포럼활동

1. 연구의 배경과 목적

 

미래 유비쿼터스 환경에서 감시(surveillance)는 개인의 삶에서 떼려야 뗄 수 없는 일부분으로 상존하게 될 것이다. 실로 개인의 모든 것이 기록되고 저장되며 공유될 것이다. 유비쿼터스 컴퓨팅 시스템(Ubiquitous Computing System)은 개인의 신원(iden- tity), 위치(location), 활동(activity), 그리고 주변의 상황(context)에 관한 개인정보를 자동적으로 그리고 실시간(real time)으로 수집하고 공개할 것이다.

유비쿼터스 환경에서의 놀라운 감시기술(surveillance technologies)들은 개인의 공적 삶이든 사적 삶이든 그 일거수일투족을 추적할 뿐만 아니라 그 추적의 결과들을 자동으로 저장․처리하여 개인의 프로파일을 만들 것이다. 더 나아가, 이렇게 디지털화된 개인기록들은 손쉽게 통합되어 개인의 실존인격과 분리된 또 다른 디지털인격을 형성하게 된다.

나의 삶의 하나하나가 추적당한다는 느낌은 나의 자유의 습관을 변화시킬 것이다. 감시가 점차 내면화되면 될수록 나의 인격의 주체성은 조금씩 상실되어 갈 것이다. 더불어 나의 자유의 공간은 그 만큼 축소되어져 갈 것이다. 더 나아가, 내가 인식하지도 못한 채 형성되어 있는 또 다른 나의 디지털인격이 지워지지도 않은 채 나의 실존인격을 규정짓게 될 것이다. 나에 관한 정부와 시장의 결정은 나의 실존인격이 아닌 디지털인격에 기초해서 내려질 것이기 때문이다.   

개인 인격의 주체성 및 자유의 확보는 자유민주체제의 포기할 수 없는 전제조건이다. 개인의 삶에 대한 전방위의 감시체계는 자유민주체제의 전제조건들을 파괴할 위험성을 안고 있다.

그렇지만 한편으로 이 위험성 때문에 기술의 발전과 진보를 막을 수는 없다. 기술의 위험성과 유용성은 결국 그것을 사용하는 사회체계의 선택에 달려 있는 문제이다. 현 시점에서 우리에게 주어진 과제는 정보기술의 발전이 개인의 프라이버시에 던지는 위험성을 최소화하면서 동시에 개인정보처리의 국가적 및 사회적 이익을 수용할 수 있는 역감시의 모델을 정립하고 그것을 사회체계 속에 구현해나가는 일이다. 

그런데 이 같은 역감시의 모델을 정립함에 있어서 문제해결을 더욱 어렵게 만드는 요인은, 개인의 삶 속에 일상화된 감시가 그 나름의 정당성을 가지고 있다는 점이다. 국가기능의 효율적인 수행은 국민들의 개인정보의 효과적인 처리에 달려 있다. 기업과 사회도 개인정보의 처리를 통해서 자원배분의 효율성을 극대화하게 되며, 정보기술이 개인에게 제공하는 편익과 안락 또한 개인정보의 수집과 공유를 전제로 해서 가능하게 된다. 우리의 고민은 여기에서부터 시작된다. 요컨대, 우리에게 던져진 핵심적인 과제는 “감시의 정당성을 훼손하지 않으면서 그 위험성을 상쇄시킬 수 있는 역감시체계를 구축하는 일”이라고 하겠다.

 

 


2. 연구의 내용과 결과

 

 


본 연구는 미래 감시사회 속에서 개인의 자유와 존엄성을 확보하면서 동시에 정보기술의 혜택을 수용하기 위해 역감시체계의 구축방향과 구체적인 방안을 모색해 보았다. 이를 위해 제2장에서는 정보사회에서 감시의 본질을 이해하고 해명함을 통하여 연구의 기본방향을 설정하였다. 이어 제3장에서는 프라이버시의 혼란된 개념을 정리하고, 각국 및 우리나라의 일반적인 역감시체계의 현황과 문제점을 분석하여 향후 역감시체계의 구축방안에 관하여 구체적으로 논의하였다. 이상의 제2장과 제3장의 총론적 이해에 입각하여, 제4장․제5장․제6장에서는 각론적인 문제에서의 역감시체계에 관하여 논구하였다. 제4장에서는 전자정부에서의 Data Surveillance와 그 역감시체계의 구축에 관하여, 제5장에서는 생체정보의 수집․이용에 대한 역감시체계의 구축방안에 관하여, 그리고 제6장에서는 유비쿼터스 환경에서의 역감시체계의 구축방안에 관하여 검토하였다. 마지막으로 제7장에서는 결론으로서 미래 역감시체계의 정책방향에 대하여 종합적으로 정리하였다. 

그 정책방향을 다음의 9가지로 정리하였다.

(1) 개인정보자기결정권에 대한 올바른 이해가 필요하다. 종래의 사생활권이 은둔으로서의 사생활보호(privacy as seclusion)라는 소극적 성격의 것이었다면, 이 개인정보자기결정권은 참여로서의 사생활보호(privacy as participation)라는 적극적 성격을 지닌다. 정보주체는 자신에 관한 정보가 누구에 의해 어떤 목적으로 어떻게 이용되는지를 명확하게 인식하고 그러한 정보처리의 과정에 함께 참여할 수 있어야 한다. 이러한 참여로서의 사생활보호 모델은 특히 공공부문에서 정부가 개인정보처리의 남용을 통해 국민을 감시하고 통제하고자 하는 위험을 차단시키는 역감시의 기능을 수행한다.

그러나 개인정보보호의 가치를 절대화하는 인식이나 경향 또한 경계하여야 한다. 개인정보의 처리과정에 정보주체의 참여를 합리적인 수준에서 보장하되, 그 참여의 내용으로서 정보주체의 동의를 절대적인 것 내지 우선적인 것으로 잘못 이해한다면, 자칫 개인정보의 유통을 통한 정부와 사회의 정상적인 기능까지도 마비시키는 결과를 빚게 될 것이다.  

(2) 이러한 관점에 입각해서 보면, 우선 현행의 개인정보보호를 위한 입법체계는 상당히 “불균형적”이고 “불완전”한 상태이다. 균형 잡힌 완전한 역감시의 참여모델로 전환시켜야 한다. 

먼저, 보호체계의 “불균형성”은 개인정보처리의 위험성이 높고 그만큼 보호필요성이 큰 분야에 보다 엄격한 보호체계가 마련되어야 함에도 우리의 현행 법제는 그러한 체계성이 부족하다는 점에서 확인될 수 있다. 향후 공공부문에서는 그 보호수준과 집행체계를 더욱 강화하고, 민간부문에서는 보다 명확한 행위기준을 제시하는 방향으로 보호체계의 불균형을 시정하여야 할 것이다.

다음으로, 보호체계의 “불완전성”은 두 가지 차원에서 확인될 수 있다. 첫째는 참여모델로서의 개인정보보호법의 보호범위에 속하지 못하는 영역들이 다수 존재한다는 점에서 불완전하고, 둘째는 보호범위에서 제외되어 있는 영역에서는 은둔모델로서의 비밀보호법만이 존재하고 있어 개인정보처리의 필요성과 가치를 도외시하고 있다는 점에서 불완전하다.

우리의 현행 입법체계는 한 마디로 “이원적·영역별·부분적 입법체계”라고 할 수 있다. 공공부문과 민간부문이 분리되어 각각의 보호입법이 마련되어 있지만, 그 나마도 각 부문에서 존재하는 보호입법이 모든 영역을 포섭하지 못하고 있다. 한편, 현재 많은 영역이 비밀보호를 위한 은둔모델에 의해서 규율되고 있는데, 역감시의 참여모델로 전환시켜야 할 것이다. 종래의 은둔모델로서는 개인정보의 “활용”과 “보호”를 동시에 추구할 수 없기 때문이다. 

(3) 이렇게 불균형적이고 불완전한 현재의 입법체계를 보완하여 보호의 공백을 메움과 동시에 독립된 감독기구에 의한 예방적이고 효과적인 감시체계를 마련하여야 한다는 입법정책의 목표를 달성하기 위해서는 다음과 같은 대안적인 입법체계를 구상할 수 있다.

우선, 통합입법이 절대적이고 유일한 선택은 아니다. 공공부문과 민간부문에서 현존하는 보호의 공백을 메우는 것이 우선적으로 중요한 목표이기 때문에, 이 목표는 공공부문 일반법과 민간부문 일반법을 통해서 확보할 수 있다. 그렇다면 공공부문 일반법인 공공기관개인정보보호법을 존치시키되, 보호의 불완전성을 개선하기 위하여 규율내용을 더욱 강화하여야 한다. 현행의 공공기관개인정보보호법과 개정법률안에 비해 보다 강화된 개선안을 마련하여야 한다. 아울러 공공기관의 개인정보처리가 보호법을 준수하는지 여부를 예방적인 차원에서 그리고 상시적으로 감시할 수 있는 독립된 감독기구의 존재가 필수적이다. 

원래 온라인의 특수성에 따른 강한 보호를 위하여 마련되었던 온라인개인정보보호법(정보통신망법상의 개인정보호보규정)의 내용을 그대로 민간부문 일반법으로 가져가면 매우 강력한 일반법이 된다. 그러나 민간부문의 경우 기업의 일반적인 경제활동이 점차 고객정보의 처리에 의존하게 되는 구조로 옮겨가고 있기 때문에 종래 온라인에 적용되던 높은 수준의 보호체계를 그대로 민간 일반에 가져가는 것은 경제활동에 심각한 위축을 초래할 수 있다. 특히 민간부문의 경우에는 소비자의 자유의사에 의한 선택권이 존재하고 있고 또 산업계의 자율규제의 가능성도 남아 있기 때문에 처음부터 높은 수준의 보호체계를 마련하는 일은 신중해야 할 것이다. 때문에 민간부문의 일반법에서는 최저한의 보호수준을 마련하고, 온라인, 신용정보, 의료정보 등 높은 보호수준과 특수한 규율이 필요한 영역에서는 특별법을 통해 대응해나가야 할 것이다.

정보통신망법상의 개인정보보호규정은 필요하다면 별도로 떼어내어 가칭 온라인개인정보보호법이라는 특별법을 마련할 수 있을 것이다. 그리고 현재 정보통신망법에서 규율하는 오프라인 영역은 새로이 제정되는 민간의 일반법에서 흡수하게 될 것이다. 그리고 이 일반법은 최저한의 보호수준으로 실체적 규율내용을 담고, 아울러 독자적인 감독기구를 마련해야 할 것이다.

이렇게 되면 남는 문제는 감독기구를 민간부문과 공공부문으로 분리하여 둘 것인가, 아니면 통합할 것인가 하는 문제이다. 비록 공공부문과 민간부문에서 개인정보보호의 가치와 상충하는 가치들이 각각 다르고 그에 따른 법리와 구체적인 규율내용이 다를 수 있다 하더라도, 예방적인 감시의 체계는 동일하게 필요하다. 따라서 민간부문과 공공부문을 통일적으로 감시․감독하는 독립된 감독기구가 요구된다.

(4) 향후 설립될 통합감독기구는 전형적인 세 가지 감독기능인 예방적 기능, 사후적 민원해결기능, 그리고 정책조언기능을 완전하게 수행하여야 할 것이다. 그러나 통합감독기구가 반드시 집행기능과 정책결정기능을 가져야 하는 것은 아니다.

첫째, 예방적 기능은 개인정보처리의 위험성을 사전적․예방적인 차원에서 막기 위하여 개인정보처리기관이 개인정보보호법의 실체적 규정(개인정보처리원칙을 구체화한 처리기관의 의무규정들)을 준수하도록 사전에 유도하는 기능이다. 감사기능, 자문기능, 교육기능, 그리고 자율규제의 조정자로서의 기능은 이러한 예방적 기능의 일환이다. 둘째, 사후적인 민원해결기능은 정보주체로부터의 불만이나 민원을 접수받고, 사실관계를 조사하며, 그리고 그 민원사항을 해결하는 기능을 수행한다. 셋째, 정책조언기능은 국가의 정보정책에 대한 조언자로서 자문하는 기능이다.

향후 설립될 통합감독기구는 적어도 이러한 세 가지 기능을 완전하게 수행해야 하고, 그러한 기능의 수행에 필요한 권한을 가져야 하며, 그리고 그 기능과 권한을 원활하게 수행하기 위해서는 조직의 구성과 예산확보의 측면에서 충분한 독립성이 확보되어야 한다.

(5) 향후 설립될 통합감독기구는 한정된 자원으로 공공과 민간의 그 수많은 개별 개인정보처리기관의 모두에 대해 효과적인 감독기능을 수행할 수 없기 때문에 공공기관과 민간의 중요 개인정보처리기관의 내부에 독립적인 위상과 독자적인 기능을 가진 개인정보보호책임자(CPO: Chief of Privacy Official)를 두도록 해서 이들을 통합감독기구의 현장감사관으로 활용하여야 할 것이다.

(6) 특히 민간부문에서 개인정보처리의 필요성과 개인정보보호의 가치는 각 영역별로 그리고 기술발전에 따라 미묘하게 상충하고 있는데, 향후 설립될 통합감독기구는 이 상충하는 가치를 그때그때 조화롭고 융통성 있게 조정해 나가야 할 것이다.

(7) 향후 개인정보처리 및 보호의 기준을 공공부문과 민간부문에서 각각 달리하여 명확하고 상세하게 규정하되, 독립성과 효율성을 갖춘 통합감독기구에 의하여 사전적․예방적․교육적 보호기능에 초점을 맞추어 집행체계를 구축할 필요가 있다.

특히, 민간부문에서는 개인정보처리 및 보호의 기준에 대한 보다 분명한 사회적 합의가 확보되기까지 현재의 보호공백을 메우기 위한 최저한의 수준으로 법적 기준을 법률에서 설정하고, 개인정보감독기구에게 규칙제정권을 주어 특별히 문제되는 영역에서 보다 상세하고 명확한 처리 및 보호기준을 차후에 마련할 수 있도록 하는 유연한 집행체계도 검토해 볼 필요가 있다.

(8) 민간부문의 자율규제기능을 충분히 고려하고 활용하여야 할 것이다. 정부나 개인정보감독기구에 의한 외부적․타율적인 규제는 유비쿼터스 환경에서 한계를 지닐 수밖에 없다. 자율규제는 국가의 규제가 없다는 것을 의미하는 것이 아니다. 국가가 직접 개입하지 않고도 경제주체들이 자발적으로 정보처리원칙을 준수하도록 인센티브를 부여하면서, 이를 위반하였을 때 시장에서 퇴출시키거나 원칙위반으로 얻은 수익의 수십배에 달하는 배상을 하도록 하는 등의 엄격한 보완적 집행장치를 마련하여야 한다.

민간기업이 법령에 따라 개인정보를 처리하고 있는지를 감시·감독할 수 있도록 민간 개인정보보호단체들의 시장감시 활동에 법적 근거를 부여하고 활동을 지원하는 것도 자율규제의 일환이 될 수 있다. 민간의 개인정보처리기관들이 전문적인 도움을 받을 수 있도록 프라이버시영향평가, 컨설팅, 시스템인증, 개인정보보호교육 등의 업무를 전문적으로 수행하는 기업이나 단체의 설립과 활동을 촉진하여야 할 것이다.

(9) 개인정보보호기술을 통한 기술적 규제수단도 최대한 활용하고 장려하여야 할 것이다. 통제 위주의 암호정책을 전반적으로 재검토하여 암호기술의 발전을 촉진하여야 할 것이다.

 

 


3. 연구결과의 국가정책적 함의

 

 


미래의 기획은 과거의 경험과 현재에 대한 정확한 진단으로부터 시작되는 것이다. 따라서 본 연구는 현재의 국가적 감시체계와 그 작동원리를 규명하고 그 문제점을 밝혀내는 기회가 됨과 동시에 나아가 미래를 전망하기 위한 유용한 시각과 자료를 제공할 것으로 판단된다. 

국가적 감시의 본질을 해명하고, 그 정당성의 진정성을 보다 구체적으로 밝혀내며, 그 정당성에 대한 검증기준을 찾아내고, 효과적인 역감시체계의 구축방안을 모색하였다. 비교법적 접근을 통해 입법상의 공백이나 법집행에 있어서의 불합리성을 밝혀냄과 동시에 이에 대한 적절한 해결방안을 제안하였다고 본다.

본 연구는 향후 학계의 이론가들, 입법과정에 참여하는 국회의 실무연구진, 국책연구기관의 전문인력들이 보다 다양하고 폭넓은 시각에서 프라이버시 문제를 바라보고 그에 적합한 미래의 대응방안을 마련하는 데 기여할 것으로 기대된다.

*본문은 첨부되어 있습니다.

 




국회 오시는 길

07223 서울시 영등포구 여의도동 1번지 국회의원회관 622호
TEL: 02-788-2925 / FAX: 02-788-0372

용산 사무실 오시는 길

04375 서울시 용산구 백범로 402 삼각빌딩 3층
TEL: 02-794-1231 / FAX: 02-794-0855