최근 새정부 정부3.0이라는 패러다임을 제시하고 소통,개방,공유,협력이라는 키워드를 통하여 개인의 맞춤형 정보를 제공하기 위하여 공공의 데이터를 충분히 활용할 수 있는 실천방안을 제시하였다. 정보를 보호하는 것도 좋지만 그것을 활용하는 것도 중요한 의미를 두는 듯 하다. 이와 괘를 같이 하여 2013년 9월30일 '개인정보보호법'이 제정된지 2년째 되는 날이다. 그동안 개인정보보호법 제정이후에 얼마나 많은 변화가 있었는지 살펴보고, 향후 발전 방향에 대하여 모색해 보고자 한다. -주인장 백



개인정보보호의 중요성에 대해선 인식 높아져


스마트폰에 대한 보급과 최신 기술에 발달, 그리고 다양한 서비스의 개발로 인하여 개인의 정보는 이미 많은 곳에 흩어져 있다. 과거에는 한곳에서만 관리하던 것이 이제는 한 사람의 정보가 수많은 서비스를 이용하면서 정보를 제공해야 하니 그만큼 유,노출에 대한 위험성도 커진 것이 사실이다. 그만큼 더 많은 개인정보보호에 대한 신경을 써야 하는 것이다. 이런 이유로 지난 2011년9월30일 일반법으로서 '개인정보보호법'이 제정이 되었다. 즉, 누구나 정보주체로서 권리를 주장할 수 있고 보호 받을 수 있는 것이다. 또한 개인정보처리자는 이러한 정보주체에 대한 정보를 보호해야할 처리단계별 의무조치 사항을 지켜야 한다. 물론 특별법으로 '정보통신망법'은 그 이전에부터 개인정보에 대한 규정을 하고 있었다. 


각 기관이나 기업에서는 이에 대응하고자 많은 직장 교육과 특강을 통하여 중요성과 필요성에 대한 인식을 어느정도 각인이 되었다고 볼 수 있겠다. 그것은 여러가지 설문을 통하여 나타난다. 하지만 아직도 중소기업이나 현장을 돌아보면 미흡한 부분이 많이 있다. 



개인정보 중요성만 인지할뿐, 실천은 형식적인 모습뿐.


어느정도 조직규모가 있고, 체계적인 조직은 기본적인 큰 틀에서 대부분 문서상으로 갖추어져 있다. 자체적으로 해결하는 경우도 있고, 대부분 정보보호 컨설팅 업체를 통해 컨설팅을 받고 체계적인 관리를 한다. 하지만 대다수 현장을 점검하거나 실태조사를 해 보면 형식적인 보호에 지나지 않는다. 문서상으로는 잘 관리가 되고 있는데 실제상으로는 그렇지 못하다는 것이다. 그 이유는 여러가지가 있지만 다음 3가지 정도로 정리해 보고자 한다.


  • 첫째, 개인정보보호 담당자의 부족 - 자문 및 교육등을 통하여 현장을 다녀보면 아직도 개인정보보호 업무만 하는 사람은 많지 않다. 자신의 업무외적으로 처리하고 있는 업무가 개인정보에 대한 업무니 그 전문성저하와 형식적인 문서관리에 지나지 않는다. 업무를 해본 사람은 모두 알겠지만 한 조직에 개인정보보호에 대한 업무가 너무나 많고 다양하다는 것을 누구나 알것이다. 그러다 보니 가능하면 해당 업무를 기피하는 현상이 생기고, 어쩔수 없이 자의만 타의만으로 맡게 되면 어떻게든 자신이 업무를 맡기 있는동안만 안전하게 사건사고 없이 잘 지나가길 바라는 안일한 업무방식이 문제인 것이다. 예를들면 어떤 담당자분은 특수회원을 문서를 통하여 받고 있는데 지금까지 개인정보 수집동의를 하나도 받지 않았다고 한다. 알고 봤더니 이분은 업무 맡은지 한달밖에 안되었다고 하더라. 그 전임자가 업무를 하지 않고 후임자에게 넘긴 것이 된셈이다. 이런 질문에 그동안 누락된 업무를 모두 해야 한다고 하니 당황스러운 표정으로 자리를 떠나는 것을 보며 씁슬함을 느꼈다.
  • 정보주체의 권리 강화에 촛점이 안 맞추어져  - 개인정보보호법의 원래 취지는 정보주체의 권리 강화 및 보호에 있다. 따라서 정보주체가 개인정보에 대한 권리침해가 이루어졌을땐 정당한 권리를 보장 받아야 하는데 공공기관이나 기업을 상대로 하여 자신의 권리를 주장하다보면 어느새 자신은 개인혼자이고 기관이나 기업을 상대로 하기엔 무리가 있으며 해당 담당자도 권위적이고 잘못된 부분을 시정하거나 개선하기보다는 숨기기에 급급하면서 제대로 개인정보에 대한 보호 마인드가 되어 있지 않다. 그렇다보니 정보주체권리를 주장하는 사람은 일명 '진상'이 되어버리는 경우가 왕왕있다. 이제는 바뀌어야 한다. 개인정보처리자(취급자)입장에서 보호해야할 정보주체와 이용자를 보호해주어야 한다. 그렇게 방어하고 있는 자신도 개인정보를 다른 처리자나 취급자에게 제공해야 하지 않는가? 역지사지 입장이 된다면 충분히 공감하리라 생각한다. 또 다른 방법으로는 침해사고센터나 개인정보분쟁조정위원회등이 있지만 아직까지 제도권보다는 스스로 해결하려다 포기하는 경우가 많다. 
  • 해도 되고 안해도 된다면 당연히 안할 것, 정부의 강력한 의지가 있어야 과거의 관행으로 점철되어 있다보니 법이라는 기준이 있지만 그것을 지켜려는 사회적 분위기와 공감대 형성이 이루어져야 한다. 하지만 먹고 살기 바쁜 현실속에서 법을 준수한다는 것 보다 생존에 대한 욕구가 강하다보니 자연스럽게 국민이 기본적으로 지켜야할 법에 대한 경계선을 넘게 된다. 그러면서 다른 자신도 모르게 범죄자가 되어버리고 있는 것이다. 그런 이유는 무엇보다 정부의 강력한 의지가 있어야 한다. 지금까지는 기존관행으로 인하여 갑작스러운 변화에 따른 거부반응으로 인하여 연착륙을 시도하려 했지만 이제는 2년이지난 지금도 개인정보 유출은 아직도 지속되고 있으며 무엇보다 정보주체와 이용자에 대한 개인정보를 보호하지 못하면 그에 상응하는 처벌이 따른다는 사회적 합의를 빨리 이끌어 내는 것이 좋겠다. 법의 기준에 따라 해도 되고 안해도 별다른 제재가 없다고 한다면 백이면 백 하지 않을 것이다. 이것이 강력한 드라이브를 걸어야 하는 이유이다. 최근 개인정보보호법 개정안이 공포되고 2014년 8월이면 시행이 된다. 이것은 정부의 의지를 들어낸만큼 적극 대응해야 한다.

개인정보에 대한 향후 개선 방향 및 발전 방향.

개인정보보호법이 시행되기까지도 많은 진통이 있었다. 그러나 이미 법은 제정이 되었고, 그 이후 2년이라는 시간도 흘렀다. 어느정도 연착륙 한 부분이 있지만 아직도 개선해야할 점이 다수 있다. 필자가 현장에서 경험한 여러가지 상황을 기반으로 제한 해 보고자 한다.

  • 개인정보보호 전담인력배치 - 현장을 돌아보면 개인정보보호 담당자는 늘 힘들어 한다. 또한 내부적인 교통정리가 되어 있지 않아 기술적 관리는 정보통신담당에서 관리적인 부분은 총무과나 행정과 등에서 나누어 하다보니 부서별 업무협조가 안되고 일괄적이지 못한 경우도 있고, 담당자 개인의 또 다른 업무로 인하여 깊이 있는 전문성제고에도 애로사항이 많다. 상황이 이렇다보니 현실은 자꾸 악순환을 가져 올 수 밖에 없다., 장기적인 관점에서 볼때 새로운 디바이스기기의 출현과 서비스로 개인정보의 유출은 점점 더 가시화 될 것이다. 이제는 해당 분야에 전문성을 가진 전문인력을 따로 채용할 필요가 있다. 공무원시험에서 전산직렬에서 개인정보보호 담당자를 혹은 기업에서 개인정보보호 업무 담당자를 따로 채용을 한다면 그 인력은 담당 업무만 지속적이고 체계적으로 하게 되어 전문성과 기관과 기업의 업무 향상에도 도움이 되리라 판단이 된다. 또한 개인정보 국가기본계획 수립에 보면 관련 개인정보보호학과 개설이나 또는 전공을 공부할 수 있는 방안이 제시가 되었는데 한시가 더 급하다는 생각이 든다. 지금 시작해도 자리잡을려면 많은 시간이 필요하다. 관련 학과에서 해당 과정을 개설하여 파이럿 형태로 우선 운영해 보아도 좋을 것이다. 학교가 힘들다고 하지 말고 새로운 시도와 타 학교와 차별성 있는 기획과 방안을 제시하면 그것이 새로운 경쟁력이 아닐까 생각한다. 
  • 형식적인 교육은 가라, 실질적이고 의무교육 시행해야 - 필자가 현장을 다니면서 경험한 바에 따르면 그냥 직장인 교육에 일환으로 1시간 교육하고, 참석자 사인하고 교육사진 찍고 해서 그것으로 끝나는 경우가 다반사이다. 아시다시피 개인정보에 대한 교육은 조금 더 구체적이고 체계적인 교육이 이루어져야 한다. 처음에는 범용적인 수준에서 교육이 이루어지고 , 그 다음은 취급자위주에 조금 더 실무적인 내용과 실제 현장에서 이루어지는 자신들의 업무와 연관성 있게 이루어져야 관심을 갖는다. 내부업무를 잘 아는 사람이 교육을 하자니 우선 전문성도 결여측면도 있지만 타 부서에 자신의 부서 일을 교육한다는 것 자체에 부담을 느끼는 경우가 많다. 그래서 외부에 인증된 외부 강사를 초빙하여 교육을 하지만 외부 강사는 또 내부 업무를 잘 몰라 외형적인 일반적인 교육만하게 되어 형식적인 교육이 될 수 밖에 없다. 또한 매번 다른 강사를 초빙하여 교육을 하면 반복적인 교육이 되고 지난번 들어던 교육이 되풀이되는 것이다. 이를 위해서는 여러 지역별, 산업별로 다양한 전문강사 육성이 필요하다. 예를 들어 의료면 의료, 교육이면 교육, 금융이면 금융등..혹은 다양한 부분을 경험하고 그 업무 내역을 모두 파악 할 수 있는 커리큘럼을 만들어 교육에 투영할 수 있도록 해야 한다. 이를 위해선 사전에 개인정보보호에 대한 예산이 확보되어 있어야 한다. 아무리 좋은 내용, 강의잘 하는 강사라 하더라도 지역에 외진 곳에 초빙하기란 쉽지 않다. 또한 의무적으로 반드시 시행해야 하는 교육으로 자리매김해야 한다. 
  • 정부3.0 새 패러다임에 입각한 해당 관련 기관에서 모범과 정보 공개해야  -개인이 정보를 가지고 있어봐야 얼마나 가지고 있고, 중소업체가 정보를 가지고 있어봐야 얼마나 가지고 있겠는가? 개인정보 관련 기관에서 정책을 집행하고 운영하고 있기 때문에 아무래도 가장 많은 정보를 가지고 있을 것이다. 정부3.0 새 패러다임에 입각하여 현장에서는 흔한 사례, 양식하나라도 아쉬워 하며 어쩔줄 몰라 하는 경우를 많이 봐 왔다. 특히 공공기관은 상위기관의 지침만 바라보고 있는 경우가 다반사이다. 기관 특성상 개인임의적으로 함부로 업무를 진행 할 수도 없고, 또한 타 동일 기관과 형평성 문제도 있기 때문에 일괄적인 또는 다양한 정보를 자꾸 내려 보내 주지 않으면 그 하위 산하 기관들은 그대로 손 놓고 있을 수 밖에 없는 경우가 있다. 이러한 것을 방지하기 위하여 많은 정보를 공개하여 다양한 사례, 양식, 유권해석, 그리고 창구를 일원화 하여 집행이 될 수 있도록 해야 한다. 우선 공공기관이 모범을 보이고 개선이 되어 나가면 자연스럽게 그 다음은 민간으로 따라가게 된다. 민간이 자체적으로 자신의 기준을 세워 비용과 예산을 들여 집행하기엔 부담이 되고 추후 관련기관에서 다른 기준을 제시하면 또 다시 재구성을 해야 하는 부담때문에 한발짝 늦게 따라 갈 수 밖에 없기 때문이다. 지금은 그래도 과거보다는 많은 정보를 해당기관의 홈페이지나 sns채널을 통하여 입수 할 수 있고 소통할 수 있다. 정부 3.0 관련하여 빅데이터 이용등 개인정보 지침에 대해서는 다음자료를 참고 하면 좋겠다.

  • 130830_공공정보 개방 공유에 따른 개인정보보호 지침(최종) (1).hwp
  • 개인정보 처리(취급)방침 심사제도 도입  - 개인정보보호에 대하여 여러가지 정보를 수집하다보니 개인정보취급방침 심사제도 도입에 대한 용역보고서를 접하게 되었다. 상당히 현실적인 대안으로 생각이 되고, 지금까지 공공기관과 기업에 교육을 다니면서 현장을 살펴본 바로는 형식상으로는 갖추어졌는데 실제적으로는 이루어지지 않고 있는 부분을 많이 보았다. 개인정보 처리(취급)방침에도 제3제 제공이나 위탁이 이루어지고 있음에도 불구하고 없다고 생각한다든지, 내부관리계획 수립에서 기본적인 샘플양식을 그대로 차용하여 개인정보처리자 취급자명칭만 바꾸어 놓고 내부관리계획을 세웠다고 알고 있는 담당자라든지..이러한 현실적이고 이제는 실질적인 실태점검을 하고 심사하는 제도의 도입이 빠르게 요구되는 시점이다. 혹시 궁금하실 분들을 위하여 보고서를 첨부해 놓겠다.


개인정보_취급방침_심사제도_도입연구_최종보고서(인쇄본_PDF).pdf



마무리


'정보통신망이용촉진및 정보보호등에 관한 법률', '개인정보보호법' , '신용정보제공등에 관한법률' 등 개인정보에 대한 관련 법령들이 속속히 제정되고 개정되고 있다. 이러한 시점에서 개인정보 유,노출은 개인의 프라이버시 침해와 제2의 피해까지 생기게 되는 아주 중대한 문제중에 하나이다.  이를 가볍게 여겨서는 안될 것이다. 그러면 굳이 법까지 만들필요가 무엇이 있겠는가? 이제는 개인정보처리자(취급자) 입장에서는 소극적인 자세에서 벗어나 적극적으로 대처하고 정보주체와 이용자의 권리를 보호해 주는 사회적 책임을 다하는 기업과 기관이 되어야 할 것이며, 정보주체와 이용자는 자신의 개인정보의 권리침해가 있음에도 불구하고 귀찮다는 이유만으로 다수는 그 권리를 포기하는 경우가 많다. 이제는 적극 대처해야 할 필요성이 있으며, 사회적 공감대를 형성하여  대한민국의 주민등록번호등이 개인정보가 아닌 공개정보라고 하는 오명에서 하루 빨리 벗어나는 한단계 더 발전하는 개인정보 2.0 시대를 맞이 하였으면 하는 바램에서 장시간 생각을 한번 정리해 보았다. 일부 단편적일수도 있고, 개인적 견해에 동의하지 않을 수 있겠지만 무엇보다 자신의 정보는 자신이 지키는것이 가장 중요한 핵심이 아닐까 하는 생각이 든다. 대한민국 개인정보보호수준이 한단계 업그레이드 되길 바란다. 끝. 


참고 : 개인정보보호관련 커뮤니티 : http://cafe.naver.com/privacyguide 





신고
Posted by 엔시스