2003 개인정보보호백서 2003 Personal Information Protection White Paper - 1 -
2003 개인정보보호백서 - 2 -
발간사 인터넷 보급률 세계 1위인 우리나라에서 이제 인터넷 이용자수는 전체 인구의 절반을 훌쩍 뛰어넘어 2003년 말 현재 3 천만 명에 육박하고 있습니다. 이처럼 인터넷 공간이 급속히 확 장되면서 사이버 세계 속에서 취급ㆍ관리되는 개인정보도 그만큼 많아지고 있습니다. 인터넷을 통한 개인정보의 이용 및 유통 증가는 필연적으로 개인정보의 오ㆍ남용과 침해라 는 문제를 수반하게 됩니다. 최근에는 CCTV, 카메라 폰 등 각종 정보기기를 통한 프라이버 시 침해가 새로운 사회문제로 대두되기에 이르렀습니다. 또, 무선인식태그 및 무선네트워킹 기술 등을 활용하여 언제 어디서나 원하는 서비스를 받을 수 있는 유비쿼터스라는 IT환경 의 이면에는 개인정보의 오ㆍ남용으로 인한 프라이버시 침해 확산이라는 심각한 역기능이 예견되고 있습니다. 오늘날 개인정보침해에 대한 효과적인 대응은 무엇보다 시급한 과제이며, 이를 위해서는 사 회 전반에 걸친 개인정보보호 인식 제고와 함께 이용자 스스로 자신의 개인정보를 보호할 수 있는 역량 강화가 필요합니다. 작년에 이어 두 번째 발간되는 2003개인정보보호백서는 이러한 요구에 부응하기 위하여 2003 년 한해 동안 추진되었던 공공ㆍ민간부문의 개인정보 관련 정책, 개인정보보호 기술 현 황, 국외 개인정보보호 동향 및 국제협력 등 종합적인 기초 자료를 담고 있습니다. 공공부문의 개인정보보호 정책 및 현황에 대해서는 행정자치부에서 집필을 담당하였고, 민 간부문의 개인정보보호 정책 및 현황에 대해서는 정보통신부, 금융감독원, 보건복지부 등 정 부 소관 부처 및 관련 분야 전문가가 집필해 주셨습니다. 또한, 백서의 객관성과 신뢰성을 높이기 위해 학계, 연구기관 및 정부의 전문가로 구성된 편찬위원회에서 내용을 감수하였습 니다. 2003 개인정보보호백서는 우리나라 개인정보보호관련 현황을 집대성한 귀중한 자료로서 유 용하게 활용될 것을 기대합니다. 백서 발간에 참여해 주신 집필진, 그리고 조언과 감수를 해주신 편찬위원들께 감사드립니다. 2004 년 1 월 한국정보보호진흥원 원장 김 창 곤 - 3 -
2003 개인정보보호 핫이슈 01 교육행정정보시스템 (NEIS) 시행 교육행정정보시스템(NEIS) 이 2003년 3 월 전면 시행을 앞두고 사회적 이슈로 제기됐다. 프라 이버시 및 인권 침해 소지가 지적되어 온 교무ㆍ학사, 보건, 입ㆍ진학 등 3개 영역을 제외한 24 개 영역은 단계적으로 시행에 들어갔으며, 나머지 3개 영역에 대해서는 12월 15일 국무총 리실 산하 교육정보화위원회에서 기존의 NEIS 와 분리해 운영키로 합의했다. 12월 30일에 열린 교육정보화위원회 전체회의에서는 독립적으로 운영될 3 개 관련, 고교는 학교별로 단독 서버를, 초ㆍ중학교는 15 개 학교를 묶어 그룹 서버를 구축해 운영하고, 16개 시ㆍ도교육청별로 민간 또는 공공 감독기구가 이들 서버를 관리하는 방안에 대한 논의가 이 루어졌다. 2003년 한 해 동안 사회 가계의 이목을 집중시켰던 NEIS 문제는 전자정부 추진 및 정보시 스템 도입과 관련해 정보인권 및 프라이버시 영향평가에 대한 국민의 관심과 인식을 제고했 다는 점에서 긍정적으로 평가할 수 있을 것이다. 02 해지고객 개인정보보호지침 마련 정보통신부와 한국정보보호진흥원은 이동통신사의 해지고객 개인정보 보유와 관련해 통신사 해지고객 개인정보보호지침 을 마련, 이를 각 이동통신사에 통보했다. 그 동안 이동통신사가 해지고객의 개인정보를 보유하는 것이 호등에관한법률 이동 정보통신망이용촉진및정보보 위반인지의 여부와 이동통신사가 해지고객 개인정보 보유의 근거로 들고 있는 상법ㆍ세법의 적용이 타당한 것인가에 대한 논란이 있어왔다. - 4 -
새로 마련된 지침에 따르면 이동통신 3사가 보유하고 있는 해지고객 정보 중 국세기본법 등 에 의해 보유가 인정되는 성명, 주민등록번호 등의 필수항목을 제외한 개인정보는 모두 삭 제된다. 또한 다른 법률에 의해 해지고객의 개인정보 보유가 인정된다 하더라도 해지고객 개인정보의 보유 근거, 보유 정보의 범위, 보유 기간을 이용자들이 쉽게 알 수 있는 방법으 로 고지하거나 이용약관에 명시토록 했다. 한편, 해지고객 개인정보의 유출, 해킹 가능성을 최소화하기 위해 해지고객 정보를 별도의 DB 에 보관ㆍ관리토록 하고, 가입계약서 등 원부 는 본사에서 통합 관리하여 직원들의 접근 권한을 엄격히 제한하도록 하는 등 관리조치를 강화했다. 03 개인정보보호법제 강화 요구 증대 2003 년 한 해는 공공ㆍ민간부분을 포괄하는 개인정보보호 일반법제정, 독립적인 개인정보보 호기구 신설 및 프라이버시 영향평가제도 도입 등 개인정보보호법제 강화 요구가 사회 전반 에 걸쳐 주요 관심사로 부각되었다. 특히, 올해 초 교육행정정보시스템(NEIS) 의 프라이버시 침해 문제가 사회적 이슈로 대두되 고, 공공기관의개인정보보호에관한법률중개정법률안 및 위치정보의이용및보호등에관한법률 ( 안) 이 발표되면서 시민단체를 중심으로 인권 관련 정책에 대해 영향평가제를 도입하고 민 간ㆍ공공부문을 통합한 개인정보보호법률을 제정하자는 주장이 제기되었다. 아울러, 공공부 문과 민간부문에서 개인정보보호 원칙의 준수 여부를 실효성 있고 일관되게 감독하고 집행 할 독립적인 보호기구를 설치하자는 주장이 크게 대두되었다. - 5 -
04 도메인 등록정보 공개 선택권 부여해야 한국정보보호진흥원(KISA) 은 2003년 7월 도메인 등록대행사업자를 대상으로 개인정보보호 조치를 모니터링 한 겨로가 다수의 사업자들이 개인 도메인 등록자의 신상정보를 사전동의 없이 WHOIS 검색서비스 에 공개하고 있다고 밝혔다. 한국정보보호진흥원은 도메인 등록정보 공개에 의한 개인정보침해를 방지하고자 ( 주) 후이즈 등 7 개 공식 도메인 등록대행사업자와 간담회를 갖고 개선방안을 논의하였으며, 비공식 도 메인 등록대행사업자(Re-seller) 168개 업체에 대해 도메인 등록자의 신상정보 공개 시 사전 동의 및 개인정보 공개선택권을 부여하도록 시정권고했다. 유럽연합 등 국제기구에서도 개인 도메인 등록자의 개인정보가 일반에 공개되는 것은 중요 한 프라이버시 침해 위험이 있다는 이유로 동 서비스의 목적과 한계 등을 제고해야 한다는 지적이 제기되고 있다. 05 사전동의 없는 휴대폰 광고메일 처벌 휴대폰 사용자의 사전동의가 없는 문자메시지 광고 발송 및 동의 여부와 관계없이 밤 9시부 터 아침 8 시까지의 휴대폰 광고 발송이 전면 금지된다. 아울러 전화정보서비스를 제공하는 060과 본래 번호부여 목적과 달리 성인광고를 발송하는 080, 1588 등의 음란성이 사회 문제 화됨에 따라 전기통신사업법에 근거해 정보통신윤리위원회가 전화정보의 모니터링을 실시하 고 불건전 정보유통에 대해 사업자가 서비스를 중지하도록 하는 규제가 강화된다. - 6 -
정보통신부는 10월 9일 마련한 휴대폰 스팸방지 종합대책의 후속 작업으로 진행된 이동통신 사의 이용약관 개정작업과 정보통신윤리위원회의 모니터링 시스템 구축이 완료됨에 따라 12 월 15 일부터 본격적인 시행에 들어간다고 밝혔다. 이번에 개정된 이용약관에 따르면 휴대폰을 통해 광보를 발송하기 위해서는 이용자들의 사 전동의를 얻어야 하고, 사전동의가 있었는지에 대한 입증은 전화정보사업자들이 부담하게 된다. 정보통신부는 이동통신사 약관을 통해 시행되는 사전동의제 및 야간시간대 광고제한 에 대해서는 시행상의 문제점을 보완한 후 2004 년 중에 법제화를 추진할 계획이다. 06 카메라 폰 사용 규제방안 발표 정보통신부는 최근 카메라 폰의 오ㆍ남용에 따른 사생활 보호 등을 위해 카메라 폰 촬영음 이 강제적으로 발생하게 하는 등의 규제방안을 발표했다. 따라서 2004년부터 생산되는 모든 카메라 폰은 촬영시 반드시 65 데시벨(db) 이상의 촬영음을 내야하고, 소리가 나지 않는 매 너모드에서도 이를 강제적으로 해제할 수 없도록 제작된다. 그러나 기존의 카메라 폰에 대해서는 이 규제방안이 소급적용되지 않으며, 당초 논의가 되 었던 강제발광 방안은 기술적 추가비용이 과다하게 발생하는 등 국산 카메라 폰의 경쟁력을 저하시킬 수 있다는 우려 때문에 규제방안에서 제외되었다. 정보통신부는 또 수영장, 목욕탕 등 공중시설 내에서 카메라 폰 휴대를 금지하는 것은 법적 인 문제가 있다는 지적에 따라 시행하지 않기로 했다. 또한 카메라 폰으로 촬영한 사진이 인터넷 등 온라인에 유포되는 것을 정보통신윤리위원회를 통해 적극 단속하여 시정조치 및 형사고발토록 했다. 07 인터넷 게시판 실명확인제 실시 논란 2003년 3월 정보통신부가 사이버상의 인권침해 문제를 해결하기 위해 인터넷 게시판 실명확 인제를 단계적으로 실시하겠다는 의사를 밝힘에 따라 시민단체를 중심으로 표현의 자유와 프라이버시 침해에 대한 우려의 목소리가 높아졌다. - 7 -
일부 시민단체의 경우 실명확인 서비스가 동의 없는 개인정보 사용임을 이유로 정보통신부, 정보통신산업협회, 한국신용평가정보를 형사고발하고, 정보통신부에 세 차례의 공개서한을 보내는 등 사회적 파장이 커져갔다. 이에 정보통신부는 민간영역 및 공공기관에 대한 인터넷 게시판 실명확인제 실시를 유보하 고 신중하게 검토하고 있는 상황이다. 정보통신부 장관은 12 월 정례브리핑을 통해 정부부처의 인터넷 게시판 실명확인제도가 찬 반 의견으로 갈려 아직 사회적 합의가 이루어지지 않아 여건이 성숙되는 대로 자연스럽게 확산되기를 바란다 고 밝힌 바 있다. 08 정보윤리 및 개인정보보호 공공선언문 선포식 한국정보통신산업협회는 3월 26 일 롯데호텔에서 이동통신사, 쇼핑몰 및 포탈업체, 코스닥기 업 등 일부 금융권과 정보통신산업계 36개 업체 대표임원 및 개인정보관리책임자 120여명이 참석한 가운데 을 채택했다. 정보윤리 및 개인정보보호 공동선언문 선포식 을 갖고 업계 공동의 행동강령 - 8 -
이번 IT업계 공동의 정보윤리 및 개인정보보호 행동강령은 1ㆍ25 인터넷 대란과 일부 기업 의 개인정보 불법 유출 및 쇼핑몰 하프프라자 사기사건, 불량 게임사이트의 청소년 사행성 조장, 스팸메일을 통한 음란물 배포 및 허위광고 등으로 불거진 인터넷 전자상거래 시장에 대한 사회적 불신과 실추된 신뢰감을 회복하기 위한 관련 업계의 자성과 함께 자발적으로 시장 질서를 쇄신해야 한다는 취지에서 마련된 것이다. 이 행동강령에는 관련 기업이 정직 하고 올바른 기업윤리를 가지고 고객의 개인정보를 보다 철저히 보호ㆍ관리토록 하는 내용 을 담고 있다. - 9 -
2003 개인정보보호 일지 18 KISA, 제1회 개인정보보호 세미나 개최 20 정통부, 불법 스팸메일 집중 단속 24 KISA, 불법스팸대응센터 신설 KISA, 불법스팸메일 신고프로그램(Spamcop) 개발ㆍ보급 26 정통부, 인터넷 침해사고 국민행동요령 발표 28 한국정보보호산업협회, 2003년도 정보보호 시장전망 및 정책설명회 개최 1월 2월 3월 05 씨큐아이닷컴, 정보보호 인식 확산을 위한 시큐리티 에티켓 캠페인 실시 13 KISA ㆍ정통부, 정보통신망이용촉진및 정보보호등에관한법률 시행령개정( 안) 공청회 개최 17 개인정보분쟁조정위원 회, 개인정보 유출한 구직사이트에 100만 원 배상 결정 20 정통부, 대량 이메일에 옵트- 인(Opt-In) 방식 도입 추진 21 한국전자인증, 정보보호를 위한 인터넷 필수품, 노란자물쇠 캠페인 실시 24 정통부, 국내 3,563개 기관 대상 정보보호 실태조사 실시 01 KISA, 개인정보보호백서 발간ㆍ배포 12 정통부, 개인정보보호 위반 122개 사이트 적발 13 정통부, 정보보호 강화대책 수립을 위한 정책 토론회 개최 KISA, 학원 인터넷 사이트 개인정보보호 실태조사 실시 15 KISA, 제2회 개인정보보호 세미나 개최 17 정통부ㆍ정보보호실천 협의회ㆍ정보보호산업 협회, 안전한 인터넷 세상 만들기 정보보호 캠페인 시작 한국정보통신산업협회, 개인정보보호 우수 사이트 16개 선정 18 KISA, ' 개인정보의 안전한 취급을 위한 기술적ㆍ관리적 조치 가이드라인' 설명회 개최 26 개인정보관리책임자협 의회, 정보윤리 및 개인정보보호 공동선언문 선포식 개최 - 10 -
02 정통부, 공공기관의 개인정보보호제도 이해와 해설 책자 발간ㆍ배포 03 정통부, 불법 스팸메일 보낸 985개 업체 적발 09 경찰청( 사이버테러대응 센터), 위법ㆍ유해 사이트 집중 단속 통해 2,280 건 적발, 262명 구속, 1,214개 사이트 폐쇄 24 한국인터넷기업협회ㆍ 한국게임산업연합회, 건전한 인터넷 환경 조성을 위한 인터넷 계정실명제 워킹그룹 발족식 4월 5월 6월 28 정통부, 정보보호 포털 사이트(www.boho.or.kr )개설 12 인권위, 교육행정정보시스템(NE IS)의 교무ㆍ학사보건입( 진) 학 3개 영역이 인권 침해 소지가 있음을 지적, 제외 권고 19 통신위원회, 미성년자 온라인게임 피해 주의 예보 발령 개인정보분쟁조정위원 회, 검색엔진 통해 회원정보 유출한 음식정보사이트에 원 배상 결정 50만 22 정통부, 스팸메일 추방 위한 민ㆍ관대책위원회 구성 23 정통부, 정보사회정상회의(WSI S) 대비 WSIS 한국포럼 개최 29 정통부, 공공기관 정보보호시스템 구축에 100억 원 지원 발표 04 정통부, 불법 음란 스팸과의 전쟁 선포 및 불건전정보와 불법 스팸메일 방지 종합대책( 안) 마련 11 정통부, 정보통신망이용촉진및 정보보호등에관한법률 개정안 정책 토론회 개최 12 정통부, e-클린 코리아 캠페인 선포식 16 정통부, 스팸릴레이 집중 점검 및 국제공조 강화 23 KISA, 온라인 스팸메일 대응 훈련장(www.sis.or.kr) 오픈 26 정통부, 불법ㆍ청소년 유해정보 신고대회 개최 - 11 -
04 정통부, 웹사이트 해킹 예방대책 수립 및 해킹 주의예보 발령 09 정통부, 불법 스팸메일 발송업체 293개 적발 14 정통부, 정보통신서비스 사업자의 정보보호 실태조사 실시 개인정보분쟁조정위원 회, 본인 동의없이 가족에게 개인정보 유출한 인터넷 서비스 사업자에 50만 원 배상 결정 23 KISA, 제8회 정보보호심포지움(SIS 2003) 개최 31 정통부, 인터넷주소자원에 관한 법률 연내 제정 추진 계획 발표 7월 8월 9월 13 KISA, 외국인 전용 불법스팸 신고 사이트(www.spamcop.o r.kr) 개설 14 아이소프트, 내부자에 의한 고객정보 유출방지 솔루션 개발 18 정통부, 초ㆍ중ㆍ고생 대상 정보보호 교육 강화 계획 마련 정통부, 위치정보이용및보호등 에관한법률안 입법 예고 22 행자부, 공공기관의개인정보보 호에관한법률개정안 입법 예고 27 정통부, 휴대폰 규제방안 마련을 위한 공청회 개최 02 KISAㆍ한국전자통신연 구원(ETRI), 개인정보보호플랫폼 P3P 국내 개발 착수 08 KISA, 회원 탈퇴 시 주민등록등본 요구하는 인터넷 사이트 집중 단속 실시 15 개정 정보통신망이용촉진및 정보보호등에관한법률 시행령 공포 19 정통부, IPv6 보급 촉진계획 발표 23 도메인 KISA, 등록정보 웹 공개 시 소유자에 사전고지 의무화 및 위반 시 행정처분 의뢰 추진 - 12 -
10월 11 월 12 월 01 정통부, 웹서버ㆍ라우터 보안 가이드북 발간 정통부, 불법 스팸메일 집중 단속 09 정통부, 휴대폰 스팸방지 종합대책 발표 14 개인정보분쟁조정위원 회, 인터넷 검색엔진을 통한 개인정보 유출 방지요령 발표 15 KISA, 미국 시스코시스템즈와 정보보호 업무협력 양해각서 체결 20 KISA, 호주 정보경제청ㆍ통신청과 스팸 공동대응을 위한 양해각서 체결 정통부, 제2기 정보보호 캠페인 전개 21 공정위, 전자상거래등에서의 소비자보호지침 제정 31 한국정보통신산업협회, 개인정보보호 우수 사이트 12개 선정 10 정통부, 음란스팸메일 차단 소프트웨어 무료 보급 11 정통부, 카메라 폰 사용 규제방안 발표 14 정통부ㆍKISA, 개인정보침해 웹사이트 검색대회 개최, 총 3,625개 업체의 개인정보침해 사례 3,808건 신고 접수 16 개인정보분쟁조정위원 회, 자동로그인 관련 개인정보 유출 방지요령 발표 19 경찰청( 사이버테러대응 센터), 전문해커그룹 회원 13명 검거 24 대법원, 재판 관련 공고ㆍ공시ㆍ게시에서 주민등록번호 제외하는 공고 등에 있어서 개인정보의 보호요령 예규 제정 28 법원, 개인정보 및 인권 침해 우려 있는 고3 수험생의 학교생활부기록 정보담은 CD의 대학 배포 에 대해 배포 금지 가처분 신청 수용 11 KISA, 개인정보관리책임자(C PO)협의회 워크샵 개최 17 KISA ㆍ정통부, 인터넷침해사고대응지 원센터 개소 19 KISA, 2003 스팸대응 세미나 개최 23 KISA, 제2회 개인정보보호심포지움 개최 29 국가인권위원회, 2003년도 인권상황 실태조사 결과보고 정보통신망이용촉진및 정보보호등에관한법률 개정법률안 국회 본회의 통과 31 법원, 고객동의 받지 않은 채 신용정보를 영업에 이용한 생보사에 배상 판결 - 13 -
2003 Contents 개인정보보호백서 목차 발간사 2003 개인정보보호 핫이슈 2003 개인정보보호 일지 제 1 장 정보화사회의 개인정보보호 1. 개인정보보호 개요 2. 개인정보보호의 현안과 쟁점 3. 개인정보보호 대책 4. 소결 제 2 장 개인정보보호 정책 및 제도 제 1 절 주요 정책 및 법제도 현황 1. 공공부문의 개인정보보호 정책 및 법제도 2. 민간부문의 개인정보보호 정책 및 법제도 제 2 절 국내 개인정보보호기국 및 주요 역할 1. 공공부문 2. 민간부문 제 3 장 민간부문의 개인정보보호 제 1 절 개인정보보호의 주요 현황 1. 개인정보침해 현황 - 14 -
제 제 제 2. 개인정보침해 권리구제 3. 권리구제 현황 4. 개인정보침해 관련 주요 사례 5. 개인정보보호 실태조사 6. 개인정보보호 교육 및 홍보 2 절 부문별 개인정보보호 현황 및 향후 과제 1. 금융부문 2. 의료부문 3. 교육부문 3 절 민간자율규제 현황 1. 개인정보보호마크제도의 활용 2. 개인정보관리책임자 (CPO) 협의회 활동 3. 개인정보보호를 위한 NGOs 의 활동 4 절 개인정보보호 중장기 종합대책 1. 추진 배경 2. 민간분야 개인정보 이용 현황과 전망 3. 민간분야의 개인정보침해 현황 및 원인 분석 4. 개인정보보호 세부 정책 과제 제 4 장 공공부문의 개인정보보호 - 15 -
제 1 절 전자정부와 개인정보보호 1. 전자정부사업의 연혁 2. 전자정부 추진 성과 3. 전자정부에서의 개인정보보호 제 2 절 공공기관의 개인정보보호제도의 주요 내용과 보완점 1. 주요 내용 2. 현행 개인정보호법의 문제점 및 보완점 제 3 절 2003 년도 전자정부시스템 개인정보처리 실태조사 결과 및 개선방안 1. 실태조사 개요 2. 개인정보처리 실태조사 결과 3. 개선방안 제 4 절 전자정부와 개인정보보호제도 발전방안 1. 개요 2. 공공기관의개인정보보호에관한법률 의 주요 개정 방향 제 5 절 개인정보보호와 자유로운 정보유통의 가치 조화 제 5 장 정보통신기술의 발전과 개인정보보호 제 1 절 기술의 발전과 개인정보보호 현안 - 16 -
1. 위치정보시스템과 개인정보보호 2. IPv6 확산과 개인정보보호 3. 생체인식기술과 개인정보보호 제 2 절 개인정보보호 기술의 고도화 1. P3P기술과 개인정보보호 2. 개인정보보호 기술의 발전 방향 제 6 장 국외 개인정보보호 동향 및 국제협력 제 1 절 개인정보보호 법제도 동향 및 시사점 1. 국제기구 동향 2. 주요국의 동향 3. 각국의 개인정보보호기구 현황 4. 각국의 프라이버시 영향평가제도 현황 제 2 절 개인정보보호를 위한 국제협력 1. 개인정보보호 강화 요구와 한국의 대응방안 2. APT개인정보가이드라인의 제정 3. 국외 개인정보보호기구와의 협력 부록 용어 및 약어 개인정보보호마크 (eprivacy) 취득 업체 현황 2003 정보보호 관련 주요 행사 - 17 -
2003 Contents 개인정보보호백서 그림 목차 ( 그림 2-1-1) 우리나라 개인정보보호 관련 법률의 체계 ( 그림 2-1-2) 개인정보보호법제 체계도 ( 그림 2-2-1) 공공부문의 개인정보보호기구 ( 그림 2-2-2) 민간부문의 개인정보보호기구 ( 그림 3-1-1) 월별 개인정보 피해구제 신청 현황 ( 그림 3-1-2) 유형별 개인정보 피해구제 신청 현황 ( 그림 3-1-3) 개인정보침해 권리구제 수단 ( 그림 3-1-4) 개인정보 고충처리 절차도 ( 그림 3-1-5) 개인정보 고충처리 절차도 ( 그림 3-1-6) 2003 년 개인정보 피해구제 처리 결과 ( 그림 3-1-7) 고지의무 준수 비율 ( 그림 3-2-1) 개인신용정보 집중 ㆍ 이용 흐름도 ( 그림 3-2-2) 의료정보의 흐름도 ( 그림 3-2-3) 교육행정정보시스템 개념도 ( 그림 3-3-1) 개인정보보호마크 인증 업체 추이 ( 그림 3-3-2) 써티 1.0 다운로드 배너 ( 그림 3-3-3) 인터넷 사이트 비교선택도우미 지원 체계 ( 그림 3-3-4) 써티 1.0 을 통한 검색사이트 표시 내용 ( 그림 3-3-5) 써티 1.0 상세 정보창 ( 그림 3-3-6) 개인정보보호마크 지하철 홍보물 ( 그림 5-1-1) 요소기술과 서비스 개념도 - 18 -
( 그림 5-1-2) LBS 주요 분야별 서비스 ( 그림 5-1-3) 위치기반서비스의 물리적 구조 ( 그림 5-1-4) LBS 시스템의 논리적 구조 ( 그림 5-1-5) IPv6 도입 단계 ( 그림 5-1-6) 프라이버시 연속선상의 생체인식 전개 ( 그림 5-2-1) P3P 구현 과정 ( 그림 5-2-2) P3P 정책 파일의 예시 ( 그림 5-2-3) P3P 정책 참조 파일의 예시 ( 그림 5-2-4) CP 열람의 예시 및 개인정보보호 수준 설정 메뉴 ( 그림 5-2-5) AT&T 프라이버시 버드 적용의 예 ( 그림 6-1-1) 미국 IRS 의 PIA 절차 구성도 ( 그림 6-1-2) 프라이버시 영향평가 절차도 ( 그림 6-1-3) 프라이버시 영향평가 절차 ( 그림 6-2-1) 1 ㆍ 25 인터넷 대란과 개인정보의 보호 및 보안 - 19 -
2003 Contents 개인정보보호백서 표 목차 [ 표 2-1-1] 주민등록법의 주요 개정 내용 [ 표 2-2-1] 개인정보보호기구의 기능 및 권한 [ 표 2-2-2] 개인정보침해 관련 상담 ㆍ 신고 방법 [ 표 3-1-1] 연도별 상담 ㆍ 신고 접수 현황 [ 표 3-1-2] 의무고지 항목별 신고 접수 현황 [ 표 3-1-3] 2003 년 유형별 상담 ㆍ 신고 접수 현황 총계 [ 표 3-1-4] 2002 년 및 2003 년 개인정보 피해구제 민원증가 추이 [ 표 3-1-5] 2002 년 및 2003 년 분기별 개인정보 피해구제 신청 현황 [ 표 3-1-6] 2003 년 유형별 개인정보 피해구제 신청 현황 [ 표 3-1-7] 신고 ㆍ 상담 조치 내용 [ 표 3-1-8] 개인정보침해 사건에 대한 정보통신부 조치 내역 [ 표 3-1-9] 2003 년 개인정보 피해구제 처리 실적 [ 표 3-1-10] 2003 년 조정결정 내용별 처리 현황 [ 표 3-1-11] 항목별 고지의무 준수 비율 [ 표 3-1-12] 2003 년 모니터링 대상 및 결과 [ 표 3-1-13] 초고속 인터넷 사업자 모니터링 결과 [ 표 3-1-14] 결혼정보업체 모니터링 결과 [ 표 3-1-15] 유선 및 위성방송 사업자 모니터링 결과 - 20 -
[ 표 3-1-16] 학원사업자 모니터링 결과 [ 표 3-1-17] 여행사 모니터링 결과 [ 표 3-1-18] 구인 ㆍ 구직 사업자 모니터링 결과 [ 표 3-1-19] 검색포털 사업자 모니터링 결과 [ 표 3-1-20] 게임사업자 모니터링 결과 [ 표 3-1-21] 호텔사업자 모니터링 결과 [ 표 3-2-1] 개인신용정보에 포함되는 정보 [ 표 3-2-2] 전국은행연합회 집중 주요 개인신용정보 [ 표 3-2-3] 개별신용정보집중기관 현황 [ 표 3-2-4] 신용조회업자가 집중 ㆍ 관리하는 주요 개인신용정보 [ 표 3-2-5] 신용정보법상 개인정보보호 관련 규정 [ 표 3-2-6] 의료기관 종류별, 업무 영역별 정보화 현황 [ 표 3-2-7] 업무 영역별 향후 도입 계획 [ 표 3-2-8] 인터넷상에서의 진료정보 공유 사례 [ 표 3-2-9] 연도별 건강보험 진료 건수 [ 표 3-2-10] 요양기관 종별 ㆍ 청구방법별 청구 건수 [ 표 3-2-11] 개인 의료정보보호 관련 주요 법률 [ 표 3-2-12] HIPAA 의 프라이버시 규정 내용 [ 표 3-2-13] 인증센터의 신설과 부설 안의 비교 [ 표 3-2-14] NEIS 업무영역 (27 개 영역 ) - 21 -
[ 표 3-2-15] 학교종합정보시스템과 전국단위 교육행정정보시스템의 차이점 [ 표 3-2-16] NEIS 입력 항목 조정 내역 [ 표 3-3-1] 개인정보보호마크 인증 현황 [ 표 3-3-2] 정보윤리 및 개인정보보호 공동선언문 [ 표 3-3-3] 온라인 개인정보관리자 교육과정 개요 [ 표 3-3-4] 함께하는 시민행동 프라이버시 침해 제보 통계 [ 표 3-3-5] 회사 측 감시 시스템 도입 근거 [ 표 3-3-6] 교무 / 학사, 보건, 입 ㆍ 진학 영역의 세부 내용 [ 표 3-4-1] 국외 개인정보보호 법제 현황 [ 표 4-1-1] 전자정부 11 대 추진 과제 [ 표 4-1-2] 전자정부 주요 시스템 및 서비스 내용 [ 표 4-1-3] 참여정부의 전자정부 로드맵 과제 [ 표 4-2-1] 개인정보의 개념에 관한 국외 입법례 [ 표 4-2-2] 적용 제외 대상 정보 [ 표 4-2-3] 개인정보보호법 적용 기관 현황 [ 표 4-2-4] 공공기관의 개인정보파일 보유 현황 [ 표 4-2-5] 우리나라 개인정보보호법 및 OECD 8 개 원칙 비교 [ 표 4-2-6] 개인의 권리보장 관련 외국의 입법례 [ 표 4-3-1] 전자정부시스템별 개인정보보호 관련 기술적 보호 조치 - 22 -
[ 표 4-3-2] 전자정부시스템별 개인정보파일 (DB) 보유 현황 [ 표 4-4-1] 주요 국가의 개인정보보호법 비교 [ 표 5-1-1] 생체인식기술의 특징 [ 표 5-1-2] 생체인식기술의 비교 [ 표 5-1-3] 생체인식정보의 프라이버시 프레임워크 [ 표 5-1-4] 생체인식기술별 프라이버시 위험 평가 [ 표 5-2-1] P3P 의 주요 명령어 [ 표 5-2-3] 인터넷 익스플로러 6.0 에서의 P3P 와 쿠키 [ 표 6-1-1] 2003 년 EU 개인정보보호작업반 보고서 [ 표 6-1-2] APEC Privacy Principles( 안 ) [ 표 6-1-3] EU 회원국의 개인정보보호지침 이행 현황 [ 표 6-1-4] 주요 국외 개인정보보호기구 현황 [ 표 6-1-5] 각국의 영향평가제도 비교 [ 표 6-1-6] PIA 를 수행해야 하는 경우 [ 표 6-2-1] 개인정보보호 국제규범의 제정 목적 비교 [ 표 6-2-2] 개인정보보호 원칙 비교 [ 표 6-2-3] 개인정보보호 관련 국제회의 - 23 -
제 1 장 정보화사회의 개인정보보호 1. 개인정보보호 개요 개인정보란 " 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호 문자ㆍ음성ㆍ음향 및 영상 등의 정보( 당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)" 를 말한다. 즉, 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 정보주체 ( 혹은 당사자) 의 안녕과 이해관계에 영향을 미칠 수 있는 개인 관련 정보는 모두 개인정보 라고 할 수 있다. 중요한 사실은 이러한 정의가 담아내는 개인정보의 범위가 고정되어 있는 것이 아니라 지속 적으로 확대된다는 점이다. 지식정보사회의 발달과 더불어 전자우편주소, 신용카드 비밀번 호, 로그파일, 쿠키 (Cookies) 정보, 위치정보, DNA 정보 등 새로운 개인정보가 계속 등장 하고 있다. 이러한 개인정보들은 우리 사회의 경쟁력을 높이고 생활의 편의성을 제고하는데 기여하겠지 만, 만약 누군가에 의해 오용될 경우 개인적으로나 사회적으로 중대한 위협이 될 수 있다. 첫째, 개인정보의 침해는 개인의 사적인 공간을 위협한다. 모든 사람에게 남으로부터 방해받 지 않고 지낼 수 있는 사적인 공간은 그 자체로서 가치가 있다. 대부분의 사람들은 인격을 유지하기 위해서 혹은 안식을 갖기 위해서 자기만의 내밀한 영역이 필요하다. 그런데 지식 정보사회에서는 현실공간에서 뿐만 아니라 사이버공간에서의 사적인 영역도 보호되어야 한 다. 둘째, 개인정보의 침해는 개인의 안전을 심각하게 위협할 수 있다. 실제로 인터넷상에서 수 집되는 이름, 주민등록번호, 신용카드번호, 사진, 주소 등의 개인 식별정보는 범죄에 오용될 수 있다. 예컨대 학교 홈페이지에 게시된 청소년들의 사진이 유괴나 살인과 같은 범죄에 이 용될 가능성이 충분히 있다. 셋째, 개인정보의 침해는 사회적 배제 (Social Exclusion) 를 초래할 수 있다. 광범위하고 상 세한 개인정보의 수집과 이용은 사람들을 다양한 범주로 분류하는데 사용되며, 이러한 사회 적 과정을 팬옵틱 소트(Panoptic Sort) 라고 부른다. 팬옵틱 소트가 지닌 위험성은 개인정보 가 고용보험ㆍ주택ㆍ교육 그리고 신용과 관련된 다른 삶의 기회로부터 개인들을 배제하는 데에도 이용될 수 있다는 것이다. - 24 -
넷째, 개인정보의 침해는 기업과 소비자 사이에 힘의 불균형을 낳을 수 있다. 기업의 데이터 베이스에 지속적으로 쌓여 가는 고객정보는 고객 서비스의 향상을 위해서 사용될 수 있겠지 만 궁극적으로 기업의 권한을 강화하고 소비자의 자유를 감소시킬 가능성이 높다. 특히 부 적절한 방식으로 수집된 개인정보는 소비자의 치명적인 약점을 담고 있을 가능성이 높기 때 문에 기업의 권한을 더욱 강화시킬 것이다. 구체적인 신상 정보와 거래 기록을 담은 고객정 보 데이터베이스는 특별한 목적을 위해 고객들을 분류하고 선별하는데 사용될 수 있다. 2. 개인정보보호의 현안과 쟁점 네트워크에서의 프라이버시 보호는 보안 기술과 정책에 크게 의존하고 있다. 개인정보에 대 한 부적절한 접근, 모니터링, 이전 및 저장 등의 문제는 암호화, 접근제어 등의 보안 기술과 정책에 의해 상당부분 해결된다. 그러나 동시에 보안 기술과 정책은 과도한 개인정보 수집, 모니터링 등을 수반하기 때문에 프라이버시 침해를 초래할 수 있다. 예컨대 사무실에 설치된 CCTV는 근로자의 수치심을 유발하거나 심리적 위축을 가져올 수 있다. 또한 접근제어는 정보주체의 권리를 심각하게 제한할 수 있다. 접근제어 기술과 정책은 흔히 정보주체들이 타인의 정보에 접근하는 것뿐 만 아니라 자기정보에 대한 접근도 제한하기 때문이다. 2003년은 NEIS ( 교육행정총합정보시스템) 구축, 주택가 골목 CCTV 설치 등의 여러 가지 정책 현안, ' 공공기관의개인정보보호에관한법률' 의 개정 등 정부의 입법 활동과 그에 대한 시민단체들의 대응, 그리고 주민등록번호 도용과 스팸으로 인한 네티즌들의 피해 등 여러 가지 계기를 통해 연중 내내 국민들의 개인정보와 프라이버시 보호에 관한 관심이 높은 한 해였다. 아마도 2003년은 우리나라에서 프라이버시에 관한 논쟁이 가장 뜨겁게 달아올랐던 한 해로 기록될 것이다. NEIS만 해도 교육현장을 혼란스럽게 하여 영문을 모르는 적지 않은 국민들 을 짜증나게 만들기도 했지만, 단시간 내에 국민들의 프라이버시에 대한 인식을 제고했다는 점에 있어서는 수백억 원의 TV 광고보다도 더 큰 기여를 한 것으로 보인다. 프라이버시를 국민들 관심의 전면에 부각시키는 효과를 가져 온 것이다. 또한 개인정보와 프라이버시 보 호가 전문가들 사이에서 논의되는 추상적인 쟁점에 그치지 않고 일반 국민들이 피부로 느끼 는 구체적인 현안으로 전환되는 분수령이었다고 할 것이다. - 25 -
가. 주민등록번호 도용 2003년에 발생한 개인정보의 오ㆍ남용과 관련해서는 주민등록번호의 악용이 가장 먼저 지적 되어야 할 것이다. 우리나라 국민이면 누구나 갖게 되는 주민등록번호는 대표적인 ID이며 전자상거래에 광범위하게 이용되고 있다. 거의 대부분의 인터넷 사이트들이 회원가입 시 주 민등록번호 입력을 필수항목으로 요구하고 있으며, 이름과 함께 주민등록번호를 회원가입자 나 서비스 이용자의 실명 확인 혹은 성인 인증에 사용한다. 미국 보스턴 소재의 리서치 기관인 에버딘 그룹(Aberdeen Group) 의 보고서에 따르면, 운전 면허번호나 사회보장번호 등과 같은 ID 의 도용으로 인해 정부나 기업, 그리고 개인이 입는 재정적 피해가 2003년 한 해만도 세계적으로 약 2,210 억 달러에 달한 것으로 추정된다. 우리 나라에는 유사한 통계가 없지만 주민등록번호라는 보편적 용률이 가장 높은 국가 중 하나라는 점을 고려할 때 심각한 수준일 것으로 추측된다. ID ID제도를 시행하면서 인터넷 이 도용에 의한 재정적 피해가 대단히 3003 년 한국정보보호진흥원의 조사에 의하면, 조사에 참여한 448개의 업체 중 447개의 사이 트가 회원가입 시 주민등록번호를 요구하고 있으며, 500명의 네티즌 중 20% 가 주민등록번 호를 도용당한 경험이 있고, 12% 가 타인의 주민등록번호를 도용한 경험이 있는 것으로 나 타났다. 또한 2003년 한 해 동안 한국정보보호진흥원 개인정보침해신고센터에 접수된 신고 ㆍ상담 약 2만건 중 35% 정도인 4 천 건 이상이 주민등록번호 도용과 관련된 것이었다. 주민등록번호 도용과 관련된 네티즌들의 이러한 경험은 우리 사회에서 개인정보보호에 대한 인식이 단기간 내에 매우 높아졌음을 시사한다. 많은 사람들이 주민등록번호가 유출되면 자 신이나 자신이 속한 기업이 재정적 손실을 입을 수 있을 뿐 아니라 자신의 의사와 반해서 사생활이 공개되는 피해를 입을 수 있음을 깨달은 것이다. 그러나 개인정보침해에 대한 우 려가 잘못된 대응을 초래하고 있다. 아이러니컬하게도 적지 않은 사람들이 자신의 주민등록 번호가 유출될까 두려워 남의 주민등록번호를 도용하고 있다. - 26 -
나. 스팸 (Spam) 메일 개인정보의 악용뿐만 아니라 스팸 (spam) 메일과 인스턴트 메시징 스팸도 사람들의 업무나 휴식을 방해하는 심각한 프라이버시 침해 유형으로 등장했다. 2003년 11월 유엔국제무역개 발기구(UNCTAD) 는 '2003 년 전자상거래 및 개발 보고서(e-Commerce and Development Report 2003) ' 에서 2003년말까지 세계 모든 전자우편의 약 50% 가 스팸메일로 채워질 것이 며, 이로 인한 기술 자원 낭비를 금액으로 따지면 무려 205억 달러에 달할 것이라고 경고했 다. 정보통신부가 발행한 '2003 정보통신백서' 에 따르면 우리나라의 1인당 1일 스팸메일 수 신량은 2001년 5 통, 2002년 35통에서 2003년에는 40통으로 2년간 8 배 정도 증가했으며, 스팸 메일의 91.6% 가 음란물이나 불법복제물 판매 광고 메일인 것으로 나타났다. 최근에는 ' 인스턴트 메시징 스팸', 이른바 스핌(Spim) 이 네티즌들을 괴롭히고 있다. 미국의 컨설팅 업체인 페리스리서치는 3003년 한 해 동안 세계적으로 약 5억 개의 스핌이 발송되었 다고 추산했다. 이는 매일 20 억 개 가량 발송되는 스팸메일에 비하면 매우 적은 양이지만, 웹메일 이용자가 열람 여부를 결정할 수 있는 스팸과는 달리 스핌은 컴퓨터 화면에 예상치 못하게 갑자기 나타나기 때문에 스팸보다 더 심각하게 업무를 방해한다. 휴대폰 문자메시지 스팸도 스팸메일이나 스핌 못지않게 프라이버시를 심각하게 침해하고 있 다. 검찰 발표에 따르면 2003년 한 해 동안 휴대폰 스팸 메시지는 35억 5천만 통이 발송되 었으며, 그 중 80% 정도가 폰팅 업체에 의해 발송된 음란전화나 음란사이트 광고였다. 스팸은 개인의 전자우편 주소나 휴대폰 번호가 불법적으로 수집되거나 부당하게 활용되었다 는 점에서는 개인정보침해로 볼 수 있으며, 개인의 사적 공간에 대한 부당한 침입으로서 프 라이버시 침해 행위로 볼 수도 있다. 다.. CCTV CCTV가 공장이나 백화점 등 작업장을 모니터링하기 위해 사용된 것은 상당히 오래된 일이 지만, 2003년에는 CCTV 가 주택가, 전철, 도서관 등 공공장소에 확대 설치됨에 따라 프라이 버시침해 가능성이 사회적 쟁점으로 부상했다. 강남구청은 밤길에 보행자들의 안전을 보호하기 위해 골목길에 CCTV를 설치하기로 결정했 고 논현동 주택가 4 곳에 시범사업을 시작했다. 이 결정은 CCTV에 의한 프라이버시 침해 문제에 관한 국민들의 관심을 불러일으켰다. CCTV가 범죄를 예방하는 데는 도움이 되겠지 만, 모든 주민을 잠재적 범죄자로 간주할 뿐 아니라 촬영된 필름이 불법 유출될 경우 주민 의 프라이버시 침해를 초래할 수 있다는 점에서 논란의 대상이 된 것이다. - 27 -
또한 서울지하철공사는 서울 지하철 1~4호선의 전 객차에 CCTV를 설치해 운전실과 역무 실, 종합사령실에서 객차 내 상황을 감시토록 함으로써 비상상황 발생 시 승객들의 안전을 도모하겠다는 계획을 발표했다. 서울지하철공사의 이 계획은 승객들의 프라이버시를 침해할 소지가 있을 뿐 아니라 직원들의 노동을 감시하고 노동 강도를 높일 가능성이 있다는 점 때 문에 승객들과 직원들의 반발이 적지 않았다. 대학가에서도 CCTV 에 관한 논란이 있었다. 서울대학교에서는 도서관 이용자들의 소지품 도난 및 분실 사고의 예방을 위해 도서관에 CCTV를 설치해야 하는가를 둘러싸고 대자보 논쟁이 벌어졌다. 도난방지를 위해 CCTV를 설치하자는 의견과 도서관 이용자들의 프라이 버시가 침해되기 때문에 설치해서는 안 된다는 의견이 팽팽하게 맞섰다. CCTV는 감시도구로써의 편리함과 효과 때문에 더욱 확산될 것이고 앞으로 계속 논란의 대 상이 될 것으로 보인다. CCTV에 관해서는 프라이버시 보호의 관점에서 아직 설치 기준이 나 보관 자료의 처리 기준 등이 마련되어 있지 않다. 앞으로 CCTV의 설치와 관리에 대한 규범이 신속하게 형성되어야 할 것이다. 라. 스마트카드 (Smart Card) 2003년 6월 KAIST 지식기반전자정부연구센터, 삼성 SDS, LG CNS, 서오 텔레콤 등 SI업 체와 은행, 카드사 등 금융기관이 공동으로 스마트카드 컨소시엄을 구성하고 정부를 견인하 여 공공부문에 스마트카드 도입을 추진하겠다고 나섰다. 국내 시장 형성을 통해 궁극적으로 세계 스마트카드 시장을 선점하려는 업계의 강력한 욕구가 반영된 것이다. 이미 민간부문에서는 스마트카드가 적지 않게 사용되고 있다. 케이캐시(K-Cash), 몬덱스 (Mondex) 등 전자화폐의 사용이 꾸준히 증가하고 있으며, 여러 대학들은 스마트카드 신분 증을 도입하고 있고, 일부 기업은 사원증으로, 병원은 진료카드로 이용하고 있다. 공공부문 에서는 스마트카드 형태의 공무원신분증이 시범적으로 운용되고 있으며, 여러 지방자치단체 들이 스마트카드 형태의 교통카드를 도입하고 있다. 우리나라는 이미 세계 최고의 교통카드 활용국이다. 2003년 하반기에는 3004 년에 착수될 스마트카드 사업들이 속속 발표되었다. 3004년 4월에는 은행들이 금융IC 카드 발급을 시작할 예정이고, 6 월에는 서울신교통카드가 도입될 예정이며, 12 월에는 한국도로공사가 하이패스카드 시범사업을 실시할 예정이다. - 28 -
2004년 벽두에는 한ㆍ중ㆍ일 3 국을 주축으로 추진되는 ' 실크로드 카드' 프로젝트가 발표되 었고, 국무회의에서는 2006 년을 목표로 전자건강보험증 도입 추진을 포함한 ' 참여복지 5개 년계획' 이 확정되었다. ' 실크로드 카드' 프로젝트는 민간이 중심이 되어 스마트카드를 이용 해 아시아를 하나의 통화권으로 묶겠다는 야심찬 계획이다. 이 프로젝트에는 싱가포르와 홍 콩도 참여할 예정이며, 1차적으로 전자여권의 일종인 전자통행카드를 5개국에 통용시킬 계 획이다. 스마트카드는 개인정보와 프라이버시 보호에 있어 중대한 도전이다. 스마트카드를 사용하게 되면 개인정보의 광범위한 공유를 통해 각종 편의를 얻게 되는 반면 익명성의 영역은 그만 큼 줄어들기 때문이다. 어쩌면 그것은 우리 사회가 개인들이 자기정보를 소극적으로 보호하 는 시대에서 적극적으로 관리하는 시대로 전환되고 있음을 의미하는 지도 모른다. 3. 개인정보보호 대책 개인정보와 프라이버시 침해가 사회적 현안으로 부상함에 따라 이에 대한 국가적 대책을 요 구하는 목소리도 힘을 받고 있다 시민ㆍ사회단체들은 개인정보보호기구의 설립을 요구하고 나섰다. 정책 당국도 이 문제의 심각성을 인식하고 법제도 정비를 추진하고 있다. 공공부문 에 관해서는 행정자치부가 ' 공공기관의개인정보보호에관한법률' 의 개정을 통해, 민간부문에 관해서는 정보통신부가 ' 정보통신망이용촉진및정보보호등에관한법률' 을 개정해 각각 개인정 보보호를 강화하려고 시도했다. 또한 대통령 자문 정부혁신지방분권위원회 소속 전자정부전 문위원회는 대통령의 지시를 받고 개인정보보호를 위한 종합적인 대책 수립에 나섰다. 가. 개념적 발전 2003년에 대두되었던 개인정보와 프라이버시 보호에 대한 현안들을 돌이켜보면 개인정보보 호의 개념적 인식이 DB에 수집된 개인정보가 부당하게 유출되거나 오ㆍ남용되는 것을 방지 한다는 비교적 단순한 의미에서 벗어나 점차 정교해지고 있음을 알 수 있다. - 29 -
첫째, 개인정보보호는 수집에서부터 보관, 관리, 이용, 이전, 그리고 폐기에 이르는 모든 과 정에서 정보주체의 권리가 어떻게 보장될 수 있는가라는 의미로 확대되었다. 둘째, 개인정보보호의 의미가 확대됨으로써 프라이버시 개념을 그 안에 포섭하게 되었다. 프 라이버시도 오랫동안 ' 홀로 남아 있을 권리' 혹은 ' 사생활의 보호' 라는 좁은 의미로 해석되 었으나, 최근에는 정보주체의 자기정보결점권이라는 의미로 해석되는 경향이 있다. 즉, 프라 이버시가 개인이 자신의 어떤 정보가, 누구에 의해, 어떻게 수집되고, 어떻게 보관되며, 어떻 게 이용되는가에 대해 스스로 결정할 수 있는 권리로 인식되고 있다. 이러한 개념적 변화에서 가장 주목할만한 경향은 개인정보와 프라이버시 보호에 관한 담론 에서 정보주체라는 존재가 확실히 자리 잡기 시작했다는 사실이다. 다시 말해 정보주체가 정보소유자로부터 구분되고, 정보주체의 권리가 새롭게 인식되고 있다는 것이다. 이는 우리 사회가 개인정보를 담고 있는 수많은 데이터베이스에 의존해서 움직이는 정보사회 베이스 사회라고도 함) 로 전환됨에 따라 나타나는 자연스런 인식변화이다. ( 데이터 데이터베이스가 발달하지 않았던 과거에는 정보소유자와 정보주체의 구분이 사실상 불필요 했다. 개인정보의 오ㆍ남용이란 연예인이나 정치인과 같은 사회적 저명인사의 사생활 폭로 가 대부분이었고, 그 피해도 대체로 그들에게 국한되었기 때문이다. 그러나 수많은 데이터베 이스가 일반대중의 개인정보를 담고 있고 그것의 상업적 활용이 일상적으로 벌어지는 작금 의 상황에서는 정보주체를 정부, 기업, 단체 등 데이터베이스 소유자로부터 구분해서 그 권 리를 인정하고 보호해야 한다. 그러나 정보주체의 자기정보결정권이란 개념이 법규범으로서 정착하기 위해서는 앞으로 가 야할 길이 멀다. 정보주체의 자기정보결정권을 불가침의 인권으로 이해해야 하는지 아니면 거래나 제약 또는 위임이 가능한 권리로 보아야 하는지, 정보주체와 정보소유자 각각의 권 한은 어디까지인지, 개인정보의 수집과 이용에 있어 정보주체의 동의는 어떻게 받아야 하는 것인지, 개인정보를 상업적으로 이용하는 경우 각각의 정보에 대해 어떻게 또 얼마를 보상 해 주어야 하는 것인지, 공공부문이나 민간부문에서 개인정보삭제청구권은 어디까지 인정해 야 하는 것인지 등 많은 쟁점들이 학술적 연구, 사회적 논쟁, 입법, 재판 등 사회적 과정을 통해서 풀어져야 할 것이다. - 30 -
나. 법제도의 개선 2003년에는 개인정보보호를 위한 법제도 개선 논의가 비교적 활발했으며 몇 가지 제도적 개 선 조치가 마련되었다. 2003년 3 월 정보통신부는 ' 개인정보의 안전한 취급을 위한 기술적ㆍ관리적 조치 가이드라인 ' 을 발표하고 정보통신 업체, 호텔, 여행사 등 다량의 개인정보를 취급하는 업체들에게 이를 준수할 것을 권고했다. 이 가이드라인은 개인정보를 안전하게 관리할 조직ㆍ인력ㆍ규정의 운영, 개인정보의 별도 관리, 개인정보보호 사전영향평가 등의 내응을 담고 있다. 연말에는 ' 정보통신망이용촉진및정보보호등에관한법률' 이 개정되어 개인정보보호를 위한 몇 가지 중요한 제도적 개선이 이루어졌다. 첫째, 정보주체가 정보통신서비스제공자에게 자신의 개인정보에 대한 열람 뿐 아니라 개인 정보를 이용하거나 제3 자에게 제공한 내역을 요구할 수 있도록 했다. 이는 정보주체의 자기 정보결정권을 더욱 강화하는 조치로 해석된다. 둘째, 개인정보침해 사건 발생 시 신속하고 공정한 구제를 위해 개인정보분쟁조정위원회에 5 인 이하의 위원으로 구성된 조정부를 두고 일부 분쟁에 대해서는 조정부에 일임토록 했다. 정보통신부는 조정부제의 도입으로 1건당 평균 처리기간이 현행 64일에서 30 일로 단축되고, 월평균 피해구제 건수는 현행 39건에서 70 건으로 확대될 수 있을 것으로 예상했다. 셋째, 수신자의 거부의사에도 불구하고 불법적인 스팸메일을 발송한 사람에 대한 처벌이 강 화되었다. 즉, 위반자에 대한 과태료가 현행 1천만 원 이하에서 3천만 원 이하로 크게 늘어 났다. 스팸메일에 대해서는 이밖에도 정보통신부차관을 위원장으로 하는 ' 민관합동 스팸메 일대책위원회' 가 구성되어 적극적인 방지 대책 마련에 나서고 있다. 그 밖에 법제화까지는 이르지 못했지만 개인정보보호를 위한 여러 가지 획기적인 방안들이 논의되었으며, 그 중 몇 가지 대안은 실제로 법제화될 가능성이 높다. 정보통신부는 정보통신사업자들이 회원모집 시 주민등록번호를 수집하는 관행이 주민등록번 호의 오ㆍ남용을 초래한다는 사실에 착안하여, 정보통신사업자들에게 주민등록번호 대신 전 자서명인증의 활용을 권장하고 쇼핑몰, 게임사이트 등 전자상거래가 이루어지는 사이트에 대해서는 전자서명제도의 이용을 의무화하는 방안을 검토 중이다. 실명확인과 성인인증을 위해 정부의 주민등록 정보를 이용하는 관행에 대해서도 시민단체들 이 꾸준히 문제를 제기하고 있어 대안 마련이 이루어질 것으로 보인다. 프라이버시 영향평가제 도입의 필요성도 연초부터 여러 곳에서 제기되었다. 행정자치부는' 공공기관의개인정보보호에관한법률개정( 안)' 에 프라이버시 영향평가제 도입을 포함하고 있 지는 않지만 앞으로 도입을 적극 검토하겠다는 입장을 밝혀 왔으며, 정보통신부는 범정부 ITA구축을 위한 법안에 전자정부사업에 대한 프라이버시 영향평가제를 포함하는 것을 검토 중이다. - 31 -
정보주체의 자기정보결정권을 강화하기 위한 제도적 방안들도 심도 있게 논의되었다. 그중 가장 비중 있는 주제는 프라이버시 영향평가, 정책 개발과 심의, 정책 집행, 그리고 피해구 제 등의 역할을 수행하는 독립적인 프라이버시 보호기구 설치에 관한 것이다. 현행법에는 프라이버시 보호기구에 대한 규정이 없고, 개인정보보호제도가 공공부문과 민간부문으로 이 원화되어 있다. 공공부문에는 ' 공공기관의개인정보보호에관한법률' 에 따라 국무총리실 산하 에 공공기관의 개인정보보호 정책에 관한 심의를 수행하는 개인정보보호심의위원회가 설치 되어 있으며, 민간부문에는 한국정보보호진흥원 개인정보침해신고센터가 개인정보침해에 대 한 신고처리와 고충처리 등의 업무를 수행하고 있다. 실제로 현재까지는 개인정보보호에 관한 정책 개발과 집행 기능을 공공부문은 행정자치부 가, 민간부문은 정보통신부가 직접 수행해 왔다. 이점에 관해서는 비판의 목소리가 높다. 정 보화 사업을 수행하는 부처들이 스스로에 대한 규제 기능을 수행해야 하기 때문에 개인정보 보호 정책을 적극적으로 수행하기 어렵다는 것이다. 때문에 시민단체들은 행정 부처들로부 터 독립적인 프라이버시 보호기구가 필요하다고 역설하고 있다. 행정자치부가 마련한 ' 공공기관의개인정보보호에관한법률개정( 안)' 은 이미 개인정보보호심 의위원회의 기능을 강화하는 내용을 담고 있으며, 대통령 자문 정부혁신지방분권위원회 산 하 전자정부전문위원회도 프라이버시 보호기구 설치를 포함한 개인정보보호 대책을 마련 중 에 있다. NEIS 갈등을 해결하는 과정에서 제기된 자기정보삭제청구권의 도입 문제도 주목할 만하다. 민간부문에는 이 권리가 이미 법제화되어 있지만, 공공부문에는 아직 도입이 고려되지 않고 있다. 행정기관에 의한 개인정보 수집은 언제나 법적 근거를 갖고 분명한 공공 목적을 위해 수행되므로 국민들이 선택적으로 그러한 개인정보 수집으로부터 빠질 수 있게 하는 자기정 보삭제청구권은 행정행위를 무력화시킬 우려가 있다. 그러나 앞으로 정보주체의 자기정보결 정권을 강화하는 과정에서 자기정보삭제청구권에 대한 논의는 다시 등장하게 될 것이며, 보 다 깊은 연구와 다각적인 논의를 거쳐 제한적 수준에서나마 도입을 고려해야 할 것으로 생 각된다. 끝으로 스팸메일과 관련하여 정보통신부는 이용자가 원하지 않는 불법 스팸을 줄이는 방안 의 하나로 옵트- 인(Opt-in) 제도의 도입을 검토하고 있다. 이 제도는 사전에 동의를 받은 사람들에 한해 스팸을 발송할 수 있도록 하자는 것이다. 정보통신부는 옵트-인 제도가 중소 기업들의 기업 활동을 위축시킬 수 있다는 우려 때문에 그동안 도입을 시도하지 않았지만, 이메일 중 스팸메일의 비중이 갈수록 높아지는데다 스팸의 대부분이 음란물 광고라는 판단 에 따라 제도의 도입을 긍정적으로 검토하고 있는 중이다. - 32 -
다. 사회적 신뢰의 제고 신뢰의 회복에는 노력과 시간이 필요하다. 공직자는 국민과의 약속을 지키기 위해 최선을 다하고, 자신이나 자신이 속한 기관보다 국민의 이익을 우선시하는 행정문화가 들어서고, 기 업에는 소비자를 두려워하고 소비자와 약속을 지키기 위해 최선을 다하는 기업문화가 정착 될 때 비로소 국민과 소비자는 정부와 기업을 신뢰할 수 있을 것이다. 이러한 문화가 형성 되기까지는 공직자와 기업가의 많은 노력이 요구되며 상당한 시간도 필요할 것이다. 개인 사이에서도 깨어진 신뢰를 회복하려면 많은 노력과 시간이 필요한데, 하물며 국가와 기업의 경우는 어떠하겠는가. 사회적 신뢰가 빈약한 상태에서 추진되는 정보화는 그렇지 않은 경우보다 훨씬 많은 비용이 소요되며, 어떤 경우에는 아주 불가능하기조차 하다. NEIS는 정부에 대한 국민의 신뢰가 낮 기 때문에 엄청난 추가적 비용이 투입되지 않을 수 없는 상황에 처해 있으며, 전자주민카드 나 전자건강보험증과 같은 스마트카드 도입 정책은 아예 좌절되고 말았다. NEIS의 경우 시스템의 운영을 독립적인 개인정보보호기구의 엄격한 감독 아래 두기로 교육 인적자원부와 여러 이해 관련 단체들이 합의했다. 객관적으로 볼 때 이것은 NEIS 운영에 관련된 문제들을 대부분 해결할 수 있는 강력한 제도적 처방이었지만, 이 기구가 제대로 운 영될 것이라고 믿는 이해 관련 당사자들은 많지 않았다. 그렇기 때문에 일부 단체들은 서버 를 물리적으로 분산시켜 학교별로 두어야 한다는 주장을 끝까지 포기하지 않았다. 결국 이 와 같은 불신은 NEIS 운영을 위해 최소한 수백억 원의 추가 지출을 불가피하게 만들었다. 1997년부터 약 3년 동안이나 지속된 전자주민카드 도입 논쟁도 사회적 불신의 비용이 얼마 나 큰 지를 보여주었다. 당시 내무부( 현재의 행정자치부) 는 국민적 논쟁을 거치면서 원래 전 자주민카드에 담기로 했던 주민등록증, 운전면허증, 의료보험증, 국민연금증서, 지문, 주민등 록등ㆍ초본 등 7개 정보를 대폭 축소하고 이 중 주민등록자료와 인감만을 수록하기로 했으 며, 주민카드정보의 오ㆍ남용을 방지하기 위해 민간인도 참여하는 ' 주민카드정보보호위원회' 를 설치하기로 했다. 그러나 그 대체 방안마저도 결국 폐기되고 말았다. 국민들은 전자주민 카드가 일단 도입되고 나면 정부가 틀림없이 거기에 다른 정보들을 추가하려고 할 것이라고 예상했으며, ' 주민카드정보보호위원회' 가 개인정보보호를 위해 실질적 인 역할을 수행할 수 있을 것으로 믿지 않았다. 2001년 전자건강보험증 도입을 추진할 때 역시 정부는 제한된 점 보만을 수록하겠다고 거듭 밝혔지만 국민들은 정부의 약속을 믿지 않았다. - 33 -
정보화 과정에서 발생하게 되는 개인정보와 프라이버시 침해 문제는 궁극적으로 법제도와 기술의 혼합을 통해 해결될 수밖에 없다. 그러나 이상에서 논의한 것처럼 현재로서는 법제 도적 장치와 기술적 해법이 미흡한 상태이며, 법제도와 기술을 운용하는 주체 ( 인간, 정부, 기업) 에 대한 신뢰가 낮은 것이 우리의 현실이다. 4. 소결 2003 년은 개인정보와 프라이버시 보호에 있어 여러 가지 진전이 이루어진 한 해였다. 몇 가 지 주목할만한 법제도가 마련되었고, 입법과 정책을 둘러싼 치열한 논쟁을 통해 국민들의 프라이버시 보호 의식이 크게 제고되었다. 이러한 다양한 제도화 노력과 사회적 논쟁은 2004 년에도 계속될 것이고, 이는 몇 가지 점에 서 커다란 발전을 가져올 것으로 예상된다. 우리가 노력한다고 늘 발전이 있는 것은 아니지 만 역사적 발전이 인간의 노력 없이 이루어지는 경우는 거의 없다. 우리 사회가 진정으로 정보화를 통해 국가 경쟁력을 높이고자 한다면 2004년에는 무엇보다 도 개인정보와 프라이버시 보호에 대한 대책 수립에 더욱 적극적으로 나서야 할 것이다. 그 렇지 않을 경우 개인정보와 프라이버시 침해는 전자상거래를 확대하고 신속하게 유비쿼터스 시대로 진입해야 하는 우리 사회의 발목을 잡게 될 것이다. 넓게는 정부, 업계, 학계, 언론 등 선도적 집단들이 우리 사회의 신뢰 수준을 높이기 위해 노력해야 할 것이며, 좁게는 개인정보와 프라이버시 보호를 위한 법제도를 정비하고 기술을 개발해야 할 것이다. 정보통신 일등국가로 도약하는데 있어 개인정보와 프라이버시 침해 문 제는 우리사회의 치명적인 약점이고, 우리 모두의 노력을 통해 그것을 강점으로 돌려놓을 수 있을 때 우리사회는 진정한 정보화 선진국으로 진입할 수 있을 것이다. - 34 -
제 2 장 개인정보보호 정책 및 제도 제 1 절 주요 정책 및 법제도 현황 헌법 제17 조는 " 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다." 고 규정해 사생활 의 비밀과 자유( 프라이버시) 의 불가침을 명문으로 선언하고 있으며, 국민에게 프라이버시를 침해당하지 않을 소극적 권리뿐만 아니라 자신에 관한 정보를 적극적으로 통제할 수 있는 권리도 보장하고 있다. 사생활이란 " 개인의 가장 깊은 곳에 자리한 자아의 외부로부터의 불가침을 전제로 한 것으 로, 인격의 자유로운 발현과 인간으로서의 존엄성을 유지하게 하는 핵심영역" 이다. 대법원은 헌법상 사생활 비밀의 자유를 보장하는 것은 " 개인의 사생활 활동이 타인으로부터 침해되거 나 사생활이 함부로 공개되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대 사회에서 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하려는 데에 그 취지가있는 것" 이라고 설명했다. 1) 사생활의 자유와 비밀 보장은 언론의 자유와 마 찬가지로 헌법에 보장된 권리이지만 그 성격이 약간 다르다. 사생활의 자유는 자유권인 동 시에 청구권의 성격을 갖고 있다. 즉 정부의 규제로부터 자유로운 권리인 동시에 정부의 힘 을 빌어 보호를 받아야 하는 권리이기도 하다. 사생활의 자유가 보장되기 위해서는 개인의 사적 영역에 대한 정부의 통제와 간섭을 최소화해야할 뿐만 아니라, 기업이나 제3자로부터 개인의 사생활이 침해받지 않도록 정부가 적극 방지해야 하기 때문이다. 1) 대법원 1998. 7. 24. 선고 96다 42789 판결. - 35 -
우리나라의 개인정보보호법제는 헌법과 개별 법률로 이루어지다가 공공부문의 행정전산망사 업이 상당부분 성과를 보여 공공정보의 전산화가 이루어짐에 따라 컴퓨터로 처리하는 개인 정보를 보호하기 위한 ' 공공기관의개인정보보호에관한법률' 이 제정되었다. 1994년에 제정된 이 법률은 정보사회의 개인정보 즉, 정보주체의 자기정보통제권이나 정보적 자기결정권 등 으로 일컬을 만한 인식이 생긴 이후의 의미 있는 일반입법이라 할 수 있다. 이는 공공부문 에서 컴퓨터로 처리되는 개인정보를 보호하기 위한 일반법으로 제정되었으며, 민간부문의 경우 1995 년 ' 신용정보의이용및보호에관한법률' ( 이하 ' 신용정보법') 의 제정을 비롯해 여러 개별 법률에 개인정보의 보호조항이 삽입되기에 이르렀다. 그러나 신용정보법의 경우 신용 정보를 보호하려는 목적 보다는 신용정보를 제한적으로 이용해 관련 산업을 진흥시키고자 하는 목적이 더 강한 것이라 할 수 있으며, 다른 개별법에 삽입된 개인정보보호 관련 조항 도 일반적ㆍ선언적 규정에 불과했다. 이후 초고속망 등 정보통신망이 확충되고 이를 통한 개인정보의 수집 및 유통이 일반화되어 민간부문의 개인정보보호 체계에 대한 반성이 일어 남에 따라 1999 년 기존의 ' 전산망보급확장및이용촉진에관한법률' 의 제명을 ' 정보통신망이 용촉진등에관한법률' 로 바꾸고 미흡하나마 정보통신망을 통해 수집 및 유통, 활용되는 개인 정보를 보호하기 위한 법제의 기틀을 마련하게 되었다. 그러나 공공부문의 개인정보보호법 제가 단일 법제를 마련하고 있는 것에 비하면 이 역시 초보적 단계에 불과했다. 이후 2001 년 이 법률의 제명을 다시 ' 정보통신망이용촉진및정보보호등에관한법률' 로 바꾸면서 개인정 보 관련 조항을 대폭적으로 개선함으로써 공공부문과 비슷한 보호 수준에 이르렀다. 이렇게 보면 우리나라 개인정보보호법제는 헌법을 최상위 근거법으로 하고 이에 기한 기본 권을 보장하는 구체적 법률로서 공공분야에는 ' 공공기관의개인정보보호에관한법률' 이, 민간 분야에는 ' 정보통신망이용촉진및정보보호등에관한법률' 이 각각 일반법으로 적용된다고 할 수 있다. 이외에 개별 법률은 양대 일반법에 대한 특별법으로서 개별 상황에 우선 적용된다 고 볼 수 있다. 외국의 입법례를 보면, 우리나라와 같이 공ㆍ사부문을 구별하면서 별개의 법률로 규율하고 있는 나라( 미국), 공ㆍ사 부문을 구별하지 않고 단일 법률로 규율하고 있는 나라( 스웨덴, 영 국), 공ㆍ사 부문을 구분하되 단일 법률로 규율하고 있는 나라( 독일, 프랑스) 등으로 대별할 수 있다. - 36 -
< 그림 2-1-1> 우리나라 개인정보보호 관련 법률의 체계 1. 공공부문의 개인정보보호 정책 및 법제도 가. 공공기관의개인정보보호에관한법률 ' 공공기관의개인정보보호에관한법률'( 이하 ' 개인정보보호법') 은 국가 주요 업무에 대한 전산 화 확대 추진, 전국적 행정전산망 구축 등으로 개인정보의 부당 사용 또는 무단 유출로 인 한 개인 사생활의 침해 등 각종 부작용이 우려됨에 따라, 공공기관이 컴퓨터에 의해 개인정 보를 취급함에 있어서 필요한 사항을 규정함으로써 공공업무의 적정한 수행을 도모함과 아 울러 개인의 권리와 이익을 보호하기 위해 1994년 1월 7일 법률 제4734 호로 제정됐다. 이후 1999년 1 월 개인정보의 이용 및 제공 요건을 강화하는 한편, 본인의 열람제한 사유를 완화 하는 등 규제를 완화하고 기타 제도 운영상 나타난 일부 미비점을 개선ㆍ보완해2) 현행에 이르고 있다. 2) 이 개정에서는 1개인정보를 제공할 수 있는 경우를 본인이 의사표시 등을 하지 못하는 경우로서 정보주체 외의 자에게 제공하는 것이 명백히 정보주체에게 이익이 되는 경우로 한정하도록 제공요건을 보다 엄격하게 하고( 법 제10조제2항제5 호), 2개인정보 열람청구에 대한 처리기간을 30일 이내에서 15 일 이내로 단축( 법 제12조제2 항) 하고, 3개인정보의 열람제한 사유 중 병원 등 의료기관의 진료에 관한 업무 등을 삭제해 본인에 관한 정보를 보다 쉽게 열람할 수 있도록 했다( 법 제13조제1호 마목 및 동조 제3 호 삭제). - 37 -
나. 주민등록법 (1) 연혁 우리나라의 경우 특정 개인을 식별할 수 있는 개인정보는 주민등록번호 시스템에 의하는 것 이 일반적이다. 이는 간단한 13자리의 숫자로 이루어져 있으나 성별이나 연령 및 출생지 등 개인에 관한 기초정보를 확인할 수 있으며, 공공기관의 대부분의 정보( 자동차, 주소, 호적, 부동산, 교육, 보험 등) 는 이 기초 정보를 토대로 하고 있다. 1962년 5월 제정된 주민등록법 에 의한 주민등록 및 주소등록은 남북 대치관계에서 주민의 거주 관계를 파악하고 상시로 인구의 동태를 명확히 함으로써 행정사무의 적정한 처리를 도모하기 위해 제정된 것으로서, 30 일 이상 거주할 목적으로 일정거소를 갖는 자는 누구나 등록을 하도록 하고 있으며, 동시 에 기존 기류법을 폐지했다. 주민등록법은 제정 이후 16 차례에 걸쳐 개정됐다. 그 개정 내용은 아래의 < 표 2-1-1> 과 같 다. < 표 2-1-1> 주민등록법의 주요개정 내용 개정 일시 1968. 5. 개정 내용 ㆍ18세 이상자에게 주민등록증 발급 ㆍ병역사항 및 특기 포함 ㆍ주민등록지를 공법관계에서의 주소로 함. 1970. 1. ㆍ주민증에 의한 인적사항 확인 1975. 7 ㆍ17세에 주민증 발급 1977. 12. ㆍ주민 인적사항을 개인별주민등록표에 종합 관리 1991. 1. ㆍ주민등록사무의 전산처리 ㆍ주민등록법상의 보유ㆍ이용 목적 이외의 주민등록정보 전산처리자와 누설자 처벌규정 신설 1993. 12. ㆍ전출신고의무 폐지 1997. 12. 1999. 5. 2001. 1. ㆍ주민증을 주민카드로 대체 및 인감정보 수록 ㆍ주민등록 자료는 열람에 본인 동의 요구 등 열람요건 제한 ㆍ사생활 침해 우려 사항 수록 금지 ㆍ프라이버시권 침해 우려로 주민카드 대신 신규 주민등록증으로 일제 갱신 ㆍ주민등록증 수록 항목을 성명ㆍ사진ㆍ주민등록번호ㆍ주소ㆍ지문ㆍ발행일ㆍ주민등록기관으로 한정 ㆍ프라이버시권 침해 우려 지적을 받아 온 호주ㆍ병역사항 항목은 삭제 ㆍ무인민원발급기에 의한 주민정보발급 ㆍ주민등록번호생성기 등을 통한 허위번호생성 금지 ㆍ허위ㆍ부정의 방법으로 타인의 주민등록표 열람 등 금지 ㆍ수집한 주민등록 자료를 그 보유ㆍ관리 목적 외의 용도로 이용 또는 활용 금지 - 38 -
주민등록법은 우리나라 전자정부의 급속한 발전에 가장 크게 기여한 개인식별자( 주민등록번 호) 를 가능하게 하고 그 자료의 현행화를 제도적으로 보장하고 있는 만큼 전자정부 관련 기 틀을 제공하는 법률이다. 이 법률의 연혁을 살펴보면 우리의 주민등록제도가 안보에 크게 기여하면서도 다른 한편으로는 개인정보보호의 문제를 야기할 수 있기 때문에 점차 프라이 버시권을 보호하는 방향으로 변화하고 있음을 알 수 있다. (2) 주요 내용 o 주민등록에 관한 사무는 시ㆍ군ㆍ구에서 맡고 그 지도ㆍ감독은 행정자치부장관이 맡는다 ( 제2 조, 제3 조). o 30 일 이상 거주할 목적으로 그 관할구역 안에 주소 또는 거소( 이하 ' 거주지' 라 한다) 를 가진자가 등록대상이다( 제 6 조). o 주민등록표를 작성하되 개인별ㆍ세대별로 기록을 통합 관리하고 개인별로 고유한 주민등 록번호를 부여 한다( 제7 조). 주민등록표 및 주민등록표색인부는 전산처리하여야 한다( 제7조 의 2). o 등록은 신고주의가 원칙이고 신고사항은 다음과 같다( 제8 조, 제10 조). 1 2 3 4 5 6 7 8 9 10 11 성명 성별 생년월일 세대주와의 관계 합숙사에 있어서는 그 관리책임자 본적 주소 본적이 없는 자 또는 본적이 분명하지 아니한 자는 그 사유 대한민국의 국적을 가지지 아니한 자는 그 국적명 또는 국적의 유무 거주지를 이동하는 경우에는 전입전의 주소 또는 전입지와 그 년월일 대통령령으로 정하는 특수기술에 관한 사항 o 호적법의 신고사항과 동일한 경우에는 호적법의 신고로써 갈음한다( 제13조의2). o 주민등록전입신고로써 병역법 향토예비군설치법ㆍ민방위기본법ㆍ인감증명법ㆍ국민기초생 활보장법ㆍ의료보험법 및 장애인복지법 등에 의한 신고가 간주된다( 제14조의2). o 17세 이상자에게 주민등록증을 발급하되 주민증에는 성명ㆍ사진ㆍ주민등록번호ㆍ주소ㆍ지 문ㆍ발행일ㆍ주민등록기관을 수록한다( 제17조의8). - 39 -
o 주민등록표를 열람하거나 등본 또는 초본의 교부신청은 공무상 필요한 경우와 관계법령 의한 소송ㆍ비송사건ㆍ경매목적 수행상 필요한 경우 등을 제외하고는 본인 또는 세대원이 할 수 있으며, 대리신청하는 경우에는 본인 또는 세대원의 위임이 있어야 한다. o 전산조직을 이용한 열람이나 교부도 가능하다( 제18 조). 주민등록전산정보자료를 이용 또 는 활용하려면 원칙적으로 관계기관의 장의 심사를 거쳐 행자부장관의 승인을 얻어야 하며 그 목적 외의 용도로 이용ㆍ활용이 불가하다( 제18조의2). o 주민등록표 및 주민등록표화일 보유기관의 장은 멸실ㆍ분실ㆍ도난ㆍ유출 또는 훼손되지 아니하도록 필요한 안전조치를 해야 하고, 주민등록표화일의 관리자는 이 법의 규정에 의한 보유 또는 이용목적 이외의 목적을 위하여 주민등록표화일을 이용한 전산처리를 하여서는 아니되며, 주민등록업무에 종사하거나 하였던 자 또는 그밖의 자로서 직무상 주민등록사항 을 알게 된 자는 다른 사람에게 이를 누설하여서는 아니된다( 제18조의3). 2. 민간부문의 개인정보보호 정책 및 법제도 가. 민간부문의 개인정보보호정책 정보화의 급속한 진전으로 인터넷 이용이 일상생활 속으로 확대되고, 공ㆍ사적 부분에서 정 보기술 활용이 크게 증가하고 있다. 흔히들 21 세기는 정보화사회라고 한다. 정보화사회란 컴 퓨터의 신속한 정보처리와 다양한 통신 미디어의 광범위한 정보 전달로 대량의 정보가 생산 ㆍ축적ㆍ전달되는 사회이다. 이와 같이 정보화사회에서의 정보통신 발달과 범세계적 정보통 신서비스의 기반 확대에 따라 사회ㆍ경제적 이익이 증가하고 있고, 또 한편으로는 개인정보 가 컴퓨터에 의해 처리ㆍ활용되면서 개인의 명예훼손이나 지적재산권의 문제, 정크(Junk Mail) 의 홍수 등 디지털화된 개인정보의 오ㆍ남용 피해가 증가하고 있어 빅브라더스(Big Brothers) 의 출현이 현실로 다가오게 되었다. 이처럼 프라이버시 침해가 증가함에 따라 정 보통신 서비스 이용자들의 개인정보보호(Personal Information Protection) 문제에 대한 능동 적인 규제의 요구가 증가하게 되었다. 이에 정보통신부는 공공부문을 제외한 민간부문의 개인정보보호를 위해 1999 년에 종전의 ' 전산망보급확장및이용촉진에관한법률' 을 ' 정보통신망이용촉진등에관한법률' 로 개정하고 민 간부문의 개인정보보호를 위한 법제를 최초로 마련한 것을 계기로 하여, 2000년 2월에 정보 통신부 정보화기획실 내에 직제를 신설하고 정보이용보호과를 주축으로 개인정보보호를 위 해 적극적으로 정책을 수립ㆍ시행하게 되었다. - 40 -
2000 년 이후에는 일차적으로 개인정보보호제도의 정착을 위해 ' 정보통신망이용촉진등에관한 법률' 을 개정, 법 명칭을 변경해 ' 정보통신망이용촉진및정보보호등에관한법를' 을 시행 (2001.7.) 함으로써 민간부분의 종합적인 개인정보보호법제를 마련하게 되었다. 이에 따라 종 래정보통신서비스사업자에게만 적용되었던 개인정보보호 의무를 여행사, 호텔, 항공사, 학원 교습소에도 부여하고, 기업의 양도ㆍ양수, 합병 시 이용자에게 개인정보 이전 사실을 통보하 도록 의무화하는 한편,14세 미만 아동의 개인정보 수집 시 부모 등 법정대리인의 동의를 필 수화했다. 또한 개인정보침해 분쟁을 신속 간편하게 해결하기 위해 개인정보분쟁조정위원회 를 설치 운영하는 근거를 마련했다. 개인정보보호법제에 대한 사업자 및 이용자의 이해를 돕고 정보통신망법령의 부족한 부분을 보완하고자 2002년 1 월 ' 개인정보보호지침' 을 개정해 최초로 고시하고 2002년 4월에는 이에 대한 해설서를 마련 배포했으며, 2002년 9 월에는 ' 인터넷 쇼핑몰 개인정보보호 가이드라인' 을, 2002년 10월에는 만14세 미만 아동의 개인정보 수집 시 부모 등 법정대리인의 동의를 얻는 요령을, 2002년 12 월에는 ' 개인정보보호를 위한 기술적ㆍ관리적 대책 수립을 위한 가 이드라인' 을 마련ㆍ배포했다. 또한 2003년 12 월에는 ' 해지고객 개인정보 관리 지침' 을 마련 ㆍ보급해 이동통신사업자 등 정보통신서비스제공자가 보유하는 해지고객 정보의 관리 방안 에 대한 기준을 정했고, 2003년 12 월 ' 게임사이트 개인정보보호 지침' 을 마련해 인터넷 게임 사업자에게 개인정보보호 강화 방안을 제시했다. 2000년 4월에는 개인정보침해 사건에 대한 신고 접수 및 상담 기능을 수행하도록 개인정보 침해신고센터를 한국정보보호진흥원( 당시 한국정보보호센터) 에 설치해 개인정보침해 민원을 해결하는 한편, 1999년 11 월 이후로 인터넷사이트에 대한 모니터링을 매년 실시 (2003년 말 까지총 8 회, 3,400 여개 사이트) 해 법 위반 정도가 심한 사업자에 대해서는 과태료 처분 등 강력한 행정조치 (2003년 11 월 말 현재, 시정명령 685 건, 과태료부과 92 건, 수사의뢰 5건 등 784 건 조치) 를 취해 왔다. 3001년 12월에는 박준수 위원장 외 14명의 위원으로 개인정보분 쟁조정위원회를 구성해 개인정보침해에 따른 각종 분쟁을 처리 (2003년 12 월 말 현재, 24 회, 1,151 건) 하고 있으며, 사무국 기능은 한국정보보호진흥원에서 수행하고 있다. - 41 -
또한, 2001년 10월부터 11 월까지 이동통신사(SKT, KTF, LGT, 신세기통신) 의 본사, 대리점, 고객센터 및 판매점에 대한 개인정보보호 실태를 조사해 이동전화 가입자의 개인정보보호 강화를 위한 조치계획을 수립 (2001. l2.), 각 이동통신사별 문제점 개선을 내용으로 하는 자 체 추진계획을 2002년 1 월까지 수립ㆍ시행토록 조치했다. 2003 년에는 인터넷쇼핑몰(150 개) 에 대한 실태조사를 실시해 법 위반 업체를 처벌 (9 개 업체 과태료, 84 개 업체 시정명령) 하고 개선방안을 마련(2002.6.) 했으며, 7월부터 11 월까지는 호텔ㆍ항공사ㆍ여행사(90 개 업체) 등 Off-line 업체에 대한 실태조사를 실시해 호텔ㆍ항공사ㆍ여행사 총 6개 업체에 시정조치 명 령을 내렸다. 2003년 8월에는 2001년에 이행토록 한 이동통신사 개인정보 조치계획에 대한 이행점검을 실시, 미진한 부분에 대해 시정조치 등 행정처분 조치를 했고, 2003년 7월부터 8 월까지는 구인구직, 포털, 게임, 금융회사 등 448개 사이트에 대한 모니터링 및 실태조사를 실시해 법 위반 정도가 심한 사업자에 대해 시정조치 등 행정처분을 내렸다. 한편, 개인정보보호에 대한 민간자율규제를 활성화하는 차원에서 한국정보통신산업협회에서 는 2002년 2 월부터 ' 개인정보보호마크제도' 를 도입 시행하고, 미국 일본 등 주요국과 마크상 호인정을 추진하고 있으며 (2003년 11월까지 KTF 등 102 개 업체에 마크를 부여), 개인정보 보호 및 스팸메일 방지를 일한 개인정보관리책임자협의회를 2002년 7 월 구성했다. 또한 정 보통신서비스제공업체 개인정보관리책임자와 이용자에 대한 개인정보보호 교육ㆍ홍보를 위 해 정보보호교양교육을 실시하고 있으며, 2001년에는 130개 공공기간을 중심으로 2만 3천여 명에 대한 교육을 실시했고, 2002년에는 2001년 중 교육이 실시되지 않은 기관을 대상으로 상반기 중 20개 기관 3,000 여명을 대상으로 교육을 실시했다. 아울러 한국정보보호진흥원에 사업자 개인정보관리책임자를 대상으로 하는 교육과정을 설치해 68개 업체 112명을 대상으 로 교육을 실시했고, 2003년에는 13개 기관 3,500 여명의 이용자 교육을 실시했다. 또한 2002년부터 급속히 증가하기 시작한 스팸메일 및 휴대폰 SMS등 악성 광고성 정보 전 송행위를 규제하기 위해 2002년 1월 사업자 책임강화 및 자율규제 활성화 방안을 주요 골자 로 하는 ' 스팸메일 종합대책' 을 수립ㆍ발표했고, 2002년 6 월에는 이메일서비스제공자, ISP 등 사업자별로 자율규제를 활성화할 수 있도록 ' 스팸메일 가이드라인' 을 마련해 사업자에게 권고했다. 2002년 7 월에는 메일 제목란의 변칙표기를 방지하기 위해 " 광고" 문구를 "( 광고)" 및 "( 성인광고)" 로 일정 규칙에 따라 표시토록 하는 ' 정보통신망법시행규칙' 을 개정 시행하 는 한편, 2002년 12 월에는 ' 정보통신망이용촉진및정보보호등에관한법률' 을 개정해 수신거부 를 회피하거나 방해하는 기술적 조치와 숫자ㆍ부호 등 문자를 조합해 전화번호ㆍ전자우편주 소를 자동생성, 이를 판매하는 행위를 금지시켰으며, 광고성 정보가 보이도록 하는 프로그램 을 설치하고자 할 경우 이용자의 동의를 받도록 하는 들 규제를 강화했다. 2003년 9월에는 동법 시행령을 개정해 광고성 정보를 전송하고자 할 경우 전자우편 주소의 제목이 시작되는 부분에 "( 광고)" 또는 "( 성인광고)" 를 표시하고 제목이 끝나는 부분에 "@" 를 표시하도록 함 으로써 해외로 전송되는 스팸메일을 대비했고, 광고 전송매체를 전자우편 외 전화, 모사전 송, 기타 전자적 전송매체로 확대했다. 또한 광고우편 본문란에는 전송자의 명칭 전자우편 주소 전화번호 및 주소와 전자우편 수집출처를 명시토록 했으며, 수신거부를 쉽게 할 수 있 도록 안내문을 국ㆍ영문으로 각각 명시하고 수신거부 여부를 간편하게 하기 위한 기술적 조 치를 의무화했다. - 42 -
또한, 2002년 7월에는 스팸메일 신고ㆍ상담 전담창구인 불법스팸대응센터 (www.spamcop.or.kr) 를 개설해 2002년 106,076 건, 2003년 252,487을 신고접수 처리 및 상담 하고, 수신거부 의사에 반하여 재전송하거나 광고표시를 위반해 스팸메일을 전송한 업체 및 개인에 대해서는 과태료 등 행정처분(2003. 11. 현재 총 13차례 3,572 건) 조치했다. 아울러 이메일주소를 무단 수집하는 행위를 방지하기 위한 기술적 장치를 개발ㆍ보급(2002년 하반 기) 하는 한편, 2003년 8월에는 불법스팸신고를 간편하게 할 수 있는 신고프로그램을 개발ㆍ 보급했다. 더불어, 2003년 10월에는 사생활 침해 등 심각한 사회문제로 대두되고 있는 휴대폰 음란스 팸 등 문자메시지에 대해 사업자 자율 규제방안으로 광고 전송 시 사전동의 (Opt-in), 시간대광고 제한, 위반 사업자에 대한 서비스 중지 등을 이동통신사 이용약관에 반영하고, 정보통신윤리위원회의 광고 내용 사전 사후심의 강화 등을 주요 내용으로 하는 대책을 마련 해 현재 추진중이며, 향후 Opt-in 방식 도입, 야간시간대 광고 제한 등에 대한 법제화를 추진 하는 등 강력히 대응해 나갈 예정이다. 앞으로 정보통신부는 개인정보보호의 사각지대가 발생하지 않도록 민간부문 모든 영역의 개 인정보침해를 규율할 수 있는 개인정보보호법제를 정비해 나가는 한편, 새로운 정보기술에 의한 프라이버시 침해에 적극 대응하고, 개인정보 이용의 전과정 (Life-cycle) 에서 예상되는 침해 유형별 개인정보보호 대책을 마련함은 물론, 개인정보보호기구의 기능 및 권한을 강화 해 안심하고 신뢰할 수 있는 개인정보보호 기반을 구축해 나갈 방침이다. 또한 스팸 없는 사회 구현을 위해 팝업창, 메신저 스팸 등 신유형의 스팸 방지를 위한 제도적 기술적 대책 을 마련해 규제를 강화하고, 특히 해외 유입ㆍ발송되는 스팸 차단을 위해 국제기구, 민간단 체와의 공조체계를 구축해나갈 방침이다. 야간 - 43 -
나. 개인정보보호 법제도 현황 (1) 개인정보보호제도의 연혁 민간부문의 개인정보를 보호하기 위해 포괄적으로 적용되는 법률로는 ' 정보통신망이용촉진 및정보보호등에관한법률' ( 이하 ' 정보통신망법') 이 있다. 이는 1999 년 제정된 ' 정보통신망이 용촉진등에관한법률' 이 2001년 1월 16일 법률 제6330호로 전면 개정되고 명칭도 변경된 것 으로서, OECD에서 제시한 개인정보보호 8 원칙을 수용하고, 유럽연합의 개인정보보호지침을 고려해 국민의 프라이버시 보호를 위한 개인정보의 수집ㆍ이용ㆍ제공에 따른 제반 사항과 스팸메일등 악성 광고성 정보 전송행위 방지를 위한 제반 사항을 규정하고 있다. (2) 정보통신망법의 주요 내용 ( 가 ) 개인정보의 정의 ' 개인정보' 란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의해 당해 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보( 당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합해 알아볼 수 있는 것을 포함한다) 를 말한다. 흔히 개인정보를 개인이 보유한 정보로 잘못 인식하는 경우가 있는데 신용정보, 거 래정보, 내면의 비밀, 심신의 상태, 사회경력, 경제관계, 생활ㆍ가정ㆍ신분관계로 분류되는 각종 정보가 개인정보의 대상이 된다. 특히, 개인정보의 주체는 자연인이며, 법인 또는 이미 사망했거나 실종선고 등 관계 법령에 의해 사망한 것으로 다루어지는 자는 개인정보의 주체 가 될 수 없으며, ' 정보' 를 " 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보" 라고 부연함으로써 다양한 개인 인식 수단이 포함된다는 것을 명확히 밝히고 있다. ( 나 ) 적용 대상 ' 정보통신망법' 에서의 개인정보보호 규정은 정보통신서비스제공자와 그로부터 개인정보를 제공받은 자( 이하 ' 정보통신서비스제공자등'), 정보통신서비스제공자로부터 개인정보의 수집 ㆍ관리를 위탁받은 자를 비롯해 ' 관광진흥법' 제3조제1항의 규정에 의한 여행업 또는 호텔 업을 행하는 자, ' 항공법' 제2조제23 호의 규정에 의한 항공운송사업을 행하는자, ' 학원의설 립ㆍ운영및과외교습에관한법률' 제2조제1호의 규정에 의한 학원 또는 동조 제2호의 규정에 의한 교습소를 설립ㆍ운영하는 자, 그 밖에 재화 또는 용역을 제공하면서 회원제 또는 그와 유사한 형태로 개인정보를 수집하는 사업자로 관계 행정기관의 장과 협의해 정보통신부령으 로 정하는 자를 적용 대상으로 하며, 스팸방지 규정은 영리목적의 광고성 정보를 전송하는 모든 국민을 적용 대상으로 한다. - 44 -
' 정보통신서비스제공자' 는 전기통신사업법상 전기통신사업자' 3) 와 영리를 목적으로 전기통신 사업자의 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자로서 PC통 신 및 인터넷서비스제공사업자(ISP) 를 비롯해 텔레마케팅업자, 인터넷 쇼핑몰, 인터넷 포털 사이트 개설자 등이 모두 이에 포함되며, 보통 영업행위를 하는 주체가 홈페이지를 개설하 는 경우에는 모두 적용 대상이 되는 것으로 해석하고 있다. 특히 ' 영리 목적' 은 자기 또는 제3 자의 재산적 이익을 얻기 위한 목적을 말하는 것으로 폭넓게 해석하고 있으며, 여기서의 이익은 계속적, 반복적일 필요는 없는 것으로 해석하고 있다. ' 정보통신서비스제공자외의자' 는 정보통신서비스제공자에 해당되지 않는 호텔, 여행사, 항공 사, 학원ㆍ교습소 등 Off-line사업자로서 이 법의 개인정보보호에 관한 규정이 준용되도록 하고 개인정보보호 의무를 위반한 자의 경우 정보통신서비스제공자와 동일한 벌칙에 처하고 있어 이법은 사실상 민간부문의 개인정보보호에 관한 일반법으로서의 역할을 하고 있다. 이 법에서 보호하는 개인정보는 종이, 디스켓, 컴퓨터, 인터넷 등 개인정보가 저장되거나 유 통되는 방법과는 무관하게 적용하고 있다. ( 다 ) 다른 법률과의 관계 정보통신망법 제5 조에서는 " 정보통신망이용촉진및정보보호등에 관하여는 다른 법률에 특별 한 규정이 있는 경우를 제외하고는 이 법이 정하는 바에 의한다" 고 규정하고 있으므로, ' 공 공기관의개인정보보호에관한법률' 은 적용 대상이 공공기관이기 때문에 정보통신망법의 적용 대상인 영리목적의 정보통신서비스제공자와는 구분되나, 일부 중복되는 부분에 있어서는 ' 공공기관의개인정보보호에관한법률' 의 해당 조항이 우선 적용되고 있다. 또한 전자거래기본법, 전자서명법 등과 같이 민간부문에 적용되는 기타 법률4)의 경우에는 해당법률이 특수 분야 즉, 전자거래, 전자서명, 신용거래, 증권거래 등 적용 범위를 한정하고 있기 때문에 정보통신망법에 우선해 적용되며, 해당 법률에 규정이 미비한 경우에는 정보통 신망법이 보충적으로 적용되어 정보통신망법이 민간분야 개인정보보호에 있어 일반법적 성 격을 지니고 있다. 3) 전기통신사업법 제2조제1항제1 호에서 전기통신사업자는 " 이 법에 의한 허가를 받거나 등록 또는 신고를 하고 전기통신 역무를 제공하는 자" 를 말하며, 이는 다시 기간통신사업자, 별정통신사업자, 부가통신사업자로 구분되고, 일반적으로 쇼핑몰을 운영하거나 정보를 제공하는 사업자는 부가통신사업자 중 인터넷 관련 사업자에 해당된다. 4) 기타 법률로는 신용정보의이용및보호에관한법률, 금융실명거래및비밀보장에관한법률, 증권거래법, 의료보험법, 신용카드업법, 전자서명법, 전자거래기본법 등이 있다. - 45 -
( 라 ) 개인정보의 수집 1) 필요 최소한의 수집 원칙 정보통신서비스제공자는 이용자의 동의가 있거나 다른 법률에 수집대상 개인정보가 명시되 어있는 경우를 제외하고는 사상, 신념, 과거의 병력 등 개인의 권리, 이익 및 사생활을 현저 하게 침해할 우려가 있는 개인정보를 수집해서는 아니된다. 또한 이용자의 개인정보를 수집 하는 경우 정보통신서비스의 제공을 위해 필요한 최소한의 정보를 수집해야 하며, 필요한 최소한의 정보외의 개인정보를 제공하지 않는다는 이유로 당해 서비스의 제공을 거부해서는 안 된다. 2) 동의의 원칙 및 그 예외 정보통신서비스제공자가 개인정보를 수집하는 경우에는 당해 이용자의 사전동의를 받도록 의무화( 제22조제1 항) 하고 있어, OECD 개인정보보호지침의 목적명확화의 원칙(Purpose Specification Principle) 및 공개의 원칙 (Openness Principle) 과 같은 취지로 규정하고 있다. 다만, 이러한 동의 원칙은 정보통신서비스 이용계약의 이행을 위해 필요한 경우, 요금정산을 위해 필요한 경우, 정보통신망법 또는 다른 법률에 특별한 규정이 있는 경우에는 예외를 인 정하고 있다. 3) 고지사항 또는 정보통신서비스 이용약관 명시 사항 정보통신서비스제공자는 개인정보 수집 시 이용자에게 동의를 받기 전에 개인정보관리책임 자의 소속ㆍ설명ㆍ직위 및 전화번호 기타 연락처, 개인정보의 수집 목적 및 이용 목적, 개인 정보를 제3 자에게 제공하는 경우의 제공받는 자, 제공 목적 및 제공할 정보의 내용, 이용자 의 권리 및 그 행사 방법, 기타 대통령령이 정하는 사항( 개인정보의 수집 항목, 수집하는 개 인정보의 보유 기간 및 이용 기간) 을 먼저 고지하거나 정보통신서비스 이용약관에 명시토록 함으로써 본인이 제반 상황을 정확히 인식한 상태에서 자신의 개인정보를 사업자에게 제공 할 수 있도록 규정하고 있다. ( 마 ) 개인정보의 이용 및 제공 정보통신서비스제공자가 이용자의 개인정보를 이용하거나 제3자에게 제공함에 있어 수집 시 고지된 범위를 초과하거나 정보통신서비스 이용약관에 명시한 범위를 넘어서는 경우 본인의 사전동의를 얻도록 의무화하고 있다. 다만, 요금정산을 위해 필요한 경우, 통계작성, 학술연 구 또는 시장조사 등의 목적을 위한 경우로서 특정 개인을 알아볼 수 없는 형태로 가공해 제공하는 경우, 다른 법률에 특별한 규정이 있는 경우에는 본인의 동의를 얻지 않아도 제공 이 가능하도록 규정하고 있다( 제22조제2 항). - 46 -
( 바 ) 정보통신서비스제공자의 행위원칙 정보통신서비스제공자는 개인정보관리책임자를 지정해 이용자의 개인정보를 취급하는 자를 최소한으로 제한( 제24조제3 항, 제27조제1 항) 하도록 하고, 이용자의 개인정보를 취급함에 있 어 개인정보가 분실ㆍ도난ㆍ누출 변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적 ㆍ관리적 조치를 강구( 제28 조) 해 시행토록 하며, 개인정보의 수집 목적 또는 제공받은 목적 을 달성한 때에는 당해 개인정보를 지체 없이 파기( 제29 조) 토록 규정하고 있다. 또한 이용자의 개인정보를 취급하거나 취급했던 자가 직무상 알게 된 개인정보를 훼손ㆍ침 해 또는 누설하는 행위를 금지( 제24조제4 항) 하고 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 규정하고 있다. 아울러 정보통신서비스제공자가 개인정보보호 규정을 위반하는 사항을 내용으로 하는 국제 계약을 체결하는 것을 금지 ( 제54 조) 함으로써 앞으로 국가간 개인정보의 수집ㆍ이용 등에 있어서도 국제기준이 수용된 정보통신망법 규정을 준수하도록 규정하고 있다. ( 사 ) 개인정보처리의 위 탁 정보통신서비스제공자등으로부터 개인정보의 처리를 위탁받은 자가 당해 업무와 관련해 초 래한 손해의 배상책임에 한해 그를 정보통신서비스제공자등의 소속 직원으로 보아 민법 제 756 조의 사용자책임 규정이 적용될 수 있도록 규정하고 있다. 따라서 위탁자인 정보통신서 비스제공자가 선임ㆍ감독상의 과실이 없음을 입증하면 면책되나 아직 면책을 인정한 판례가 없으므로 사실상 무과실책임을 지도록 하고 있다. ( 아 ) 영업의 양수 등의 통지 정보통신서비스제공자가 영업방도ㆍ양수 및 합병 시 개인정보의 이전에 관해 이용자의 사전 동의를 얻도록 하는 것은 현실적으로 사업자에게 과도한 부담이 될 수 있다. 이러한 부담을 완화하기 위해 정보통신서비스제공자등이 영업을 양도하거나 합병 등으로 그 권리ㆍ의무를 이전하는 경우와 정보통신서비스제공자등으로부터 영업을 양수하거나 합병ㆍ상속 등으로 그 권리ㆍ의무를 승계한 자는 관련 사항을 이용자에게 통지하도록 의무화함으로써 정보통신서 비스제공자 등의 인수ㆍ합병이나 영업의 양도ㆍ양수의 경우에 개인정보의 제3자 제공 시 사 전동의에 대한 예외를 인정하고 있다. - 47 -
정보통신서비스제공자등이 영업의 전부 또는 일부를 양도하거나 합병ㆍ상속 등으로 그 권리 의무를 이전하는 경우( 제26조제1 항) 에는 영업의 전부 또는 일부의 양도, 합병 또는 상속 등 의 사실, 정보통신서비스제공자등의 권리ㆍ의무를 승계한 자의 성명( 법인인 경우 법인의 명 칭), 주소, 전화번호, 기타 연락처를 이용자에게 통지하도록 규정하고 있다. 또한 정보통신서 비스제공자등으로부터 영업의 전부 또는 일부를 양수받거나 합병ㆍ상속 등으로 정보통신서 비스제공자등의 권리ㆍ의무를 승계한 자( 제26조제2 항) 는 정보통신서비스제공자등의 권리 의 무를 승계한 사실 및 해당 정보통신서비스제공자등의 성명 ( 법인인 경우 법인의 명칭), 개인 정보관리 책임자의 성명ㆍ소속부서ㆍ지위 및 전화번호, 기타연락처, 개인정보의 이용목적, 동의의 철회 및 개인정보의 열람ㆍ정정 요구에 관한 이용자의 권리 및 그 행사 방법, 기타 개인정보보호를 위해 필요한 사항으로서 대통령령으로 정하는 사항( 개인정보 항목, 개인정 보의 보유기간 및 이용기간) 을 이용자에게 통지하도록 규정하고 있다. ( 자 ) 아동의 개인정보보호 정보통신서비스제공자가 만14세 미만의 아동으로부터 개인정보를 수집하는 경우에는 사전에 부모 등 법정대리인의 동의를 얻도록 의무화( 제31 조) 하고 법정대리인에 대한 동의는 전화, 전자우편, 법정대리인에 의한 동의양식에의 기재, 우편 들을 이용하도록 하는 한편, 2003년 12월에는 14세 미만의 아동의 개인정보를 수집하면서 관행처럼 주민번호를 수집하는 것에 대해 생년월일만 수집하도록 하는 가이드라인을 제시, 이행토록 했다. ( 차 ) 이용자의 권리 이용자는 정보통신서비스제공자등에 대해 언제든지 개인정보의 수집ㆍ이용 및 제3자에 대한 제공, 목적 외 이용에 대한 동의를 철회할 수 있으며( 제30조제1 항), 자신의 개인정보에 대한 열람을 요구할 수 있고, 오류가 있는 경우에는 그 정정을 요구할 수 있다( 제30조제2 항). 2003년 12월에는 정보통신망법을 개정하여 개인정보를 이용하거나 제3자에게 제공한 내용을 요구할 수 있도록 이용자 권리를 강화했다( 제30조제2 항). 또한 정보통신서비스제공자는 이용 자가 동의철회, 열람ㆍ내역 또는 정정 요구를 하는 경우에는 지체 없이 필요한 조치를 취해 야하고( 제30조제3 항, 제4 항), 정보통신서비스제공자는 이용자로부터 오류의 정정 요구를 받 은 경우 그 오류를 정정할 때까지 당해 개인정보를 제공 또는 이용해서는 안되며( 제30조제5 항), 만14 세 미만의 아동으로부터 개인정보를 수집, 이용하는 경우에는 법정대리인의 동의를 얻도록 규정( 제31 조) 하고 있다. 더불어 개인정보보호 규정 위반으로 손해가 초래되는 경우 정보통신서비스제공자등은 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없게 입증책임을 전환하도록 규정하고 있다. - 48 -
( 카 ) 개인정보의 파기 삭제 의무 이용자가 개인정보의 이용ㆍ제공 등에 대한 동의를 철회한 경우, 정보통신서비스제공자는 개인정보를 삭제하지 않을 정당한 사유가 없는 한 이용자의 개인정보를 지체 없이 삭제하도 록 했다. 다만, 이용자의 개인정보 삭제 요청에도 불구하고 정보통신서비스제공자가 삭제하 지 않을 수 있는 정당한 사유로 다른 법에서 개인정보의 보유를 의무로 하고 있거나, 이용 자가 서비스 이용 요금을 연체하는 등 권리ㆍ의무 관계가 정산되지 않은 경우를 상정하고 있다. ( 타 ) 개인정보의 침해에 대한 구제 개인정보가 침해되는 전형적 인 유형은 개인정보 주체 ( 본인) 의 승낙이나 동의 없이 개인정 보를 수집ㆍ저장하는 경우, 동의한 범위를 넘어 제3자에게 개인정보를 제공하거나 양도한 경우, 고의 또는 우발적으로 발생한 개인정보의 오류를 유통함으로써 본인 및 제3자에게 침 해를 가져오는 경우, 개인정보를 처리할 정당한 권한이 없는 자가 임의로 개인정보를 수집 이용하거나 제3 자에게 양도하는 경우 등으로 분류할 수 있다. 정보통신망법에서는 개인정보 침해신고센터를 통한 고충처리와 개인정보분쟁조정위원회를 통한 피해보상, 시정명령ㆍ과태 료 부과 및 형사처벌에 의한 구제 방법을 규정하고 있다. < 그림 2-1-2> 개인정보보호법제 체계도 - 49 -
1) 개인정보침해신고센터를 통한 고충처리 개인정보침해와 관련한 고충처리와 상담을 전담하기 위해 한국정보보호진흥원(KISA) 에 개 인정보침해신고센터를 설치 운영 ( 정보통신망법시행령 제26 조) 하고 있다. 개인정보침해신고 센터는 정보통신서비스제공자등이 정보통신망범상의 개인정보보호 규정을 이행하는지 여부 를 감시하고, 신고 접수된 사항에 대해서는 법 위반 여부에 대한 사실확인 조사를 거쳐 위 반 정도에 따라 정보통신부에 과태료 등 행정처분 부과를 요청하거나 경찰에 수사 의뢰를 한다. 2) 개인정보분쟁조정위원회에 의한 피해보상 개인정보에 관한 분쟁을 이용자의 비용부담 없이 신속ㆍ간편하게 조정하기 위해 2001년 12 월부터 개인정보분쟁조정위원회를 설치ㆍ운영( 제4장 제4 절) 하고 있다. 2003년 12월에는 분쟁 업무를 효율적으로 수행하기 위해 분쟁조정위원회에 5인 이하의 위원으로 구성되는 조정부 를 두도록 하고, 일부 분쟁에 대해 조정부에 일임해 신속한 분쟁처리를 도모하도록 정보통 신망법을 개정했다. 3) 벌칙을 통한 규제 이용자의 개인정보를 목적 외의 용도로 이용하거나 제3 자에게 제공한 자, 타인의 정보를 훼 손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자는 5년 이하의 징역 또는 5천만 원 이하 의 벌금에 처하도록 하고 개인정보 최소 수집의 의무, 고지 의무, 동의 의무를 위반한 자, 수집 또는 제공받은 목적을 달성한 개인정보를 파기하지 않은 자, 개인정보관리책임자를 지 정하지 않은 자, 개인정보의 오류를 정정하지 않고 이를 이용한 자 등은 1천만 원 이하의 과태료에 처하도록 규정하고 있다. - 50 -
제 2 절 국내 개인정보보호기구 및 주요 역할 우리나라의 개인정보보호기구는 개인정보보호심의위원회( 국무총리실 산하), 개인정보침해신 고센터( 정통부 산하), 개인정보분쟁조정위원회( 정통부 산하) 등과 같이 법률에 명시적으로 지정된 기관도 있지만 공정거래위원회, 소비자보호원, 경찰청ㆍ검찰청 등과 같이 관련 업무 상 실질적으로 개인정보보호 기능을 수행하고 있는 기관도 있다. 우리나라의 개인정보보호 체계는 민간부문과 공공부문으로 나뉘어 그 법적 근거 및 추진 체 계를 달리하고 있다. 민간부문에서의 개인정보보호기구로는 정보통신부, 개인정보보호침해신 고센터, 개인정보보호분쟁조정위원회 등이 있으며, 공공부문에서의 개인정보보호기구로는 행 정자치부, 개인정보보호심의위원회 및 국가인권위원회 등이 있다. 개인정보보호기구의 기능과 권한은 고충처리, 법률위반 조사기능, 피해보상, 감독기능( 시정 명령, 과태료 부과 등) 으로 구분할 수 있다. 민간 부문 공공 부문 기관명 < 표 2-2-1> 개인정보보호기구의 기능 및 권한 고충처리 법률위반조사 피해보상 시정요구ㆍ 시정명령 정보통신부 개인정보침 해신고센터 개인정보분 쟁조정위원 회 (분쟁이 발생한 경우) (비강제적 시정요구) 행정자치부 시정권고 개인정보보 호심의위원 회 비고 자료제출 요구권, 검사권 자료제출 요청권 ( 비강제적) 자료제출 요구권, 조사권 심의기구 - 51 -
1. 공공부문 가. 행정자치부 (1) 근거 규정 행정자치부는 ' 개인정보보호법' 에 근거해 공공기관이 보유하는 개인정보 관리를 파악하고 감독하기 위한 권한을 부여받고 있다. 따라서 행정자치부는 공공분야의 개인정보를 종합 관 리하는 기관이라 할 수 있다. 행정자치부에 행정정보화계획관을 부이사관으로 두고 개인정보보호제도의 연구ㆍ개선 및 운 영을 맡기고 있으며, 그 업무는 정보화총괄담당관이 수행하도록 하고 있다( 행정자치부와그 소속기관직제 제6조의2). (2) 기능과 역할 행정자치부장관은 중앙행정기관이 개인정보파일을 보유하는 경우나 기타 공공기관이 개인정 보파일을 보유하는 경우에 중앙행정기관을 거쳐 개인정보침해신고처리대장, 개인정보업무 관련통계, 개인정보의 열람 및 정정처리 현황 등에 대해 사전통보를 받는다. 또한, 개인정보 파일의 보유ㆍ변경 또는 폐지에 관해 각 공공기관으로부터 사전통보를 받은 사항을 매분기 별로 관보에 게재해 공고하고 있다. 국민들은 행정자치부를 통해 공공기관의 개인정보 관리 현황을 알 수 있고, 이러한 공고에 따라 자신의 개인정보를 열람할 수 있으며, 자신의 개인정보에 오류가 있는 경우에 이를 정 정할 수 있다. 한편, 행정자치부장관은 각급 공공기관에 개인정보 처리에 관한 자료 제출을 요구할 수 있 으며, 의문사항이 있는 경우에는 행정자치부 소속 공무원으로 하여금 해당 공공기관에 대한 실태조사를 할 수 있다. 이와 더불어 행정자치부장관은 공공기관의 장에게 개인정보보호에 관한 의견제시나 권고를 할 수 있다. 행정자치부 내 정보화총괄담당관실에서는 개인정보보호제도의 연구ㆍ개선 및 운영을 담당하 고, 공공기관의 개인정보 관리 에 관한 정책 입안, 개인정보 관리 지침 제정 등 종합적인 관 리기관으로서 공공기관 내의 개인정보보호를 시행하고 있다. 공공기관의개인정보보호에관한법률개정( 안) 에서는 공공분야의 개인정보 감독기능을 더욱 강화하고 있다. 그 주요 내용은 다음과 같다. - 52 -
ㆍ공공기관의 장이 개인정보를 통합ㆍ유지 및 관리하거나 별도의 개인정보데이터베이스를 구축하여 집접ㆍ운영하고자 하는 경우에는 그 구축의 법적 근거ㆍ목적 등에 관하여 행정자 치부장관과 사전협의하여야 한다. ㆍ공공기관의 장이 개인정보데이터베이스를 보유하고자 하는 경우에는 미리 그 내용을 행정 자치부장관에게 제출하여 협의하여야 한다. ㆍ중앙행정기관의 장은 소관 법령 중 공공기관의 개인정보의 수집 및 이용 등에 관한 사항 을 제ㆍ개정하고자 하는 경우에는 법제처에 법령안 심사를 요청하기 전에 행정자치부장관과 미리 협의하여야 한다. 나. 개인정보보호심의위원회 (1) 설립근거 및 구성 개인정보보호심의위원회는 ' 개인정보보호법' 제20조 및 동법시행령 제28조에 근거한 국무총 리 소속하의 심의기관으로서 위원장 1인을 포함한 10 인 이내의 위원으로 구성된다. 위원장 은 행정자치부 차관으로 하고, 위원은 위원장의 추천으로 국무총리가 임명 또는 위촉한다. 위원의 임기는 2 년이다. (2) 기능과 역할 개인정보보호심의위원회는 공공기관의 컴퓨터에 의해 처리되는 개인정보의 보호를 위해 다 음의 사항을 심의한다. ㆍ개인정보보호에 관한 정책 및 제도 개선에 관한 사항 ㆍ처리정보의 이용 및 제공에 대한 공공기관간의 의견 조정에 관한 사항 ㆍ개인정보파일에 기록되어 있는 항목의 전부 또는 일부를 관보에 게재하지 아니하려는 경 우 그에 관한사항 ㆍ기타 관련 법령 등의 정비ㆍ개선에 관하여 위원장이 부의하는 사항 공공기관의개인정보보호에관한법률개정( 안)' 에서는 위의 사항 외에 공공기관의 장이 개인 정보를 통합 관리 또는 별도의 개인정보데이터베이스를 구축ㆍ운영하거나 중앙행정기관의 장이 개인정보 관련 법령을 제ㆍ개정하고자 하는 경우에는 개인정보보호심의위원회의 사전 심의를 하는 등 개인정보보호심의위원회의 기능을 강화하고 있다. - 53 -
그러나 개인정보보호심의위원회는 단순한 심의기구로서 고충처리, 시정권고, 의견제시, 정책 및 기술 자문, 교육 홍보 등의 기능은 없다. 다. 기타 국가인권위원회는 국가인권위원회법에 의해 인권의 보호와 향상을 위해 필요한 법령ㆍ제도 ㆍ정책ㆍ관행의 조사ㆍ연구, 시정권고, 의견표명, 침해구제 등의 업무를 수행한다. 개인정보 도 인권의 일부를 구성하므로 국가인권위원회가 공공기관에 의한 개인정보침해 사건에 대해 개입할 여지는 충분하다. 따라서 국가인권위원회는 구체적으로 다음과 같은 경우에 개인정 보의 수집유통에 관한 보호기구로서의 기능을 수행한다. ㆍ프라이버시와 인격권 등을 침해하는 개인정보의 수집이나 유통행위에 대해서 개선 권고나 의견 표명을 할 수 있다. ㆍ국가기관이나 지방자치단체나 구금, 보호시설의 경우에 개인정보의 수집, 처리와 관련하여 프라이버시 침해 등이 야기될 때 이를 조사할 수 있다. 국민고충처리위원회는 행정기관의 위법 부당한 처분이나 사실행위 또는 불합리한 제도 등으 로 국민의 권리가 침해당하거나 국민에게 불편 부담을 주는 고충민원을 간이ㆍ신속하게 처 리하는 것을 임무로 하고 있다. 따라서 공공기관에 의한 개인정보침해 시 피해자는 국민고 충처리위원회에 구제를 신청할 수 있다. 그러나 현실적으로 국민고충처리위원회에 개인정보 침해 관련사건이 접수될 경우 위원회는 대개 해당 사건을 행정자치부로 이첩하고 있다. 교육인적자원부는 교육인적개발 관련 개인정보의 보호를 위해 국제교육정보화기획관( 이사관 또는 부이사관) 을 두고 이를 보좌하게 하기 위해 정보화기획담당관, 정보화지원담당관, 국제 교육협력담당관을 둔다( 교육인적자원부와그소속기관직제 제8조 및 동시행규칙 제3 조). 보건복지부 소속 국립보건원에 보건연구관으로 보하는 유전자원관리실장은 인간유전자원 관 련 개인정보의 보호기준 및 관리 체계를 마련해야한다( 보건복지부와그소속기관직제시행규칙 제24 조). - 54 -
< 그림 2-2-1> 공공부문의 개인정보보호기구 2. 민간부문 가. 정보통신부 (1)근거규정 및 법적 지위 정보통신부는 ' 정보통신망법' 에 근거해 민간분야의 개인정보보호에 있어서 법위반 사항에 대한 시정명령과 과태료를 부과할 수 있는 최종적인 감독기관이다. 정보통신부에는 정보화기획실을 두고 민간분야의 개인정보보호를 위한 대책을 수립 추진토 록 하고 있으며, 정보화기획실에 정보이용보호과장이 관련 업무를 분장토록 했다( 정보통신 부와그소속기관직제 제11 조, 동시행규칙 제4 조). - 55 -
(2) 기능과 역할 정보통신부는 개인정보보호를 위해 필요한 경우 정보통신서비스제공자 등에게 관련 물품ㆍ 서류 등을 제출하게 하거나 사업장에 출입해 업무상황ㆍ장부 또는 서류 등을 검사할 수 있 다. 또한 정보통신부장관은 자료 제출 명령과 검사권의 시행을 위해 한국정보보호진흥원에 기술적인 자문과 기타 필요한 지원을 요구할 수 있으며, 정보통신망법상의 개인정보보호규 정에 위반한 사실을 확인하기 위해 자료 제출 요구 및 검사에 관한 업무를 한국정보보호진 흥원의 장에게 위탁한다. 정보통신부는 효과적인 개인정보보호를 위해 정보통신망법을 위반한 정보통신서비스 제공자 등에 대해 필요한 시정조치를 명하거나 1,000 만 원 이하의 과태료를 부과할 수 있다. 한편, 정보통신부 내 정보이용보호과에서는 민간부문의 개인정보보호를 위해 다음과 같은 임무를 수행하고 있다. ㆍ개인정보보호에 관한 정책의 수립 추진 ㆍ개인정보보호를 위한 보호기구의 설치ㆍ운영 ㆍ정보통신망을 이용한 불법행위에 대한 대책의 수립ㆍ추진 ㆍ사이버 공간에서의 개인 법익 침해에 대한 대책 수립ㆍ추진 ㆍ사이버 공간에서의 개인간 권익분쟁 조정제도 수렵ㆍ추진 ㆍ정보통신망을 이용한사생활 침해에 대한 대책 수립ㆍ추진 ㆍ정보통신 관련 개인정보보호 연구기관, 학회, 민간기구 등의 지원 나. 개인정보침해신고센터 (1) 설립 근거 개인정보침해신고센터는 정보통신망법 제52조제3항제8호의 규정에 의해 2000년 4월에 한국 정보보호진흥원(KISA) 에 설치되었다. (2) 기능 및 권한 개인정보침해신고센터는 정보통신망법상의 개인정보보호 규정이 이행되는지 여부를 감시하 는 임무를 수행한다. 누구든지 개인정보가 침해당한 경우에는 개인정보침해신고센터에 소정 의 양식에 따라 신고할 수 있으며, 개인정보보호와 관련한 상담을 받을 수도 있다. 신고 접 수된 사항은 법 위반 여부에 대한 사실확인 조사를 거쳐 위반 정도에 따라 정보통신부에 과 태료 등 행정처분 부과를 요청하거나 경찰에 수사 의뢰를 한다. - 56 -
개인정보침해신고센터의 주요 업무는 정보통신망법시행령 제26조에 다음과 같이 규정되어 있다. ㆍ개인정보침해 방지 및 보호와 관련한 기술적 자문, ㆍ개인정보침해와 관련한 고충처리 및 상담 ㆍ개인정보침해 관련 대책 연구 ㆍ개인정보침해 방지를 위한 교육 및 홍보 ㆍ기타 개인정보보호를 위한 사업 그 밖에 필요한 지원 정보통신망법에서는 고충처리를 위해 사업자에게 자료제출을 요구하거나 현장조사를 위해 사업장을 출입할 수 있는 권한을 한국정보보호진흥원( 개인정보침해신고센터) 에 부여하고 있 다. 사업자가 자료제출 또는 사업장 출입을 거부하는 경우에는 1,000만 원 이하의 과태료에 처해질 수 있다. (3) 이용 방법 누구든지 개인정보의 유출이나 침해 등 개인정보와 관련한 불만이나 피해가 있는 경우 전 화, 우편, 인터넷, 방문 등을 통해 개인정보침해신고센터에 상담 또는 침해신고를 할 수 있 다. < 표 2-2-2> 개인정보침해 관련 상담 ㆍ 신고 방법 전화 상담 국번없이 1336( 지방 : 02-1336) 인터넷 www.cyberprivacy.or.kr, www.e-privacy.or.kr, www.1336.or.kr 우편 ㆍ 방문 서울시 송파구 가락동 78번지 IT벤처타워 한국정보보호진흥원 4 층( 우편번호 : 138-803) 팩스 02-405-4789 [ 전화상담 가능 시간] 월~ 금 : 09:00~18:00(11 월~2, 월은 17:00 까지) 토요일 : 09:00~12:00 휴무일 : 일요일ㆍ법정공휴일 및 둘째ㆍ넷째 토요일 인터넷을 통한 상담ㆍ신고는 연중 1일 24시간 기능 - 57 -
다. 개인정보분쟁조정위원회 (1) 설립 근거 및 구성 개인정보분쟁조정위원회( 이하 ' 위원회') 는 정보통신망법 제33조에 근거해 2001년 12월 3일 발족했으며, 개인정보와 관련된 분쟁을 당사자간에 합리적이고 원만하게 해결할 수 있도록 설립된 정보통신부 소속 기구이다. 위원회는 위원장 1인을 포함한 15 인 이내의 위원으로 구성되며, 그 중 1 인은 상임으로 한다. 위원은 정보통신부장관이 임명 또는 위촉하며, 위원장은 위원 중에서 정보통신부장관이 임 명한다. 위원의 임기는 3 년이며, 연임이 가능하다. 위원회의 업무를 지원하기 위해 한국정보보호진흥원 내에 사무국을 두고 있다. 사무국은 위 원장의 명을 받아 분쟁조정사건에 대한 사실 확인 및 그 밖의 사무를 처리한다. 현재 사무 국은 사무국장을 포함해 10 여명의 직원으로 구성되어 있다. (2) 기능 및 권한 위원회는 개인정보와 관련한 분쟁조정을 고유기능으로 하고 있다. 위원회는 필요한 경우 조 정절차를 진행하기 전에 당사자에게 합의를 권고할 수 있다. 또한 분쟁조정을 위해 필요한 자료의 제공을 분쟁당사자에게 요청할 수 있으며, 분쟁당사자 또는 참고인으로 하여금 분쟁 조정위원회에 출석하게 하여 의견을 들을 수 있다. 분쟁당사자는 정당한 사유가 없는 한 위 원회의 자료제공요청에 응해야 한다. 위원회는 개인정보 및 프라이버시 침해와 관련한 사건은 모두 처리하고 있다. 주로 정보통 신망을 통해 수집ㆍ관리되고 있는 개인정보와 관련한 분쟁이 대부분이나, 이에 한정하고 있 지는 않다. 다만 국가ㆍ지방자치단체 등 공공기관에 의한 개인정보침해 사건은 다루지 않고 있다. (3) 분쟁조정의 효력 위원회의 조정안을 제시받은 당사자 쌍방이 제시받은 날로부터 안을 수락하는 경우 양 당사자간에는 조정서와 동일한 내용의 합의 15일 이내에 위원회의 조정 ( 민사상의 화해계약) 가 성립된 것으로 본다. 당사자 중 일방이라도 조정안을 거부하면 조정의 효력은 상실되며, 이 경우 피해자는 민사소송을 통해 해결하는 수밖에 없다. 당사자가 위원회의 조정안을 수락하 고자 하는 경우 조정서에 기명날인해 위원회에 제출해야 한다. - 58 -