정보는 인권이다

정보인권 보호하려면 개인정보보호위원회를 강화해야

김영홍 
함께하는시민행동 정보인권국장 

1991년 이전에는 수수료만 내면 누구나 타인의 주민등록등·초본을 열람하거나 교부 받을 수 있었습니다. 지금의 관점으로 보면 황당해 보이지만 은행에서 계좌를 개설할 때 익명, 가명도 허용했던 시절이니, 주민등록번호는 대한민국 국민임을, 즉 간첩이 아님을 확인하는 숫자에 불과 했죠. 여러모로 ‘주민등록번호’는 정말 극적인 변화를 겪었습니다.

디지털 시대의 개인정보 

개인정보가 디지털 정보로 전환될 무렵 우리나라는 관련법 정비를 매우 느리게 진행했습니다. 인권에 큰 관심이 없었던 5·6공화국 정부는 변죽만 울릴 뿐 관련법 제정과 개정에 대해 소극적인 행보를 했습니다. 

1986년 ‘전산망 보급 확장과 이용촉진에 관한 법률’이 제정되면서 각급 관공서에 본격적으로 PC가 설치되고 전산망을 구축하는 계획이 수립, 추진됩니다. 1990년 당시 총무처는 ‘공공기관의 전자계산조직에 보관된 개인정보의 보호에 관한 법률’ 시안을 만들었지만 오랜 기간 동안 낮잠을 자게 됩니다. 또한 민간 부문에 대한 논의는 진척시키지 못합니다.

국제적으로는 이미 1980년 OECD(경제협력개발기구)가 개인정보보호 가이드라인을 통해서 개인정보보호 8대 원칙(수집 제한의 원칙, 정보 내용 정확성의 원칙, 목적 명확화의 원칙, 이용 제한의 원칙, 안전 확보의 원칙, 공개의 원칙, 개인 참가의 원칙, 책임의 원칙)을 제시합니다.

UN은 1990년 개인정보 전산화 가이드라인, 감독과 제재 조항에서 회원국에 관련법을 제정하고 그 법을 준수하는 것을 감시할 ‘독립적인 개인정보 감독기구’를 둘 것을 권고하죠.

1991년 3월 주민등록, 부동산, 자동차, 고용, 경제통계, 통관 등에 대한 국가 행전전산망이 완성되며 그해 3월 읍·면·동사무소에서 컴퓨터를 통한 주민등록 등·초본 발급 업무가 시작되면서 타인이 ‘주민등록등·초본’을 교부 받지 못하게 주민등록법을 개정합니다. ‘개인정보 보호’라는 관점에서 처음으로 개정된 사례라고 볼 수 있습니다.

  @atopy

격동의 주민등록번호

1993년 금융실명제 실시, 1994년 월드와이드웹(www) 상업 서비스 시작, 1999년 PC통신 실명제 실시, 1999년 인터넷뱅킹 서비스 상용화 등 급격한 사회 변화가 시작됩니다.

1994년 1월 ‘개인정보 보호’에 관한 최초의 법, ‘공공기관에서의 개인정보보호에 관한 법률’이 제정되지만 1년의 유예 기간을 거쳐 1995년 1월 시행됩니다. 그런데 어처구니없게도 그해 6월 BC카드 및 공공기관에서 주민등록번호 등의 개인정보 292만 건이 대량 유출, 유통되는 사건이 발생하지만 이 법으로는 처벌 못하는 일이 생기죠. ‘전산망 보급확장과 이용촉진에 관한 법률’ 제25조(비밀의 보호) 위반, 또는 뇌물수수 혐의로 관련자들을 구속했지만 당시 언론은 관련자 모두 선고유예, 집행유예의 처벌만 받았다고 전하고 있습니다.

또한 백화점 VIP 고객 명단을 입수하여 범행 대상을 찾고 실행에 옮겼던 지존파 사건이 1994년 9월에 발생합니다. 신용정보가 부유층 살생부로 둔갑한 범죄의 여파로 인하여 1995년 1월 ‘신용정보의 이용 및 보호에 관한 법률’이 신속하게 제정됩니다. 법 적용 대상은 ‘신용정보 집중기관’이었습니다.

그러나 다른 민간 영역의 규제는 매우 늦어서 약 6년의 법률 공백 기간 이후 2001년 1월 ‘정보 통신망이용 촉진 및 정보보호 등에 관한 법률’이 전면 개정됩니다. 법 적용 대상은 ‘정보통신서비스제공자’였습니다. 특히 닷컴 기업들이 수년 간 주민등록번호뿐만 아니라 성명, 주소, 이메일, 학력, 취미, 결혼, 자녀, 학교, 취미, 종교, 각종 관심사 등의 개인정보를 설문조사 하듯이 수집한 이후에 생긴 규제였습니다. 일종의 개인정보의 본원적 축적 기간이라고 할 수 있습니다. 또한 법 적용 대상이 ‘정보통신서비스제공자’로 한정되어서 많은 사각지대를 남겨둡니다. 2004년, 2008년 시행규칙을 통해 그 범주를 확장하고 2011년 개인정보보호법이 제정되고서야 사각지대가 해소됩니다.

개인정보보호위원회가 침묵하는 사정은 

2000년 초반부터 시민단체들은 공공기관과 민간 영역을 통합하는 개인정보보호법의 제정과 ‘개인정보보호’ 업무를 객관적이고 전문적으로 수행할 수 있는 독립기관의 설치를 주장했습니다. 앞서 UN뿐 아니라 EU도 1995년 개인정보보호 지침, 총칙 제6장 감독기관과 개인정보보호작업반 조항에서 ‘독립적인 개인정보 감독기구’가 EU 소속 국가들의 원칙임을 표방했던 규범에 대한 공감이 컸기 때문입니다.

시민단체들은 2004년 ‘개인정보보호기본법’ 제정안을 당시 노회찬 의원을 통하여 국회에 발의합니다. 그러나 당시 정부와 국회는 이 논의를 더 이상 진전시키지 못하고 오히려 주민등록번호의 오남용을 부추기는 인터넷 실명제를 2007년에 실시하고 맙니다. 새누리당의 전신인 한나라당이 주도하고 참여정부가 동조했던 인터넷 실명제로 인하여 방문자 수가 10만 명 이상 되는 사이트는 운영 주체가 개인이라도 2012년 8월 23일 위헌 판결을 받을 때까지 주민등록번호를 강제적으로 수집해야만 했습니다.

△급증하는 피싱, 스미싱 등의 사기 범죄의 증가 △2008년 옥션의 1000만 명 개인정보 유출사건 △2009년 GS칼텍스 1150만 명 개인정보 유출 사건 △2010년 신세계 330만 명 개인정보 유출 사건 등이 일어나자 ‘개인정보보호법 제정’이 추진력을 얻게 됩니다. 2011년 개인정보보호법이 제정되고 ‘개인정보보호위원회’가 설치되지만, 시민단체들이 원했던 모습은 아니었습니다.

‘개인정보보호위원회’의 권한은 심의 기능만 가지고 있을 뿐 의견 제시, 개인정보 영향 평가, 권고, 공표, 자료제출 요구, 과징금 부과, 고발 및 징계권 등의 핵심 권한이 안전행정부장관에게 있는 ‘영향력 없는 위원회’가 되고 만 것입니다. 그래서 2014년 국민, 롯데, 농협카드 등에서 발생한 1억 건의 개인정보 유출 사건에 대하여 ‘개인정보보호위원회’는 침묵하는 것입니다.

개인정보보호위원회가 개인정보를 보호하려면 

1994년도 대규모 주민등록번호 유출 사건 이후 현재까지 수많은 유출 사건이 있었지만 안전행정부는 유출된 주민등록번호 변경에 대한 요구도 거부해 왔고 제도 개선에도 소극적이었습니다. 안전행정부가 2007년부터 2013년까지 84개 공공·민간기관에 총 38억 7909만 원을 받고 주민등록 전산 정보 5억 8850만 건을 제공했다는 것에서 증명되듯이 국민의 개인정보를 활용하고 유통하는 부처임을 명백하게 보여주고 있습니다. 안전행정부는 객관적으로 개인정보보호 업무를 하기에 부적합한 곳입니다. 이는 다른 부처도 이해관계가 상충되기 때문에 마찬가지입니다.

개인정보보호위원회가 △의견제시 △권고 △시정명령 △자료제출 요구 △과징금 부과 △고발 및 징계권 △직권 조사권 등의 권한과 예산, 인사의 독립성을 가져야 개인정보보호와 이용에 관한 ‘견제와 균형’의 최소 조건이 마련되는 것입니다. 다른 부처의 개인정보보호 업무를 정지시키자는 말이 아닙니다. 각 부처의 주관성에 영향력을 주는 ‘객관적인 힘’을 부여하자는 이야기입니다. 

김영홍 함께하는시민행동 정보인권국장
경실련에서 처음 시민운동을 배우고 지금은 함께하는시민행동에서 일하고 있습니다.

2014. 3월호 특집 – 정보인권

10 특집 아무나 당신이 한 일을 알 수 있다 황지희

12 특집 그리 멋지지 않은 신세계 문강형준

15 특집 정보는 인권이다 김영홍

18 특집 금융기관의 주민등록번호 수집을 금지해야 박경신