행정법의 개인정보의 보호에 대해 알려줘.
1. 제정 배경과 목적
「개인정보 보호법」은 개인정보 자기결정권을 보장하고 개인정보의 무분별한 수집과 오·남용을 방지함으로써 개인의 기본권을 보호하기 위해 제정된 법률이다. 2011년 9월 30일부터 시행되었으며, 이전에는 개인정보 보호에 관한 규제가 주로 각 개별 법률(예: 전자정부법, 공공기관의 개인정보 보호에 관한 법률 등)에 흩어져 있었다. 이에 따라 개인정보 보호의 체계성과 일관성을 확보하고, 개인정보의 처리에 대한 일반법으로서 기능하기 위해 제정되었다.
법 제1조는 그 목적을 “개인정보의 수집·이용·제공 등 처리에 있어서 정보주체의 권익 보호와 공공의 이익을 조화시키는 데 있다”고 명시하고 있다. 이 법은 국민의 기본권인 사생활의 비밀과 자유, 개인정보 자기결정권을 실질적으로 보장함으로써 민주적 법치행정의 실현을 도모하고자 한다.
2. 개인정보의 정의와 법 적용 범위
개인정보 보호법은 개인정보를 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 등 특정 개인을 알아볼 수 있는 정보를 말하며, 다른 정보와 결합해 식별 가능한 정보도 포함한다”고 정의하고 있다. 여기에는 영상정보, 온라인 활동기록, 위치정보 등도 포함될 수 있다.
법의 적용 대상은 공공기관과 민간기업을 포괄하며, 개인정보를 처리하는 모든 ‘개인정보처리자’에 적용된다. 여기에는 국가기관, 지방자치단체, 공기업, 학교, 병원뿐 아니라 금융기관, 통신사, 인터넷 사업자 등 민간기업도 포함된다. 또한 개인정보의 자동화 처리(예: AI, 빅데이터 등)에 대한 보호도 포괄적으로 규율한다.
이 법은 개인정보가 국경을 초월하여 이동하는 디지털 환경에 대응하기 위해 국제적 기준과의 정합성도 고려한다. 특히 유럽연합(EU)의 GDPR(일반개인정보보호규정)과 유사한 수준으로 법적 기반을 강화하고 있다.
3. 개인정보 처리의 기본 원칙
개인정보 보호법은 개인정보처리자에게 다음과 같은 기본적인 처리 원칙을 부과한다.
첫째, 정당한 목적에 따라 최소한의 범위에서 수집해야 하며, 목적 외 이용·제공은 원칙적으로 금지된다. 둘째, 개인정보 수집·이용 시에는 정보주체의 동의를 얻어야 하며, 동의는 자발적이고 명확해야 한다. 셋째, 개인정보는 정확성과 최신성을 유지해야 하며, 잘못된 정보는 정정 또는 삭제해야 한다. 넷째, 적절한 기술적·관리적 보호조치를 통해 개인정보를 안전하게 관리해야 한다.
이러한 원칙은 개인정보의 생애주기 전체(수집-보관-이용-제공-파기)에 걸쳐 적용되며, 공공기관의 개인정보 처리에서도 동일하게 적용된다. 특히, 공공기관은 법령에 근거하지 않는 한, 정보주체의 동의 없이 개인정보를 수집하거나 제공할 수 없다.
4. 정보주체의 권리 보장
개인정보 보호법은 정보주체에게 다음과 같은 권리를 부여하고 있다. 이들은 헌법상 기본권인 개인정보 자기결정권의 구체적 실현 수단이다.
첫째, 개인정보 열람권으로, 정보주체는 자신에 대한 개인정보가 처리되고 있는지 여부와 처리 목적, 보유 기간 등을 열람할 수 있다. 둘째, 정정·삭제 청구권으로, 사실과 다르거나 불필요하게 처리된 개인정보에 대해 정정을 요구할 수 있다. 셋째, 처리정지 청구권으로, 법정 사유가 있는 경우 개인정보의 이용·제공을 중단할 것을 요구할 수 있다.
또한 정보주체는 자신의 권리행사를 방해받았을 경우 개인정보처리자에 대한 이의 제기, 행정적 또는 사법적 구제 수단을 사용할 수 있다. 정부는 ‘개인정보보호 포털’을 통해 정보주체의 권리 행사를 지원하고, 불복 시에는 개인정보분쟁조정위원회 또는 개인정보보호위원회를 통한 분쟁조정 절차를 활용할 수 있다.
5. 개인정보처리자의 의무와 보호조치
개인정보처리자는 법령에 따라 개인정보를 안전하게 처리해야 할 의무가 있다. 이를 위해 여러 가지 보호조치를 강제하고 있으며, 주요 내용은 다음과 같다.
첫째, 개인정보 처리방침의 공개이다. 개인정보처리자는 개인정보의 수집 목적, 이용 방식, 보유 기간 등을 투명하게 공개해야 하며, 이를 통해 정보주체의 신뢰를 확보해야 한다. 둘째, 기술적·관리적 보호조치로서 접근통제, 암호화, 접속기록 보관, 악성코드 방지, 물리적 보안 등을 갖추어야 한다. 셋째, 개인정보 유출 시 통지의무이다. 유출이 발생한 경우에는 지체 없이 정보주체와 관계 기관에 이를 통보해야 하며, 대규모 유출일 경우에는 관련 사실을 공표해야 한다.
또한, 고위험 개인정보(예: 민감정보, 고유식별정보)를 처리하는 경우에는 **사전 영향평가(PIA)**를 수행해야 하며, 개인정보 위탁 시에도 수탁자에 대한 감독 의무가 부과된다.
6. 감독체계와 위반 시 제재 및 구제제도
개인정보 보호법의 감독기관은 개인정보보호위원회로, 중앙행정기관의 독립된 소속기관이며, 개인정보보호 정책 수립과 감독 권한을 가진다. 위원회는 개인정보 침해 사실 조사, 시정권고, 과태료 부과 등의 권한을 행사할 수 있으며, 위반행위가 중대한 경우에는 형사처벌까지 가능하다.
개인정보 침해를 입은 정보주체는 분쟁조정위원회에 조정을 신청할 수 있으며, 합의가 이루어지지 않을 경우에는 행정심판 또는 민사소송을 통해 손해배상을 청구할 수 있다. 개인정보처리자가 고의 또는 과실로 침해를 야기한 경우에는 위자료 외에 징벌적 손해배상이 인정될 수 있으며, 이는 법의 실효성을 높이는 제도적 장치다.
결론
「개인정보 보호법」은 정보화 사회에서 필연적으로 증가하는 개인정보 처리에 따른 위험에 대처하고, 정보주체의 권리를 실질적으로 보장하기 위한 핵심적 법률이다. 특히 행정법 영역에서는 공공기관이 보유한 개인정보의 보호와 적정한 이용 사이의 조화를 모색함으로써, 국민의 기본권과 공익을 동시에 실현하고자 한다. 앞으로도 디지털 전환과 기술 발전 속에서 개인정보 보호의 법적 장치는 보다 정교하고 강화되어야 할 과제를 안고 있다.