[KAPP 칼럼] 개인정보보호 규제의 미래, 자율규제

이해원 변호사 | hwlee.law@gmail.com | 2021.03.11 10:53:11

[프라임경제] 개인정보보호법의 수범자인 '개인정보처리자'의 수는 과연 얼마나 될까?

공식적인 통계는 없는 것으로 보이나, 구 정보통신망법의 규율 대상이었던 '정보통신서비스제공자', 즉 '인터넷 홈페이지 등 정보통신망을 이용하는 민간 사업자의 수'를 통해 대략 가늠해 볼 수 있다.

2019년 말 기준으로 대한민국에 설립된 사업체는 총 402만 개이며, 이 중 공식 홈페이지를 운영하는 곳은 14만9000여 곳이다(과기정통부, 2020년 정보화통계집). 위 사업자 중 90%가 개인정보를 처리한다고 가정해보면(데이터 경제 시대에서 이는 비현실적인 가정이 아니다), 정보통신서비스제공자의 총 수는 대략 13만4000개이다.

여기에 개인정보보호법상의 공공기관이 대략 1만3000여 개이다(중앙행정기관, 지자체, 공공기관, 각급 학교 등 포함). 그렇다면 개인정보처리자의 총 수는 최소한 '14만7000개 + α'라고 추산해 볼 수 있다.

어림잡아도 14만7000개가 넘는 개인정보처리자를 개인정보 보호위원회가 모두 직접 규제할 수 있을까? 현재 개인정보 보호위원회의 법정 정원은 154명이다. 전 직원이 개인정보처리자의 관리·감독에 투입된다고 가정해 보더라도 1인당 1000여 개의 개인정보처리자를 담당해야 한다. 산술적으로만 보더라도 불가능에 가깝다.

개인정보에 기반하여 모든 경제사회 활동이 이루어지는 오늘날 신속성과 유연성이 민간에 비해 뒤떨어지는 정부가 개인정보보호를 직접 규제하는 것은 이처럼 비현실적이다.

개인정보보호는 다른 어느 분야보다도 관련 기술이 하루가 다르게 급변하는 분야인데, 정부가 기술적 전문성을 적시에 갖추는 것도 사실상 기대하기 어렵다. 이런 이유로 합리적이고 효율적이면서도 정보주체의 권리를 보장할 수 있는 규제 방안으로 정부가 주도하는 공적규제가 아닌 '자율규제(self-regulation)'가 주목받고 있다.

사실 자율규제는 개인정보보호 분야에 국한된 개념이 아니며, 이미 인터넷방송, 웹툰, 게임, 광고 등 다양한 영역에서 오래 전부터 시행되어 왔다.

미국, 유럽연합, 일본 등 세계 주요국은 모두 민간 부문의 개인정보보호에 관하여 자율성을 강조하고 있으며 각자의 사정을 고려한 개인정보보호 자율규제 체계를 운영하고 있다.

미국은 전통적으로 공공에는 엄격한 통제를 가하면서도 민간은 시장 자율에 맡기고 필요한 경우에 한해 정부가 개입하는 방식을 채택해 왔으며, 이에 따라 민간 중심의 자율적인 개인정보보호 규제 체계가 발전해 왔다.

주지하다시피 유럽연합은 전 세계에서 가장 강력한 개인정보보호 규범으로 평가받고 있는 GDPR을 시행하고 있으나, GDPR은 특정 산업 분야별로 자율적인 개인정보보호 규범인 '행동강령(Code of Conduct)'을 제정·시행할 것을 명문으로 규정하고 있으며, 수범자가 준수해야 할 구체적인 기술적·관리적 조치는 행동강령을 통하여 구체화되도록 규정하고 있다.

일본 또한 '인정개인정보보호단체'를 중심으로 특정 산업별·영역별로 자율규제를 실시하고 정부의 감독과 규제는 인정개인정보보호단체를 중심으로 이루어지는 체계로서, 2020년 11월 기준 총 40개 영역별로 인정개인정보보호단체가 지정되어 있다.

그렇다면 우리의 현실은 어떠한가. 2011년 제정 당시부터 개인정보보호법은 제13조에서 자율규제를 규정하고 있으나, 위 조문은 추상적·선언적인 규정에 불과할 뿐 자율규제에 관한 구체적이고 실천적인 내용을 포함하고 있지 않다는 비판을 받아왔다.

현재 총 11개 업종에 대해 19개 단체가 자율규제단체로 지정되어 있으나, 그 대상 업종이 여행, 부동산, 의약, 통신, 쇼핑 등 특정 영역에 한정되어 경제사회 전 영역을 아우르기에는 부족한 실정이다.

법제도적 측면에서 보더라도 우리의 개인정보보호 자율규제는 ① 법적 근거 미흡, ② 규제당국의 통제 장치 부재, ③ 수범자의 자율규제 참여 유인 부족과 같은 각종 문제를 안고 있어 제대로 동작하기 어려운 상황으로 시급히 개선될 필요가 있다.

무엇보다도 개인정보보호 자율규제가 수범자에게 불필요한 이중 규제가 되지 않도록 자율규제 참여자에게 각종 법적 책임을 일부 경감시키는 등 유인(incentive)을 제공하는 한편, 자율규제가 개인정보보호법령을 잠탈하거나 회피하는 수단으로 악용되지 않도록 정부가 적절히 감독할 수 있는 체계가 갖추어져야 할 것이다.

다행스럽게도 개인정보 보호위원회는 2020년 11월 발표된 개인정보보호 기본계획(2021~2023년)에서 자율규제를 10대 추진과제 중 하나로 명시하고, 2021년 1월6일 입법예고된 개인정보보호법 개정안에서 자율규제단체 지정 및 지원근거에 관한 조문을 신설하는 등, 개인정보보호 자율규제의 중요성을 인식하고 제도 개선을 추진하고 있는 것으로 보인다.

이러한 노력이 실질적인 성과로 이어져서 민간의 자율성을 일정 부분 보장하면서도 개인정보의 이용과 보호라는 양대 가치의 실현을 위한 국가의 적정한 감독이 이루어질 수 있는 바람직한 자율규제 체계가 정착되기를 희망한다.