# 개인정보보호법은 어디에서 왔나?
모든 법률은 헌법상의 근거를 가지기 마련인데, 개인정보보호법은 ‘개인정보자기결정권’ 또는 ‘자기정보관리통제권’이라는 헌법상의 기본권에 뿌리를 두고 있다. 우리 헌법재판소는 이와 관련하여 “인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 인격권과 헌법 제17조의 사생활의 비밀과 자유, 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의 원리 등을 기초로 ‘개인정보자기결정권’ 또는 ‘자기정보관리통제권’이 나온다며 ‘자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체 스스로가 결정할 수 있는 권리’라 정의내린 바 있다(헌재 2005. 5. 26. 선고 99헌마513 결정 참조). 연혁적으로 살펴보면, 국가의 감시로부터 개인의 인격권과 사생활을 지키기 위한 것으로부터 시작되었지만, 오늘날에는 오히려 국가 이상으로 거대한 권력을 가진 기업이 무분별하게 개인정보를 수집하고 이를 악용하는 것을 막는데 무게 중심이 실려 있다.
하지만, 개인정보보호법이 입법되는 데 직접적인 영향을 준 것은 1980년에 제정된 OECD 프라이버시 8원칙이다. OECD 프라이버시 8원칙은 ① 목적에 필요한 최소한의 정보만을 수집할 것 ② 처리 목적 내에서 정확성, 완전성, 최신성이 보장되도록 할 것 ③ 처리 목적을 명확하게 할 것 ④ 목적 범위 내에서 적법하게 처리하고 목적 외의 용도로 활용하지 말 것 ⑤ 권리침해 가능성을 고려해 안전하게 관리할 것 ⑥ 개인정보 처리방침 등은 공개할 것 ⑦ 개인정보를 열람할 수 있도록 정보주체의 권리를 보장할 것 ⑧ 개인정보처리자의 책임을 준수하고 정보주체의 신뢰를 확보할 것 등으로 구성되어 있는데, 이는 개인정보보호법 제3조 규정에 그대로 적시되어 있으며, 이 규정은 개인정보보호법을 해석하고 적용함에 있어 하나의 기준으로 작용한다. 개인정보보호법의 각 규정은 이러한 원칙이 제대로 작동할 수 있도록 구체적으로 표현한 것에 지나지 않는다 해도 과언이 아닌 것이다.
다만, 전통적 의미의 OECD 프라이버시 8원칙과 이를 기초로 제정된 개인정보보호법은 오늘날 빅데이터 산업의 성장으로 인해 거센 도전을 받고 있다. 가령 개인정보의 수집은 처리 목적을 명확하게 해야 하고 목적 외의 용도로 활용해서는 안 되지만, 빅데이터는 정보를 어떻게 조합하고 구성하는가에 따라 당초의 수집 목적과 다르게 다양한 목적으로 활용될 수 있기 때문이다. 이를 위해 일각에서는 OECD 8원칙과 이를 기초로 한 각국의 개인정보 관련 법률을 개정해야 한다는 주장도 제기되고 있지만, 또 다른 한편에서는 비식별화 처리, 암호화 작업 등을 통해 기존 원칙을 수정하지 않고도 개인정보를 보호할 수 있다는 반론도 있어 앞으로 지속적인 논의가 필요하다.
# 개인정보보호법의 개관
개인정보보호법은 개인정보가 ‘개인정보처리자로부터 수집되는 순간부터 이용, 처리, 관리, 제공, 위탁, 양도 등의 방법으로 활용 되다 파기되는 순간까지’를 규율한다. 이는 마치 사람이 태어나 활동을 하다 죽음을 맞이하는 것과 같아서 개인정보보호법은 개인정보의 ‘생애 주기’ 전반을 관장하고 있다 할 수 있는 것이다. 이를 기초로 개인정보보호법을 개관해 보면, ‘총론’부터 ‘벌칙’까지 총 9장으로 구성된 개인정보보호법 중 제3장 ‘개인정보의 처리’는 제1절에서 개인정보의 수집, 이용, 제공 및 파기를, 제2절에서 개인정보의 처리, 위탁 및 양도를 각 다루고 있으며, 제4장 ‘개인정보의 안전한 관리’에서는 개인정보처리자가 개인정보를 이용하는 동안 이를 어떻게 관리해야 하는지를 규정하고 있다. 한편 제5장 ‘정보주체의 권리 보장’, 제6장 ‘개인정보 분쟁조정위원회’, 제7장 ‘개인정보 단체소송’은 정보주체가 자신의 개인정보에 대하여 어떠한 권리를 가지고 있으며, 만약 권리를 침해받았을 경우 그에 따른 피해를 어떻게 회복할 수 있는가에 대한 내용을 담고 있다. 그 밖에 제8장 ‘보칙’은 앞서 살펴본 각 장의 내용에 편입되지 못한 내용들을 모아 놓고 있으며, 제9장 ‘벌칙’은 개인정보보호법을 위반한 자에 대한 형사처벌 및 과태료 부과에 대한 내용을 열거하고 있다.
다음 편부터는 개인정보보호법의 각론으로 들어가 각 조항의 의미에 대해 살펴보고, 실무적으로 어떻게 구현할 것인가에 대한 논의를 이어가기로 한다.