국문요약 15
제1장 연구목적 35
1. 배경적 논의 35
2. 연구주제의 선정 43
3. 본문의 구성 55
제2장 개인정보 침해실태의 분석을 위한 이론적 자원들 59
제1절 개인정보의 개념과 정보침해의 유형 59
1. 개인정보의 법률적 정의에 대한 비판적 검토 59
2. 개인정보의 의미를 둘러싼 담론의 지형 64
3. 개인정보의 유형 74
4. 개인정보 침해의 유형 77
5. 개인정보 침해로 인한 결과 87
제2절 정보주체의 행위분석을 위한 이론적 자원 89
1. 정보제공 행위에 대한 합리적 선택이론 91
2. 정보제공 행위에 대한 학습이론 96
제3절 개인정보 보호모델의 비교 98
1. 시장규제모델 99
2. 국가개입모델 99
3. 자율규제모델 101
제3장 연구방법 103
제1절 자료와 그 특성 103
1. 자 료 103
2. 설문조사 대상자의 일반적 특성 110
제2절 주요개념의 측정 118
1. 개인정보 침해실태 119
2. 개인정보 침해에 대한 시민들의 태도 119
3. 학습화된 행위로서의 정보제공 행위 124
4. 합리적 선택행위로서의 정보제공 행위 127
5. 개인 정보보호의 쟁점과 관련한 주요변인 138
제4장 개인정보의 침해실태 141
제1절 우리사회에서의 개인정보 침해의 양상 142
1. 개인정보침해신고센터의 사례보고 142
2. 개인정보 보호방침에 대한 인터넷 웹사이트 및 기업 조사 146
3. 개인정보 침해실태 및 정보보호 실태조사 결과들의 종합검토 153
제2절 설문조사에 나타난 개인정보 침해 실태 154
1. 피해 내용 155
2. 개인정보 침해를 경험한 피해자의 특성 168
3. 개인정보 침해의 결과 및 피해회복을 위한 노력 181
제3절 개인정보 침해사례 분석 185
1. 분석된 사례들의 유형적 특성 186
2. 수사기록을 중심으로 한 사례분석 187
제5장 개인정보 보호에 대한 시민들의 관심과 태도 211
1. 개인정보 보호문제에 대한 일반인들의 인식과 관심 211
2. 개인정보의 상업화에 따른 사생활 침해가능성에 대한 우려 224
제6장 정보주체의 개인정보 제공행위에 대한 미시분석 229
1. 학습화된 행동으로서의 정보제공 행위 229
2. 합리적 선택으로서의 정보제공 행위 241
3. 두 설명방식의 비교 244
제7장 개인정보 보호의 주요쟁점과 정보보호 전략 247
제1절 개인정보 보호를 둘러싼 쟁점들의 검토 248
1. 개인정보 보호와 개인정보의 상업화 248
2. 수집될 수 있는 개인정보의 범위 261
제2절 개인정보 보호모델의 검토와 효과적인 방안의 탐색 289
1. 개인정보 남용의 효과적인 규제전략에 대한 시민들의 입장 289
2. 개인정보 보호를 위한 정책적 제언 294
제8장 맺음말 309
참고문헌 311
영문요약 331
부록1 : 개인정보 보호관련 주요법률과 규제행위 및 처벌형태 335
부록2 : 차종점수 부여방식 341
부록3 : 설문지 345
1. 연구배경
개인정보 침해에 대한 선행연구들은 의식조사에 기반하여 사생활과 개인정보 침해의 심각성을 제기하거나, 법률해석론의 입장에서 개인정보 보호권의 토대로서의 프라이버시권의 기원과 법적 근거, 정보사회의 도래에 따른 새로운 프라이버시 침해유형을 지적하고 그 대응책으로 외국의 입법사례들을 소개하는 것이 일반적인 경향이었다. 이러한 기존의 논의들은 개인정보의 보호의 문제를 정보화라는 기술적 측면에서만 파악함으로써 개인정보의 침해가 근대국민국가 및 정보자본주의의 감시체제적 특성에 내재한 것이라는 사실을 간과하고 있다. 최근 들어 개인정보의 침해문제를 국가와 자본의 개인에 대한 감시와 통제의 문제로 규정하는 논의들이 등장하고 있다. 하지만 이러한 연구들은 그 논의가 거시적 수준에서 진행됨으로써 거시적 기제들이 미시적 수준에서 어떻게 관철되는지에 대한 분석으로까지 이어지지는 못하고 있다. 따라서 이 글에서는 개인정보가 어떤 과정을 거쳐 수집되고 있고, 그 수집된 자료가 어떤 식으로 잘못 사용되고 있는지를 일상의 미시적 수준에서 분석하고자 한다.
2. 연구주제
이 연구는 정보를 제공하는 정보주체와 이를 수집하고 이용하는 정보수집자․정보이용자간의 미시적인 상호작용에 주목함으로써 침해의 실태와 그 원인을 파악하고자 한다. 특히 정보주체의 정보제공 행위를 설명할 수 있는 두 가지 이론적 접근, 즉 합리적 선택이론과 학습이론을 현실에 적용시켜볼 것이다. 그리하여 현실의 정보제공 행위가 정보주체의 면밀한 이익계산의 결과의 측면보다는 강제화된 동의상황에서의 비자발적이고 습관적인 행동의 결과라는 점에 의해 보다 더 잘 설명이 될 수 있다는 사실을 보여주고자 한다.
이러한 분석결과는 개인정보의 이용에 관련된 현재의 계약상황이 좀더 평등한 방향으로 바뀌어야 한다는 것, 그리고 정보 보호전략이 국가나 기업 중심에서 정보주체의 중심으로 이동되어야 한다는 점을 시사한다. 그리하여 이 연구는 이러한 분석들을 바탕으로 해서, 정보주체인 일반개인들이 자신의 정보를 보호하고 이를 주체적으로 관리하기 위해서는 국가와 자본의 감시에 맞서는 역감시(antisurveillance)의 권리가 새롭게 구성되어야 함을 주장할 것이다. 그리고 사생활과 개인정보가 침해되고 남용되는 문제의 해결을 위해서는 현재와 같은 국가의 규제방식에다 기업부문의 형식적인 자율규제가 뒤따르는 모델로는 곤란하고, 역감시의 한 형태로 대표되는 시민운동이 국가와 기업의 규제노력들을 감시하고 견제하는 삼각체제모델이 필요성을 제기하고자 한다.
3. 이론적 논의의 검토
가. 정보제공 행위의 설명이론
정보주체의 정보제공 행위를 설명하는 두 가지 이론적 전망이 도출될 수 있다. 하나는 정보주체(소비자)의 행위를 정보제공으로 인해 자신에게 부과될 비용과 그로 인해 자신이 얻게 될 이익간의 합리적 계산의 결과로 보는 입장이다. 이러한 이론적 전망을 정보제공 행위에 대한 합리적 선택이론이라고 명명할 수 있다. 개인정보에 대한 태도나 행위를 연구하는 경영학적 연구나 소비자학 분야의 연구들의 대부분이 이러한 관점을 취하고 있다.
이에 반해 정보주체의 행위는 합리적 선택의 결과라기보다는 현실적 경험에 의해 학습화된 것이라는 입장이 있을 수 있다. 현실의 경험에 비추어봤을 때, 자신의 정보를 제공하지 않을 경우에는 신용카드가 발급되지 않고, 웹사이트의 이용이 불가능하기 때문에 정보제공 여부를 선택할 권한이 정보주체에게 실질적으로 주어져 있지 않다는 것이다. 그가 택할 수 있는 것은 위험을 감수하고 자신의 정보를 제공하든지, 아니면 신용카드 발급이나 웹사이트 이용 등을 포기하는 것뿐이다. 그러나 신용카드나 인터넷을 이용하는 일은 삶의 질의 문제에 해당하기 때문에 대부분의 사람들은 비자발적 동의 상황에서 자신들의 정보를 습관적으로 제공하게 된다는 것이다. 이러한 견해를 정보제공 행위에 대한 학습이론이라고 부를 수 있겠다.
나. 개인정보 보호 모델
1) 시장규제모델
시장규제의 특징은 강제화된 규칙이나 규제수단을 따로 마련하지 않으면서도 시장 스스로가 개인정보 보호의 전략을 이윤추구의 수단으로 수용하게 한다는 것이다. 따라서 시장규제는 다소 이상적인 성격을 지니고 있다. 하지만 순수한 시장규제 모델은 개별 기업의 사생활 남용의 욕구를 제어하고 감시할 수 있는 현실성이 부재한 것으로 평가된다. 그것은 시장의 현실이 시장의 이상을 반영하지 못함으로써 나타나는 결과이다. 기본적으로 ‘시장’은 이윤에 의해 작동되는 곳이다. 개인정보가 상업적인 이윤을 형성하는 것으로 인식되는 작금의 현실에서, 이를 수집하고 이용하는 데 대해 아무런 제재가 가해지지 않는다면, 기업들은 고객들에게 신뢰감을 주는 개인정보 보호정책을 펼치는 대신 적은 비용으로 더 많은 개인정보를 확보하는 방식으로 행동할 가능성이 높기 때문이다. 그 결과 개인 사생활 및 개인정보의 보호가 아니라 개인정보의 과도한 노출이라는 방향으로의 발전이 예견되는 것이다.
2) 국가개입모델
사생활 및 개인정보 보호를 시장의 흐름에 맡기기보다는 국가가 강제력을 동원하여 시장에 적극 개입해야 한다는 것이 국가개입 모델의 기본 입장이다. 국가개입 모델이란 개인정보의 침해와 남용을 막기 위해 국가가 주도하여 제정한 법률이나 행정규칙에 의거한 법집행으로 개인정보를 보호하는 정책을 말한다. 구체적으로 국가개입 모델은 법, 지침, 명령 및 법원의 판결 등에 의해 개인의 사생활 및 개인정보를 보장하며, 정부기관으로 하여금 이를 감시, 감독, 집행하는 역할을 담당하게 한다. 국가개입 모델은 강제력을 통한 개인정보 남용의 억제력을 행사하는 것으로서, 사생활 침해문제에 대해 가장 강력한 제어장치로서의 의의를 갖는다. 또한 침해에 대한 법적인 권리구제에 대해서도 구체적인 기준을 제시하기 때문에, 상대적으로 개인의 권리보호에 유리한 측면을 지닌다. 하지만 규제 자체가 과잉으로 흐르거나 행정업무의 편의성만을 추구함으로써 역으로 규제가 미흡할 가능성이 존재한다. 뿐만 아니라 제도의 경직성으로 인해 예측불허의 현실 세계에 적절하게 대응할 수 없다는 것도 문제로 제기된다. 정부가 규칙을 제정하고 시행하기까지는 상당한 시간이 소요되기 때문이다. 과도한 비용도 문제로 등장한다. 정부는 개인정보 보호를 위한 법률을 제정하고 시행하는 데는 물론이고, 제정된 법률을 통해 규제하고 감독하는데 너무나 많은 시간과 비용을 감안해야 한다. 그러한 비용은 결국 국민들이 부담할 수밖에 없다. 더욱이 이익집단이 자신들에게 불리한 법안 제정을 사전에 봉쇄하는 경우 국가개입 모델은 실효성을 거두기가 어렵게 된다.
3) 자율규제모델
자율규제 모델은 시장에 대한 규제를 국가가 하는 것이 아니라 업계 스스로가 규제하는 방식이다. 업계는 사생활 및 개인정보 보호에 관한 규약이나 윤리강령, 지침 등을 제정하며, 이에 의거하여 집행 및 감독기능을 행하는 것이다. 이 모델은 강제력이 없는 대신에 업체 스스로 정보보호의 중요성을 자각하고 종사자들에게 지속적인 교육과 감독을 시행하기 때문에 개인정보 윤리의식을 고취시키기에 용이한 정책으로 평가받는다. 자율규제는 업계의 전문지식을 바탕으로 하여 사회에 보다 적절한 규제방안을 마련할 수 있다. 업계 스스로가 정보보호 기술과 산업을 발전시키고 그 표준을 작성하게 하는 장점을 지니는 것이다. 그렇지만 자율규제는 시장에서의 경쟁보다는 담합이나 독점으로 흐를 위험성을 안고 있다. 카르텔의 형성은 자율규제의 고전적인 맹점이다. 즉 회원사간의 경쟁을 완화시키고 새로운 경쟁자의 진입을 봉쇄할 우려도 있다. 업계의 전문지식 역시 자체 이익에 기반 하는 것이라는 문제가 제기된다. 제재의 비현실성, 업계의 평판에 의한 손실, 개별기업의 이해갈등, 업계중심으로 기술표준을 제정함으로써 야기되는 사생활 침해의 증가 등도 자율규제의 한계로써 지적되는 것들이다.
4. 자 료
이 연구는 크게 세 가지 자료에 바탕을 두고 있다. 첫째는 개인정보 침해사건들에 대한 수사기록이다. 이 자료는 1999년과 2000년에 서울지방검찰청 및 동부, 남부, 북부, 서부지청에서 처리한 182개의 ‘개인정보 침해사건’들의 내용을 분석하여 구성하였다. 여기서 ‘개인정보 침해사건’이란 ‘공공기관의개인정보보호에관한법률,’ ‘신용정보의이용및보호에관한법률,’ ‘정보통신망이용촉진등에관한법률,’ ‘통신비밀보호법’ 등에 의해 그 행위가 금지된 개인정보의 침해사건을 말한다. 개인정보 침해사건자료들은 실생활에서 발생하는 사생활 및 개인정보의 침해유형들과 그 과정들을 추적할 수 있게 한다. 둘째는 사생활 및 개인정보 보호문제에 대한 일반시민의 설문조사 자료이다. 이 조사의 모집단은 2001년 9월 현재 서울시에 거주하는 20세 이상 60세 미만의 남녀 성인이고, 표본수는 1,050명이다. 이 자료를 통해 일반시민들의 개인정보 침해피해 실태, 개인정보에 대한 다양한 태도와 행동양식 등을 파악하게 된다. 셋째는 개인정보보호센터, YMCA 시민중계실, 녹색소비자연대, 한국인터넷정보센터 및 한국디지털법연구소 등에서 실시한 개인정보 침해실태조사들의 결과이다. 이것은 본 연구에서 실시한 피해조사의 보완적 자료로서의 성격을 갖는다.
5. 주요한 분석결과 및 논의
가. 개인정보 침해실태
1) 일상생활에서의 피해
개인정보의 유형 중 개인신상 정보(성명, 주민등록번호, 주소, 전화번호 등), 의료정보, 신용정보, 법률위반기록을 중심으로 그 침해 피해의 정도를 알아보았다. 지난 1년간 일상생활에서 발생한 개인정보 침해의 피해건수와 피해율을 보면, 개인 신상에 관한 정보가 자신도 모르는 상태에서 유출되는 피해가 가장 많이 발생했던 것으로 나타났다. 좀더 구체적으로 보면, 지난 1년 간 개인 신상에 대한 정보를 전혀 제공한 적이 없는 금융기관, 보험회사, 광고회사 등으로부터 특정상품을 선전하는 전화나 우편물 등을 받은 적이 있었던 사람은 모두 622명으로, 그 비율은 59.2%로 집계되었다. 또 자신이 전혀 신청하지 않은 신용카드, 백화점카드, 회원카드(membership card) 등이 자신에게 배달된 일이 있었던 사람은 모두 236명으로서, 그 피해율은 22.5%로 나타났다.
신용정보의 침해피해를 보면, 지난 1년 동안 누군가에 의해 자신의 신용정보가 불법 수집되거나 불법 유출된 적이 있었던 사람은 106명으로 그 피해율은 10.1%였다. 지난 1년간 누군가 자신의 명의를 도용하여 부당하게 신용카드나 통장 등을 발급 받은 일을 경험한 사람은 37명으로 그 피해율은 3.5%로 나타났다. 자신의 의료정보가 누군가에 의해 불법으로 수집되거나 혹은 의료정보가 불법으로 유출된 피해는 모두 21명이 경험한 것으로 나타나 그 피해율은 2.0%로 집계되었다. 그리고 지난 1년간 자신의 법률위반기록이 외부에 부당하게 노출된 경험을 가지고 있는 사람은 모두 20명으로서 그 피해율은 1.9%였다.
2) 온라인에서의 피해
지난 1년간 인터넷에서 발생한 7가지 유형의 개인정보 침해실태를 살펴봤는데, ID나 패스워드의 도용피해를 경험한 비율이 21.3% 가장 높았고, 그 다음이 누군가 자신의 개인정보를 이용하여 특정 사이트에 가입하는 일(19.5%)이었다. 계속해서 전자문서(웹콘텐츠 포함)의 도용 ․ 변조 ․ 파괴(7.2%), 허위사실 유포에 따른 명예훼손(5.3%), 몰래카메라에 의한 사생활 침해(4.4%), 신용카드의 도용(4.1%), 사이버뱅킹이나 사이버증권의 개인정보 침해(3.8%)의 순으로 그 피해정도가 심한 것으로 나타났다.
정체불명의 전자우편, 일명 ‘스팸메일’의 피해경험을 보면, 지난 1년간 10명 중 9명 정도가 스팸메일을 수신한 경험이 있는 것으로 조사되었다. 스팸메일의 피해정도를 보면, 날마다 스팸메일을 수신하는 경우가 26.4%로 나타나고 있다. 2-3일 간격으로 스팸메일을 수신한다는 응답비율은 20.7%였고, 4-6일 간격으로 수신하는 비율은 6.0%, 1주일 간격은 8.2%, 2-4주 간격은 2.8%, 1개월 간격은 3.2%인 것으로 집계되었다. 한편 뜸하게 스팸메일을 수신한다는 응답비율은 22.4%로 나타났다.
나. 개인정보 제공행위에 대한 분석
1) 온라인 이용자들의 정보관리 실태
정보관리 유형에는 네 가지 형태가 존재한다. 즉 정보제공 성향은 높고, 그에 대한 통제성향은 낮은 ‘자유방임형,’ 정보제공 성향과 통제성향이 모두 낮은 ‘무관심형,’ 정보제공 성향과 통제성향이 모두 높은 ‘선택적 통제형,’ 정보제공 성향은 낮고 통제성향은 높은 ‘철저한 통제형’의 네 가지이다. 이 네 가지 유형의 분포를 측정한 결과에 따르면 정보제공 성향은 높고 통제성향은 낮은 유형(자유방임형)이 가장 일반적인 형태인 것으로 나타났다. 절반이 넘는 51.6%가 자유방임형에 속하고 있었다. 즉 인터넷 이용자의 절반가량이 자기의 정보를 손쉽게 제공하고, 사후관리에도 무관심한 것으로 나타났다. 다음으로 많은 비율을 차지하고 있는 것은 ‘선택적 통제형,’ 즉 정보제공 성향과 정보통제 성향이 모두 높은 경우로서 그 비율은 29.7%였다. 정보제공 성향과 통제성향이 모두 낮은 ‘무관심형’은 9.7%였고, 정보제공 성향은 낮고 통제성향은 높은 ‘철저한 통제형’의 비율은 9.0%로 집계되었다. 이러한 결과에 바탕을 둘 때, 가장 일반적인 형태는 자유방임형으로 우리나라 사람들의 개인정보에 대한 관리가 비교적 허술하다고 평가할 수 있겠다.
2) 개인정보 제공행위에 대한 합리적 선택이론과 학습이론의 비교
정보제공 행위는 평소의 습관에 영향을 받는다는 설명방식(학습이론)과 합리적으로 계산된 행위(합리적 선택이론)라는 설명방식 중 어느 견해가 좀더 현실적합성을 갖는지 회귀분석을 통해 비교해봤다. 두 모형을 분석한 결과에 따르면, 합리적 선택모형과 학습모형 모두 정보제공 행위를 설명하는 데 적합한 것으로 나타났다.
합리적 모형에 의하면, 웹사이트의 명성이 높을수록, 그리고 웹사이트의 정보이용에 대한 신뢰정도가 높을수록 제공하는 정보의 양이 증가하는 것으로 나타났다. 학습모형에 따르면, 정보제공 성향이 높은 사람일수록 웹사이트에 제공한 정보가 더 많았으며, 정보통제 성향이 강한 사람일수록 웹사이트에 제공한 정보 양이 작았던 것으로 나타났다. 이러한 결과는 정보제공의 양은 평소 그 사람이 자신의 정보를 어떻게 관리해 왔느냐 하는 습관적 행동에 의해 설명될 수 있음을 말해주는 것이다.
그런데 두 모형의 설명력 정도를 비교한 결과, 웹사이트 이용자들의 정보제공 행위가 합리적 선택모형보다는 학습모형에 의해 좀더 잘 설명될 수 있는 것으로 밝혀졌다. 비록 합리적 선택모형의 전적으로 부정된 것은 아니지만, 네티즌들의 온라인에서 행하는 정보제공 행위는 그 사람의 평소 습관에 의해 보다 잘 설명될 수 있다는 것이다. 정보제공에 인색하지 않은 사람은 설령 자신이 새로 가입하려는 웹사이트의 명성이나, 신뢰도, 이익, 공정성 등에 관계없이 습관적으로 정보를 제공하는 경향이 있는 것으로 보인다. 반면 평소 자신의 정보를 잘 관리하고 통제해왔던 사람들의 경우에는 웹사이트의 다른 조건(이용자에게 이득이 되는 조건)들에 관계없이 정보제공에 인색한 특징을 지니는 것으로 생각된다. 여기서 웹사이트 명성은 학습적인 정보제공의 성향을 좀더 강화하거나, 정보제공에 따르는 부담감을 완화시켜주는 방향으로 정보제공 행위에 영향을 미치는 것으로 풀이해볼 수 있었다.
다. 개인정보 보호의 주요쟁점들에 대한 시민들의 태도
1) 개인정보의 상업화
① 태도분석
소비자 개인정보를 이용한 마케팅(자동차 품질평가단에 응모한 사람들의 정보를 이용하는 마케팅)에 대해 시민들의 의견을 물어본 결과, ‘전적으로 반대한다’는 의견이 14.4%, ‘반대하는 편이다’는 의견이 39.9%였고, ‘전적으로 찬성한다’는 응답은 1.7%, ‘찬성하는 편이다’는 응답은 17.7%로 나타나, 데이터베이스 마케팅에 대해 부정적인 시각이 강했다.
이와 같은 마케팅 방식에 대해 반대하는 가장 큰 이유는 “원래 수집하려는 목적과 다른 용도로 사람들의 정보가 활용되었다”는 것이었다. 응답자의 절반에 해당하는 50.8%가 개인정보의 이차적 사용의 이유를 들어 데이터베이스 마케팅 방식을 반대하고 있다. 다음으로 응답자의 42.2%는 이러한 정보수집이 개인의 사생활을 침해할 소지가 있기 때문에 반대한 것으로 나타났다. 전자의 입장과 후자의 입장은 개인정보에 대한 태도가 상이하다고 할 수 있다. 전자의 입장은 이중적인데, 정보의 이차적 사용은 문제지만 그렇다고 기업이 개인정보를 수집하는 일 자체에 대해서까지 반대하지는 않는 것처럼 보이기 때문이다. 후자의 경우에는 데이터베이스 마케팅 자체를 부정하는 입장이라 할 수 있다. 한편, 이러한 마케팅 전략이 소비자들의 과소비를 조장할 수 있어 반대한다는 의견은 6.1%로 매우 낮았다.
반면, 이러한 마케팅 전략에 대해 찬성하는 이유를 보면, “기업과 고객이 자신들의 이해관계에 따라 자유롭게 계약한 것이기 때문에 문제될 것이 없다”는 의견이 35.8%로 가장 많았고, 그 다음은 “소비자의 특성에 맞는 개별적인 마케팅으로 인해 소비자들이 상품정보를 쉽게 얻을 수 있다”는 점으로써 그 비율이 33.5%로 나타났다. 이러한 마케팅 전략에 제한을 가하면 기업활동이 위축될 수 있다는 이유로 찬성하는 사람은 13.1%였고, 소비자들이 직접적인 피해를 입는 것이 아니기 때문에 찬성하는 사람의 비율은 10.4%, 이를 제한하면 경제발전에 장애가 될 수 있다는 의견은 5.4%로 집계되었다. 결국 데이터베이스 마케팅 전략에 대해 찬성하는 이유로 ‘계약’논리와 ‘편의성’의 논리가 대립되고 있음을 알 수 있다. ‘계약’논리를 내세워 찬성하는 사람들의 입장은 품질평가단의 모집에 응모한 것은 자동차회사가 자신의 정보를 활용해도 좋다는 암묵적 동의가 전제되어 있다는 것이다. ‘이해’을 근거로 찬성하는 사람들은 이러한 정보활용이 기업은 물론 (잠재적)소비자들에게도 이익이 된다고 본다.
② 정책적 시사점
대체적으로 봤을 때, 시민들은 정보화가 거스를 수 없는 대세적인 흐름으로 받아들이고 있는 것 같다. 이에 대한 사람들의 태도를 검토해보면, 사람들이 정보의 상업화 자체를 부정한다는 증거를 찾기 어렵다. 여기서의 쟁점은 기업이 정보제공과 관련한 계약을 성실하게 이행하였느냐 그렇지 않았느냐 하는 점이다.
법률은 개인들로부터 정보를 수집하기 위해서는 해당 개인들로부터 동의를 구하는 절차를 요구하고 있다. 또한 그렇게 수집된 정보를 원래의 목적과 다른 용도로 사용할 때에도 정보를 제공한 사람들로부터 동의를 구하도록 의무화하고 있다. 또한 법률은 이미 제공한 정보에 대해서도 그 정보주체로 하여금 이를 다시 철회할 수 있는 권리를 부여하고 있다. 일견 이러한 조치들은 계약상의 공정성을 담보하는 장치들로 보인다. 그렇지만 정보수집자들이 개인들로부터 동의를 구하는 방식에 문제가 있다. 정보제공과 관련한 현재의 관행은 일반인들에게 너무도 불리하게 되어 있는 것이다.
우선 대부분의 웹사이트나 신용카드, 백화점 고객회원 가입시 회원들의 정보가 제3자에게도 공유될 수 있도록 약관이 설정되어 있다. 그러나 정보를 공유하는 대상들이 어떤 기업인지, 어떤 사이트인지, 정보이용에 대해 신뢰할만한지 보통의 사람들로선 잘 알 수 없다. 잘 알지 못하는 내용의 계약을 할 수밖에 없는 것이 현재 보통사람들의 처지이다. 정보의 일차적 수집과 이차적 이용은 분명 다른 차원의 문제임에도 불구하고 대부분의 기업이나 웹사이트는 한번의 동의절차로써 이 두 문제를 해결하려고 한다. 따라서 정보는 제공하겠지만 다른 기업과의 정보공유에는 반대하는 사람들이 택할 수 있는 선택지는 거의 없다. 정보철회의 경우에도 비슷한 문제가 발생한다. 이미 제공한 정보를 삭제하도록 요구할 수 있는 권리가 정보주체에게 부여되어 있기는 하지만, 과연 자신에게 관한 모든 정보기록이 삭제되는지 아니면 광고발송용 이메일 목록에서만 삭제되는지 확인할 방법이 마련되어 있지 않다.
개인정보 보호를 위한 OECD가 제안하고 있는 공개의 원칙과 개인참여의 원칙이 현실화되기 위해서는 정보를 수집하고 이용하는 조직과 기관이 개인들의 정보가 구체적으로 어떻게 활용되고 있는지, 자신의 정보가 어떤 조직이나 기관에 제공되어 있는지, 그리고 정보를 공유하는 조직이나 기관들은 개인정보관리에 있어 신뢰할만한 조직 혹은 기관들인지를 명시하는 제도적 장치가 필요하다. 그것은 개인이 요청이 있을 때에는 물론이고, 요청하지 않더라도 계약당시에 이를 명확히 밝히는 일이 의무화되어야 한다. 그리고 정보철회를 요청받았을 때, 어떻게 처리되었는지를 정보주체가 알 수 있도록 명문화된 조치를 취해야 한다. 그 결과를 정보주체에게 통지함과 동시에 그 정보가 결코 다시 사용되거나 다른 조직 등에 제공되는 일이 없다는 것을 정보제공자들이 납득할 수 있도록 구체적으로 방안을 제시하게 하는 것도 한 방법이 될 수 있다.
또한 정보주체가 자신의 정보를 제3자와 공유하는 것을 허락할 경우 어떠한 이득이 있는지, 그리고 이를 거부할 경우 어떠한 불이익이 있는지 등을 알리고, 정보주체로 하여금 원하는 것을 선택할 수 있도록 해야 한다. 현재 관행화 되고 있는 약관의 포괄적 내용에 대한 포괄적 동의절차는 시정되어야 한다. 구체적 항목마다 동의절차가 설정되어 있지 않고, 공개될 개인정보의 선택권이 고객에게 있지 않기 때문이다. 필수항목과 선택항목을 구분한 뒤, 선택항목의 공개여부를 고객이 정하도록 하고, 기업은 선택항목의 정보를 제공하는 고객에게 별도의 혜택을 제공하도록 하는 방안을 생각해볼 수 있다.
2) 수집될 수 있는 개인정보의 범위
① 제공 가능한 정보, 제공할 수 없는 정보
사람들이 어떤 유형의 정보는 제공가능하다고 생각하고 또 어떤 유형은 그렇지 않다고 생각하는지를 파악하였다. 이를 위해 개인정보를 개인신상에 관한 것, 가족에 관한 것, 직업에 관한 것, 자산 혹은 부채에 관한 것, 의료 혹은 신체적 특성 등에 관한 것, 취미 및 기호에 관한 것 등 여섯 가지 유형으로 나누어 고찰하였다. 그 결과에 의하면, 가장 공개하기 쉬운 정보유형은 성별인 것으로 나타났다. 그 다음으로는 성명, 혼인상태, 좋아하는 음식, 좋아하는 TV 프로그램의 순서였다. 반면 가장 공개하기를 꺼려하는 정보는 부채였으며, 은행잔고, 신용카드 정보, 주식 ․ 채권 ․ 유가증권 정보, 성적 취향, 부동산 정보 등의 순서로 나타났다. 한편, 비디오 대여기록, 자격증 정보, 주민등록번호는 제공 가능성과 거부 가능성의 경계에 있는 정보 유형들인 것으로 나타났다.
공개하기를 꺼려하는 정보들은 몇 가지 유형으로 나뉘고 있음을 알 수 있다. 재산이나 부채와 관련된 정보들은 가장 공개될 수 없는 유형들이었으며, 그 다음으로는 성적 취향, 가족의 질병력이나 본인의 신체장애와 같은 의료정보, 가족관련 정보의 순으로 나타났다. 즉 일반시민들은 재산정보, 성생활, 질병정보, 가족정보 등을 노출되었을 때 가장 사생활 침해 가능성이 높은 정보들로 인식하고 있는 것이다.
이와 대조적으로 제공하기 용이한 정보유형들을 순서대로 보면, 성별, 성명, 혼인상태와 같은 개인 신상정보, 기호식품이나 TV 프로그램, 생리적 신체적 정보, 거주지 관련정보, 직장관련 정보 등으로 나타났다. 대체적으로 쉽게 제공할 수 있는 것으로 분류된 정보들은 이미 외부에 알려져 있거나 공개되어도 크게 지장이 없다고 생각할 수 있는 유형들이라 할 수 있다. 특히 개인의 신상과 관련된 정보가 가장 쉽게 제공될 수 있다는 결과는 주목할만한 부분이다. 사실 ‘이름’은 주민등록번호와 더불어 개인의 신분을 파악할 수 있는 중요한 정보 중의 하나이다. 그럼에도 불구하고 대부분의 사람들은 자신의 이름을 공개하는 것에 대해 별 거부감을 갖지 않고 있다. 아마도 이것은 일상생활에서 이름, 성별, 주소, 전화번호 등과 같은 정보를 제공하는 일에 너무 익숙해져 있어서 형성된 태도가 아닐까 생각한다.
② 노출되었을 때 사생활 침해 위험이 큰 정보
외부에 노출되었을 때 가장 위험하다고 사람들이 생각한는 정보는 주민등록번호인 것으로 조사되었다. 그 다음으로는 주소, 신용상태, 재산상황, 성명, 직장정보 등이 외부노출에 따른 사생활 침해가능성이 높은 정보로 평가되었다. 반면 종교활동, 출신지, 정당활동, 취미․기호 등은 노출에 따른 위험이 상대적으로 낮게 평가되고 있었다. 앞의 허용할 수 있는 정보와 그렇지 않은 정보유형에 대한 분석결과와 비교할 때, 이러한 결과는 주목할 만한 것이다. 왜냐하면 사람들이 노출에 따른 위험부담을 느끼는 정보유형과 공개하기를 주저하는 정보유형이 일치하고 있지 않기 때문이다. 주민등록번호가 가장 대표적인 사례이다. “주민등록번호”라는 정보에 대해 사람들이 느끼는 위험의 순위는 매우 높지만, 실제 이 정보를 기업에게 제공할 수 없다는 비율이 더 높지 않기 때문이다. 주소 역시 마찬가지이다. 외부 노출에 따른 위험 순위가 높음에도 불구하고 정보 허용도 역시 비교적 높게 나타나고 있다. 의료기록의 경우 정보 허용도는 매우 낮은 유형에 속하고 있었으나 사생활 침해가능성의 순위는 비교적 낮게 평가되고 있다.
③ 정책적 시사점
개인의 신용상태나 재산상황에 대한 정보는 사람들이 제공하기를 꺼려할 뿐만 아니라 노출에 따른 위험이 높은 것으로 인식되는 유형들이다. 하지만 이러한 정보조차 정보주체의 동의가 있다면 이를 수집하고 이용하는 것이 법률적으로 전혀 문제되지 않는다. 웹사이트 성격이나 지향성에 따라 개인에게 민감한 정보, 사생활 침해의 우려가 큰 정보들도 수집될 수 있는 것이다. 문제는 이렇게 성격이 다른 정보들이 연동될 수 있다는 점에 있다. 이 때 주민등록번호는 개인에 관한 개별적인 데이터들을 한데 모으는 데 결정적인 역할을 수행한다. 표준식별번호(universal identification number)로서의 주민등록번호는 개인정보의 통합(record intergration)이나 다종의 데이터베이스를 연결하여 기록을 종합적으로 관리하는 컴퓨터 매칭(computer matching), 이를 통한 컴퓨터 프로파일링(computer profiling), 컴퓨터 신원조회(computer screening) 등의 작업을 할 수 있게 한다.
그러나 이렇게 개인의 사생활 보호와 관련해서 중요한 주민등록번호의 수집이나 사용제한을 규정하고 있는 우리의 법률은 찾아보기 힘들다. 관련법률들은 대부분 주민등록번호를 침해당한 자들에 대한 구제규정이거나 타인의 개인정보를 위법하게 사용한 사람들을 처벌하기 위한 규정들로 규정되어 있다. 이런 이유 때문에 주민등록번호와 같이 개인에 관한 별개의 자료들을 통합시킬 수 있는 핵심정보의 수집을 제한해야 한다는 주장도 제기된다.
현행 개인정보 관련 법률들은 수집할 수 정보의 종류를 계약의 문제로 설정하고 있다. 하지만 정보주체가 그 종류를 선택할 여지는 많지 않다. 기껏해야 필수항목은 제외하고 선택항목에 대해서만 선택권을 행사할 수 있다. 개인정보 보호 목적이 달성되기 위해서는 정보수집자들은 특정 정보가 왜 필요한지를 정보제공자들에게 정확하고 구체적으로 알려야만 한다.
그리고 특정목적을 위한 다른 대체적인 정보가 있다면 사생활침해 가능성이 높은 정보의 수집은 엄격히 제한되어야 한다. 예를 들어, 단순한 신원의 확인을 위해서라면 주민등록번호만을 고집할 필요는 없다. 성명이나 주소 등으로도 신원확인이 가능하다면 주민등록번호를 요구하는 것은 지나친 것이다. 하지만 현실에서는 이러한 일들이 관행이라는 이유로 공공연하게 행해지고 있다.
정보제공자들에게는 자신의 정보가 어떻게 이용되고 있는지를 확인하고 감시할 수 있는 기회가 제도적으로 마련되는 일이 필요하다. 그리고 현재의 관행은 한번 제공한 정보에 대해서는 이용자가 이를 철회하지 않는 한 정보수집자가 계속 보유할 수 있도록 되어 있다. 즉 개인정보를 수집하는 대부분의 조직이나 기관에서는 개인들의 정보를 언제까지 보유하게 되는지 명시하지 않고 있다. 이러한 관행은 바뀌어야 한다. 정보가 이용될 수 있는 기간을 정보수집자가 아닌 정보주체가 선택할 수 있는 방식으로 변화되어야 한다.
라. 개인정보 보호모델의 검토와 효과적인 보호방안의 탐색
1) 개인정보 남용의 효과적인 규제전략에 대한 시민들의 입장
일반인들은 국가개입 모델을 가장 효과적인 것으로 인식하고 있었다. 절반에 약간 못 미치는 45.5%의 응답자가 가장 효과적인 보호방법으로써 정부의 엄격한 규제를 선택한 것으로 나타났다. 그 다음으로 많은 비율을 차지한 항목은 “일반 개개인 스스로가 조심하는 일”이었으며, 그 비율은 18.0%로 집계되었다. 한편 기업의 자율적 규제가 가장 효과적이라는 응답은 16.5%였으며, 정보보호 기술 개발이 가장 효과 있다는 응답은 11.0%로 나타났다. 시민단체의 감시활동이 가장 효과적이라고 응답한 사람들의 비율은 9.0%로 나타났다.
국가개입 모델이 가장 효과가 큰 것으로 인식된 것은 현재의 정보시장에서 불평등한 지위를 갖고 있는 일반 정보주체로서는 당연한 선택일 것이다. 개인들의 정보에 대한 자기통제권, 자기결정권을 행사할 수 있으려면, 그에 필요한 제반 법령과 제도들을 구비하고, 그에 대한 엄격한 시행여부를 국가가 감시할 필요가 있다는 것이 일반인들의 지배적인 생각이다.
“시민 스스로가 조심하는 일”이 두 번째로 많은 비율을 차지하고 있다는 점에 주목할 필요가 있다. 이러한 반응은 개인정보와 관련한 일반시민들의 체념적 심정을 잘 표현하는 것으로 보인다. 즉 국가나 기업 모두 개인들의 사생활을 효과적으로 보호해주지 못할 것이라는 체념이 반영된 응답결과라고 생각된다. 시민 스스로 조심하거나 시민단체의 감시활동이 효과적이라고 생각하는 사람의 비율을 합하면 27.0%가 된다. 이것은 사생활 및 개인정보를 보호함에 있어 4명 중 1명이 시민부문의 중요성을 지적하고 있음을 나타낸다.
2) 현행 개인정보 보호정책에 대한 검토
현재 한국사회의 규제형태는 정부규제 중심에 자율규제가 보조적으로 수반되는 형태를 띠고 있다. 하지만 정부주도하에 구성된 민간기구로서는 업계의 자율규제를 강화시키는 동기유발적 효과를 이끌어내지 못하고 있다. 그렇다고 우리나라의 개인정보 보호정책이 강력한 국가주도의 규제모델에 입각해서 추진되고 있는 것은 아니다. 국가개입 모델을 채택하고 있는 나라들의 특징은 모두 포괄적인 법률을 통해 공공분야와 사적인 영역을 동시에 규제하고 있다는 점이다. 하지만 우리나라의 경우 공공부문과 사적 부문이 각기 서로 다른 법률에 의해 규제되고 있다. 더욱이 1999년까지만 해도 민간부문의 개인정보 보호는 각기 성격이 다른 다양한 법률들에 의해 이루어지고 있었다.
또한 우리나라 법률들은 공공부문이든 민간부문이든 모두 전산처리된 개인정보만을 보호대상으로 삼고 있어, 전산처리 되지 않은 정보까지 포함하는 유럽식(스웨덴, 스페인, 독일, 프랑스, 노르웨이, 덴마크 등) 모델과 거리를 두고 있다. 이렇게 공공부문과 민간부문이 이원화되고, 개인정보 보호의 범위를 전산처리된 데이터에 한정하는 우리나라의 모델은 유럽식 모델에 비할 때, 법률에 의한 사생활 보호의 규제력이 떨어진다고 하겠다.
보다 근본적인 문제는 공공부문과 민간부문을 규율하는 법률들의 세부적인 한계나 입법상의 허점이 아니라, 개인정보 보호의 문제를 공공부문과 민간부문으로 이원화하여 접근하는 전략 자체에 있다. 근대 이후 공적 영역의 지속적 확장에 의해 국가로 대표되는 공적 영역과 개인 및 시민사회로 이루어진 사적 영역간의 경계가 애매해지는 경향이 나타난다. 그리고 개인정보에 의해 결정되는 개인의 정체성은 순수하게 개인적인 것이 아니라 사회적인 관계 속에서 재형성되는 것이며 나아가 공동체의 바람직한 운영의 기반을 이루는 것이다. 나아가 정보의 디지털화가 개인정보보호에 현대적 위기를 초래한 주요한 측면이 민간영역에서의 정보의 오용과 남용인데, 공적영역과 사적영역의 엄격한 분리에 입각한 접근법은 이러한 현대적 문제점을 단순한 사적 분쟁의 영역으로 왜곡시킬 위험성이 많다.
3) 대안적 접근
① 역감시의 권리와 프라이버시권의 재조정
사생활과 개인정보의 보호의 효과적인 전략을 탐색하기 위해서는 먼저 프라이버시권에 대한 재조정이 필요하다. 일반 개인들은 보호되어야할 대상이거나 이용할만한 가치를 지닌 대상으로 인식될 뿐이다. 그것은 정보사회에서의 국가와 시민, 자본과 시민간의 감시와 피감시라는 일방적 관계를 변화시키기 힘든 모델들이다. 이러한 일방적 관계를 변화시키기 위해서는 국가권력과 자본에 대한 시민의 ‘역감시’(antisurveillance)가 가능해야 한다. 역감시의 권리는 근대국가에 의한 강력한 감시사회망의 형성과 이에 따른 권력의 민주적 통제에 대한 요구, 그리고 의회제도의 희석화에 따라 새롭게 부활되는, 권력에 대한 감시와 통제의 권리라고 할 수 있다.
② 통합적인 삼각규제모델의 지향
효과적인 개인정보 보호정책을 수립하기 위해서는 무엇보다도 종합적인 관점에서 접근하는 것이 필요하다. 현재 우리나라의 개인정보 보호전략은 국가개입모델 중심으로 진행되면서 민간부문의 자율규제가 형식적으로 보조하는 형태라고 하였다. 하지만 국가개입 모델만으로는 우리사회의 개인정보 남용의 문제를 해결하기 어렵다. 국가의 강제력은 개인정보를 불법적으로 수집하고 이를 남용하는 기업이나 조직, 웹사이트들보다는 개인적 차원에서 이를 침해한 사람들에게 더 많이 행사되고 있는 것이 현실이다. 그리고 우후죽순처럼 생겨났다가 이내 사라져버리는 수많은 웹사이트들을 국가가 일일이 통제한다는 것은 결코 쉬운 일이 아니다. 그리고 새롭게 변화하는 환경에 국가의 규제수단들이 능동적으로 대응하는 것도 현실적으로 어렵다. 법률적 근거가 없는 규제는 사실상 불가능하기 때문이다. 그러므로 국가개입 모델과 병행하여 형식적으로만 작동되고 있는 자율규제 모델을 활성화시킬 필요가 있다.
그러나 자율규제 모델의 한계는 그 자율성을 법률로써 강제하기가 어렵다는 점이다. 바로 이 지점에 국가개입 모델과 자율규제 모델은 다시 시민운동 모델에 의해 보완되지 않으면 안 될 당위성이 존재한다. 시민운동은 개인정보 보호에 대한 국가의 나태함과 개인정보의 남용에 따른 기업의 비윤리성을 동시에 견책하고 감시할 수 있는 강력한 무기가 될 수 있다.
시민운동이 프라이버시 보호운동을 한 단계 진전시키기 위해서는 첫째, 일상적인 모니터링 기능을 지속적으로 강화시킴과 동시에 정책결정과정에 있어서의 시민단체의 영향을 높여 나가는 것이 중요하다. 특히 정부정책뿐만 아니라 기업 혹은 기업집단의 정책변화에 어떻게 작용할 것인지에 대한 전략적인 대비가 요구된다고 할 것이다. 둘째, 프라이버시 보호를 위한 제도적 장치의 마련을 위한 구체적인 노력을 다해야 한다. 인증제도나 옴부즈만(ombudsman)제 등의 제도적 장치를 마련하는 것이나 개인정보 보호를 위한 정부, 기업, 시민단체가 함께 하는 협의기구 등을 적극 고려해야 할 것이다. 셋째, 프라이버시와 개인정보 보호운동의 대중화와 전문화를 위해 노력해야 할 것이다. 시민적 참여시스템을 형성하여 시민적 감시체제를 확보하지 않고서는 기술적 변화의 폭이 크고 따라서 새로운 프라이버시 침해가능성이 발생하는 상황을 따라갈 수 없다. 또한 프라이버시 보호에 대한 전문역량의 결집을 통해 정책적인 판단과 입장을 강화해 나가야 할 것이다.