통합법 제정을 준비하고 있는 강은희 의원(새누리당)은 11일 국회 의원회관에서 열린 ‘개인정보보호 통합법 제정을 위한 공청회’에서 “현재 개인정보보호법은 다른 법률과의 중복으로 그 역할을 제대로 못하고 있다”며 “개인정보보호 통합법은 국민들의 혼란을 막고 보다 안전한 사회를 만드는데 일조할 것”이라고 강조했다.

통합법은 기존 개인정보보호법을 비롯해 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 위치정보의 이용 및 보호에 대한 법률, 교육법, 의료기본법 등에 담긴 개인정보보호 조문을 한 곳에 모은 것이다.

통합법 제정 태스크포스(TF)의 김경환 법무법인 민후 변호사는 “통합법은 ‘통합·형평·유연·엄격’ 네가지의 철학을 가지고 있다”며 “분산돼 있는 개인정보보호 법령을 하나로 모으고, 사업자별로 차별적인 규율을 동일한 수준으로 맞췄다. 이와 더불어 사업자들의 개인정보 활용 방안을 열어주고 엄격한 기준을 지키게 하되, 자기결정권 보장에 주력했다”고 설명했다.

이날 공청회에 참석한 사업자들과 소비자단체는 통합법에 대한 적극적인 지지와 동의를 나타냈지만 기존 개인정보보호법 주관부처인 안전행정부는 불편한 심기를 드러냈다.

한편 강 의원은 이날 공청회를 통해 각계 의견을 수렴한 뒤 토론을 거쳐 이달 중 발의할 계획이다.

◆통합법, 규제와 진흥 두마리 토끼 잡는다=통합법은 개인정보보호를 위한 규제와 새로운 서비스, 비즈니스 모델을 위한 진흥을 동시에 담았다.

상세 내용을 살펴보면 먼저 개인정보의 정의가 크게 확대됐다. 주민번호나 영상 등 개인을 식별할 수 있는 정보에 국한되던 내용이 개인위치정보(위치정보법), 개인신용정보(신용정보법), 학생교육정보(교육법) 등으로 확장됐다.

바이오인식정보에 대한 보호 조문도 처음으로 담겼다. 통합법 제44조에 의하면 바이오인식정보는 암호화해서 보관해야 하며, 성명이나 주민번호 등 개인식별이 가능한 정보와 분리해 보관하도록 명시돼 있다.

이 같은 조항은 바이오인식정보가 매우 민감한 부분이기 때문에 만들어졌다. 혹여나 유출사고가 발생해 기존 개인정보와 함께 유출될 경우 개인이 입을 수 있는 피해는 어마어마하게 커질 수 있다.

통합법 제39조 ‘개인정보 비식별화’ 부분은 대표적인 진흥 조항이다. 소셜네트워크서비스(SNS)에 대한 데이터, 웹브라우저를 사용하면서 발생하는 데이터(쿠키, Cookie) 등을 어디까지, 어떻게 사용할 수 있을지에 대한 내용이 담겨있다.

통합법 제39조1항에 따르면 개인정보처리자는 통계·연구·분석, 공공정책의 수립, 시장조사, 마케팅 등의 목적을 위해 필요한 경우 정보주체의 동의 없이 개인정보를 비식별화해 처리할 수 있다.

이 조항은 최근 방송통신위원회가 발표한 ‘빅데이터 개인정보 가이드라인’의 방향과 궤를 같이 한다. 가이드라인 제3항에는 SNS 등 불특정 다수에게 공개된 개인정보를 수집하고 이를 비식별화 한 뒤 사용할 경우에는 정보주체의 동의를 받지 않아도 된다는 내용이 있다.

김 변호사는 “빅데이터 산업의 부흥과 개인정보보호를 동시에 만족시킬 수 있을 것”이라고 말했다.

그는 이어 “특히 비식별화된 정보 역시 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 보호조치를 하도록 명시하고 있어 프라이버시 문제를 최소화했다”고 설명했다.

신용정보법 개정안에 포함된 ‘징벌적 손해배상’ 조항도 통합법에 포함됐다. 특이점은 개인정보의 유출의 범위와 정도가 법률로 명시됐다는 점이다.

통합법 제71조에 의하면 사용자는 사업자의 고의 또는 중대한 과실로 인해 보관하는 전체 개인정보의 4분의 3 이상이 유출될 경우 손해액의 3배 배상을 청구할 수 있다. 김 변호사는 “4분의 3이상이면 사실 상 모든 정보에 속한다. 과도한 규제는 아니다”고 설명했다.

침해사고에 대한 벌칙과 과태료 등도 통합됐다. 과거에는 같은 위반 사항이라도 적용받는 법률이 다르다는 이유로 처벌 수준도 상이했다. 통합법은 이러한 문제를 해소하기 위해 타법에 규정된 벌칙 조항을 하나로 묶었다.

김 변호사는 “이전에는 법률마다 벌칙이 상이해 사업자들과 국민이 혼란스러워 했다. 통합법은 법의 형평성을 맞추고 혼란을 최소화하는데 초점이 잡혀있다”고 말했다.

아울러 통합법이 특정 행정기관이 주관하는 법률이 아니라는 점도 명시됐다. 통합법 제10조를 비롯해 각 조항을 살펴보면 ‘소관 분야 행정기관’이라는 단어가 언급된다. 통합법은 안전행정부를 비롯해 미래창조과학부, 방송통신위원회, 교육부, 보건복지부 등이 공동으로 주관하게 된다.

◆통합법 놓고, 사업자 “찬성, 지지”·정부 “실망스럽다”=통합법에 대해 사업자들은 찬성하고 지지한다는 의견을 나타냈다. 다만 사업자들은 공통적으로 개인정보에 대한 정의가 너무 포괄적이라고 지적했다.

이상헌 SK텔레콤 상무는 “통합법에 비식별화 정보를 활용할 수 있다는 점이 명시됨에 따라 유연한 비즈니스를 운영할 수 있게 됐다”며 “다만 개인정보의 정의가 너무 포괄적으로 해석되고 있으며, 무과실에 의한 책임지우기는 너무 사업자들에게 너무 중한 징계가 아닐까 싶다”고 전했다.

김종현 KB국민은행 상무는 “기존 개인정보보호법에는 개인정보 수집과 삭제에 대한 부분이 너무나 엄격해 업무적으로 곤란한 경우가 많았다. 하지만 통합법에는 보호를 위한 규정을 만족하면서 예외규정을 둬 금융회사가 유연하게 법률을 준수할 수 있게 된 것 같다”며 “하지만 개인정보의 정의가 너무 포괄적이며, 개인에게 피해를 주지 않는 범위내에서 개인정보를 수집한다는 조항이 추가됐으면 좋겠다”고 말했다.

정부에서는 통합법에 대해 부정적인 시각을 비췄다. 문금주 안전행정부 개인정보보호과장은 “통합법에 대한 기대를 많이 했지만 아쉬움이 많다”며 “통합법은 공동 소관으로 집행하도록 돼 있다. 하나의 법률을 놓고 각 부처가 대응하긴 쉽지 않을 것”이라며 “특히 정보통신망법, 신용정보법과 개인정보보호는 떼놓을 수 없다. 유기적으로 연결돼야 한다”고 강조했다.

이어 “중복이 문제라는 점은 정부에서도 인지하고 있다. 중복문제를 해결한 개정안이 이달 중 나오면 문제는 해결 될 것”이라고 덧붙였다.

또 정성구 법률사무소 김앤장 변호사는 “통합법은 이상적인 법률임에는 틀림없다. 하지만 여러개로 분산된 행정부처가 하나의 법률에 관여하는 만큼 협력이나 소통의 문제가 발생할 수 있는 점을 고려해야 할 것”이라고 말했다.

이에 대해 김 변호사는 “통합법은 개인정보보호와 관련된 부처간의 물리적 결합이다. 이는 국회에서 할 수 있는 부분이지만 화학적인 결합은 각 부처간의 의견 조율이 필요하다”고 말했다.

통합법이 제대로 구현이 되려면 부처간의 협력이 우선시 돼야 한다는 것이다. 김국진 개인정보보호위원회 위원 역시 “물리적 결합에 이어 화학적 결합을 이뤄내야 한다”며 “아울러 각 부처별 침해대응시스템도 통일하는 작업도 이뤄져야 할 것”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지