個人情報의 管理에 관한 法的 考察

Abstract

오늘날의 고도정보통신사회에서는 컴퓨터 등 각종의 첨단기술산업의 획기적 발달에 따라 대량의 정보를 신속ㆍ용이하게 처리하고 유통시킬 수 있게 되었다. 기업은 미래의 수익을 증대시키고 기업경영을 효율화할 수 있도록 다양한 방법을 이용하여 가능한 한 많은 고객의 개인정보를 수집하고자 한다. 이에 따라 행정기관은 물론 민간기업도 개인에 대한 많은 정보를 수집ㆍ보유하게 되었고, 이로 인하여 개인의 사생활 침해나 개인정보의 침해문제가 빈번하게 발생하고 있다. 기업이 다른 기업에게 고객의 개인정보를 복제ㆍ양도하여 이익을 도모하거나, 개인정보를 보관ㆍ관리하는 동안에 제3자나 내부자에 의해 탈취ㆍ유출되는 경우도 있다. 그리고 디지털 신호화된 개인정보는 유출되더라도 그 흔적이 남지 않기 때문에 정보유출자의 색출이 어려울 뿐만 아니라, 불법적으로 유용 또는 악용된 후에는 그 시정 및 피해구제가 곤란하다는 점에서 매우 심각한 문제라고 할 수 있다. 이러한 점에서 개인정보를 처리하는 개인 및 기업의 개인정보관리에 대한 중요성이 증대하고 있다. 그런데 공공기관이 취급하는 개인정보의 경우에는 ‘공공기관의 개인정보보호를 위한 법률’에서 규율하고 있으나, 민간부문에서 취급하는 개인정보에 관하여는 정보에 관한 보호원칙ㆍ기준 및 관리에 대한 일반법이 없는 실정이다. 본 논문에서는 민간부문의 개인정보의 관리에 대하여 실질적으로 일반법의 기능을 하고 있는 정보통신망법의 규정상의 문제점과 개선방안을 제안하고 있다. 그 내용을 살펴보면 다음과 같다. 첫째, 개인정보 수집 당시에 고지한 목적이 포괄적이거나 모호한 경우에는 정보주체의 동의를 얻어 개인정보를 이용하더라도 개인정보의 적절한 관리가 이루어 질 수 없다. 따라서 정보통신망법에 개인정보의 이용목적을 명확히 규정할 필요가 있다. 즉 개인정보 수집시 “구체적인 수집목적 및 이용목적” 또는 “항목별 수집목적 및 이용목적”을 고지하거나 명시하도록 규정하고, 개인정보수집자에게 이용자들이 개인정보 수집의 정당성을 확인할 수 있도록 개인정보의 수집목적과 수집되는 개별 정보 항목을 직접 연결시켜 설명할 의무규정을 두어야 한다. 그리고 개인정보 수집시 동의를 필요로 하지 않는 예외규정과 관련하여 예외의 범위를 명확히 하거나 ‘정보통신서비스 이용계약의 이행을 위하여 필요한 경우’처럼 그 의미가 불명확한 조항을 삭제하는 것이 바람직하다고 생각한다. 둘째, 정보통신서비스제공자등이 제3자에게 개인정보의 취급위탁시 이용자의 동의를 받지 않는 경우에는 위탁업무의 내용 및 수탁자를 개인정보취급방침에 공개하거나, 정보통신부장관이 정하는 바에 따라 이용자에게 통지하도록 하여야 한다. 그리고 수탁자가 이용자의 개인정보를 이용할 수 있는 목적을 정하여야 하며, 수탁자는 이 목적을 넘어 이용자의 개인정보를 수집ㆍ처리ㆍ이용 또는 제공 등의 금지규정을 두어 위탁자 및 수탁자의 책임을 강화하여야 한다. 또한 손해배상책임과 관련하여 ‘당해 서비스제공자등이 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다’라는 입증책임의 전환규정을 두어야 한다. 셋째, 정보통신서비스제공자등이 이용자의 개인정보를 취급하는 경우 개인정보취급방침을 정하여 이를 이용자가 언제든지 용이하게 확인할 수 있도록 공개하도록 하고, 개인정보취급방침에 대해 앞에서 살펴 본 바와 같이 상세히 규정할 필요가 있다. 넷째, 개인정보취급자에 대하여 일본, 독일 등 외국의 입법례와 같이 개인정보취급자의 정의 및 그 의무에 대하여 명문규정을 두어야 한다. 그리고 세계적인 추세에 부합하여 개인정보관리책임자는 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장에 해당하는 지위에 있는 자로 임명하고, 그 임무에 대하여도 법에 명문화해야 한다. 또한 개인정보관리책임자 및 개인정보를 취급하는 직원들을 대상으로 개인정보보호에 대한 인식을 제고시키고 개인정보보호지침의 내용을 충분히 이해하고 준수하도록 하여, 그 취급 및 관리업무를 체계적으로 수행하는 데 필요한 교육을 이수하도록 의무규정을 두어야 한다. 나아가서 체계적이고 효율적인 개인정보의 관리를 위해서는 기존 정보통신망법의 적용범위를 확장하여 민간부문에 있어 개인정보관리에 관한 일반법을 제정하거나, 공공부문과 민간부문을 포괄하는 기본법을 제정하고, 규제의 필요와 정도에 따라 영역별로 차별적인 내용은 개별법에 규정하는 것이 바람직 할 것이다.; Today, in a high information and communication society, mass information can be treated and circulated promptly and easily thanks to an epoch-making development of various high technology industries like computer. To increase gains in the future and make the management effective, the companies try to collect the personal information of customers as many as possible using diverse methods. For the reason, the private companies as well as the administrative organs have collected and kept lots of personal data. This makes it happen frequently that violates the privacy of individuals or the private information. There are the cases that a company copies the personal data of the customer of the other company, hands over it and plots to make profits or that it is stolen and leaked by a third person or an insider while it is kept and managed. As there is no trace in the case that the digital signaled personal data is leaked, it is difficult to ferret out the leaker of information. This is a very serious matter in that correction and redemption of damage is hard after it is misused or misapplied. Thus, the importance of managing personal data by the individuals or the companies that treat the personal data has increased. In the case that the public institutions treat the personal data, “Act on the Protection of Personal Data Maintained by Public Agencies” controls it. However, there is no general law of the principles, the standards and management of protecting the personal data in the private areas. This paper views the problems in prescribing “Act on the Protection of Utilization of Information and Telecommunication Networks and the Protection of Personal Data” that is regarded as a practical general law of managing the personal data in the private areas and suggests an improvement scheme. First, if the noticed purpose is general or ambiguous at the time of collecting the personal information, its proper management can not be made in spite of using it with the subject's agreement. Therefore, it is needed to prescribe clearly the purpose of using the personal information on the “Act on the Protection of Utilization of Information and Telecommunication Networks and the Protection of Personal Data”. That is, it is prescribed that when one collects the personal information, "the detailed collecting purpose or the using purpose" or "the collecting purpose for each item or the using purpose" should be noticed or stated clearly. Also, there should be a dutiful prescription to explain the justification of collecting the personal data linking directly the collecting purpose with the each collected information items so that the users may ensure the justification. Additionally, it is desirable that the range of exception is stated clearly related to the prescription of exception that doesn't need the agreement in collecting the personal information and that the items with unclear meaning is deleted like 'a case for carrying out the contract of using the information technology service.' Second, if the providers of information and communication service don't get the agreement of users as they consign the personal data to a third person, the contents of the consigning tasks or the consignee should be opened to a rule of treating the personal data or notice to the users according to what the minister of information and communication prescribes. Besides, the purpose that the consignee is able to use the information of the users should be prescribed. With the prescription that the consignee must not collect, treat, use and provide the personal data of the users beyond the purpose, the responsibility of the consigner and the consignee should be reinforced. Also, related to the responsibility of compensation for damage, there should be a converted prescription of proving responsibility 'that unless the related service providers proves that they have no intention or fault, they can not get out of responsibility'. Third, if the providers of information and communication service treat the personal data of the users, the principle of treating it should be prescribed in detail as referred in the above and opened for the users to confirm it at any time. Fourth, for those who treat the personal data, there should be a stipulated prescription of the definition and their duty like the application of law of the foreign countries such as Japan, Germany and so on. Corresponding the worldwide trend, a person in charge of managing the personal data should be appointed as a director of the department to take charge of treating the users' predicaments and his duty should also be stipulated in the law. In addition, the recognition of protecting the personal data of the person in charge of managing the personal data or the staffs who treat it should be reinforced and they should understand enough and keep the contents of the principles of protecting the personal data. Further, there should be a dutiful prescription that the education for carrying out the task of treating and managing it systematically is practised. There may another way that the above contents are corrected or complemented through the revision of the “Act on the Protection of Utilization of Information and Telecommunication Networks and the Protection of Personal Data” or that the preexisting law for the information and telecommunication can be functioned as a general law for managing the personal data in the private areas extending the applicable ranges.