신문을 뒤적이다 개인정보 유출 소식을 접하는 것이 드문 일이 아니게 되었다. 최근 몇 달간만 하더라도, 국내 최대의 통신회사 KT와 하나로텔레콤이 730만여 명의 고객 개인정보를 유출시킨 사건이 큰 파장을 불렀고, 국민건강보험공단과 국민연금공단 직원들이 가입자들의 개인정보를 무단 조회한 것으로 드러나기도 하였다. 반복적으로 벌어지는 개인정보 유출 사고에 대해 우리는 손 놓고 당할 수밖에 없는 것인가? 좀 더 최신보안기술로 무장하고 해커를 잡아들이면 진정될 것인가?

그렇지 않다. 개인정보 유출 사고가 발생하는 것은 개인정보가 대규모로 수집되었기 때문이다. 디지털로 수집되는 개인정보는 대규모로 집적·처리하기가 쉽고 그만큼 대규모로 유출하기도 쉽다. 아무리 엄벌에 처한다 하여도 수백만 명의 개인정보가 순식간에 유출될 수밖에 없는 조건을 갖고 있는 것이다. 특히 기술적인 보안을 강화한다는 명분으로 지문 정보나 홍채 정보와 같은 생체정보를 대량으로 수집하는 것은 엎친 데 덮친 격이라 할 수 있다.

어떻게 해야 할까? 개인정보 보호는 수집 단계에서부터 ‘규제’되는 것으로 시작되어야 한다. 뚜렷한 법적 근거나 당사자의 동의 없이는 기업도, 국가도, 어느 누구도 다른 사람의 개인정보를 함부로 수집하거나 이용하지 못하도록 해야 한다. 이러한 원칙들은 OECD 가이드라인 등 국제적인 규범으로도 잘 정리되어 있다.

오늘날 개인정보를 보호한다는 것은 단순히 개인의 권리를 보호한다는 의미를 넘어서고 있다. 개인정보 수집은 수집당하는 사람에 대해 권력을 발휘하는 행위이며, 기업과 국가가 각종 개인정보를 광범위하게 수집하고 이용할 때 국민의 일거수일투족에 대한 감시도 늘어갈 것이다. 이는 결국 지금까지 인정되어 왔던 인권 전반을 잠식하고 민주주의를 위협하는 결과를 낳을 것이다. 인터넷에서 내가 보고 쓴 모든 기록이 상시 보관된다고 하면 어느 누가 민감한 의견을 자유로이 표현할 수 있을 것인가? 최근에는 영남대 병원이나 서울대병원 등에서는 노동조합의 활동을 위축시킬 의도가 다분한 CCTV를 설치하려 하여 논란을 빚고 있다.

유럽연합 가입국을 비롯한 해외 많은 국가들이 개인정보 보호 원칙을 충실히 반영한 개인정보보호법을 가지고 있다. 그중에서 눈에 띄는 대목은 ‘독립적인’ 개인정보보호 감독기구의 존재이다. 어느 누구의 입김으로부터도 중립적으로, 개인정보 수집과 이용 실태를 철저히 감독하기 위하여 마련된 제도이다.

한국의 상황은 어떠한가? 아무리 법이 현실을 뒤따라간다고는 하지만, 아무런 법률적 규제도 없이 불법적으로 설치된 CCTV가 온 천지에 깔려 있다. 그나마 존재하는 개인정보보호에 대한 법률은 산재되어 있다. 공공기관의 개인정보보호는 ‘공공기관의 개인정보 보호에 관한 법률’로, 민간영역의 개인정보보호는 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률’로 나뉘어 있고, 의료정보, 신용정보는 제각각 관련 법률로 흩어져 있다. 상황이 이러하다 보니 소관부처 따라 제 입맛대로 개인정보를 수집해 왔고, 규제 원칙도 제각각이다. 몇년전 교육행정정보시스템(NEIS) 논란에서 볼 수 있었다시피 공공기관의 개인정보보호 책임을 맡고 있는 행정자치부는 제 역할을 하지 않으며, 오히려 전자정부라는 미명 하에 행정정보의 공동이용을 추진하면서 정보인권 위협의 또 다른 주체가 되었다. 정보통신부는 산하에 개인정보보호 기구를 운영하고 있지만 적극적으로 개인정보를 보호하기 보다는 관련 산업을 보호육성하고 생체여권(전자여권) 등 타정부부처의 정보인권 침해성 사업을 보안컨설팅하는데 주력하고 있다.

그래서 한국에서도 독립적인 개인정보보호 감독기구를 설립하고 사회 전반에서 원칙적으로 개인정보를 보호할 수 있는 개인정보보호법을 제정해야 한다는 요구가 계속되어 왔다. 지난 2004년 시민사회단체와 민주노동당에서 함께 마련하여 발의한 개인정보보호기본법 제정안이 그런 것이었다.

이 법안에서는 △공공기관이 국민의 개인정보 데이터베이스를 보유하려면 사전에 신고해야 하고 △원칙적으로 개인정보 데이터베이스가 공공기관 개인정보 데이터베이스와 결합할 수 없으며 △독립적인 개인정보보호위원회가 설치되어 필요한 경우 공공·민간의 개인정보 수집과 이용을 중단시킬 수 있으며 △개인정보 사전영향평가제도가 실시된다.

인권과 사회문화적 다양성을 고려하지 않는 개발·이윤지상주의에 제동을 걸지 않으면 정보화 시대는 빅브라더의 시대에 다름 아닐 것이다. 이런 문제의식에 공감하였기 때문에 시민사회단체의 개인정보보호기본법 제정안 뿐 아니라 정부안과 통합안을 비롯해 여야 국회의원들이 발의한 개인정보보호법안이 다수 국회에 계류되어 있다. 다만, 모든 법안이 공공·민간을 아우르는 독립적인 개인정보보호 감독기구의 설립과 활동을 보장하고 있는 것은 아니다.

그러나 더 큰 문제는 정작 국회에서 이 모든 법안들이 상임위에 상정된 채로 낮잠을 자고 있다는 것이다. 직접적으로는 개인정보 감독기구를 어디에 설치할 것인가를 둘러싼 논란 때문이지만, 아무도 책임의식을 가지고 추진하지 않기 때문이다. 정부와 국회 어디에도 개인정보보호기본법을 제정하려는 적극적인 의지가 보이지 않는다.

물론 법이 만능은 아니다. 개인정보보호법과 감독기구 들이 상비되어 있는 유럽에서도 전 국민을 테러범으로 간주하는 생체정보 수집과 생체여권이 도입되고 있는 것을 보아도 그렇다. 그러나 법률이 있는 것과 없는 것에는 큰 차이가 있다. 길거리에 널려 있는 CCTV와 첨단기술을 이용한 노동감시가 무법지대에서 횡행하는 것이 우리의 상황 아닌가?

개인정보 유출 사고가 발생할 때마다 개인정보보호기본법 제정의 필요성이 반복해서 제기되고 있다. 그러나 정작 오랜 노력 끝에 만들어진 법안들이 토론조차 되고 있지 않다니, 기가 찬 노릇이다. 그 일차적 책임은 행정자치위원회 의원들에게 돌아갈 수밖에 없을 것이다. 조속한 법안 처리를 위한 국회의 노력을 다시 한 번 촉구한다.