- 개인정보보호위원회 출범 배경에 대해 설명해 주세요.

　“개인정보는 프라이버시, 인간의 존엄과 가치에 대한 문제로 선진국에서 먼저 관심을 갖고 제도화했습니다. 1980년 OECD의 개인정보보호법에 대한 가이드라인을 시작으로 1990년 UN의 가이드라인을 거쳐 1995년 EU의 개인정보보호 지침이 제정됐습니다. 이 지침에 유럽 국가들은 개인정보보호를 담당하는 독립적인 감독기구를 설치할 것을 규정하고 있지요. 우리나라의 경우 당시 `공공기관의 개인정보에 관한 법률'과 `정보통신망법' 등 한정적인 분야의 보호법이 있었지만 개인정보를 총괄하는 일반법이 없어 보호 사각지대가 존재했습니다. 그래서 2000년대 초반 모든 분야를 총괄하는 일반법을 제정하고자 하는 입법 논의가 시작됐고, 17∼18대 양대 국회에서 논의를 거쳐 2011년 개인정보보호법이 제정됐습니다.”

　- 위원회 구성은 어떻게 되며, 권한은 무엇인지요.

　“현재 15명의 위원으로 구성돼 있는데 모두 대통령이 위촉을 합니다만, 대통령이 전담해 직접 위촉하는 것은 위원장을 포함한 5명이며, 나머지는 국회와 대법원장이 각각 5명씩 선출하도록 돼 있습니다.

　위원회 기능은 크게 4가지로 볼 수 있어요. 개인정보보호 기본계획과 시행계획을 심의·의결하는 `계획기능'과 `정책과 제도개선 기능', 기관간 이견조정과 법령해석 등을 하는 `총괄·조정기능', 끝으로 공공기관이 개인정보보호법을 위반하는 행위에 대해 시정 권고하는 `공공감시 기능'입니다.”

　- 최근 미국 정보기관의 기밀감시프로그램을 폭로한 `스노든 사건'이 화제가 되면서 개인의 정보보호, 인터넷 시대에 글로벌 감시망이 어디까지 가능한가에 대한 걱정이 많습니다. 이 사건을 어떻게 보시는지.

　“스노든 사건은 개인정보 침해 및 오남용 사건으로 볼 수도 있고, 내부고발자 사건으로 볼 수도 있죠. 개인정보 관련 한정적으로 말씀드리자면 국가안보에 관한 개인정보 처리는 각국에서도 언론보도, 국가안보 문제, 통계적 처리, 종교 등에 있어 예외규정을 두고 있습니다. 다만, 이 예외의 범주는 `안보'라는 목적에 한해서 이용할 때만 정당화할 수 있기 때문에 실제로 그 목적에 한해 사용했는지가 관건이라고 봅니다.”

　- 국내에서도 기업들의 개인정보 오남용 및 유출사고가 빈번하게 발생하면서 어느 때보다 개인정보보호의 중요성이 강조되고 있는데, 이와 관련 대책이 있으신지.

　“2008년 옥션에서 1천8백만여 명의 개인정보 유출사고가 발생했고, 2011년 SK컴즈의 3천5백만여 명, 2012년 KT의 8백70만여 명의 유출사고가 이어졌습니다. 이같은 유출사고를 규제하기 위해서는 예방조치를 의무화하거나 사후 벌칙을 강화하는 등의 제도적 장치를 마련해야 하는데, 우리나라는 이미 2011년 개인정보보호법이 마련되면서 선진국 수준의 제도장치를 갖췄습니다. 따라서 이제는 제도장치보다는 인식의 문제가 더욱 중요하다고 봐야할 것 같아요. 그런 의미에서 개인정보처리자인 기업과 정보주체인 소비자 모두에 대해 개인정보에 관한 인식이 전환될 수 있도록 교육하고 홍보해 나가는 노력이 필요한 것 같습니다. 기업의 입장에서는 첨단정보화 사회에서 개인정보보호는 기업의 생존 조건이며 경쟁력이라 할 수 있지요. 소비자들이 지금은 유야무야 넘어가지만 만약 고객 정보를 소홀히 관리해 유출하거나 불법적으로 수집해서 활용하는 문제로 집단 소송이라도 벌어지면 기업은 바로 존폐의 기로에 설 수도 있습니다. 개인정보 관리가 그야말로 기업의 존망을 좌지우지할 수 있는 문제가 될 수 있는 것입니다. 소비자들의 인식이 높아질수록 자기 정보를 함부로 다루는 기업과 거래하지도 않을 테니까요.”

　- 기업의 대규모 개인정보 유출사건과 관련 좀 더 엄격하게 처벌할 수는 없는지.

　“법에는 관리자로서 필요한 안전관리 대책을 다하고 있으면 면책할 수 있도록 조항을 두고 있어요. 만일 이러한 면책조항이 없다면 기업 입장에서 엄청난 부담을 느끼게 되기 때문이죠. 이처럼 개인정보 문제와 관련해 균형을 맞추는데 어려운 면이 있습니다. 그러나 소비자 권리가 계속 신장되는 추세이기 때문에 지금의 관대한 결정이 앞으로도 이어질 것이라 생각한다면 곤란할 것으로 보입니다.”

　- 우리나라는 현재 의료 연구 목적에 한해 의사의 환자 개인정보 수집이 어느 정도까지 가능한가요.

　“미국에서는 특정한 병원을 지정해서 연구 목적으로 개인의 의료정보를 수집할 수 있도록 하고 있으나, 그 경우에도 개인정보는 보호돼야 하는 것으로 알고 있어요. 우리나라의 경우 익명화라는 방식을 통한다거나 통계적인 방식으로 의료정보를 처리할 수는 있지만 만일 개별적으로 특정 환자의 것을 활용하고자 한다면 당사자의 동의를 별도로 받아야만 합니다.”

　- 우리나라가 개인정보보호 차원에서 앞으로 보강해야 할 부분이 있다면.

　“우리나라가 전자정부 분야 세계 1위 국가로서 개인정보보호도 선도해 나가야 하지 않나 생각합니다. 우선 사전적으로 해킹에 대한 대비책이 필요하다고 봅니다. 해킹이 일어나면 일반적인 정보뿐만 아니라 개인정보까지 모두 유출되기 때문에 대비책을 강구하는 것이 중요하죠. 사후적으로는 유출통지제도가 있습니다. 사고가 났을 경우 개인정보 주체들에게 신속하게 통지함으로써 개인이 아이디 및 패스워드를 바꾸는 등의 안전조치를 취할 수 있도록 해 주는 것이 중요합니다.”

　- `아시아·태평양 프라이버시기구(APPA) 포럼'과 `국제 개인정보보호기구회의(ICD PPC)' 등의 행사 개최 계획을 밝히셨는데, 어떤 성격의 회의인가요.

　“11개국 15개 기관이 참여하고 있는 `APPA 포럼'과 59개국 94개 기관의 `ICDPPC'는 개인정보보호에 관한 대표적인 국제기구입니다. 구글, 페이스북 등 다국적 기업에 의해 인터넷이라는 국경 없는 망을 통해서 해외에 있는 데이터센터에 개인정보를 축적하는 시대적 상황을 고려할 때 개인정보보호는 더 이상 국내적 문제에 한정되지 않고 국제적 문제가 되고 있지요. 이에 따라 위원회는 출범 직후 양대 기구에 회원으로 가입해 활동하고 있습니다. 우리나라의 국제적 위상을 높이기 위해 내년 상반기에 APPA 포럼을 유치하려고 합니다.”

　- 위원장님께서는 실제 개인정보를 어떻게 관리하고 계시는지.

　“가급적이면 구글, 페이스북 등 다국적 기업과 관련된 사이트에는 개인정보를 많이 올리지 않으려고 합니다. 또 개인정보처리 방침이나 약관을 꼼꼼하게 읽고 체크하고, 패스워드를 까다롭게 설정할 뿐만 아니라 자주 변경하고 있습니다. 많은 분들이 약관을 꼼꼼하게 체크하지 않고 무조건 `동의'를 하게 되는데, 이럴 경우 나도 모르게 자신의 정보가 제3자에게 제공되거나 목적 외로 사용돼 피해를 볼 우려가 있기 때문에 자세히 살펴볼 필요가 있습니다.”

〈사진=邊廷洙기자·정리=林香默기자〉