I. 서론
최근 정보통신망의 확대로 인하여 개인정보의 부정유출, 오·남용, 수집 등의 문제가 증가하면서, 개인정보의 중요성에 대한 인식이 매우 높아졌다. 따라서 국내·외 수 많은 나라에서 개인정보가 유출되고 오·남용 되는 것을 근절하기 위한 목적으로 개인정보보호법이 제정되었다. 국내에는 “공공기관의 개인정보보호에 관한 법률[1]”과 “정보통신망 이용촉진 및 정보보호 등에 관한 법률[2]” 등 특별법에서 개인정보보호 항목을 포함하여 개인정보를 보호하고 있었으나, 이러한 방침은 해당 법에 적용되지 않는 대상이 많고, 보호 범위에 대한 문제점 등이 존재하여, 2011년 9월 “개인정보보호법[3]”이 시행되고 있다.
본 논문에서는 최근 제정된 국내 개인정보보호법과 국외 개인정보보호법들을 비교하여 국내 개인정보보호법의 발전방향을 제안하였다.
본 논문의 구성은 다음과 같다. 1장에서는 본 논문에 대한 소개와 구성에 대하여 설명하고, 2장에서는 국내·외 개인정보보호법 현황에 대해 알아본다. 3장에서 국내 개인정보보호법과 국외 개인정보보호법에 대해 비교하고, 4장에서 국내·외 개인정보보호법을 비교한 내용을 활용하여 국내 개인정보보호법의 발전 방향을 제안한다. 마지막으로 5장에서 본 논문의 결론을 정리한다.
II. 국내·외 개인정보보호법 현황
정보기술이 경제 및 사회생활의 다양한 분야로 도입되고 전산화된 데이터의 중요성이 증대되면서 경제협력개발기구(OECD : Organization for Economic Cooperation and Development)는 1980년 9월 23일에 사생활의 보호와 개인정보의 국가 간 이동에 관한 국제 정책에 대한 지침으로 “프라이버시 보호와 개인데이터의 국제유통에 관한 가이드라인에 대한 이사회의 권고”가 채택되었다[4]. 이 가이드라인은 전 세계가 개인정보보호법을 마련하게 되는 기틀이 되었으며, 대부분의 국가에서 이 가이드라인을 기반으로 개인정보보호법을 제정하고 있다.
2.1 국내 개인정보보호법 현황
국내에서는 “공공기관 등의 개인정보보호에 관한 법률“이 1992년 입법화를 위한 준비를 통하여 1994년 1월에 공포되었으며, 1995년 1월부터 시행되었다. 이 법에서 말하는 개인정보는 공공기관의 컴퓨터로 처리되는 정보에 한정되었고 공공기관도 국가 행정기관, 지방자치 단체 및 기타 공공단체 중 대통령이 정하는 기관으로 제한하고 있다. 개인정보의 관리 및 이용에 관해서도 공공기관의 장에 대하여 안전성 및 정확성 확보에 관한 의무조항으로 두고 있으며 내용면에서는 OECD의 기본원칙1)을 대부분 수용함으로써 외국의 법과 같은 성격을 가졌다[5].
민간부분의 개인정보보호를 위하여 “신용정보의 이용 및 보호에 관한 법률”이나, “정보통신망 이용촉진 및 정보보호 등에 관한법률”과 같은 법률에 개인정보 보호 항목을 통하여 사생활을 보호하고자 하였다. 그러나 이러한 개별 법률로 개인정보를 보호하는데 한계가 있어, 공공기관과 민간기관을 포괄하는 “개인정보 보호법”을 제정하였고, 2011년 9월 30일 시행되었다.
2.2 국외 개인정보보호법 현황
본 논문에서는 OECD 회원국 중에서 개인정보보호법을 제정하여 시행하고 있는 대표적인 8개의 국가인 미국, 영국, 독일, 프랑스, 스웨덴, 캐나다, 호주, 일본을 선정하였다. 또한 유럽지역의 개인정보보호법을 비교하기 전에 유럽 국가들의 개인정보보호지침이 되고 있는 유럽연합의 “개인정보보호지침”에 대해서 간단히 살펴본다.
2.2.1 미국 개인정보보호법 현황
미국에서 처음 프라이버시권이 등장했을 때, 프라이버시권은 혼자 있을 권리라는 소극적 권리로서 불법행위 법리로만 해석되었다. 그러나 정보기술의 발달로 종래의 소극적 프라이버시권 개념에 대한 재검토가 논의 되었고, 그 결과 적극적 의미로서의 프라이버시권 개념이 등장하였다[6][7].
이러한 미국은 연방차원에서 1974년에 “프라이버시법(the privacy Act of 1974)”이 제정되었으며, 그 외에도 각 부분별로 개인정보 또는 프라이버시와 관련한 법률을 시행 중이다. 적용대상은 행정기관, 행정기관의 수탁업자, 연방정부의 규제를 받는 법인 및 민간인 등 각 부분별로 구분되어 진다. 이러한 제정법은 헌법이나 판례법에서 보장하는 권리 보호를 해당 부분에서 더욱 명확하게 규정함으로써 프라이버시 원칙을 확립하고 있다. 프라이버시법의 경우 개인의 정보통제권을 인정하여 개인에 관한 어떠한 기록도 행정기관에 의하여 수집, 보유, 이용 또는 배포되는 것을 개인의 서면청구나 서면동의를 받는 경우가 아니면 원칙적으로 금지하고 있다.
또한 미국은 유럽연합과의 이해와 통상을 촉진하고자 1998년 11월에 “OECD 가이드라인” 등을 참고하여 7가지 항목으로 구성된 개인정보보호를 위한 “세이프 하버 원칙(Safe Haber Principles)”을 제시하여 미국 기업으로 하여금 개인정보보호 관련 사항을 준수하도록 권고하고 있다[8].
2.2.2 유럽연합의 개인정보보호법 현황
유럽연합(EU : European Union) 위원회는 1990년 7월 개인정보보호를 목적으로 “개인데이터 처리에 관련된 개인 보호에 관한 이사회 지령 제안”을 유럽연합 이사회에 제출하여 개인정보보호에 관한 일반적인 규정인 “개인정보보호지침(EU Directive on Privacy Protection)”을 만들었다. 이 지침은 회원국 국민의 기본권과 자유를 보호하고 개인정보처리와 관련한 프라이버시권을 보호하며 유럽 국가 간 개인정보의 자유로운 유통을 촉진하기 위해 제정된 것이다. 또한 이 지침은 유럽연합의 “개인정보보호지침” 수준에 적절하게 개인정보를 보호하지 않는 국가에 대해서는 개인데이터 이전을 금지하고 있다[9].
“개인정보보호지침”이 채택됨에 따라 유럽연합 가맹국들은 이에 관한 국내법의 정비를 단행하였는데, 이탈리아가 1996년 12월 31일에 개정한 것을 비롯하여, 2001년 5월 독일의 연방데이터보호법이 성립되기까지 대부분의 유럽연합 가맹국들이 이 지침에 따라 개인정보 전반을 대상으로 보호법제가 정비되었다[10].
2.2.3 영국의 개인정보보호법 현황
영국은 개인정보보호를 위하여 1984년 “데이터보호법(Data Protection Act 1984)”을 제정하였다. 이 법은 처음 제정 당시 보호대상을 “어떤 목적을 위하여 주어진 명령에 따라 자동적으로 연산하는 장치에 의하여 처리될 수 있는 형태로 기록된 것”으로 한정하여, 수작업에 의한 정보는 제외하였다. 그러나 1998년 유럽연합의 개인정보보호지침을 이행하기 위하여 법을 전면 개정함으로써 수작업에 의한 정보도 포함하게 되었고, 신고 제도를 채용하였으며 적용대상도 확대함으로써 개인정보보호를 강화하였다[11].
2.2.4 독일의 개인정보보호법 현황
독일은 세계 최초의 개인정보보호법으로 제정된 1970년 Hessen 주의 정보보호법과 1974년 Rheinland-Pfalz 주의 정보남용금지법에 이어 1977년에는 “연방데이터보호법(BDSG : Bundesdatenschutzgesetz)”을 제정하였다. 연방데이터보호법은 데이터 처리에 있어서 개인에 관한 데이터의 남용 방지에 관한 포괄적인 법적 근거를 처음으로 마련하였고, 이를 기초로 각 주의 개인정보보호법이 제정되었다[12][13].
이 법은 연방헌법법원의 인구조사판결, 정보와 통신기술의 발달, 연방데이터보호법의 적용을 통하여 제기된 문제점으로 인해 개정의 필요성이 제기되어 1990년 12월에 개정되었고, 2003년 1월 14일 유럽 연합의 개인정보보호지침을 반영하기 위해 다시 개정되었다.
연방데이터보호법은 개인정보 정의에서부터 정보주체의 권리와 정보처리자의 각종 의무, 제3국으로의 정보이전, 비디오감시, 익명성, 스마트카드, 민감한 정보의 수집 등에 대한 내용을 포함하고 있으며, 개인의 정보에 관하여 공적·사적 영역을 구분하지 않고 동일한 법체계에서 보호하고 있다.
2.2.5 프랑스의 개인정보보호법 현황
프랑스는 최초의 정보보호에 관한 법률로 1978년 1월에 제정된 “정보기술, 전자파일 및 개인의 자유에 관한 법률”이 있고, 1978년 제정된 개인정보보호 법률으로 “정보기술 및 자유법(Information Technology and Liberty Act of 6 January 1978)”이 있다. 이 법은 공공기관과 민관기관을 모두 포함하고 있으며, 개인정보 역시 형식에 관계없이 자연인의 신원을 확인할 수 있게 하는 정보로 하고 있다[10][14].
이 법률은 1995년 10월 24일 유럽 법령 95/46/EC의 효력을 부여하는 법안을 통해 프랑스 법으로 제정되었고, 2004년 8월 7일 발표에 이르기까지 6차례의 변화를 겪었다[14].
2.2.6 스웨덴의 개인정보보호법 현황
스웨덴은 1973년 정보법(The data Act, 1973)을 대체하기 위하여 1998년 개인정보법(Personal Data Act 1998)을 제정하였다. 개인정보보호법은 유럽연합의 개인정보보호지침을 중심으로 타국의 입법례와 유사하게 제정하였다[15].
스웨덴은 개인정보보호법에서 용어들에 대한 정의를 규정하여 개인정보 취급에 대한 포괄적, 무분별한 적용을 사전에 차단하였고, 개인정보의 적절한 이용과 보호에 중점을 두었으며, 개인목적에 의한 개인정보처리에 대해서는 적용 대상에서 배제하여 자유와 권리를 침해하지 않도록 하였다.
2.2.7 캐나다의 개인정보보호법 현황
캐나다 권리장전은 1960년 이래로 캐나다 국민의 기본적 인권을 규정한 최초의 연방법이다. 이후, 민간 영역까지 확대한 “캐나다인권법(CHRA : Canadian Human Rights Act)”이 입법화 되었고, 1983년 7월1일부터 “프라이버시법(Privacy Act)”이 발효되어 연방 프라이버시법으로 시행되고 있다. 그 목적은 정부기관이 보유한 국민에 대한 개인정보와 사생활을 보호하고 또한 이들에게 이 정보에 접근하도록 하는 권리를 제공하기 위한 것이다[5]. 그리고 민간부문의 개인정보 유출을 철저히 차단하고 개인정보를 적극적으로 보호하도록 하는 내용의 “개인정보보호 및 전자문서법(Personal Information Protection and Electronic Documents Act)”을 2004년 1월 1일부터 시행하고 있다. 캐나다는 일반법을 가지고 있는 유럽과는 달리 공공기관과 민간기관을 분리하여 제정하고 있다는 특징이 있다[16].
2.2.8 호주의 개인정보보호법 현황
호주의 OECD와 EU 등에서 국제적으로 협약된 내용을 바탕으로 연방프라이버시법(Privacy Act 1988)이 연방법으로 제정되었으나, 각 주 마다 프라이버시 보호를 위한 법률이나 기구 역시 각각 운영하고 있다. 이 법은 프라이버시 보호를 위한 입법의 필요성이 대두되어 1988년에 연방 프라이버시법을 제정되었고, 1990년 프라이버시법 개정법과 2000년 민간 영역 프라이버시 수정법의 제정으로 완성되었다고 볼 수 있다. 따라서, 크게 국가 프라이버시 원칙(National Privacy Principles)과 정보 프라이버시 원칙(Information Privacy Principles)으로 구분되 어 내용을 규정하고 있다[10][16].
2.2.9 일본의 개인정보보호 현황
일본은 1980년대 OECD 가이드라인의 영향과 1990년대 개인정보 유출 사건들로 인하여 개인정보보 호의 필요성이 대두되자 정보통신기술본부를 1998년 11월에 설치하고, 개인정보보호를 위한 대책 마련에 착수하였다. 이후 “고도 정보통신사회 추진전략본부(IT 전략본부)”를 설치하는 등 많은 노력을 기울인 결과, 개인정보보호법의 제정이 빠르게 진행되어 2000년 10월 “개인정보보호 기본법”이 중간 발표되었고, 2003년 5월 개인정보보호관련 5개 법안이 제정되었다. 일본의 개인정보보호 관련 5개 법안은 공공기관과 민관기관을 포괄하는 기본법제인 “개인정보보호에 관한 법률”과 공공기관을 대상으로 하는 “행정기관이 보유하는 개인정보의 보호에 관한 법률”, “독립행정법인 등이 보유하는 개인정보의 보호에 관한 법률”, “정보공개·개인정보보호 심사회 설치법”, “행정기관이 보유하는 개인정보의 보호에 관한 법률 등의 시행에 따른 관계 법률의 정비 등에 관한 법률”로 이루어져 있다[17].
일본의 개인정보보호법은 2003년 공포되어 2005 년부터 시행되었으며, 최근에는 2009년 6월 개정되었다.
III. 국내·외 개인정보보호법 비교분석소단원 및 소소단원 작성기법
본 장에서는 현재 국내에 시행된 “개인정보보호법”의 효과적인 강화방안을 마련하기 위한 국외 개인정보 보호법을 비교시 개인정보보호 수준을 개선하는 것을 중심으로 하고 개인정보보호 향상에 도움이 될 수 있는 대표적인 8개 국가를 선정하였다. 선정된 8개 국가의 개인정보보호법의 법 형태, 적용 대상, 적용 범위와 개인정보보호기관을 특징으로 잡고 비교, 분석하여 국내 개인정보보호법에 포함되어야 하는 주요 항목을 선정하고 적절한 적용을 위한 시사점을 도출하였다. 단, 미국의 경우, 각 분야에 따라 개별적으로 법률이 적용되어 일반화시키기 어렵기 때문에 항목에서 제외하였다.
3.1 법률 명칭 및 법 형태
세계 각국의 법률의 적용범위가 특정부분에 한정되어 있거나, 기본적인 사항을 규정하여 포괄적인 적용 범위를 가지고 있다. 공공기관이나 민간기관에 제한이 없이 포괄적으로 적용되는 법률을 “일반법”이라 하고, 특정한 기관, 분야, 행위 등으로 국한되어 적용되는 것을 “특별법”이라고 하였다. [표 1]은 세계 각국의 개인정보보호법과 해당 법의 적용범위에 따라 일반법과 특별법으로 구분하였다.
[표 1] 국내·외 비교할 법률 명칭 및 법 형태
3.2 개인정보보호법 적용대상
국내·외 개인정보보호법의 적용대상을 비교하여 국내 개인정보보호법에 적용되지 않는 사각지대가 발생하고 있는지에 대해 알아본다. [표 1]에서 구분한 형태로 “일반법”의 경우 공공기관과 민간기관을 포괄하여 법률을 적용하고, “특별법”의 형태를 취하는 캐나다는 공공기관과 민간기관을 구분하여 법률을 따로 적용하고 있다. [표 2]는 법 형태에 따라서 국가별 “개인정보보호법”에 명시된 적용대상을 나타낸 것이다.
[표 2] 국내·외 개인정보보호법의 적용 대상
“일반법”으로 공공기관과 민간기관을 포괄하더라도, 예외규정을 적용하고 있는 국가들도 존재한다. 국내를 비롯하여 대분분의 국가들이 비상업적 목적인 언론, 종교단체, 친목, 국가안보, 보건 등을 예외항목으로 두고 있다. 특히 독일의 경우는 민간기관에 대해서 전문적, 상업적으로 업무상 목적으로만 이용할 경우로 제한하고 있고, 일본의 경우에는 사업 목적으로 이용하더라도 취급하는 개인정보가 5천명 이하인 경우 적용 대상에서 제외하여 다른 국가들에 적용대상에 대한 사각지대가 광범위하다.
국외로 전송되거나 전송받은 개인정보에 대해서 제한하는 국가도 있는데, 스웨덴의 경우는 국외 기업이라도 개인정보를 취급하는 장비가 스웨덴에 있으면 해당 법률에 적용받도록 명시하고 있으며, 국가간에 중계 역할만을 할 경우에는 적용되지 않도록 하였다. 영국의 경우에도 정보를 이전하려는 목적으로 처리하는 기업에 대해서는 법률을 적용 받도록 명시하고 있다.
3.3 개인정보의 적용범위
개인정보의 적용범위로는 두 가지로 구분할 수 있다. 첫 번째는 정보주체의 범위를 어떻게 명시하느냐에 따라 달라지며, 두 번째는 개인정보가 처리되는 방법에 따라 어디까지 적용할 것인지에 따라 달라진다.
3.3.1 정보주체에 따른 적용범위
[표 3]은 각 국의 개인정보보호법에서 정보주체의 범위를 규정하고 있는 표이다. 각 법에서 개인주체를 어떻게 정의하느냐에 따라 법인정보와 사자(死者)의 정보를 보호대상으로 삼을 것인지가 결정되고, 개인정보를 보호 받을 수 있는 범위가 달라질 수 있다.
[표 3] 국내·외 개인정보보호법에서 정보주체에 따른 적용범위
국내를 포함한 대부분의 국가에서 “자연인”, “살아 있는” 이라는 용어를 통해 생존해 있는 개인에 대한 정보를 정의하고 있으나, 국내를 비롯하여, 일본, 영국, 스웨덴 등에서 법인정보와 사자정보에 대해서는 명시하고 있지 않다. 그에 비해 독일, 프랑스, 캐나다 등은 법인정보를 제외한다고 명시되어 있으며, 경우에 따라 사자 정보는 보호대상으로 하고 있다. 뉴질랜드의 경우에는 명시적으로 사자정보를 적용하고 있으며, 오스트리아와 덴마크의 경우에는 법인정보도 적용대상에 포함하고 있다.
3.3.2 처리방법에 따른 적용범위
초기 개인정보 관련 규정은 컴퓨터로 처리되는 개인정보를 보호하기 위한 제한적인 범위를 가지고 있었다. 그러나 컴퓨터의 정보가 오프라인 출력물로 변환 되어 이용되거나, 수작업으로 작성된 문서들에 개인정보가 포함되어 있는 등 여러 가지 문제로 컴퓨터에서 처리되는 개인정보로 범위를 구분하는 것이 불필요한 상황이 되었다. 따라서 대부분의 개인정보보호법은 적용범위를 확대하여 컴퓨터로 처리되는 개인정보, 즉 자동처리된 정보와 수작업에 의한 개인정보를 모두 포괄하고 있다. [표 4]는 각 국의 개인정보보호법에서 개인정보의 처리 방법에 따른 적용범위를 나타낸다.
[표 4] 국내·외 개인정보보호법에서 처리방법에 따른 적용범위
대부분의 국가에서 개인정보의 자동처리형식 뿐 아니라, 수작업 데이터에 대해서도 법이 적용되고 있는 것을 알 수 있다.
3.4 개인정보보호기관
대부분의 국가들이 개인정보보호법이 제대로 정립되고 이행될 수 있도록 개인정보보호 기관을 설립하여 운영하고 있으며, 그에 대한 사항 또한 개인정보보호법에 명시하고 있다. 따라서 국내·외 개인정보보호법에 명시된 보호기관을 대상으로 [표 5]로 비교하였다. 개인정보보호기관은 운영 형태에 따라 전문·독립적 형태, 행정부 형태, 민간단체형태로 나누어 볼 수 있다.
[표 5] 국내·외 개인정보보호 보호 기관
또한 개인정보보호법에 감독 기구로 명시되어 있지 않더라도, 실제 개인정보보호를 위해 독립적으로 활동하고 있는 많은 기관들이 있다. 대표적으로 국제적 기관인 PI(Privacy International), 캐나다 국회의 직속 명령을 받아 활동하는 Privacy Commissioner, 미국의 개인정보보호기관인 EPIC(Electronic Privacy Information Center)과 ACLU(American Civil Liberties Union)가 있다. 일본의 경우 국내와 비슷한 사례로 독립된 개인정보보호기관 없이 전자상거래를 주도하는 JIPDEC(Japan Information Processing Development Center)에서 개인정보보호를 위한 활동을 함께 하고 있다[5].
3.5 특징 및 시사점
[표 6]은 국내․외 개인정보보호법의 특징 및 시사점에 대해서 정리하였다. 대부분의 국가가 ”OECD 가이드라인“과 ”유럽연합 개인정보보호지침“을 기초로 하였으나, 국가의 특성에 따라 법률의 특징도 달라지는 것을 알 수 있다.
[표 6] 국내·외 개인정보보호법의 특징
영국의 경우, 신고제도가 영국의 정보보호제도의 가장 핵심적인 내용으로 모든 회사, 기관 등에서 그들이 관리하는 개인정보를 신고하고 있다.
캐나다의 경우, 일반법을 제정하지 않고 분리하여 제정한 것은 부문간 성격차이 때문이다. 민간기관이 대상인 “개인정보보호 및 전자문서법”은 기술적 측면에서 접근하여 민간기관에서 개인정보의 취급행위를 보다 쉽게 규제할 수 있으며, 또한 정보공개와 정보보호를 동시에 규정함으로써 정보자유와 개인정보보호 모두를 실현하고 있다는 특징이 있다.
일본의 경우, 국내나 영국처럼 공적부문과 민간부문을 하나의 법률로 규정하는 것과 다르게, 국가의 행정기관, 독립행정법인, 지방공공단체라는 공공부문과 민간부문의 개인정보취급사업자에 대하여 각각 그 분야에 특성을 고려한 법적조치를 강구하는 구조를 가지고 있다.
국내 개인정보보호법의 개인정보보호 수준을 향상시키기 위해서, 대표적인 8개 국가의 개인정보보호법들과 ’법 형태’, ‘적용 대상’, ‘적용 범위’, ‘개인정보보호기관’에 대해서 비교하였다. 대부분의 국가들이 개인 정보보호법은 모두 포괄할 수 있는 ‘일반법’의 형태로, 살아있는 개인을 개인정보 주체로 하고 있다. 예외로 독일, 프랑스, 캐나다는 법인 정보는 제외하지만, 경우에 따라 사자 정보를 보호대상으로 포함하고, 오스트리아와 덴마크의 경우에는 법인정보와 사자정보 모두 포함하고 있다. 그리고 대부분의 국가에서 컴퓨터 에서 처리되는 개인정보와 수작업으로 처리되는 개인정보를 모두 포함하고 있다. ‘개인정보보호기관’의 경우, 국내와 일본을 제외한 다른 국가는 독립적인 보호·감독기관이 법에 명시되어 존재한다. 그러나 국내의 경우, 독립된 기관은 보호․감독을 위한 기관으로 보기는 힘들며, 행정안전부에서 감독기관 역할을 수행하고 있어 독립적인 개인정보보호기관이 필요하다.
IV. 개인정보보호법의 발전을 위한 제안
4.1 개인정보 전문 보호·감독기관의 필요성
국내·외 개인정보보호법 현황과 비교분석한 자료를 통하여 국내 개인정보보호법의 경우 다른 나라들에 비해 개인정보보호법이 늦게 제정되어, 많은 국가들의 특징과 사례를 바탕으로 구체적으로 제정되었음을 알 수 있다. 그러나 국내 개인정보호법에는 개인정보보호를 위한 보호·감독기관에 대해서 언급하고 있지 않다. 개인정보보호법 제7조에서 언급하고 있는 “개인정보보호위원회”의 경우에는 독립적인 기관이나 제8조 “개인정보보호위원회의 역할”에서 알 수 있듯이 개인 정보보호에 관련된 정책, 법령, 제도를 발전시키고, 이에 대한 정보를 제공하는 기관으로, 공공기관이나 민간기관에서 처리하는 개인정보를 감독하고 보호하는 기관으로 보기에는 부족하다. 따라서 국내 개인정보보호 수준을 향상시키기 위해 개인정보보호를 전담하는 독립적인 보호·감독기관이 필요하며, 국외 개인 정보보호법들처럼 개인정보보호·감독기관의 역할을 명확하게 하여 개인정보보호법에 명시적으로 나타낼 필요가 있다.
특히, 독립적인 개인정보보호 보호·감독기관은 유럽연합과의 교류를 위해서도 필요하다. 유럽연합의 개인정보보호지침 제28조에 “모든 국가는 국내에 개인 정보 보호에 관한 유럽 지침의 준수를 감독할 감독기구를 두어야 함[18]”을 규정하고 있는데, 유럽연합의 개인정보보호지침에서 강조하고 있는 것 중 하나가 개인정보 보호·감독기구가 “완전한 독립성(complete independence)을 갖고 활동해야 한다.“는 것이다. 이에 국내에서도 독립성을 가진 개인정보 보호·감독기관을 두어 적절한 대응을 해야 한다.
4.2 개인정보보호법의 규제에 맞는 특별법의 개정
국내 개인정보보호법은 “공공기관의 개인정보보호에 관한 법률”과 “정보통신망법” 등 특별법에 포함되어 개인정보가 보호되었다. 그러나 이러한 방식은 법에 적용되지 않는 사각지대가 발생한다는 가장 큰 문제점을 가지고 있어, 일반법인 “개인정보보호법”이 제정되었다. “개인정보보호법”이 제정되면서 “공공기관의 개인정보보호에 관한 법률”은 폐지되었으나, “정보통신망법”이나, “신용정보의 이용 및 보호에 관한 법률” 등은 여전히 특별법으로 존재하고, 그 안에 개인정보 보호 항목이 포함되어 있다. “개인정보보호법”은 기존에 특별법보다 개인정보보호에 대한 규제가 강화하였으나 “특별법 우선의 원칙”에 의해 정보통신사업자의 경우 강화된 “개인정보보법”이 있어도 특별법인 “정보 통신망법”에 적용되어, 보다 약한 규제나 처벌이 적용된다.
최근 “정보통신망법”은 개정되었으나, 아직 개인정 보보호보법에 비해 규제가 미흡하다. 다른 특별법들도 국내의 개인정보보호 수준의 향상을 위해 기존의 문제점을 도출하여 개인정보보호법에 적용하거나 그에 합당한 개정이 필요하다.
V. 결론
본 논문에서는 국내의 개인정보보호법이 제정됨에 따라, 국내 개인정보보호법의 발전을 위한 방안을 제시하기 위해 국내·외 개인정보보호법의 현황을 살펴 보고, 국내 개인정보보호법과 국외 개인정보보호법을 비교분석해보았다. 비교분석 자료를 통해 국내 개인정보보호법의 발전을 위해 전문적인 개인정보보호 기구에 대한 필요성과 개인정보보호법의 규제에 맞는 특별법의 개정, 정보주체에 대한 교육을 제안하였다.
전 세계적으로 점점 개인정보보호에 관심이 높아져 가고 있다. 이에 따라 개인정보보호에 대한 발전도 필요하다. 향후 정책적인 발전방향 뿐만 아니라, 제도와 기술적 수단이 함께 뒷받침 되는 발전방향을 연구할 예정이다.
References
- "공공기관의 개인정보보호에 관한 법률(일부개정 2010.3.22 법률 제10142호)" http://likms.assembly.go.kr/law/jsp/la w/Law.jsp?WORK_TYPE=LAW_BON& LAW_ID=A1220&PROM_DT=20100322 &PROM_NO=10142
- "정보통신망 이용촉진 및 정보보호 등에 관한 법률 (일부개정 2012.2.17 법률 제11322호 시행일 2012.8.18.)" http://likms.assembly.go.kr/law/jsp/law/Law.jsp?WORK_TYPE=LAW_BON& LAW_ID=A0027&PROM_NO=11322&P ROM_DT=20120217&HanChk=Y
- "개인정보 보호법 (제정 2011.03.29 법률 제 10465호)", http://likms.assembly.go.kr/law/jsp/la w/Law.jsp?WORK_TYPE=LAW_BON& LAW_ID=A3370&PROM_NO=10465&P ROM_DT=20110329&HanChk=Y
- OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_ 1_1_1_1,00.html
- 한국통신정보보호학회, "주요국가의 개인정보보 호기관 운영상황 연구," 한국정보보호센터 연구보고서, 1998년 12월
- 조규범, "미국에서의 인터넷 프라이버시 보호와 프라이버시에스크로 시스템에 관한 연구," 헌법학연구회, 헌법학연구 제8권 제4호, pp. 359-389, 2002년 12월
- 황인호, "개인정보보호제도에서의 규제에 관한 연구," 공법학회 제30권 제4호, pp. 227-253, 2002 년 12월
- "개인정보보호지침 해설서," 정보통신부, 한국정보보호진흥원, 2005년 10월
- "주요국 정보보호법 제도 현황," 2007 국가정보보호백서, pp293-345, 2007년 5월
- "국외 개인정보보호법제 분석 및 시사점," 한국전산원, 2004년 12월
- 최경진, "영국의 개인정보보호법 -연혁 및 1998년 정보보호법의 적용범위를 중심으로-," 중앙법학회, 중앙법학 11권 1호, pp.85-115, 2009년 4월
- 박병섭, "독일의 개인정보보호제도에 관한 연구", 민주주의법학연구회, 민주법학 25권, 단일호, pp.402-431, 2004년 2월
- Prof. Rossnagel, "독일의 개인정보보호법," 개인정보 보호제도의 개선을 위한 한․독 국제 심포지엄, 2004년 11월
- 양용석, "해외 개인정보보호 관련법과 제도의 고찰 (1) - 핀란드.프랑스," http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=1880 &numm=1552&search=title&find=%C7%D8%BF%DC&kind=03&order=ref
- 양용석, "해외 개인정보보호 관련 법과 제도의 고찰(3)," http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=1986 &numm=1647&search=title&find=%C7%D8%BF%DC&kind=01&order=ref
- "세계의 언론법제 개인정보보호와 언론," 한국언론재단, 2008년 하권(통권 제24호), 2008년 10월
- 김현수, 박춘식, "일본 개인정보보호법제 정비동향에 관한 고찰," 정보보호학회지, 제 13회 제 5호, pp.96-103. 2003년 10월
- 김철, "개인정보 보호와 정부의 역할 : 통합 프라이버시보호위원회의 필요성," 한국 행정학회 2003년도 동계학술대회 발표논문집, pp72-94, 2003년 12월
- 이민영, 주지홍, "전자정부시대의 개인정보보호: 법안분석 및 법제검토," KISDI 이슈 리포트, 정보통신정책연구원, pp3-49, 2003년 11월
- 이창범, "개인정보보호법제도 개선을 둘러싼 주요 쟁점," 전자정부포럼 제5회, 한국정책지식센터, 2003년 4월
- 미국의 개인정보보호 정책, http://forum.nca.or.kr/info/iipt/1996/3-14/focus1/1fo3-14.html
- 미국의 개인정보보호 방안. http://forum.nca.or.kr/info/iipt/1997/focus1/1fo4-9.html
- EU Working party Document, "Judging industry self-regulation: When does it make a meaningful contribution to the level of a data protection in a third country?". (http://europa.eu.int/comm/dg15/en/media/dataprot/wpdocs/wp7en.html)
- 個人情報の保護に關する法律(平成一五年五月 三十日法律第五十七号, http://law.e-gov.go.jp/htmldata/H15/H15HO057.html