채규혁 한국IT감리컨설팅 보안사업부 이사 khchae@itall.net
‘개인정보 보호법’ 발효와 더불어 ‘표준 개인정보 보호지침’ ‘개인정보의 안전성 확보를 위한 조치’ 등의 고시가 공표된 지도 두달이 지났다. 이에 맞춰 공공기관 담당자들은 이른바 ‘컴플라이언스’를 위해 무척 바쁜 나날을 보내고 있다. 그러나 개인정보 보호법이 공공기관에서 정착하기 위해서는 단지 법률에서 요구하는 정보 주체로부터 수집동의나 보유기간 만료 후 복구 불가능한 방법을 통한 파기, 고유식별정보 암호화 저장 등의 절차나 기술적 조치만으로는 무언가 부족하다.
컨설팅 수행과정에서 업무 담당자들은 여러 애로사항을 토로한다. 업무상 관행적으로 수집해왔던 정보를 동의받아 수집해야 하고, 업무상 필요에 따라 사용하기 위해 기관 전체적으로 혹은 담당자별로 보관해 왔던 정보를 업무 목적 달성 또는 보유기간 만료를 이유로 파기해야 한다는 것에 대한 거부감이다.
그 원인은 3가지로 요약된다. 첫째는 공공기관의 확고한 의지가 아직은 부족하다는 것이다. 많은 정보보호 교육과 최근 여러 해킹 사고를 접하면서 개인정보 보호 필요성에 대한 의식은 매우 높아졌다. 하지만 의식 제고가 실행으로 이어지기까지는 시간과 제도적·기술적 뒷받침이 필요하고, 담당자뿐만 아니라 기관 수장들의 확고한 의지가 필요하다.
법률 준수라는 수동적 자세에서 벗어나 적극적으로 민원인들의 개인정보를 보호하려는 실행 의지가 필요한 시점이다. 공공기관의 담당자도 다른 기관에 가서는 민원인의 한 사람이라는 것은 자명한 사실이다.
둘째는 민원인의 의식 변화 없이는 법 정착이 힘들다는 점이다. 여기서 의식변화는 정보주체로서의 권리 주장 측면이 아닌 자신들의 개인정보가 보호되기 위해서는 기존과는 다른 절차가 필요하고, 이에 따른 다소간의 불편은 필수라는 사실을 이제는 민원인들 스스로 인정해야 한다는 점이다.
외부에서는 잘 느낄 수 없을지 모르지만 공공기관 담당자들은 사실 민원처리에 무척 민감하다. 개인정보 보호에 필요한 불가피한 수집 동의 등의 절차를 준수하려고 할 때 오히려 민원인들이 불편해하고, 그 절차가 있다는 사실을 ‘민원제기’하려는 다소 당황스러운 일이 벌어질 수 있다는 점을 공공기관 담당자들은 무척 곤혹스러워한다.
따라서 이제는 민원인들 또한 정보주체로서의 권리 주장과 더불어 본인들 스스로 지켜야 하는 절차가 있다는 사실, 이 절차가 제대로 지켜지지 않으면 본인들의 개인정보가 제대로 보호되지 못할 수 있다는 사실을 깨달아야 한다. 이에 대한 공익광고 등의 홍보가 필요하다.
셋째는 초법적인 자료요청 관행 때문이다. 공공기관 담당자들은 민원인과 더불어 가장 어려워하는 대상이 상위 기관과 외부 기관이다. 이들 기관으로부터의 개인정보에 관련한 자료 요청에 대해 개인정보 보호법을 근거로 목적에 벗어난 사항이라고 거부하라고 공공기관 담당자들에게 누가 말할 수 있는가. 이러한 관행은 자료를 요청하는 기관이 스스로 개인정보 보호법을 준수하려고 노력하고, 스스로 통제할 수 있는 장치를 마련하지 않으면 쉽게 사라지지 않을 것이다. 따라서 권력기관이라고 자타가 인정하는 여러 기관에서 개인정보 보호법의 정착을 위해 솔선수범하는 자세가 더욱 요구되는 것이다.
단순히 법을 준수하라고 요구하고, 감독하는 것만으로는 법이 온전하게 정착될 수 없다. 누구나 인정하듯 법을 준수할 수 있는 여건을 마련해 주지 않으면 ‘나만 안 걸리면 된다’는 매우 소극적인 자세로 공공기관 담당자들을 내모는 것과 다름없다.
강조하건데 공공기관의 확고한 의지, 민원인의 의식변화, 초법적인 자료요청 관행 근절이라는 환경 변화만이 가장 빠른 시간에 올바른 방향으로 개인정보 보호법이 정착할 수 있는 가장 중요한 일이다.
