국문요약 11
제1장 서 론 17
제1절 연구의 목적 17
제2절 연구의 범위와 방법 19
제2장 개인정보와 개인정보보호제도 21
제1절 개인정보 21
1. 개인정보의 개념 및 법적 성격 21
2. 개인정보의 유형분류 26
3. 개인정보보호의 필요성 28
제2절 개인정보보호제도 31
1. 개인정보보호의 형사정책적 함의 31
2. 개인정보보호제도의 형식 : 모델과 입법방식 33
가. 개인정보보호를 위한 규제모델 33
1) 정부규제모델 33
2) 민간자율규제모델 34
나. 입법방식 35
제3장 각국의 입법례 39
제1절 개 관 39
제2절 경제협력개발기구(OECD) 41
1. 개 관 41
2. 정보시스템과 네트워크 보안을 위한 OECD 가이드라인 42
가. 목 표 42
나. 보안원칙 43
다. 이사회 권고사항 44
제3절 유럽연합(EU) 45
1. 개 관 45
2. EU 지침 47
가. 목적 및 정의 47
나. 주요 내용 48
1) 정보의 내용에 관한 원칙(제6조) 48
2) 적법한 정보처리의 기준(제7조) 49
3) 특별한 범주의 정보처리(제8조 및 제9조) 49
4) 정보주체에 대한 고지(제10조 및 제11조) 50
5) 정보주체의 정보열람권(제12조) 51
6) 면제와 제한 52
7) 정보주체의 이의신청권(제14조) 52
8) 처리의 비밀유지와 보안(제17조) 52
다. 개인정보의 제3국 이전 53
제4절 미 국 54
1. 개 관 54
2. 연방정부의 개인정보보호 관련법제 55
가. 프라이버시법 55
나. 컴퓨터안전법 56
다. 전자정부법 57
3. 민간부분의 개인정보보호법제 58
가. 통신상의 개인정보보호법제 58
나. 금융상의 개인정보보호법제 60
다. 의료상의 개인정보보호법제 61
라. 인터넷상의 개인정보보호법제 62
마. 자율규제에 의한 개인정보보호 63
4. 세이프하버 원칙(Safe Harbor Principles) 64
가. 개 관 64
나. 내 용 65
제5절 독 일 67
1. 서 설 67
2. 연방정보보호법 68
가. 개 관 68
나. 주요 내용 69
3. 개인정보보호기구 70
가. 개 관 70
나. 연방정보보호청 70
제6절 일 본 72
1. 개 관 72
2. 행정기관이 보유한 개인정보의 보호에 관한 법률 74
가. 제정배경 및 목적 74
나. 주요 내용 74
3. 민간사업자 대상 개인정보보호 관련법률 76
가. 제정배경 및 과정 76
나. 주요 내용 77
제4장 우리나라의 개인정보보호법제: 문제점과 입법론적 검토 79
제1절 현행 개인정보보호법제의 입법체계와 문제점 79
1. 공공부문에서의 개인정보보호 79
가. 공공기관의개인정보보호에관한법률 79
나. 공공기관의정보공개에관한법률 80
다. 전자정부구현을위한행정업무등의전자화촉진에관한법률 81
2. 민간부문에서의 개인정보보호 82
가. 정보통신망이용촉진및정보보호등에관한법률 83
나. 개인정보보호지침 83
3. 현행 입법체계의 문제점 및 정비 필요성 84
가. 현행 입법체계의 문제점 84
나. 입법체계정비(일반법 제정)의 필요성 86
다. 개인정보보호 관련 일반법 제정의 접근방향과 기본원칙 87
제2절 통합 개인정보보호기본법 제정논의 89
1. 논의상황 및 제정경과 89
가. 시민단체 중심의 입법운동 89
나. 법률안 성안 및 국회제출․철회 경과 90
2. 법률안의 주요 내용 90
가. 노회찬안 90
나. 이은영안 92
다. 정성호안 94
제3절 입법론적 검토 95
1. 기본방향 95
가. 법률의 목적 95
나. 기본원칙 97
다. 국가 및 지방자치단체의 책무 99
라. 다른 법률과의 관계 100
2. 적용범위(규율대상의 문제) 100
가. 공공부문과 민간부문의 포괄여부 100
나. 보호대상 정보의 범위 102
다. 개인정보취급자의 범위 103
라. 정보주체의 범위 104
3. 보호단계별 정보보호 : 수집, 유지․관리, 유통 106
가. 정보의 수집단계 106
1) 수집방법의 일반원칙 106
2) 동의의 요부 및 시기 106
3) 동의획득의 절차 109
4) 동의획득시 고지사항 110
5) 동의획득의 예외사유 111
6) 동의의 철회 112
7) 개인정보의 수집제한 113
나. 정보의 유지․관리단계 115
1) 정보의 열람․정정청구 115
2) 정보의 열람․정정청구의 제한 116
3) 정보의 갱신․파기 116
다. 정보의 유통단계 : 이용 및 제공 117
4. 개인정보보호 감독기구 : 개인정보보호위원회 119
가. 개인정보보호 감독기구 설립 논의 119
1) 통일적 감독기구 설립의 필요성 119
2) 독립적 개인정보보호위원회의 설립 120
나. 조직구성과 업무일반 122
1) 조직구성의 독립성 122
2) 위원의 신분보장 123
3) 위원회의 업무내용 124
4) 기관간 협의 125
5) 일반적인 조사 및 청문 126
6) 개인정보분쟁조정위원회 127
다. 침해행위의 조사 및 피해구제 129
1) 개인정보침해 이전단계 129
2) 개인정보침해 이후단계 130
3) 범죄혐의존재 또는 범죄해당 단계 134
제5장 결 론 137
참고문헌 141
영문요약 153
개인정보의 보호는 사전적 기틀의 마련과 사후적 보완장치의 확립이라는 두 가지 측면에서 접근해 볼 수 있다. 개인정보가 침해된 경우 그로 인한 손해를 배상하는 등의 사후적 피해구제장치가 필요한 것은 물론이지만, 좀더 근본적인 대책은 개인정보의 침해를 사전적으로 차단하는 것이다. 이러한 사전적 예방책으로는 대표적으로 개인정보보호 전담법제를 더욱 체계화하고 적절하게 구성하는 것을 들 수 있으며, 개인정보보호를 위한 기본법의 제정은 이러한 관점에서 요구되는 것이다.
특히 형사법적 영역에서 개인정보의 침해가 문제되는 이유는 개인정보의 유출, 오․남용 및 침해는 직접적으로 범죄의 성립에 연결될 수 있기 때문이다. 현대사회에서 개인정보의 침해로 인한 범죄의 유형은 셀 수 없을 정도로 다양하며, 타인의 개인정보를 이용한 2차적 범죄의 폐해 또한 간과할 수 없는 수준에 이르고 있다. 이러한 점은 이제 개인정보보호의 문제를 단순한 개인의 사생활 차원의 문제 또는 추상적인 헌법적 기본권 보호의 문제로 파악할 수만은 없다는 당위성을 부여하고 있다. 즉 개인정보의 적극적인 보호 및 그 바탕이 되는 개인정보보호법제의 치밀한 구성이야말로 개인정보의 침해로 인한 범죄를 사전적으로 예방하는 가장 좋은 형사정책인 것이다.
개인정보보호에 관한 입법방식은 통합(Omnibus)방식, 분리(Segment)방식, 개별분야(Sectoral)방식의 세 가지로 나눌 수 있는데, 우리나라의 경우 현재 분리방식과 개별분야방식의 절충적 입법태도를 보이고 있다. 공공부문과 민간부문을 나눈다는 점에서는 분리방식에 해당하며, 민간부문은 개별분야에 따라 개별적인 법률에 의한 규율을 받고 있다는 점에서 개별분야방식에 해당한다. 공공부문과 민간부문에 대한 준거법령의 상이성은 양 부문에 대한 효과적인 법적 규율을 불가능하게 하고 법령간의 부정합을 초래한다는 문제점이 있다. 따라서 이러한 2원적 입법방식에 대해서는 많은 비판이 있어 왔으며, 정부 및 시민사회단체들은 제도개선을 위한 고심을 거듭한 끝에 각자의 대표성을 갖는 통합개인정보보호법안을 국회에 상정하고 있는 상태이다.
양 법안은 그 취지와 기본적 이념에 있어서는 일치하나 구체적 내용과 규율범위, 규율대상 등의 여러 면에 있어 상당부분 차이가 있으며, 장단점이 교차하는 여러 가지 규정이 산재하고 있다. 이러한 장단점을 비교하여 합리적인 방향으로 법안의 내용을 수정하는 것이 이 연구의 목적이다. 따라서 이 연구에서는 현행법 중 공공부문과 민간부분의 대표적인 개인정보보호 관련법령, 즉 ‘공공기관의개인정보보호에관한법률’과 ‘정보통신망이용촉진및정보보호등에관한법률’을 기본으로 하면서, 이제까지 국회에 제출되었던(철회된 법안 포함) 노회찬안, 이은영초안, 이은영수정안, 정성호안 등 4종의 법안을 비교분석함으로써 각 법안의 장단점을 검토하고, 이를 바탕으로 좀 더 절충된 형태의 법안을 제시하는데 초점을 두었다.
통합법안의 내용 중 다음과 같은 부분은 입법정책상 개선을 요한다.
[1] 통합법은 개인정보보호에 관한 기본법이고 기본법은 법제화된 내용에 대한 국가정책의 기본방향 및 이념을 담고 있는 것이라는 점에서, 선언적 의미이지만 OECD 가이드라인에서 제시되고 있는 것과 같은 개인정보보호의 기본원칙의 천명하고, 이를 준수하여야 할 국가 및 지방자치단체 등의 책무를 규정해 둘 필요가 있다.
[2] 보호대상 정보의 물적 적용범위와 관련하여 컴퓨터에 의해 처리될 수 있는 형태의 정보 외의 정보 또한 보호되는 정보의 영역에 포함시킬 필요가 있다. 인적 적용범위의 문제와 관련하여 개인정보에 관한 자기결정권은 국민의 권리라기보다 인간의 권리이고 인격권의 일종인 점을 감안하여 내국인 뿐 아니라 외국인에게도 상호주의의 원칙에 입각하여 이러한 권리를 인정하는 것이 타당할 것이다. 또한 사망한 자는 원칙적으로 자연인으로서의 인격이 인정될 수 없고 권리행사의 주체가 존재하지 않는다는 점에서 생존한 자와 동등한 정도로 개인정보의 주체가 될 수는 없으나, 일정한 범위 내에서 사망한 자의 개인적 정보 또한 보호하여야 할 경우가 있을 것이다. 통합법안 중에는 사자(死者)에 관한 정보를 사망일로부터 10년까지 보호하도록 한 법안이 있으나, 사망한 자의 정보보호는 보호의 기간이 아니라 보호의 정도에 차별을 두는 것이 타당할 것으로 본다.
[3] 개인정보보호법의 적용범위와 관련하여 개인정보를 영리목적에 이용하기 위하여 수집 등 처리하는 자만을 대상으로 할 것인지, 영리목적은 없더라도 업무상 이를 취급하는 자를 대상으로 할 것인지, 아니면 이에 대한 구분을 두지 않고 개인정보를 수집하는 자라면 누구든지 대상이 되도록 하여야 할 것인지가 문제된다. 정보통신부가 입법추진하였던 ‘민간부문의개인정보보호에관한법률(안)’에서는 동법의 적용대상인 개인정보취급자를 ‘영리의 목적으로’ 개인정보를 취급하는 ‘사업자’에 한정하고 있다. 그러나 통합법의 기본적인 적용대상에 관하여 최소한 ‘업무자’일 것을 요구할 필요는 없다고 생각된다. 일단 타인의 개인정보를 취급하는 자 전부에 대하여 동법의 적용이 있는 것으로 보고, 그 가운데 일정한 규모 이상으로서 또는 업무로서 이를 행하는 자의 경우 그에 합당한 인적․물적․절차적 기준을 요구하면 될 것으로 생각한다.
[4] 개인정보의 수집에 대한 정보주체의 동의와 관련하여서는 두 가지 문제가 제기된다. 먼저 동의의 원칙화 여부와 관련하여서는 당연히 할 수 있는 것과 예외적으로만 할 수 있는 것의 규범적 효력의 차이를 고려할 때 정보주체의 동의를 얻어야 하는 것을 원칙으로 하되 특별한 경우에 한해 그러한 의무를 면제하는 입법방식이 타당할 것으로 본다. 다음으로 동의를 획득하는 시기와 관련하여서는 법안에 따라 사전동의와 사후동의가 엇갈린다. 이 경우 정보주체의 동의를 받을 수 없는 특별한 경우가 아닌 한 원칙적으로 정보수집 이전에 사전적 동의를 얻는 것이 바람직하다고 본다.
[5] 동의획득의 예외사유와 관련하여 정보주체의 동의를 배제하는 사유는 일반적으로 침해되는 이익과 확보되는 이익간의 이익형량에 의해 판단될 수 있다. 다만, 법안에서 제시되고 있는 “정보주체의 우월한 이익을 보호하기 위한 경우”라는 사유는 기본적으로 우월한 이익의 판단기준 및 판단주체 자체가 모호할 뿐 아니라, 판단기준 및 판단주체의 해석의 차이에 따라 오히려 정보주체의 이익이 침해될 수도 있다는 점에서 바람직하지 못하다고 생각된다. 또한 “계약의 이행을 위하여 필요한 경우 및 용역의 제공에 따른 요금정산을 위하여 필요한 경우” 또는 “개인정보를 수집하지 아니하고서는 당해 법률행위의 목적을 달성할 수 없는 경우”를 예외사유로 들고 있는 경우도 있는바, 이러한 예외조항은 계약이행 및 용역제공의 내용이 전혀 확정되어 있지 않은 상태에서 이와 관련된 개인정보를 자유로이 수집할 수 있게 됨으로써 정보주체의 사생활의 자유가 심각하게 훼손될 우려가 있고, 당해 법률행위의 내용이 어떠한 것이 되었든 그 법률행위의 목적달성을 위해서라면 무단으로 타인의 정보를 수집하는 것이 합리화되는 결과를 가져올 수 있다는 점에서 타당한 규정이라고 볼 수 없다.
[6] 개인정보보호 감독기구의 생명은 ‘독립성’에 있다고 할 수 있다. 조직의 독립성이 보장되어야만 감독기구의 본래의 목적을 달성할 수 있으며 국민들의 신뢰를 얻어 성공적으로 역할을 수행할 수 있다. 이러한 감독기구의 독립성은 인사(조직구성 및 신분보장), 예산, 업무집행에서 각각 보장되어야 한다. 독립성의 수준은 인권과 민주주의에 관한 문제를 다룬다는 점에서 국가인권위원회에 준하는 수준을 요하며, 특히 행정부의 업무를 견제한다는 측면에서는 3권 분립의 원칙이 반영되어야 할 것이다.
[7] 먼저 감독기구의 조직구성의 독립성과 관련하여 보면 통합법안들은 모두 1인의 위원장과 3인의 상임위원(이은영안은 1인)을 포함한 9인의 개인정보보호위원으로 구성하는 것을 원칙으로 하고 있다. 그러나 그 구성방법에 대해서는 견해가 나뉜다. 외국의 입법례가 대부분 개인정보보호 감독기구의 구성에 국회와 사법부 및 행정부의 관여를 규정하고 있는 점, 독립적인 감독기구를 설치하고자 하는 기본 취지가 기존의 정부부서의 개인정보보호 노력의 미비에 대한 반성에서 비롯되었다는 점, 행정부를 견제하는 3권 분립의 정신 등을 감안할 때, 입법․사법․행정부가 동일한 비율로 위원회 구성에 참여하는 제3안이 가장 타당한 방법이라고 생각된다. 위원장의 선출방식으로는 위원회에서 호선하는 방법과 대통령이 임명하는 방법이 있는데, 위원회의 독립기구적․중립적 성격을 고려할 때 호선으로 선출하는 것이 바람직할 것으로 본다.
[8] 개인정보보호 감독기구 위원의 신분보장과 관련하여서는 금고 이상의 형의 선고에 의하지 아니하고는 그 의사에 반하여 면직되지 않는 것으로 하거나, 일정한 결격사유에 해당하는 경우가 아니고서는 그 의사에 반하여 면직되지 않는 것으로 하는 견해가 있다. 위원의 직무상 독립성을 보장하기 위해서는 제1안에 의함이 타당할 것으로 생각한다. 현재까지는 개인정보보호위원회의 소속 및 위원의 신분 등에 대한 세부적인 규정이 마련되어 있지 않기 때문에 위원의 신분이 국가공무원인지조차가 명확하지 아니하므로 이에 대해서는 구체적인 후속입법이 있어야 할 것으로 본다.
[9] 독립적 개인정보보호 감독기구의 실효성을 담보하기 위해서는 적절한 범위에서 위원회에 조사권을 부여하는 것이 필요하다. 구체적으로는 자료수집권, 업무협조요청권, 소환하여 진술하게 할 권한, 현장조사권 등을 부여하는 것이 좋을 것이다. 통합법안은 개인정보의 침해가 있는 경우 조사권의 일환으로 개인정보보호위원회 위원 등으로 하여금 일정한 장소를 방문하여 장소, 시설, 자료 등에 대하여 실지조사 또는 감정을 할 수 있도록 하고 있다. 실지조사 또는 감정시 위원회는 그 장소에 당사자나 관계인의 출석을 요구하여 진술을 들을 수 있다. 여기서 특기할 만한 것은 노회찬안의 경우 위원회가 이러한 조사방법을 사용하는 경우 “조사에 필요한 자료 등의 소재 또는 관계인에 관하여 알고자 할 때에는 그 내용을 알고 있다고 믿을 만한 상당한 이유가 있는 사람에게 질문하거나 그 내용을 포함하고 있다고 믿을 만한 상당한 이유가 있는 서류 및 그 밖의 물건을 검사할 수 있다.”고 규정하고 있다는 점이다(노회찬안 제86조 제1항). 여기서 ‘질문’에 관해서는 특별한 문제가 없으나, ‘검사’라는 표현이 무엇을 의미하는지가 문제될 수 있다. 만약 서류 또는 물건의 소유자 또는 관리자의 의사에 반하여 이를 개시하게 하는 것이라면 이는 강제처분으로서 헌법상 영장주의의 원칙에 따라야 할 것이다. 따라서 ‘검사’의 법적 성격에 대한 명확한 해명이 있어야 할 것으로 본다.
[10] 통합법안 중 일부는 개인정보보호위원회는 개인정보보호의 보호와 향상을 위하여 필요하다고 인정하는 경우 관계기관 등에 대하여 정책 및 관행의 개선 또는 시정을 권고하거나 의견을 표명할 수 있고, 권고를 받은 기관의 장은 그 권고사항을 존중하고 이행하기 위하여 노력하여야 하며, 그 권고의 내용을 이행하지 않을 경우 그 이유를 위원회에 문서로 제출하여야 한다고 규정하고 있다. 그러나 의견개진의 대상을 그 범위가 모호한 ‘관계기관’으로 할 이유는 없으며, 오히려 직접적으로 ‘개인정보취급자’라는 표현으로 바꾸는 것이 나을 것으로 생각된다. 또한 권고사항을 ‘이행하지 않을 경우’에 한해 ‘문서로’ 제출하게 하는 것보다는 권고사항에 대해 조치한 내용을 어떠한 방식으로든 통보하면 족한 것으로 함이 바람직할 것으로 본다.