오래전 일이지만 개인정보 보호에 관심을 두게 된 계기가 생각난다. 전자상거래가 막 활성화되기 시작하던 시기로 대형 온라인쇼핑몰들은 회원 유치에 힘을 쏟고 있었는데, 당시 가장 큰 쇼핑몰 대표가 주된 수익 중 하나가 회원 정보 판매라고 스스럼없이 말하는 것을 보고 놀란 적이 있다. ‘거래를 위해 가입하는 회원들은 자기 정보가 마케팅을 위해 여기저기 판매된다는 사실을 알기나 할까?’라는 우려가 엄습했다.
지금의 개인정보 보호 수준은 그 당시와는 엄청난 차이가 있다. 대규모 개인정보 유출 등의 사고를 겪으면서 2003년부터 논의를 거쳐 2011년 3월 개인정보 보호법이 제정됐고, 그해 9월 30일부터 시행됐으나 유예기간을 두기도 하는 등 시작조차 어려웠다. 2020년 8월에는 보호법 개정을 통해 가명 정보 개념이 도입되고, 개인정보 보호 기구가 독립기구로 일원화됐다. 개인정보보호 의무위반 시 사후구제 강화 등 개인정보 보호와 활용의 균형을 이루고자 했다.
그런데도 개인정보 보호법은 계속 발전해 가야 한다. 현재의 미비점을 보완해야 할 뿐 아니라, 개인정보 보호 수준에 대한 사회적 평가나 환경 변화에 대응해 나가야 하기 때문이다.
먼저 개인정보 보호법 개정에서 논의돼야 할 것으로는 보호법과 다수의 개별법 간 상충하는 요소들을 인지하고 이를 정비하는 작업이다. 현재는 다른 법률에 특별한 규정이 있는 경우에는 해당 개별법을 우선 적용하도록 예외를 인정하고 있다. 아울러 개인정보보호 관련 다른 개별법과의 관계가 불완전한 측면도 있다. 법률에 근거하거나 공공기관에 의한 개인정보 수집과 활용이 과다한 측면이 있다면 적절히 검토돼 개인정보 보호의 원칙이 우선 적용될 수 있도록 해야 할 것이다.
다음으로 의미 있는 자기결정권의 확보도 필요하다. 헌법재판소에 따르면 개인정보 자기결정권은 ‘개인이 자신의 개인정보 조사, 수집, 보관, 처리, 이용에 있어 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보 주체가 스스로 결정할 수 있는 권리’이다. 즉, 정보 주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 이에 ‘잊힐 권리’ 등의 정보 주체의 권한을 강화하는 조항을 추가하고, 정보 주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 배타적 권리를 확대할 필요가 있다.
한 번의 침해사고로도 되돌릴 수 없는 결과가 발생할 수 있는 개인정보 사고의 특성상 예방 방안을 마련하는 것 또한 큰 과제다. 현행법에서는 개인정보의 처리 과정에서 수반되는 사업을 추진할 때 해당 사업에 대한 프라이버시 침해 위험이 없는지 조사하고 개선하기 위해, 개인정보보호법 제33조에 근거해 개인정보 영향평가를 하도록 하고 있다. 그러나 평가 주체가 공공기관에만 한정돼 있고 민간영역은 자율사항으로 남겨져 개선이 필요하다.
또한, 손해배상과 관련해 그간의 사례를 보면 손해배상의 정도도 적지만 현행법에서 ‘다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다’라고 하여 사실상 손해배상을 받기는 어려울 것으로 판단된다. 이에 따라 피해자에게는 적극적인 손해배상이 이뤄질 수 있도록 제도가 개선돼야 한다.
더불어 개인정보보호위원회는 ‘개인정보 보호와 활용’을 위한 전문기관이라는 설립 목적에 맞게 정부 각 부처와 공공기관들과 유기적인 관계를 구축하고, 개인정보 관련 유사ㆍ중복 규정을 정비하면서 명실상부한 ‘개인정보 컨트롤타워’로서의 위상을 확고하게 정립해 나가야 할 것이다.
소비자단체의 처지에서 보면 공공기관, 학교, 의료기관, 사업자 등에서 개인정보 보호법을 역이용하여 소비자나 민원인의 정당한 요구를 거절하는 등 개인정보처리자와 소비자 사이에 새로운 형태의 분쟁이 빈번하게 발생하고 있다. 이에 대해 국민의 권익을 지키는 법적 기반으로서의 개인정보 보호법의 지속적인 발전을 기대해 본다.