){kind=link}
){kind=link}
){kind=link}
){kind=link}
){kind=link}
 |
|
지난 2003년6월11일 서울지방법원에서 시민사회단체 및 정당활동가들이 교육행정정보시스템에 1981년 초.중.고등학교 졸업생들의 정보가 집적돼있다며 국가상대로 개인정보침해에 대한 손해배상청구소송을 접수했다. 황석주 기자
|
 |
||||
 |
우선, 해당 법안의 제안이유는 분명하다
“정보통신기술 등의 발달로 인하여 그것을 이용한 개인정보의 이동과 유통이 활발해지면서, 개인정보의 수집과 보관 및 활용에 따른 개인정보의 유출, 남용 및 개인정보를 이용한 불법행위들이 늘어나고 있으며, 이로 인하여 사생활이 침해되는 사례가 빈번하게 발생하여 사회문제가 되고 있는 현실임.
따라서 개인정보보호에 관한 기본원칙을 정하고, 정보주체의 자기정보통제권을 강화하여 권리구제의 방법을 현실화하는 한편, 공공부문과 민간부문의 개인정보보호를 포괄하여 담당하는 독립된 기구를 설치하는 동시에, 개인정보와 밀접한 관계를 가지는 기술이나 설비의 도입을 효과적으로 관리함으로써 개인정보의 불법유출과 이를 이용한 불법행위들을 차단하여 개인의 사생활을 보호하려는 것임.
해당 법안의 주요내용은 개인정보의 수집을 엄격히 제한하고, 관련 업무를 담당할 기구를 두는 게 뼈대다
가. 타인의 개인정보를 수집하는 자는 당해 정보주체에게 개인정보의 수집목적 및 이용목적, 보존기간 등을 고지하고, 정보주체의 동의를 얻어야 함.
나. 누구든지 사상·신념·과거의 병력 등 개인의 권리·이익이나 사생활을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 됨.
다. 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체 없이 파기하여야 함.
라. 개인정보는 수집한 최근의 것으로 갱신해야 하며, 이를 이용하기 전에 그 오류 여부를 확인해야 함.
마. 정보주체는 개인정보 보유자에 대하여 자신의 개인정보에 대하여 정보주체의 개인정보를 수집한 경위, 현황, 제3자에게 제공한 내역 등에 관한 사항에 대하여 자료를 요구할 수 있고, 자신의 개인정보에 오류가 있는 경우에는 그 정정을 요구할 수 있음.
바. 개인정보를 취급하거나 취급하였던 자는 그 개인정보를 취급하는 과정에서 알게 된 개인정보를 누설하여서는 아니 됨.
사. 만 14세 미만의 아동으로부터 개인정보를 수집하거나 이용 또는 제3자에게 제공하고자 하는 자는 그 법정대리인의 동의를 얻어야 함.
아. 개인정보 보유자가 영업의 전부 또는 일부를 양도하거나 합병·상속 등으로 그 권리·의무를 이전하는 경우 정보주체에게 영업의 전부 또는 일부의 양도, 합병 또는 상속 등의 사실 등을 통지하여야 함.
자. 개인정보 데이터베이스를 보유하고자 하는 자가 공공기관의 개인정보 데이터베이스에 해당하는 경우에는 사전에 개인정보보호위원회에 등록하여야 함.
차. 국가안전보장·사회질서유지 및 공공복리를 위하여 개인정보위원회가 필요하다고 인정한 경우, 정보주체의 동의가 있는 경우 등을 제외하고는 자기가 수집·보관하는 개인정보 데이터베이스를 공공기관이 처리하는 개인정보 데이터베이스와 결합할 수 없음.
카. 개인정보의 침해를 이유로 한 손해배상청구의 경우 공통의 이해관계를 가지는 피해자들을 위하여 피해자 중의 1인 또는 수인이 법원의 허가를 받아 대표 당사자가 되어 손해배상청구소송을 제기할 수 있음.
타. 이 법 및 개인정보 보호에 관한 다른 법률의 준수여부를 감독하기 위하여 개인정보보호위원회를 둠.
파. 개인정보보호위원회는 개인정보침해행위가 계속 중에 있다는 상당한 개연성이 있고, 이를 방치할 경우 회복하기 어려운 피해발생의 우려가 있다고 인정할 때에는 그 진정에 대한 결정 이전에 피진정인, 그 소속기관등의 장에게 개인정보의 수집, 이용의 중단, 기타 필요한 조치를 하도록 권고할 수 있음.
하. 대량의 개인정보나 민감한 개인정보를 처리하려는 개인정보 보유자는 개인정보 데이터베이스가 새로 구축되는 경우, 기존 데이터베이스에 새로운 개인정보를 추가함으로써 정보주체에 관한 새로운 정보를 생성할 수 있게 되는 경우 등에 위원회에 개인정보 사전영향평가를 신청하여야 함.
법안은 무엇보다 개인정보의 수집 전에 분명한 동의를 받도록 하고 있다
제5조(개인정보의 수집 동의 등) ①타인의 개인정보를 수집하는 자는 당해 정보주체에게 제2항의 내용을 고지하고, 정보주체의 동의를 얻어야 한다. 다만, 다음 각호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 계약의 이행을 위하여 필요한 경우 2. 용역의 제공에 따른 요금정산을 위하여 필요한 경우 3. 언론·출판을 위한 필요한 최소한의 정보 4. 정보주체의 급박한 생명, 신체, 재산의 침해위험을 막기 위하여 부득이한 경우 5. ②제1항의 규정에 의한 동의를 얻고자 하는 자는 미리 다음 각호의 사항을 정보주체에게 고지하여야 한다. 1. 개인정보관리책임자의 성명·소속부서·직위 및 전화번호 기타 연락처 2. 개인정보의 수집목적 및 이용목적, 보존기간 3.개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공할 정보의 구체적인 내용 4. ④개인정보는 정보주체로부터 직접 수집하거나 생성해야 한다. 다만, 다음의 경우에는 예외로 한다. 1. 정보주체로부터 개인정보를 수집하는 것이 불가능하거나 불합리한 경우 2. ⑤제4항 단서의 규정에 따라 개인정보를 수집하거나 생성한 경우에는 사후에 개인정보를 수집 혹은 생성한 사실을 정보주체에게 알리고 동의를 얻어야 한다. 다만, 정보주체에게 알리는 것이 당해 정보주체의 생명이나 신체에 중대한 위험을 초래하는 경우는 그러하지 아니하다. 개인정보의 이용 및 제공도 계약 등의 경우를 빼고는 엄격하게 제한하고 있다 제7조(개인정보의 이용 및 제공 등) ①개인정보의 이용자는 당해 정보주체의 동의가 있거나 다음 각호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 동의 받은 범위를 넘어 이를 이용하거나 제3자에게 제공하여서는 아니된다. 1. 계약의 이행을 위하여 필요한 경우 2. 통계작성·학술연구 또는 시장조사를 위하여 필요한 경우로서 정보주체를 식별할 수 없는 형태로 가공하여 제공하는 경우 제8조(개인정보의 파기) 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법령의 규정에 의하여 보존하도록 되어 있는 경우에는 그러하지 아니하다. 해당 법안에 따르면, 개인정보 제공에 동의했더라도 언제든지 철회할 수 있다 제10조(동의의 철회) ①정보주체는 언제든지 개인정보 보유자에 대하여 정보수집에 대한 동의를 철회할 수 있다. ②제1항의 규정에 따라 정보주체가 정보수집에 대한 동의를 철회한 경우에는 개인정보 보유자는 지체 없이 수집된 개인정보를 파기하고 기타 필요한 조치를 취하여야 한다. 제11조(개인정보 열람 및 정정) ①정보주체는 개인정보 보유자에 대하여 자신의 개인정보에 대하여 자료를 요구하고, 정정을 요구할 수 있다. 1. 정보주체의 개인정보를 수집한 경위 2. 정보주체의 개인정보 수집 현황 3. 정보주체의 개인정보를 제3자에게 제공한 내역 4. 개인정보 보유자의 개인정보 보호현황 이처럼 엄격하게 과정을 거쳐 생성된 개인정보는 철저하게 보호하도록 규정하고 있다 제13조(개인정보의 보호조치) 개인정보 보유자는 개인정보를 취급함에 있어서 그 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 필요한 기술적·관리적 조치를 강구하여야 한다. 제14조(개인정보 누설금지) 개인정보를 취급하거나 취급하였던 자는 그 개인정보를 취급하는 과정에서 알게 된 개인정보를 누설하여서는 아니 된다. 제18조(사업의 양도·양수 등) ①개인정보 보유자가 영업의 전부 또는 일부를 양도하거나 합병·상속 등으로 그 권리·의무를 이전하는 경우 정보주체에게 통지하여야 한다. 특히 해당 법률은 개인정보의 대량 유출을 막기 위해 데이터베이스의 집적화를 규제하고 있다 제20조(개인정보 데이터베이스의 등록) ①개인정보 데이터베이스를 보유하고자 하는 자는 사전에 개인정보보호위원회에 등록하여야 한다. 제23조(개인정보 데이터베이스의 결합 제한) 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 누구든지 자기가 수집·보관하는 개인정보 데이터베이스를 공공기관이 처리하는 개인정보 데이터베이스와 결합할 수 없다. 1. 국가안전보장·사회질서유지 및 공공복리를 위하여 개인정보위원회가 필요하다고 인정한 경우 2. 정보주체의 동의가 있는 경우 제24조(개인정보 데이터베이스 결합 시 정보주체의 보호) 개인정보 데이터베이스를 결합함으로써 정보주체에게 불리한 처분을 하거나 불리한 처분이 예상되는 때에는 미리 정보주체에게 그 사실을 알려야 한다. 해당 법안은 개인정보의 침해된 경우, 집단소송 등을 통해 손해배상을 하도록 명시하고 있다 제28조(손해배상) 개인정보보유자가 이 법률을 위반하여 정보주체에게 손해를 입인 경우에는 그 당사자에게 손해를 배상하여야 하며, 이 경우 개인정보보유자는 자신의 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 제29조(개인정보관련 집단소송) ①개인정보의 침해를 이유로 한 손해배상청구의 경우 공통의 이해관계를 가지는 피해자들(이하 “공동피해자”라 한다)을 위하여 피해자 중의 1인 또는 수인이 법원의 허가를 받아 대표당사자가 되어 손해배상청구소송을 제기할 수 있다. ‘개인정보보호법’안은 위의 업무를 관장하기 위해 개인정보보호위원회를 구성하도록 하고 있다 제60조(개인정보보호위원회) ①이 법 및 개인정보 보호에 관한 다른 법률의 준수여부를 감독하기 위하여 개인정보보호위원회를 둔다. 제74조(위원회의 업무) 위원회는 다음 각호의 업무를 수행한다. 1. 개인정보보호 보호에 관한 법령(입법과정 중에 있는 법령안을 포함한다) 제도 정책 관행의 조사와 연구 및 그 개선이 필요한 사항에 관한 권고 또는 의견의 표명 2. 개인정보보호에 관한 고시, 지침, 가이드라인의 제정 3. 개인정보 침해행위에 대한 조사와 구제 4. 개인정보보호 기술의 연구 지원 ... 7. 개인정보보호침해의 유형·판단기준 및 그 예방조치 등에 관한 지침의 제시 및 권고 10. 개인정보 데이터베이스의 등록 11. 개인정보영향평가의 시행과 연구 해당 법안은 개인정보보호위원회에 직권조사 등 상당한 권한을 부여하고 있다 제77조(자료제출 및 사실조회) ①위원회는 그 업무를 수행하는 데 필요하다고 인정하는 경우 관계기관 등에 필요한 자료 등의 제출을 요구하거나 사실에 관하여 조회할 수 있다. 제79조(정책 및 관행의 개선 또는 시정권고) ①위원회는 개인정보보호의 보호와 향상을 위하여 필요하다고 인정하는 경우 관계기관 등에 대하여 정책 및 관행의 개선 또는 시정을 권고하거나 의견을 표명할 수 있다. ③제1항의 규정에 의하여 권고를 받은 기관의 장이 그 권고내용을 이행하지 않을 경우 그 이유를 위원회에 문서로 제출하여야 한다. 제81조(법원 및 헌법재판소에 대한 의견제출) ①위원회는 개인정보의 보호에 중대한 영향을 미치는 재판이 계속 중인 경우 법원 또는 헌법재판소의 요청이 있거나 위원회가 필요하다고 인정하는 때에는 법원의 담당재판부 또는 헌법재판소에 법률상의 사항에 관하여 의견을 제출할 수 있다. 제83조(진정 및 조사 등) ①이 법에 규정한 개인정보보호원칙을 위반한 행위에 의해 그의 권리나 이익을 침해당한 사람은 위원회에 그 내용을 진정할 수 있다. ②위원회는 제1항의 진정이 없는 경우에도 개인정보보호원칙을 위반하여 권리나 이익이 침해되었다고 믿을 만한 상당한 근거가 있고 그 내용이 중대하다고 인정할 때에는 이를 직권으로 조사할 수 있다. 제84조(수사기관과 위원회의 협조) ①위원회는 진정의 원인이 된 사실이 범죄행위에 해당한다고 믿을 만한 상당한 이유가 있고 그 혐의자의 도주 또는 증거의 인멸 등을 방지하거나 증거의 확보를 위하여 필요하다고 인정할 경우에 검찰총장 또는 관할 수사기관의 장에게 수사의 개시와 필요한 조치를 의뢰할 수 있다. 제91조(고발 및 징계권고) ①위원회는 진정을 조사한 결과 진정의 내용이 범죄행위에 해당하고 이에 대하여 형사처벌이 필요하다고 인정할 때에는 검찰총장에게 그 내용을 고발할 수 있다. 개인정보보호위원회의 주요 업무 가운데 하나는 개인정보 침해를 막기 위해 ‘개인정보 사전영향평가’를 실시하는 것이다 제95조(개인정보 사전영향평가의 실시) ①대량의 개인정보나 민감한 개인정보를 처리하려는 개인정보 보유자는 다음 각 호의 경우에 위원회에 개인정보 사전영향평가를 신청하여야 한다. 1. 개인정보 데이터베이스가 새로 구축되는 경우 2. 기존 데이터베이스에 새로운 개인정보를 추가함으로써 정보주체에 관한 새로운 정보를 생성할 수 있게 되는 경우 3. 2개 이상의 개인정보 데이터베이스가 통합 또는 연동되는 경우 ④위원회는 다음 각 호의 경우에 개인정보 보유자의 신청이 없더라도 영향평가를 실시하여야 한다. 1. 개인정보 데이터베이스의 구축을 필요로 하는 새로운 법령·제도가 도입되는 경우 2. 개인정보 보호에 부정적 영향을 미칠 가능성이 제기된 기술이 도입되는 경우 3. 노동자 개인정보 보호에 영향을 미칠 수 있는 사용자의 정보처리에 대해 해당 사업장의 노동조합 또는 그 상급단체가 영향평가를 요청한 경우 제98조(평가 결과의 활용)②위원회는 영향평가의 결과에 따라 개인정보 보유자에게 시정 혹은 정보처리의 중지를 권고할 수 있다. ③개인정보 보유자는 제3항의 권고에 응하지 아니할 경우에 그 사유를 서면으로 위원회에 제출해야 한다. 제99조(국가 예산편성과 영향평가) ①각 중앙행정기관은 예산요구서를 기획예산처에 제출할 때 제96조제1항 및 제3항의 적용을 받는 사업이 포함된 경우 영향평가 결과를 첨부하여야 한다. ②기획예산처 장관은 제1항에 규정에 따라 영향평가 결과를 첨부하지 아니한 예산요구서를 심의할 수 없다. 해당 법안은 개인정보보호 규정을 어길 경우 최고 징역 10년의 엄격한 처벌규정을 두고 있다 제105조(벌칙) ①공공기관의 개인정보처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경 또는 말소한 자는 10년 이하의 징역에 처한다. ②제7조제1항 또는 제2항의 규정을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 또는 제23조를 위반하여 개인정보를 데이터베이스와 결합한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. ③제14조의 규정에 위반하여 개인정보를 누설한 자 또는 제101조의 규정에 위반하여 개인정보보호위원회와 관련한 업무를 처리하던 중 알게 된 정보를 누설하는 자는 4년 이하의 징역 또는 4천만원 이하의 벌금에 처한다. ④제15조 제1항의 규정을 위반하여 고유식별자를 수집하거나 이용 또는 제3자에게 제공한 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. ⑥다음 각 호에 어느 하나에 해당하는 자는 1년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 1. 정보주체의 동의를 얻지 아니하고 개인정보를 수집한 자 2. 개인정보를 수집, 생성한 사실을 고지하지 아니한 자 5. 규정에 위반하여 개인정보를 파기 또는 필요한 조치를 하지 아니한 자 6. 규정에 위반하여 정정요구에 응하지 아니한 자 7. 규정에 위반하여 법정대리인의 동의를 얻지 아니하고 아동의 개인정보를 수집한 자 제106조(과태료) ①다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의 과태료에 처한다. 1. 규정에 따라 고지 의무를 위반한 자 2. 규정에 따라 정보주체에게 통지하지 아니한 자 3. 규정에 위반하여 정보주체의 동의를 얻지 아니한 자 4. 규정에 따라 개인정보 데이터베이스를 개인정보보호위원회에 등록하지 아니한 자 5. 규정에 따라 개인정보보호책임자를 임명하지 아니한 자 6. 규정에 따라 정기감사의 결과를 보고하지 아니한 자 제103조(양벌규정) 법인의 대표자 또는 법인이나 개인의 대리인·사용인 기타 종업원이 그 법인이나 개인의 업무에 관하여 이 법에 위반하는 행위를 한 때에는 행위자를 벌하는 외에 그 법인 또는 개인에 대하여도 해당 조의 벌금형을 과한다. |
|
||
|
||||
<한겨레> 온라인뉴스부 김순배 기자 marcos@hani.co.kr
광고
기사공유하기