[이상수 칼럼] 불법 개인정보 유출을 방지할 근본적 제도개선이 선행돼야
행정안전부가 개인정보유출 사례를 우려했음에도 불구하고 근절되지 않아, 탐정의 정보수집 역량 강화와 관련 법규 학습을 통해서만 위법행위 예방 가능해
지난해 12월 경찰의 신변보호를 받던 여성의 가족을 살해한 범행이 개인정보 유출의 심각성을 일깨워 주고 있다. 일선 공무원이 유출한 개인정보가 세 곳의 흥신소를 거쳐 전달됐고, 결국 살인사건으로 이어져 충격을 주고 있다.
이 공무원은 건설기계관리정보시스템을 이용해 주소를 확인하고, 교통위반관리시스템을 통해 흥신소에 차량번호를 조회해주기도 하는 등 약 2년간 1100건의 개인정보를 팔아넘겨 4000만 원을 받았다고 한다.
공무원과 흥신소 간의 구조적 유착관계가 애궂은 목숨을 앗아간 참혹한 결과를 초래한 것이다. 이는 비단 공무원과 흥신소 간 결탁과 개인정보 유출 문제에 그치지 않는다.
이와 같은 사태를 방지하기 위해서는 개인정보보호법과 위치정보보호법 등의 준수를 포함해 합법적 범위 내에서 정당한 업무만 수행하도록 관련 법제도를 정비하는 근본적인 제도 개선이 반드시 수반돼야 한다. 흥신소, 심부름센터 등의 불법행위를 차단하기 위해 탐정업 관리법 제정이 절실한 이유다.
탐정업무 수행 과정에서 가장 문제가 되는 윤리적 이슈는 사생활침해와 개인정보보호법 위반이다. 아직 우리나라에서는 민간조사를 국가 차원에서 제도화하는 탐정업 관리법이 법제화되지는 않았지만, 사실의 확인과 조사를 중심으로 하는 탐정업무의 상당 부분이 개인의 프라이버시권과 개인정보 침해를 야기할 소지가 다분하다.
2011년 1월 11일 행정안전부 개인정보보호과에서는 복수의 민간조사협회에 흥신소나 심부름센터 등 운영자의 개인정보유출 사례가 발생하지 않도록 조치해 달라는 내용의 공문을 발송한 바 있다. 국회의 탐정업법 발의법안 심의 과정에서 항상 제기됐던 문제도 탐정제도를 합법화할 경우 초래될 사생활침해와 개인정보 유출이었다. 그만큼 탐정의 감시·조사업무 수행과정에서 개인정보 보호는 각별히 유의해야 할 윤리이다.
데이터 경제가 부상하면서 개인정보의 수집・활용도가 높아지고 있는 만큼 보안 강화 등 개인정보의 안전한 관리가 더욱 중요해지는 상황에서, 국제적 기준이 되고 있는 EU GDPR의 관련 조항을 참고할 필요가 있다. 유럽연합(EU)은 2018년 5월 25일부터 「일반 개인정보보호법(General Data Protection Regulation)」(이하 “GDPR”)을 시행하고 있다.
EU GDPR 및 유럽 주요국가의 법률은 개인정보 해킹・유출 방지 등을 위한 기술적・관리적 조치의무를 규정하고 위반 시 거액의 과징금을 부과하고 있다. 프랑스를 제외하고는 대체로 중대한 고의적 침해행위에 대해서만 형사처벌을 규정하고 있다.
우리나라의 경우 개인정보보호 법제상 형사처벌이 다른 국가에 비해 과도하다는 지적이 있어왔다. 현행 「개인정보 보호법」 제29조는 개인정보가 분실・도난・유출・위조・변조・훼손이 되지 않도록 안전성 확보에 필요한 기술적・관리적・물리적 조치를 하도록 규정하고 있다.
동법 제73조제1호에서는 위와 같은 조치를 하지 않아 개인정보 분실 등을 한 경우 2년 이하의 징역 또는 2천만원 이하의 벌금에 처하도록 규정하고 있다. 아울러 동법 제75조제2항제6호는 위와 같은 조치를 하지 않은 경우 5천만원 이하의 과태료도 부과하고 있다. 한편, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」은 개인정보 안전성 확보를 위한 조치의무 위반으로 개인정보 유출 등이 발생한 경우 일정한 과징금을 부과한다.
향후 관련 법안의 개정을 논의할 때, 고의성이 없는 단순한 기술적・관리적 조치의무 위반으로 인해 개인정보 유출이 있었다고 하더라도 담당자를 형사처벌하는 것보다 해당 기업에 과징금을 부과하는 방안을 검토할 필요가 있다. 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과하면 효과적이다.
특히, 2020년 8월 5일 시행된 개정 시행된 개인정보보호법은 개인정보의 개념을 개인정보, 가명정보, 익명정보로 구분한 후 가명정보의 경우 통계작성 연구, 공익적 기록보존 목적으로 처리할 수 있도록 허용했다. 제4차 산업의 빅데이터(Big data), 인공지능(AI) 등의 활성화를 위한 제도적 장치를 마련한 셈이다.
탐정의 조사업무에 있어서도 접근 가능한 공개출처정보(open source intelligence, 오신트)를 포함해 인간정보(HUMINT, 휴민트), 신호정보(SIGINT, 시진트), 영상정보(IMINT, 이민트), 측정정보(MASINT, 매신트), 기술정보(TECHINT, 테킨트) 등을 활발하게 활용해 조사전문가로서의 전문성을 제고시켜 나갈 필요가 있다.
특히 컴퓨터의 발달로 기술정보의 중요성이 급부상했다. 탐정의 조사업무 역시 컴퓨터와 인터넷을 활용한 공개출처정보(OSINT)와 기술정보(TECHINT)가 중요해졌으므로 민간조사 전문가로서의 역량을 계발하기 위한 노력을 지속적으로 심화시켜 나가야 한다.
그러나 무엇보다 탐정은 증거수집과 조사과정에서 개정된 개인정보보호법을 위반하지 않도록 법규에 대해 충분하게 이해해야 한다. 법규에 대한 몰이해로 부지불식간에 위법행위를 저지르지 않도록 사전에 충분한 학습이 선행돼야 하는 이유가 여기에 있다.
그러나 이보다 선결돼야 하는 요건은 합법적 범위 내에서 탐정업무가 수행될 수 있도록 관리감독을 할 수 있는 법적 기반을 마련하는 것이다. 탐정업 관리법 제정을 통해 적법한 범위 내에서 업무수행이 이뤄질 수 있도록 제도적 장치를 마련하는 것이 정부와 국회가 우선적으로 수행해야 할 책무다.
▲이상수(한국탐정정책학회 회장, 가톨릭대 행정대학원 탐정학전공 주임교수)
지난해 12월 경찰의 신변보호를 받던 여성의 가족을 살해한 범행이 개인정보 유출의 심각성을 일깨워 주고 있다. 일선 공무원이 유출한 개인정보가 세 곳의 흥신소를 거쳐 전달됐고, 결국 살인사건으로 이어져 충격을 주고 있다.
이 공무원은 건설기계관리정보시스템을 이용해 주소를 확인하고, 교통위반관리시스템을 통해 흥신소에 차량번호를 조회해주기도 하는 등 약 2년간 1100건의 개인정보를 팔아넘겨 4000만 원을 받았다고 한다.
공무원과 흥신소 간의 구조적 유착관계가 애궂은 목숨을 앗아간 참혹한 결과를 초래한 것이다. 이는 비단 공무원과 흥신소 간 결탁과 개인정보 유출 문제에 그치지 않는다.
이와 같은 사태를 방지하기 위해서는 개인정보보호법과 위치정보보호법 등의 준수를 포함해 합법적 범위 내에서 정당한 업무만 수행하도록 관련 법제도를 정비하는 근본적인 제도 개선이 반드시 수반돼야 한다. 흥신소, 심부름센터 등의 불법행위를 차단하기 위해 탐정업 관리법 제정이 절실한 이유다.
탐정업무 수행 과정에서 가장 문제가 되는 윤리적 이슈는 사생활침해와 개인정보보호법 위반이다. 아직 우리나라에서는 민간조사를 국가 차원에서 제도화하는 탐정업 관리법이 법제화되지는 않았지만, 사실의 확인과 조사를 중심으로 하는 탐정업무의 상당 부분이 개인의 프라이버시권과 개인정보 침해를 야기할 소지가 다분하다.
2011년 1월 11일 행정안전부 개인정보보호과에서는 복수의 민간조사협회에 흥신소나 심부름센터 등 운영자의 개인정보유출 사례가 발생하지 않도록 조치해 달라는 내용의 공문을 발송한 바 있다. 국회의 탐정업법 발의법안 심의 과정에서 항상 제기됐던 문제도 탐정제도를 합법화할 경우 초래될 사생활침해와 개인정보 유출이었다. 그만큼 탐정의 감시·조사업무 수행과정에서 개인정보 보호는 각별히 유의해야 할 윤리이다.
데이터 경제가 부상하면서 개인정보의 수집・활용도가 높아지고 있는 만큼 보안 강화 등 개인정보의 안전한 관리가 더욱 중요해지는 상황에서, 국제적 기준이 되고 있는 EU GDPR의 관련 조항을 참고할 필요가 있다. 유럽연합(EU)은 2018년 5월 25일부터 「일반 개인정보보호법(General Data Protection Regulation)」(이하 “GDPR”)을 시행하고 있다.
EU GDPR 및 유럽 주요국가의 법률은 개인정보 해킹・유출 방지 등을 위한 기술적・관리적 조치의무를 규정하고 위반 시 거액의 과징금을 부과하고 있다. 프랑스를 제외하고는 대체로 중대한 고의적 침해행위에 대해서만 형사처벌을 규정하고 있다.
우리나라의 경우 개인정보보호 법제상 형사처벌이 다른 국가에 비해 과도하다는 지적이 있어왔다. 현행 「개인정보 보호법」 제29조는 개인정보가 분실・도난・유출・위조・변조・훼손이 되지 않도록 안전성 확보에 필요한 기술적・관리적・물리적 조치를 하도록 규정하고 있다.
동법 제73조제1호에서는 위와 같은 조치를 하지 않아 개인정보 분실 등을 한 경우 2년 이하의 징역 또는 2천만원 이하의 벌금에 처하도록 규정하고 있다. 아울러 동법 제75조제2항제6호는 위와 같은 조치를 하지 않은 경우 5천만원 이하의 과태료도 부과하고 있다. 한편, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」은 개인정보 안전성 확보를 위한 조치의무 위반으로 개인정보 유출 등이 발생한 경우 일정한 과징금을 부과한다.
향후 관련 법안의 개정을 논의할 때, 고의성이 없는 단순한 기술적・관리적 조치의무 위반으로 인해 개인정보 유출이 있었다고 하더라도 담당자를 형사처벌하는 것보다 해당 기업에 과징금을 부과하는 방안을 검토할 필요가 있다. 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과하면 효과적이다.
특히, 2020년 8월 5일 시행된 개정 시행된 개인정보보호법은 개인정보의 개념을 개인정보, 가명정보, 익명정보로 구분한 후 가명정보의 경우 통계작성 연구, 공익적 기록보존 목적으로 처리할 수 있도록 허용했다. 제4차 산업의 빅데이터(Big data), 인공지능(AI) 등의 활성화를 위한 제도적 장치를 마련한 셈이다.
탐정의 조사업무에 있어서도 접근 가능한 공개출처정보(open source intelligence, 오신트)를 포함해 인간정보(HUMINT, 휴민트), 신호정보(SIGINT, 시진트), 영상정보(IMINT, 이민트), 측정정보(MASINT, 매신트), 기술정보(TECHINT, 테킨트) 등을 활발하게 활용해 조사전문가로서의 전문성을 제고시켜 나갈 필요가 있다.
특히 컴퓨터의 발달로 기술정보의 중요성이 급부상했다. 탐정의 조사업무 역시 컴퓨터와 인터넷을 활용한 공개출처정보(OSINT)와 기술정보(TECHINT)가 중요해졌으므로 민간조사 전문가로서의 역량을 계발하기 위한 노력을 지속적으로 심화시켜 나가야 한다.
그러나 무엇보다 탐정은 증거수집과 조사과정에서 개정된 개인정보보호법을 위반하지 않도록 법규에 대해 충분하게 이해해야 한다. 법규에 대한 몰이해로 부지불식간에 위법행위를 저지르지 않도록 사전에 충분한 학습이 선행돼야 하는 이유가 여기에 있다.
그러나 이보다 선결돼야 하는 요건은 합법적 범위 내에서 탐정업무가 수행될 수 있도록 관리감독을 할 수 있는 법적 기반을 마련하는 것이다. 탐정업 관리법 제정을 통해 적법한 범위 내에서 업무수행이 이뤄질 수 있도록 제도적 장치를 마련하는 것이 정부와 국회가 우선적으로 수행해야 할 책무다.
▲이상수(한국탐정정책학회 회장, 가톨릭대 행정대학원 탐정학전공 주임교수)
저작권자 © 탐정신문, 무단전재 및 재배포 금지