전자상거래법 개인정보보호법제의 현황 및 문제점 검토

개인정보보호법제의 문제점과 논의내용 (수정)
발표자 : 法 2003035135 김경애
Ⅰ序
헌법상의 개인정보자기결정권을 구체화시키는 개개의 개인정보보호의 관련 법률은 개인정보자기결정권의 보호법익을 구체화시켜야 한다. 관련 법률의 보호법익은 당연히 개인정보자기결정권의 보호이어야 하기 때문이다. 보호법익의 구체화의 성공은 관련 법률에 있어 개인정보자기결정권의 인격과 재산측면을, 즉 두 요소의 갈등을 어떻게 조화롭게 만드느냐에 달려있다고 할 수 있다. 개인정보의 보호와 활용을 통한 정보사회의 성장은 정보사회의 양 축일 수밖에 없다. 이는 정보사회는 개인정보의 활용을 전제로 하고 있으며 동시에 그 보호도 전제로 하고 있기 때문이다. 양자 간의 균형적인 성장은 불가분이라고 보아야 한다. 따라서 개인정보보호를 위해서는 고도의 정보통신 발달에 걸 맞는 법률적 보호 장치 마련과 기술적으로 다양한 보호체계를 개발하여 한쪽의 희생을 전제로 다른 한쪽의 일방적인 독주는 있어서는 안 된다.

Ⅱ개인정보보호법제의 현황(개괄적 검토)
한국에서의 개인정보보화 관련한 보호 법제를 보면 크게 공공부문과 민간부문에 있어서의 개인정보보호법제로 구별할 수가 있다. 이러한 법제상의 보호방법의 구별을 통해서 개인정보보호법제는 개인정보의 침해의 경우 공공부문에 의한 침해와 민간부문에 의한 침해가 다른 것 이라는 전제하에 있음을 쉽게 알 수 있다. 공공부문에 있어서의 개인정보와 관련된 근거법률은 공공기관의 개인정보보호에 관한법률, 형법 통신비밀보호법 통계법 전자상거래등에서의소비자보호에 관한 법률, 신용정보이용및보호에관한법률, 금융실명거래및비밀보장에 관한 법률, 전자거래기본법, 전자서명법 등이 있다. 여기에서 공공 공공부문에 있어서의 기본법이라고 할 수 있는 법률은 “공공기관의 개인정보보호에 관한법률” 이라고 할 수 있다. 민간부문에서는 정보통신망 이용 촉진 및 개인 정보보호에 관한법률, 신용정보이용및보호에관한법률 등이 개인정보보호법제에 속한다. 민간부문에서의 개인정보보호에 관한 기본법은 “정보통신망 이용 촉진 및 개인정보보호에 관한 법률”이라고 볼 수 있다.위에서 언급한 바와 같이 한국의 개인정보보호법제는 각자 공공부문과 민간부문의 구별에 따라 독자적인 제도와 기구를 통해 개인의 개인정보보호에 관한 정책을 이끌어 왔다고 볼 수 있다.
아래에서는 일반법의 기능을 할 수 있는 두 법에 관해 검토해 보겠다.
Ⅲ 공공기관의 개인정보보호(이하 정보보호법)에 관한 법률 검토
1.적용 범위의 불명확
이법은 공공기관의 개인정보의 보호를 위한 일반법으로서 올바른 기능을 하기 위해서는 적용 범위가 불명확하다고 할 수 있다. 동 법은 공공기관의 “컴퓨터 및 개인정보시스템에 의하여 처리되는 개인정보의 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 공공기관의 개인정보보호에 관한 법률이 정하는 바에 의한다”(제 3조 1항)라고 하여 공고기관의 컴퓨터 및 개인정보시스템에 의하여 처리되는 개인정보만을 그 보호의 대상으로 한정하고 있다. 여기에서 현 법률은 컴퓨터의 집중화 연동화로 인하여 발생하는 권리침해를 우선적으로 보호하기 위한 것이라는 입법자의 의지를 읽을 수 있다. 그러나 현재 컴퓨터로 처리되지 않는 공공기관의 개인정보를 보호하기 위한 일반적인 법률이 존재하지 않기 때문에 예를 들어 공공기관이 보유한 정보가 재생용지 등의 형식으로 유출되어도 마땅히 제재할 수 없기 때문에 적용범위를 컴퓨터 처리정보로 한정하지 말고 일반법의 특징인 포괄적 규정이 바람직하다고 본다. 개인정보자기결정권의 보호법익은 저장매체의 종류와는 관련 없이 자기 자신의 개인정보에 대한 자율적 결정을 존중하는데 있기 때문이다. 이 규정은 가상세계와 현실세계의 한계가 없어지고 있는 현실을 무시한 것이라고 볼 수 있다.

2. 공공부문의 개인정보의 보유범위
공공기관의 개인정보의 보유범위는 공공부문이 개인에 대한 정보를 어느 범위까지 확보할 수 있는 것인지를 정하는 것이다. 이는 법률로 정해진 또는 전제된 업무수행에 적절한 범위 내에서만 공공부문이 개인정보를 보유할 수 있어야 함이 원칙이다. 이렇게 본다면 “소관 사무를 수행하기 위하여”라고 막연히 규정되어 있는 개인정보의 보유범위는 “필수적인” “적절하게” 라는 표현처럼 좀 더 명확해져야한다. 또한 제 6조 1항은 개인정보의 공유를 통한 보유의 경우 공공부문 상호간의 내부적인 협의의 원칙을 정하고 있다. 그러나 개인정보보유에 관한 법령상 근거가 있는 경우에만 공개하도록 하고 있고 기간의 정함이 있는 경우에만 기간을 잡아 공개하도록 하는 등 정보의 공개와 비공개의 적절한 비례성의 원칙준수에 있어 비공개 쪽으로 방향을 잡고 있다. 이는 해당 정보주체의 삭제권이나 교정권의 실행에 있어 제한을 줄 개연성이 높다. 행정의 내부적으로는 현실적으로 거의 무제한적인 공유를 하고 있으면서 이의 적절한 통제를 위한 정보주체자의 권리인정의 소극적임은 분명 문제가 있다. “민감한 개인정보”와 “공개가능한 행정정보”를 구분하여 후자는 넓게 인정할 필요가 있다고 본다.
3. 개인정보의 생산 및 이용에 있어 목적 구속성과 비례성에 따른 제한
동법 제 10조는 개인정보의 목적 외의 이용과 타 기관에의 제공을 제한하는 원칙규정을 언급하고 있다. 그러나 10조 2항을 통해 개인정보를 목적 외 이용하거나 타 기관에 제공할 수 있도록 하고 있다. 이규정은 행정편의를 위해서 예외 규정이 너무 많아 사실상 관련 당사자의 동이 없이도 개인 정보를 다른 기관에 제공할 수 있다는 의미이다.
4. 제 12.13조 관련 당사자의 권리에 관한 것
제 13조의 열람 예외사유 중 조세의 부과 징수 또는 환급에 관한 업무, 교육법에 의한 각종 학교에서의 성적평가 또는 입학자의 선발에 관한 업무, 학력 기능 및 채용에 관한 시험, 자격의 심사, 등 평가 또는 판단에 관한 업무 등은 열람제한의 필요성이 있다고 하더라도 공개와 비공개의 비례성의 원칙 준수에 합당하지 않다. 공개를 제한하더라도 실질적으로 관련이 있는 열람청구권자의 제한을 통한 간접적인 제한이 바람직하다고 본다.
5. 개인정보보호를 위한 감독기구의 독립성
공공부문의 개인정보보호를 위한 감독기구는 독립적이어야 하며 특히 행정부로부터 완전하게 독립적이어야 한다. 그 기구는 업무에 있어 한국의 감사원이나 국가인권위와 같은 정도의 독립성 수준을 보장받아야 한다. 유렵연합의 개인정보보호준칙은 이를 “완전한 독립” 이라고 규정하고 있다. 정보보호법 제 20조의 개인정보침해신고 센터의 신설과 기존의 개인정보보호심의위원회의 업무확장은 이러한 의미의 독립적인 감독기관으로 보기가 힘들다. 감독기구의 독립성이 확보되어 있다면 감독기구의 최고 책임자는 가급적 민주적 정당성을 가진 국회의 관여를 인정받음이 책임자의 독립성을 강화 시키는데 도움이 될 것이다.
6. 자국에서 제3국으로의 개인정보의 전송
통신기술의 발달로 인하여 현재의 정보사회는 국경이 없다. 유럽연합이나 독일의 입법과 같은 “적절한 보장”과 “표준거래약관”을 통한 제 3국으로의 개인정보 전송에 대한 보호의 대책은 법률로서 규정함이 바람직하다.

Ⅳ.정보통신망이용촉진및정보보호등에관한법률(정보촉진보호법)에 관한 검토
동법 제 1조 및 제3조 1항에 따르면 이 법은 원칙적으로 정보통신서비스제공자가 취급하는 개인정보에 국한하여 보호하고 있으며, 촉진법과 보호법 이라는 양립할 수 없는 두 법제로 구성되어 법체계상 문제가 있다.
동법 제 58조 및 동법 시행령 28조에 의하면 여행업 또는 호텔업을 행하는 자 항공운송사업을 행하는 자 학원 또는 교습소를 설립 및 운영하는 자 그밖에 재화 또는 용역을 제공하면서 회원제 또는 그와 유사한 형태로 개인정보를 수집하는 사업자로서 관계중앙행정기관의 장과 협의하여 정보통시부령으로 정하는 자 등에 대하여는 개인정보보호조항을 준용하도록 되어 있으나, 그 적용범위가 한정적이어서 개인정보보호에 대한 민간분야의 일반법으로서는 입법공백이 있다. 따라서 민간부문의 개인정보보호에 관한 일반법 규정에 흠결이 있으므로 입법적 보완이 불가피하다고 볼 수 있다.
사실상 현재 민간부문의 개인정보보호에 관한 일반법으로서 기능하고 있는 정보통신망이용촉진및종보보호등에관한법률의 규정은 고객정보서비스 혹은 데이터베이스마케팅 산업의 활로를 막고 자유로운 정보의 유통을 저해할 수 있을 만큼 강력한 정부규제의 유럽식 규율태도를 견지 하고 있다. 특히 같은 법 제 22조 및 제 24조의 규정은 정보사회에서 개인정보의 활용 측면이 어떻게 정립되어야 할지를 산업적 측면에서 고려하지 않은 채 법제정 초기에 설정된 규정을 그대로 유지하며 규범적으로 고착되어 있다. 개인정보의 수집에 대한 정보주체의 명시적 동의에 있어서의 사전 고지 명시 의무를 제3자에 대한 개인정보 제공에 있어서도 요구하고 있어 현실적으로 정보유통산업의 활로를 가로막는 장애요소로 작용하고 있음은 문제가 있다.
정보통신망이용촉진및정보보호등에관한법률로 인해 정보주체의 정보자기결정권이 법 현실적으로 구축되었음은 부인 할 수 없지만, 개인정보 이용의 목적 및 방법 그리고 이요수준과 그 이용에 따른 효과가 매우 다양하므로 이를 일률적인 법적 규제로만 처리할 수 없다는 문제점이 내포되어 있다는 점을 간과해서는 안 된다.
정보주체의 정보자기결정권을 보장하려는 것은 개인정보의 개인적 가치와 인격적 측면을 고려하여 이용자의 권익이 침해되지 않도록 사전 예방하는데 목적이 있는 것인 바, 법제도적으로 이러한 기제를 형성하려면 개인정보가 지니는 경제적 가치와 재산적 측면을 함께 논의하여 정보의 원활한 유통이 산업 정책적 관점에서 사회적으로 기여할 수 있도록 조성할 수 있는 기반도 구축하여야 할 것이다. 따라서 공공부문과 다른 규율법리에 따른 민간부문의 개인정보보호규제제도를 규범화 할 수 있도록 개인정보의 개념정의에서부터 재검토하여 그 민감도에 따른 보호수준의 차등을 통해 규제합리화를 꾀하며 개인정보의 제 3자 제공이 정보화 사회 초기에 논의된 개인정보침해수단의 하나로 전락되지 않게끔 고객정보서비스산업과 연계된 또 다른 측면이 존재함을 인식하여 이에 대한 규제정비에 지혜를 모아야 할 것이다. 이러한 관점의 변화를 위해서는 개인정보보호가 정조의 이요가치와 조화를 이루도록 하는 차원에서 법제도의 정비가 요구 되는 것이고 이를 통해 개인정보보호를 위한 규제 수단의 적정성 및 규제내용의 명확성을 확보할 수 있을 것이며 그 지향점은 바로우리 헌법이 바라보는 바람직한 정보 질서인 것이다.

Ⅴ.현행 논의 내용(개인정보보호법안)
정보통신기술 등의 발달로 인하여 그것을 이용한 개인정보의 이동과 유통이 활발해지면서, 개인정보의 수집과 보관 및 활용에 따른 개인정보의 유출, 남용 및 개인정보를 이용한 불법행위들이 늘어나고 있으며, 이로 인하여 사생활이 침해되는 사례가 빈번하게 발생하여 사회문제가 되고 있는 현실이다. 따라서 개인정보보호에 관한 기본원칙을 정하고, 정보주체의 자기정보통제권을 강화하여 권리구제의 방법을 현실화하는 한편, 공공부문과 민간부문의 개인정보보호를 포괄하여 담당하는 독립된 기구를 설치하는 동시에, 개인정보와 밀접한 관계를 가지는 기술이나 설비의 도입을 효과적으로 관리함으로써 개인정보의 불법유출과 이를 이용한 불법행위들을 차단하여 개인의 사생활을 보호하려는 것이다
이은영의원과 이혜훈의원이 각각 대표 발의한 2건의 개인정보보호법안은 노회찬의원이 대표발의한 『개인정보보호기본법안』과 대체적으로 유사한 내용이다.다만 그 내용에 있어서 차이점을 살펴보면 다음과 같다.
①이은영의원안과 이혜훈의원안 모두 노회찬의원안과는 달리 『집단소송제』를 도입하고 있지 않다.
②『개인정보보호위원회』를 모두 도입하고 있으나 인권위원회와 같은 성격의 독립위원회를 설치하고 있는 노회찬의원안과 달리 두 안 모두 국무총리 소속 중앙행정기관으로 설치하고 있으며, 그 구성 및 구성방법에 있어서 세 안 모두 약간의 차이가 있다 다시 말해, 노회찬 의원안에서는 국회가 선출하는 5인과 대통령이 지명하는 4인으로 총 9인으로 하고 있고, 이은영의원안은 국회가 추천하는 3인, 대법원장이 추천하는 3인, 대통령이 임명하는 3인으로 총 9인으로 구성토록 하고 있는 반면, 이혜훈의원안에서는 위원장 1인과 상임위원 1인을 포함한 5인의 위원으로 구성하되 위원장과 상임위원은 국회의 동의를 얻어 대통령이 임명하고, 비상임위원은 국회의장이 임명토록 하고 있다.
③ 그리고 노회찬의원안에서는 『사전영향평가제도』를 규정하고 있는 반면, 이은영의원안에서는 사전영향평가제도를 도입하고 있지 않으나 이혜훈의원안에서는 사전영향평가제도를 도입하고 있다. 다만, 노회찬의원안에서는 위원회에서 직접 실시하는 것으로 규정하고 있으나, 이혜훈의원안에서는 개인정보처리자가 평가를 하고 그 결과를 개인정보위원회에 제출하는 절차로 이루어지게끔 하고 있다.
④관련 법률의 폐지와 관련하여서는 노회찬의원안과 이혜훈의원안에서는 모두『공공기관의 개인정보보호에 관한 법률』을 폐지하고 『정보통신망 이용촉진 및 정보보호등에 관한 법률』(정보통신부 소관)상의 개인정보보호부분(동법 제4장 제22조 내지 제40조)을 삭제하고 있음. 반면, 이은영의원안에서는 『공공기관의 개인정보보호에 관한 법률』을 폐지하지 않고 심의위원회 및 불복청구 등 분쟁조정과 관련된 조항만 일부 삭제하고 있으며, 『정보통신망 이용촉진 및 정보보호등에 관한 법률』상의 개인정보 분쟁조정과 관련된 조항만 삭제하고 있다.
⑤국가안전보장, 공공질서에 따른 예외조치와 관련하여서는 노회찬의원안과 이은영의원안에서는 예외조치를 취하고 있지 않은 반면, 이혜훈의원안에서는 안 제6조(개인정보의 수집 및 처리) 등에서 국가안전보장, 질서유지, 공중위생 등 공공의 안전을 위하여 필요한 경우에는 예외조치를 취할 수 있도록 하고 있다.
Ⅵ결론
현재의 법체계를 정비하여 가이드라인 정도의 기본법안을 마련하고 공공부문에 대해서는 일반법인 공공기관의개인정보보호에관한 법률의 오류를 수정하고 민간부문에 관해서는 실질적으로 일반법의 기능을 하고 있는 정보 촉진 보호법은 앞에서 언급한 정보촉진보호법은 민간의 개인정보 이용유통 사업의 특성을 고려하여 그 내용을 규율해야 한다.
출처: 이인영 개인정보법제론 임규철 개인정보법제론 국회 행자위 법률안 자료
◐집단소송제
집단소송제의 도입
제정안(제29조 내지 제59조)에서는 집단소송제도를 도입하고 그 구체적 절차와 방법에 대하여 규정하고 있음. 정보통신기술을 매개로 하는 개인정보 유출의 특징은 같은 형태의 개인정보 유출현상이 여러 사람에게 동시에 발생하면서, 한사람의 피해는 작은 반면 한번에 수십만, 수백만명에게 피해를 준다는 특징이 있음. 이러한 특징으로 인하여 일반적인 손해배상 소송은 정보를 유출한 사람에게는 거의 부담이 되지 않는 반면, 피해자에게는 과도한 부담을 지우게 되는 점이 있음. 이러한 점을 감안할 때, 집단소송제도의 도입은 필요한 측면이 있다고 본다. 다만, 집단소송은 현재 「증권관련 집단소송법」에 의한 규정이 있을 정도로 일반화되지 않은 사항이다. 그리고 현재 우리나라는 개인정보의 정의와 범위에 대해서도 논란이 계속되고 있고, 개인정보 수집․이용절차 및 범위에 대해서도 공공기관, 사업자, 이용자, 시민사회단체 등의 사회적 합의기반이 취약한 상태인 점을 감안할 때, 개인정보보호에 집단소송제도를 도입여부에 대하여는 신중한 검토가 필요할 것으로 본다.
개인정보 영향평가제의 도입
제정안(제8장 : 제95조 내지 제99조)에서는 개인정보 영향평가제를 도입하여, 개인정보 데이터베이스를 새로 구축하거나 기존 데이터베이스에 새로운 개인정보를 추가함으로써 정보주체에 관한 새로운 정보를 생성할 수 있게 되는 경우에 공공기관 뿐만 아니라 모든 민간사업자도 개인정보 보호 위원회로부터 개인정보영향평가를 받도록 의무화하고 있음. 개인정보 사전영향평가는 정보시스템을 구축하기전에 국민의 프라이버시에 영향을 미칠만한 요인을 사전에 발견하여 개선하고자 하는 취지의 바람직한 제도라는 점에서는 모든 개인정보취급자에게 의무화하는 것은 필요한 측면이 있다.
그러나 현재 미국과 캐나다는 행정기관에 대해서만 프라이버시 영향평가를 의무적으로 시행하고 있고, 뉴질랜드․홍콩․호주 등에서는 공공․민간부문에 대해 시행을 권고하고 있는 정도이며, 공공기관과 달리 민간부문은 원칙적으로 당사자간 계약에 의하여 다양한 형태로 개인정보가 수집되는 경우가 많으므로, 개인정보 보호 위원회에서 사회 전반의 다양한 영역의 특성을 감안하여 평가하는 것은 용이하지 않는 점이 있음. 따라서 개인정보영향평가제의 도입은 민간부분과 공공부분의 특성, 현실적 가능성 등을 종합적으로 고려하여 그 적용의 범위를 결정할 필요가 있다고 본다.