도서관계 이슈  

 

개인정보 보호에 관한 법 체계

  행정서비스의 전자화와 개인에 대한 복지 행정 기능의 확대로 인하여 공공 부문에서 개인정보1)의 수집ㆍ활용이 크게 증대하고 있다. 이러한 정보화의 진전은 국민 생활의 질적 향상을 가져온 반면에 프라이버시 침해 등 역기능을 수반하고 있다. 결국 공공 부문에서 개인정보 보호에 대한 필요성이 대두된 것은 정부의 행정 전산망 구축과 깊은 관련이 있다.

  우리나라의 개인정보 보호 법 체계는 공공 부문과 민간 부문으로 나누어져 그 법적 근거와 추진 체계를 달리하고 있다. 공공 부문은 개인정보 보호에 관한 일반법으로서 『공공기관의 개인정보보호에 관한 법률』이 있으며, 『주민등록법』 등 개별법에서 개인정보 보호에 관한 규정이 산재해 있다. 특히, 정보화의 진전에 따라 공공기관의 정보 공유가 확대되면서 그에 따른 보호 범위도 확대되고 있다. 반면에 민간 부문은 『정보통신망 이용 촉진 및 정보보호 등에 관한 법률』 중 제4장 “개인정보의 보호” 규정이 일반법으로서의 역할을 하고 있으며, 『신용정보의 이용 및 보호에 관한 법률』, 『통신비밀보호법』 등 일부 개별법에 개인정보 보호에 관한 규정이 있다.

  『공공기관의 개인정보보호에 관한 법률』은 공공기관의 컴퓨터에 의하여 처리되는 개인정보의 보호에 그 목적을 두고 있으므로, 홈페이지 및 도서관 이용증(ID카드) 등 컴퓨터에 의하여 처리되는 공공도서관 이용자의 개인정보 보호와 관련해서는 동법의 규정이 직접적으로 적용된다.2) 또한, 『도서관법』 제8조에서도 도서관 이용자의 개인정보 보호를 위해 이용자의 정보 수집과 관리ㆍ공개 등에 관한 규정의 제정, 도서관 직원에 대한 교육의 실시 등에 관한 시책을 강구하도록 의무화하고 있다.

 

도서관 이용자의 개인정보 보호

   공공도서관의 개인정보 보호 문제를 고찰하는 데 있어서는 공공도서관에서 취급되는 개인정보가 어떠한 것이 있는지를 먼저 살펴볼 필요가 있다. 공공도서관에서 취급하는 개인정보는 여러 형태가 있을 수 있지만 다음의 4가지로 유형화할 수 있다.

   행정자치부는 공공기관이 보유한 개인정보를 안전하고 체계적으로 관리하기 위해 2007년 5월에 『공공기관의 개인정보보호에 관한 법률』을 개정ㆍ공포한 바 있다.

   동 개정 법률에 따르면, 공공도서관은 개인정보를 수집할 때 이용자가 이를 분명하게 인식할 수 있도록 개인정보 수집 시 법적 근거, 수집 목적 등을 인터넷 등에 게재해야 하며, 개인정보를 이용하거나 타기관 등에 제공하는 경우에도 이를 인터넷에 공개해야 한다. 또한, 인터넷상 본인 확인 과정에서 주민등록번호, 성명 등 개인정보가 변조ㆍ유출ㆍ도용되지 않도록 통합 ID관리 서비스 등 안전성 확보에 필요한 조치를 취하여야 한다.3) 아울러, 기존의 본인 정보 열람ㆍ정정 청구권 외에 도서관 이용자가 원하지 않는 정보의 삭제를 청구할 수 있도록 적절한 조치를 취해야 하며, 본인 정보 열람 요구에 따른 처리 시한을 현행 15일에서 10일 이내로 단축해야 한다.

  『공공기관의 개인정보보호에 관한 법률』에서 명시적으로 규정하고 있는 사항 외에도 공공도서관 이용자의 개인정보를 효율적으로 관리하기 위해서는 다음과 같은 노력이 필요할 것으로 생각된다.

  첫째, 개인정보 보호 업무를 담당하는 전담 인력의 확보가 우선되어야 한다. 현재 공공도서관별로 개인정보 관리 책임관을 두고 있으나, 업무의 독립성이 결여되어 있을 뿐만 아니라 타 업무와의 중복으로 인하여 효율성이 저하되고 있다.

  둘째, 온라인상에서 발생할 수 있는 개인정보 유출을 방지하기 위해 방화벽, IDS, 침입 차단 프로그램 설치 등 필요한 기술적 보호 조치를 취해야 한다.

  셋째, 개별 공공도서관의 특성을 고려한 『개인정보 관리지침』 등을 수립하여 도서관 이용자의 개인정보 수집ㆍ활용 과정에서 발생할 수 있는 개인정보 침해 문제를 최소화해야 한다.

  넷째, 도서관 이용자의 개인정보를 취급하는 직원을 대상으로 연 1회 이상 정기적으로 개인정보 보호 교육을 실시해야 한다. 이를 위해 자체적으로 교육 과정을 운영하거나 전문 교육기관과의 연계를 통해 체계적이고 실효성 있는 교육이 이루어질 수 있도록 노력해야 한다.

 

도서관 이용자의 화상정보 보호

  민간ㆍ공공 부문을 막론하고 사회 전반적으로 범죄 예방, 시설 안전 등을 목적으로 CCTV의 설치ㆍ운영이 크게 증가함에 따라 사생활 침해 및 감시 사회의 확산에 대한 우려가 높아지고 있다.4)

  공공도서관도 예외는 아니어서 이용자 안전 및 도난 방지 등을 목적으로 도서관 곳곳에 CCTV가 설치ㆍ운영되고 있으며, 특정인의 이미지를 촬영함으로써 초상권이나 프라이버시 침해에 대한 문제가 발생하고 있다.5)

  공공 부문의 CCTV 설치ㆍ운영에 따른 개인정보 보호를 위하여 행정자치부에서는 2006년 11월에 『개인정보 보호를 위한 공공기관의 CCTV 설치ㆍ운영 지침』을 마련하여 각 기관에 배포한 바 있다.

<공공기관의 CCTV 설치 현황 ('07. 4월 기준)>

  또, 공공기관에서 운영하는 CCTV에 대한 법적 규제를 목적으로 2007년 5월 『공공기관의 개인정보보호에 관한 법률』 개정을 통해 개인정보의 범위를 성명ㆍ주민등록번호 및 화상 등에 의하여 개인을 식별할 수 있는 정보로 확대하고, 공공기관이 범죄 예방ㆍ교통 단속 등의 필요에 따라 설치ㆍ운영하고 있는 CCTV의 설치 및 화상정보 보호 등에 관한 법적 근거를 마련하였다. 다만, CCTV의 설치ㆍ운영에 대한 구체적인 사항에 대해서는 하위 법령에 위임하고 있다.

  이에 따라, 범죄 예방 등을 위해 CCTV 설치가 필요한 경우라 하더라도 이용자의 프라이버시 보호를 위해 화장실ㆍ열람실 등에는 원칙적으로 CCTV를 설치할 수 없으며, CCTV 설치 장소에는 도서관 이용자가 이를 쉽게 인식할 수 있도록 설치 목적과 촬영 범위 등을 기재한 안내판을 설치하여야 한다. 과도한 촬영을 방지하기 위해 카메라의 임의 조작이나 녹음 기능을 사용하는 것도 금지된다. 만일 부정한 목적으로 이를 위반했을 때에는 2년 이하의 징역이나 700만원 이하의 벌금에 처하게 된다.

  이외에도 공공도서관은 『개인정보 보호를 위한 공공기관의 CCTV 설치ㆍ운영 지침』에 따라 공공도서관의 실정에 맞는 『CCTV 설치ㆍ운영 규정』을 마련하여 홈페이지에 게시하여 공표해야 하며, CCTV 설치ㆍ운영 책임관을 지정하여 CCTV 설치ㆍ운영, CCTV 관련 민원의 접수 및 처리, 화상 정보의 수집ㆍ처리 등에 관한 업무를 총괄토록 해야 한다. 또한, 화상정보에 대한 불법적인 접근 및 변조ㆍ누출ㆍ훼손 등에 대비한 관리적ㆍ기술적 조치를 강구해야 하며, CCTV 녹화 기록은 30일 이내로 보존하고, 보존 기간이 만료된 경우에는 이를 즉시 파기 또는 삭제토록 한다.

 

홈페이지 개인정보 노출 방지

  홈페이지를 통한 서비스의 제공이 확대되면서 주민등록번호 등 개인정보의 노출 가능성이 증가되고 있다. 2006년 하반기에 행정자치부가 공공기관 홈페이지상의 개인정보 노출 현황을 점검한 결과 전체 2만 2,611개 대상 사이트 중 1.9%인 428개 사이트에서 총 7만 2,927건에 달하는 개인정보 노출이 일어난 것으로 조사되었다. 개인정보 노출의 원인은 담당자 인식 부족으로 개인정보가 담긴 자료를 게재하는 경우가 50%로 가장 많았고, 홈페이지 보안 기능의 부족도 39.2%에 달했다.

  이에 행정자치부는 홈페이지의 개인정보 노출 여부를 자체 점검, 시정할 수 있도록 2007년 4월 『공공기관 홈페이지 개인정보 노출 방지 가이드라인』을 마련하여 각 기관에 배포하였다.

  홈페이지 상에서 개인정보가 노출되는 것을 방지하기 위해서는 자체적으로 홈페이지(서브 도메인 포함)에 기재된 모든 자료(게시판, 첨부파일 등)를 대상으로 개인정보의 포함 여부에 대해 일제 점검을 실시해야 한다.6) 또한, 홈페이지에 개인정보가 기재되는 것을 방지하기 위해서는 필터링(filtering) 프로그램을 설치하고, 홈페이지에 자료 게재 권한 제한, 자료 게재 확인 절차에 관한 표준안 마련 등 관련 프로세스를 개선하여야 한다.

  홈페이지는 기관의 자료를 외부에 공개하기 위한 목적으로 운영되므로 개인정보가 대량으로 유출될 가능성이 항상 존재한다. 개인정보 노출 여부에 대한 지속적인 점검ㆍ조치도 중요하지만, 홈페이지 이용자의 개인정보 보호 의식을 높이는 것이 무엇보다 중요한 일이다. 따라서 홈페이지 관리자들을 대상으로 지속적으로 개인정보 보호의 중요성을 인식시키고 이에 관한 정기적인 교육을 실시해야 하며, 홈페이지 이용자 등이 개인정보를 게시판에 게재하지 않도록 주의사항을 고지하는 등 개인정보 노출 방지를 위해 필요한 조치를 취해야 한다.

 

맺음말

  그 동안 민간 부문에 비하여 공공 부문의 개인정보 보호 법 체계가 상대적으로 취약했던 것이 사실이다. 이러한 측면에서 행정자치부가 『공공기관의 개인정보보호에 관한 법률』 개정을 통해 컴퓨터를 통해 처리되는 개인정보뿐만 아니라 CCTV를 통해 촬영되는 화상정보 보호에 대한 법적 근거를 마련한 것은 바람직한 정책 방향으로 평가할 수 있다.

  최근 공공도서관에서도 바코드 대신 전자태그(RFID)라는 무선 통신기술을 접목한 첨단 시설을 도입하는 등 업무의 효율성 및 대국민 서비스의 질적 향상을 위해 많은 노력을 기울이고 있다. 또한, 도서관 이용자의 개인정보 취급 과정 및 CCTV 설치ㆍ운영을 통해 발생하는 개인정보 침해 문제를 최소화하기 위한 노력도 아끼지 않고 있다.

  이번 『공공기관의 개인정보 보호에 관한 법률』 개정을 계기로 공공도서관의 개인정보 보호 수준이 한층 향상될 것으로 기대한다.

....................................................................................................................................................................................

1)  “개인정보”란 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보를 말한다.
     여기에는 성명, 주민등록번호 외에 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보가 포함되며,
     특정 개인을 알아볼 수 없다 하더라도 다른 정보와 용이하게 결합하여 개인을 특정할 수 있는 정보
     (IP주소, 이메일 주소 등)를 포함한다.
2) 일본의 경우 도서관의 설치 주체에 따라 개인정보 보호와 관련하여 적용되는 법령이 각각 다르다.
    국립도서관ㆍ국립대학도서관은 “독립행정법인개인정보보호법”, 사립도서관(사립대학ㆍ사립학교도서관 등)은
    “개인정보보호법”, 공립도서관(공립대학ㆍ공립학교도서관 등)은 각 지방자치단체의 개인정보보호 조례,
    기타 省ㆍ廳의 도서관 등은 “행정기관개인정보보호법” 및 “개인정보보호법”의 기본 원칙 부분이 각각 적용된다.
3) 국립중앙도서관의 경우 2005년 8월부터 이용증제도를 도입하면서 요구되는 회원 정보 중 ‘주민등록번호’를 ‘생년월일’로
    대체하여 도서관 이용자의 주민등록번호 자체를 수집하지 않고 있다.
4) 최근 우리나라의 경우 민간 부문에서는 이미 200만 대 이상이 도입되었으며, 전 세계적으로도 CCTV가 2,600만 대에
    이를 것으로 추산되고 있다.
5) 지난 2005년 3월 국가인권위원회에서는 ‘도서관 열람실 내 CCTV 설치와 무인좌석발급기를 도입하여 시민의 사생활과
    인권을 침해한다’는 진정 내용을 접수하고, 공공도서관의 개인정보 보호에 대한 권고 결정을 내린 바 있다.
6) 이 경우 일반 검색 엔진은 성능에 따라 다소 차이가 있을 수 있으나 일반적으로 게시판 또는 게시판의 검색파일에 대한
    노출 점검이 불가능하므로 개인정보 노출 점검을 위한 전문 검색 툴을 사용하는 것이 바람직하다.

    글|정상호ㆍ한국정보보호진흥원(KISA) 선임연구원