된다.
프라이버시 영향평가는 각 기관이 맡아서 수행한다. 그러나 공동관리책임을 두어 책임을 강화하였다. 프로그램 및 프로젝트 매니저, 프라이버시 정책 및 법률 전문가, 기능별 또는 기술 전문가 등 여러 관련자에게 공동관리 책임을 부여한 것이다. 다만 이러한 프라이버시 영향 평가의 필요성 여부를 판단할 수 있는 권한은 정부기관의 부기관장에게 있다. 하지만 이러한 평가 필요성이 명백히 드러나지 않는 경우에도 각 기관의 담당자가 수집·이용·공개되는 개인정보의 양 및 유형 등을 확인하는 예비적 프라이버시 영향 평가를 실시하는 것이 가능하다.
2단계는 데이터 흐름 분석 단계(Data Flow Analysis)이다. 당해 사업계획상에 나타나는 업무절차, 아키텍처, 데이터 흐름 등을 기술하고 분석하여 개인정보의 흐름을 파악하는 것이 목적이다.
3단계는 프라이버시 분석 단계(Privacy Analysis)이다. 프라이버시 관련 법률 및 정책 하에서 데이터 흐름을 검토하는 단계이다. 당해 사업계획과 관련된 주요 프라이버시 침해 가능성이나 취약점을 용이하게 확인하기 위하여 체크리스트 형태의 질문서를 활용한다. 캐나다에는 개인정보보호에 대한 10대 원칙이 있는데 각각의 원칙별로 세부적인 질문서가 제시되어 있다. 제2원칙인 개인정보 수집에 대해서만 △정보주체로부터 직접 수집되는가 △수집 목적이 어떻게 문서화되어 있는가 △수집된 개인정보가 꼭 필요한 것인가 △정보주체에게 수집의 목적을 고지하였는가 △2차적 이용의 가능성이 있는가 △공공 데이터베이스로부터 수집된 개인정보가 포함되어 있는가 등 14개 항목에 대해 상세히 기술할 것을 요구하고 있다. 수집 이외에도 개인정보의 적절성, 동의, 이용, 공개, 정확성, 보안, 참가, 자기정보통제권 등 10개 분야에 대해 상세한 기준을 제시하고 있다.
이때 정부기관은 프로그램 및 서비스를 제공하는 과정에서 프라이버시 원칙, 정책 및 법률을 준수하고, 관련 프라이버시 영향 및 침해 가능성을 해소하거나 경감시킬 의무가 있다.
4단계는 프라이버시 영향 분석 보고 단계(Privacy Impact Analysis Report)이다. 프라이버시 침해 가능성 평가, 프라이버시 침해 가능성 및 관련 문제 해소 또는 경감 방안 등 결과를 문서화하는 단계이다.
Ⅵ. 결론 및 시사점
미국과 캐나다 모두 원칙적으로 모든 정부기관의 전자정부 사업에 의무적으로 프라이버시 영향평가를 도입하고 있다. 다만 각 정부기관이 자체적으로 평가하도록 하였기 때문에 평가의 실질성을 어떻게 담보할 것인가가 관건이라 하겠다.
정보화사업계획의 심의기관, 즉 정보화추진위원회가 개인정보보호기구에 각 정부부처의 평가에 대한 검토를 의뢰하고, 그 검토 결과는 정보화사업계획 심의시 반영하는 방안이다. 검토 결과에 따라 개인정보보호기구는 정보화사업의 변경 또는 보완을 요구할 수 있고 정보화추진위원회는 이를 반드시 수용하도록 한다는 것이다.
그러나 이 제안에서 정보화추진위원회가 직접적으로 언급된 것이 다소 우려스럽다. 그간 국가정보화 추진체계의 문제로 지적되어 온 것이 지금은 해체된 전자정부특위와 국무총리실 산하 정보화추진위원회, 정통부 정보화기획실, 한국전산원, 그리고 정부 각 부처의 각개약진이었다. 이때 정보화추진위원회는 정부 각부처의 이해관계가 충돌하는 경우 거의 제대로 된 심의 기능을 발휘하지 못했다는 비판을 들어 왔다. 이런 상황에서 같은 프로젝트를 두고 이견이 발생할 것이 분명한 각 부처와 개인정보보호 감독기구 사이에 명목상의 정보화추진위원회를 두는 것은 프라이버시 영향평가의 집행을 오히려 약화시키는 결과로 이어질 소지가 높다. 특히 해외의 경우와 달리 주민등록번호라는 국민고유식별번호가 일반적으로 사용되고 있는 우리 사회의 특수성 상 평가의 실효성을 담보하기 위해서는 평가 결과를 보다 강력하게 집행할 수 있는 제도적 대책이 마련되어야 할 것으로 보인다.
또다른 한 측면으로는 프라이버시 영향평가를 전자정부 사업에만 한정할 필요가 있느냐는 것이다. 프라이버시 보호체계가 매우 취약한 데다 민간기업도 국민식별번호를 이용한 대규모 데이터베이스를 자유롭게 구축할 수 있는 우리 현실에서 전체 데이터베이스는 아니라 하더라도 일정 규모 이상의 민간사업에 대해서도 프라이버시 영향평가를 실시할 필요가 있다.
마지막으로 최근 과학기술 정책 관련 분쟁을 조정하고 합리적인 과학기술 영향평가 제도의 도입을 위해 고민하고 있는 선진 사례에서 적극적인 시사점을 찾을 필요가 있다. 이해당사자의 광범위한 참여와 발언, 그리고 결정권을 보장하는 것이다. 개인정보의 주체인 국민 개개인이 자신의 개인정보의 수집과 이용, 전달에 대한 권리를 충분히 행사하기에 어려운 점이 있는 만큼, 평가 과정에서의 참여로 이를 보장해야 할 필요가 있는 것이다. <합의회의>가 여러 형태의 기술영향평가 중에서도 돋보이는 것은 해당 기술의 영향을 받게 되는 사회 구성원들이 직접 참가하는 것을 특징으로 한다는 점이다. 최근 몇몇 대규모 개발사업에 부실하게 적용되어 오히려 물의만 일으키는 환경영향평가나 파행을 겪고 있는 일부 과학기술영향평가의 사례들을 보면 중요한 것은 단지 시행한다는 것이 아님을 알 수 있다. 국민이 자신의 권리에 미치는 영향에 대해 실질적으로 평가하고 결정할 수 있도록 하는 것이야말로 영향평가제도의 핵심이다. 지금 막 우리 사회에 도입되고 있는 프라이버시 영향평가가 가장 중요하게 고려해야 할 점이라 할 것이다.
참고문헌
* 김연수(2001), 개인정보보호, 사이버출판사
* 김윤명(1999), 전자상거래 활성화를 위한 프라이버시 보호 연구
* 박홍윤(1994), 한국의 통합정보관리체계에서 개인정보프라이버시 보호에 관한 연구, 서울대학교 대학원 박사논문
* 방석호(1998), 전자상거래에서의 프라이버시와 소비자보호, 한국정보법학회
* 정찬모(1997), 개인정보보호에 관한 국제적 입법동향 및 우리의 대응, 정보통신정책연구원, 연구보고서
* 조동기(1996), 정보화사회에서의 개인의 정체성과 프라이버시 문제, 서울대학교 사회과학연구소, 사회과학과 정책연구 제18권 제3호
* 통신정책연구소(1987), 세계의 프라이버시법, 서울; 통신정책연구소