보호할 수 있도록 하기 위하여 현재 추진하고 있는 정책방향은 다음과 같다.
첫째, 인터넷상에 송․수신되는 정보를 보호하기 위하여 기존의 인터넷 소프트웨어에 부가하여 사용할 수 있는 암호기술을 개발 ․ 보급 한다.
둘째, 전자상거래 시스템의 안전성, 신뢰성 확보를 위한 실시간 해킹 탐지 및 보안관리 시스템을 개발 ․ 보급 한다.
셋째, 전자상거래 업계와 소비자의 의견을 수렴하여「개인정보보호지침」을 제정한다. 아울러 개인정보 보호, 음란물 규제 등을 위한 민간의 자율 규제를 유도한다는 내용이다.
현재 개인정보보호에 관한 우리나라의 기존법제와 정부의 대체적인 정책방향을 검토해 볼 때 현재의 우리나라 개인정보보호법제를 공공부문과 민간부문을 하나로 통합하는 통합법을 제정하기보다는 공공부분과 별도로 민간부분에 필요한 특별법을 제정하고, 개별적인 분야별로 분야별 특성을 고려하여 개인정보보호규정을 두는 미국식의 접근 방법을 취하고 있는 것으로 판단된다. 생각건대 개인정보보호를 위한 공공부문의 역할과 내용이 민간부분의 그것과는 다르기 때문에 획일적이고, 통합적인 법률제정 보다는 민간부문에 맞는 정보보호법제를 마련하는 것이 합리적이라고 생각된다. 다만 이렇게 할 경우 개별법간의 중첩과 모순 또는 흠결이 생길 수 있으므로 이러한 문제를 철저히 검토하여 이를 방지해야할 것이다. 분명한 것은 만족할 많나 개인정보보호법제를 마련함으로써 개인정보보호의 수준을 높이지 않으면 국제적인 전자상거래에 있어서 특히 유럽연합 회원국과의 거래에 있어서 많은 장애가 될 수 있을 것이다.
Ⅳ 맺음말
이상에서 전자거래에 따른 사생활 보호 내지 개인정보보호에 관한 법제와 문제점을 살펴보았다. 이를 다시 정리 요약하면 다음과 같은 사항을 제시할 수 있다.
1. 국제적 수준의 개인정보보호법제 마련
유럽연합 개인정보보호지침 제25조를 고려하여 인터넷 전자상거래가 국제적인 성격을 갖고 있다는 점에 유의하여 OECD 개인정보보호 지침, EU지침 및 미국과 독일, 일본의 개인정보보호법제에 관한 동향을 참조하여 국제적인 수준의 개인정보보호법제를 마련하도록 해야한다.
2. 민간부문에 적용될 개인정보보호법제 마련
이에 관하여는 기존의 우리나라 개인정보보호법제의 큰 틀을 유지하면서, 민간부문에 적용될 수 있는 개인정보보호법을 마련하고, 구체적인 사업자를 위한 개인정보보호 지침을 제정하도록 해야 한다.
3. 균형적인 개인정보보호법제의 마련
인터넷 전자상거래에 있어서 개인정보보호는 우리 헌법상 보장되는 프라이버시권리의 보호와 통신비밀의 보호차원에서도 보다 강력하게 보호되도록 하여야 한다. 따라서 전자상거래에 있서 개인정보보호는 업계의 자율적인 노력을 중요시하면서도, 개인의 기본권인 프라이버시권 보호라는 차원에서 정부가 개인정보보호법제를 균형적인 제도로 만들어 가야 할 것이다.
4. 정보범죄에 대한 처벌규정의 정비

정보통신기술의 발달과 함께 새로운 정보통신기술이 등장하는 것과 비례하여 컴퓨터 관련 범죄가 급증하고 있다. 우리나라 형법은 이러한 컴퓨터 범죄에 대한 대응책으로 1995년 관련 규정을 개정한 바 있다. 그런데 개인정보보호 관련 특별법에는 개인정보보호 법규위반자에 대한 형사처벌 규정을 두고 있으나 이들 규정의 법정형량이 상대적으로 다르게 규정되어 있는 점이 발견되어 이들 규정의 정비가 필요하다(예컨대 전산망상의 비밀 기록을 알아낸 경우 형법상 비밀침해죄가 적용되어 3년 이하의 징역, 금고 또는 500만원 이하의 벌금에 처한다. 반면에 전기통신사업법상 통신비밀침해의 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 되어 있다. 정보통신망법에서는 제22조의 개인 정보침해행위에 대하여는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 하면서, 정보통신망의 안전성을 침해하는 행위에 대하여는 3년 이하의 징역또는 3000만원 이하의 벌금에 처한다고 되어 있어서, 개인정보 침해 못지 않게 안전보호원칙의 침해행위는 다수의 개인정보침해를 유발하는 범죄인데 형량이 상대적으로 낮게 되어 있다.
5. 부문별 개인정보보호를 위한 법제 보완
개인정보보호를 위하여는 각 부분별로 법제의 보완이 필요하다. 예컨대 교육, 보건, 의료, 형사절차법영역 등에서 부문별 특성을 고려한 개인정보보호법제를 마련할 필요가 있다. 이 경우 미국의 경우 의료 및 교육부문의 개인정보보호법제를 마련하고 있는 점을 참고할 필요가 있다.