통합� 개인정보� 보호법의� 의의� 및� 개선� 방향

개인정보� 보호법의� 체계� 정합성� 확보를� 중심으로

NAVER Privacy White Paper

김현경 ㅣ 서울과학기술대학교  IT정책전문대학원

목차

요약문 ······················································································································ 79

1.  서론 ···················································································································· 87

2.  통합  「개인정보 보호법」의 입법배경과 의의 ················································· 89

가.  입법배경 및  주요내용 ··············································································· 89

나.  의의 ············································································································· 91

다.  소결  :  법체계 정합성 확보 ······································································ 98

3.  대외적 법체계 정합성  :  「신용정보법」의 정비  ··········································· 100

가.  「신용정보법」의 의미와 개인신용정보의 범위 확장 ······························ 100

나.  ‘마이데이터’  사업과 개인신용정보 ·························································· 104

다.  소결  ··········································································································· 109

4.  대내적 법체계 정합성  :  특례조항의 정비 ···················································· 115

가.  배경 및  필요성 : 개인정보 보호규정의 화학적ㆍ실질적 통합 ············· 115

나.  정보통신서비스 제공자 특례규정 현황 ·················································· 117

다.  중복ㆍ유사규정의 정비 ············································································· 121

라.  정보통신서비스 제공자 특수제도의 전면 재검토 필요 ························ 126

5.  벌칙규정의 개선 ······························································································· 131

가.  개선 필요성 ································································································ 131

나.  비형평적 형벌규정 현황 ··········································································· 132

다.  개선과제 ····································································································· 133

6.  결론 ···················································································································· 135

참고문헌 ·················································································································· 137

저자소개 ·················································································································· 141

79

1.� 서론

ㅇ통합  「개인정보  보호법」은  개인정보  보호의  일반법ㆍ기본법으로서  그  역할을  다해야  하나 

몇 차례의 개편을 거쳤음에도 불구하고 여전히 다음과 같은 한계를 내포하고 있음.

- 대외적  법체계  정합성  미비 : 우리나라의  개인정보  보호법제가  일반법을  중심으로 

법령의  체계성을  맞추어  가면서  제ㆍ개정된  것이  아니라  영역별  필요에  의해 

우후죽순으로  만들어진  법령을  그대로  존치한  채  「개인정보  보호법」을  후발적으로 

마련한  바,  법령  간  체계성이  부족함(특히  「신용정보법」은  신용정보의  개념의  무리한 

확장으로  「개인정보 보호법」의 일반법으로서의 지위를 불명확하게 만들 수 있음)

- 대내적  법체계  정합성  미비 : 「정보통신망법」의  규정을  ‘기계적’으로  이관시켜  기존의 

개인정보  보호  규정과  물리적ㆍ형식적  통합을  이루었을  뿐  통합  「개인정보  보호법」 

내의 조문 간 체계 부정합도 개선될 필요가 있음.

ㅇ개인정보  보호법령의  체계  부정합은  결국  독립된  감독기구로서  개인정보  보호위원회의 

위상을 약화시키고,  「개인정보 보호법」의 집행력을 떨어뜨리게 됨.

- 영역별  법령  혹은  특례규정이  우선  적용되고,  결국  영역별  소관부처의  지도감독이 

우선시되면서  독립된  개인정보  감독기구로서  개인정보  보호위원회의  실질적  권한과 

역할이 제 기능을 발휘하지 못하게 될 수 있음.

ㅇ따라서  본  연구에서는  통합  「개인정보  보호법」이  가지는  의미를  분석하고  향후 

개선되어야 할 과제를 법령의 체계 정합성 측면에서 검토하고자 함.

2.� 통합� 개인정보� 보호법의� 입법배경과� 의의

가.� 입법배경

ㅇ4차산업  혁명시대  데이터  활용  수요  충족 : 가명정보의  처리  및  활용에  대한  국가적 

수요에 부응하기 위해 정보주체의 동의 없이 가명정보를 처리할 수 있는 규정을 마련함.

ㅇ중복ㆍ유사  규정의  정비 : 「정보통신망법」과  중복ㆍ유사  규정을  「개인정보  보호법」으로 

통합함으로서 일반법으로서  「개인정보 보호법」의 지위 강화 및 수범자 혼란 방지

ㅇ개인정보  감독기구의  위상  강화 : 감독기관의  다원화로  인해  집중적이고  효율적인 

감독기능이  이루어지고  있지  못함에  따라  개인정보  보호기능을  보호위원회로  일원하고 

보호위원회의 위상 및 기능을 강화함. 

요약문

80

나.� 의의

ㅇ개인정보  보호  분야의  일반법ㆍ기본법적  지위  확보 : 개인정보  보호의  특별법  만개는 

절제되어야  하고,  특별법이  필요하다고  하더라도  입법자는  그  적용범위와  내용을  가능한 

명확하게 설정하면서 소수의 예외규정만으로 운영해야 함.

-  「개인정보  보호법」은  기본법으로서  개인정보  보호분야에  있어서  지도법,  지침법으로서 

개별법을  유도하는  역할을  담당하는  만큼  그  특별한  규정의  내용은  「개인정보 

보호법」의 기본이념과 원칙에 위배되어서는 아니 되고,  위배될 경우 그 원칙에 부합하는 

방향으로 개정 혹은 해석되어야 함.

ㅇ개인정보  보호  거버넌스  확립,  특별한  예외적  사유가  아닌  한  개인정보  집행체계는 

개인정보 보호위원회 중심으로 통합되어야 함.

- 개인정보  보호위원회가  존재함에도  불구하고  영역별  집행의  범위가  확산된다면 

개인정보 보호위원회는 형식화ㆍ형해화될 수밖에 없음.

ㅇ국제규범과의  조화 :데이터는  국경과  관계없이  이동하며  처리되므로  국제규범에  동떨어진 

갈라파고스적 규범은 신중을 기하여야 함.

3.� 대외적� 법체계� 정합성� :� 「신용정보법」의� 정비�

가.� 「상법」� 제46조� 각� 호에� 규정된� 기본적� 상행위� 거래정보� 삭제

ㅇ개인정보 보호는 기본적으로 인권법 내지는 정보법에서 다뤄야 할 부분이며,  상사특별법인 

「신용정보법」을 통하여 이러한 원칙이 훼손되어서는 안 됨.

ㅇ그러나  개인신용정보의  범위를  무한  확장함으로서  결국  일반법ㆍ기본법으로서  「개인정보 

보호법」의 위상을 위태롭게 하고 있음.

- 「신용정보법」상  ‘신용정보’로  규정한  「상법」  제46조  각  호에  규정된  상행위들은  기본적 

상행위로서  경험적으로  상인들이  주업으로  삼아  왔던  것을  명문화한  것으로  기본적 

상행위에 따른 상거래의 종류,  기간,  내용,  조건  등에  관한 정보는 상환 또는  지불능력을 

판단하는 신용정보보다 그 범위가 방대함.

ㅇ따라서  「상법」  제46조에 따른 상행위에 따른 상거래의 종류,  기간,  내용,  조건 등에 관한 

정보’를  신용정보의  범주에서  삭제하고,  신용판단의  기초가  될  수  있는  거래정보로 

제한하여야 함.

81

나.� 개인정보� 보호위원회로의� 기능� 일원화

ㅇ기존의  다중규율체계가  우리나라  개인정보  보호  법체계상  자리  잡고  있는  것은  이러한 

규율체계가  바람직하다는  이론적,  실무적  이유에  근거하고  있는  것이  아니라  일반법인 

「개인정보  보호법」을  제정하는  과정에서  정비(개정이나  폐지,  삭제)되어야  할  특별법들이 

남아있다  보니  해당  법영역을  규율하는  국가기관들이  감독기능을  행사해  온  것에 

불과함.

ㅇ민간영역의  감독체계  분산은  결국  중복규제,  감독의  비일관성  등의  문제가  발생할 

수밖에 없음.

- 금융위원회  등  분야별  개별법상  개인정보  보호기관은  관련  산업의  진흥을  동시에 

고려해야  할  뿐만  아니라  소관  행정부처  혹은  관련  업계의  이해관계나  압력으로부터 

자유롭지 못할 가능성이 높음.

- 특히 신용능력의 판단에 직간접적 영향을 주는 모든 정보가 신용정보라면,  개인정보 중 

신용정보에  해당되지  않는  정보는  몇  안  될  것이며  결국  금융위원회가  개인정보 

보호의 핵심기관이며,  개인정보 보호위원회는 형식화ㆍ형해화될 수 있음.

- 무엇보다도  행정각부에서는  다른  부처의  개인정보  보호  관련  업무에  대해  독립적인 

지위에서 감독기능을 제대로 수행하기 곤란함

ㅇ따라서  관할이  모호하거나  중복되는  개인정보처리자에  대하여는  당연히  개인정보 

보호위원회가 감독기능을 행사하는 것이 타당함.

4.� 대내적� 법체계� 정합성� :� 특례조항의� 정비

가.� 「개인정보� 보호법」상� 개인정보� 보호� 규정의� 화학적ㆍ실질적� 통합

ㅇ2011년  민간과  공공을  모두  규율하는  통합  「개인정보  보호법」이  마련되었음에도 

불구하고  사실상  오프라인(개인정보  보호법)과  온라인(정보통신망법)으로  이원화되어 

운영되고 있음.

ㅇ실제  온라인과  오프라인의  규율법리를  달리  하여야  하는  실익이  있어서라기보다는 

주무부처 간 소관을 둘러싼 갈등과 반목에 기인한다고 볼 수 있음.

ㅇ특히  데이터3법의  개정으로  추진체계가  개인정보  보호위원회로  통합ㆍ개편되고  법제 

또한  「개인정보  보호법」  중심으로  정비되었음에도  불구하고  개인정보  보호에  관한 

이분법적 법제는 여전히 존속

82

- 개정  전  「정보통신망법」의  규정들이  삭제  또는  통합되지  않고  그대로  「개인정보 

보호법」  제6장으로  이관되어  개인정보처리자  중  ‘정보통신서비스  제공자등’에게 

적용되는 특례(特例)  규범으로 존치하고 있기 때문임.

ㅇ특히 이러한 특례규정은 다음과 같은 심각한 문제점을 내포

- 특례규정  적용범위의  광범위성 : 개인정보  보호법상의  특례  규정의  적용  대상은 

정보통신서비스  제공자뿐  아니라  정보통신서비스  제공자로부터  개인정보를  제공받은 

‘제3자’(공공/민간  불문)를  포괄하는  개념인  ‘정보통신서비스  제공자등’으로  대부분의 

개인정보처리자가 모두 해당됨.

- 일반규정은  오프라인  규정으로  전락 : 2011년  제정된  「개인정보  보호법」의  적용은 

당연히 온ㆍ오프라인을 모두 포괄하되,  2011년  우리나라 인터넷 이용률이  78%였음을 

감안할 때,  온라인에서의 개인정보처리를 전제로 한 것이라고 할 수 있음.

- 제정이유에서도  ‘정보사회의  고도화’를  전제로  하고  있으며,  당시  이미  업무상 

개인정보를 처리하는 대부분의 영역은 온라인에서의 처리를 기본으로 하고 있었음.

ㅇ따라서  특례규정을  통합,  정리함에  있어  원칙과  기준은  「정보통신망법」이  아니라 

「개인정보 보호법」의 일반규정이어야 함.

- 이에  비추어  볼  때  「정보통신망법」의  고유한  제도가  그대로  「개인정보  보호법」에 

포함된 것에 대하여는 그 타당성을 검토하고 수용 여부를 결정할 필요가 있음.

나.� 중복ㆍ유사규정의� 정비

ㅇ고지-동의에  의한  수집ㆍ이용(개인정보  보호법  제39조의3  제1항) : 일반규정과  특례규정이 

거의  차이가  없으며,  오히려  일반규정의  고지사항을  포괄하므로  일반규정으로  통합하는 

것이 바람직함.

ㅇ동의  없는  수집ㆍ이용(개인정보  보호법  제39조의3  제2항) : 특례규정은  모두  일반규정에 

의해 해석론으로 해결 가능하므로 일반규정으로 통합하는 것이 타당함.

- 일례로  특례규정은  “정보통신서비스의  제공에  따른  요금정산을  위하여  필요한  경우”도 

별도로  규정하고  있으나,  요금정산은  대부분  계약의  내용에  포함되며,  설사  그렇지 

않다  할지라도  일반규정  제6호인  ‘개인정보처리자의  정당한  이익을  달성하기  위하여 

필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우’에 해당됨.

ㅇ필요최소한의  수집  원칙(개인정보  보호법  제39조의3  제3항) :일반규정과  거의  대동소이하므로 

일반규정으로 통합하는 것이 바람직함.

83

- 다만,  특례규정은  유출  외에  분실ㆍ도난의  경우도  병렬적으로  함께  열거하고  있으나, 

유출은  고의ㆍ과실  여부를  불문하고  개인정보처리자의  관리  범위를  벗어나  개인정보가 

외부에  공개,  제공,  누출,  누설된  모든  상태를  의미하며,  분실이나  도난은  유출의 

하나의 원인이 될 수 있을 뿐,  병렬적 개념이라고 하기는 곤란함.

- 또한  일반규정은  ‘지체  없이’라고  규정하고  표준지침을  통해  5일  이내에  유출을 

통지하도록  규율하고  있으나(표준지침  제26조  제1항),  특례규정은  법률차원에서 

24시간 이내에 통지ㆍ신고하도록 규정

- 그리고  일반규정은  보호위원회  등에  신고요건을  ‘1천명  이상’  정보주체의  개인정보가 

유출된  경우로  제한하고  있으나,  특례규정은  이러한  제한  없이  단  1명의  개인정보가 

유출되어도 보호위원회 등에 신고하여야 함.

- 다만  특례규정인  「개인정보  보호법」  제39조의3  제3항은  제16조  제3항의  내용에 

추가하여  ‘필요한  최소한의  개인정보’에  대하여  ‘본질적  기능을  수행하는  데  필수적인 

정보’라고 개념을 정의하고 있으나,

- 일반규정  역시  목적에  필요한  최소한의  개인정보  수집을  규정하고  있는  바(개인정보 

보호법  제16조  제1항),  결국  목적의  수행에  필요한  최소한의  정보가  본질적  기능을 

수행하는 데 필수적인 정보라고 할 수 있음. 

ㅇ아동에  대한  조치(개인정보  보호법  제39조의3  제4항) : 일반규정과  특례규정  모두  만 

14세  미만의  경우  법정대리인의  동의를  받도록  규정하고  있으며,  다만  특례규정의  경우 

대통령령이 정하는 바에 따라 법정대리인이 동의하였는지를 확인하도록 규정하고 있음.

- 개인정보  처리를  수반하는  대부분의  서비스가  온라인으로  이루어지며  오프라인에서도 

실제  부모님의  신분증이나  인장을  도용하여  법정대리인의  동의가  있는  듯  만드는 

사례가  있을  수  있으므로  오히려  특례규정의  내용을  일반규정으로  도입하는  방안에 

대한 검토가 필요함.

ㅇ개인정보  유출등의  통지ㆍ신고(개인정보  보호법  제39조의4) : 일반규정과  특례규정  모두 

유출사실을  안  때  일정한  사항을  정보주체에게  고지하고,  보호위원회  또는  전문기관에 

신고하도록 규정

84

- 규제  형평 : 유럽이나  미국,  일본과  비교법적으로  볼  때  국내에만  있는  제도로서, 

국내외 기업 간 규제 형평 차원에서 전면 재검토가 필요함.

- 제도의  실효성 : 실제  이용자는  개인정보처리자의  고지ㆍ통지  등에  대하여  일일이 

확인하지 않는 것으로 나타나는 바,  ‘미이용 개인정보 파기 또는 분리보관’에  대한 통지 

내용을  정보주체가  정확히  인식하는지,  궁극적으로  정보주체의  권익보호에  과연 

기여하는지 의문임.

- 양립가능  이용  규정에  배치 : 이번  통합  「개인정보  보호법」에  도입된  양립가능  이용 

규정,  즉  당초  수집  목적과  합리적으로  관련된  범위에서  정보주체의  동의  없이  이용할 

수 있도록 규정(개인정보 보호법 제15조 제3항)한 것과도 배치될 여지가 있음.

- 정보보안 : 특정  데이터를  분리하여  별도로  저장ㆍ관리하는  것  자체가  데이터  보안 

위협을  증대시키는  것이므로  바람직하지  않으며,  개인정보  보안을  위한  가장  정확한 

해결책은  모든  데이터가  한  장소에  집중되어  저장되지  않도록,  탈-중앙집중화시키며 

종단 간 암호화된 서비스의 생성과 사용을 장려하는 것임.

- GDPR만  하더라도  개인정보  침해가  자연인의  권리와  자유에  위험을  초래할  가능성이 

있는  경우에만  신고의무가  부과되고  있으며,  정보주체에  대한  통지의무도  일정한  경우 

면제됨을 비추어 볼 때 특례규정은 지나치게 과도하다고 볼 수 있음.

- 즉,  유출로  인한  위험이  없는  상태에서,  개인정보처리자가  조치의무를  다  하였음에도 

불구하고  공적기관에  단  한  번의  유출도  일일이  신고해야  하는  의무를  부과하는  것은 

그  공익적  목적  달성과는  별개로  개인정보처리자에게  과도한  의무가  될  수  있으므로 

공적기관에  대한  신고는  정보주체에  야기될  위험정도를  고려하여  제한하는  것이 

바람직함.

- 규제  형평 : 전  세계적으로  거의  유일무이한  제도로서  국내외  기업  간  규제  형평 

차원에서 그리고 규제의 실효성 차원에서 전면 재검토가 필요함.

다.� 정보통신서비스� 제공자� 특수제도의� 전면� 재검토� 필요

ㅇ장기 미이용자의 개인정보 파기제도(개인정보 유효기간제도, 개인정보 보호법 제39조의6)

ㅇ개인정보 이용내역 통지 제도

85

- 제도의  실효성 : 서비스  이용에  있어서  가장  중요한  약관조차도  이용자의  72.18%가 

읽지  않고  동의한다고  답한  것에  비추어  볼  때  과연  이용자가  개인정보  이용내역을 

정확히 읽고 개인정보 보호를 위한 적극적 조치에 취하게 될지는 의문임.

- 정보보안 : 개인정보  이용내역  통지제도를  악용한  ‘피싱’이나  ‘스미싱’  공격  위험도 

발생위험을 높이게 되는 결과를 초래할 수 있음.

5.� 벌칙규정의� 개선

가.� 비형평적� 형벌규정� 현황

ㅇ위법성의  정도나  비난가능성이  크게  다르지  않음에도  불구하고  동일 / 유사한  행위위반에 

대하여  일반  개인정보처리자와  정보통신서비스  제공자  간  형벌의  차이가  지나치게  크다고 

할 수 있음.

ㅇ고지-동의에 의한 수집ㆍ이용(개인정보 보호법 제15조 제1항 및 제2항, 제39조의3 제1항)

- 일반  개인정보처리자에게는  위반시  5천만원  이하의  과태료이나,  정보통신서비스 

제공자에 대하여는  5년 이하의 징역 또는  5천만원 이하의 벌금

ㅇ아동에 대한 조치(개인정보 보호법 제22조 제6항,  제39조의3 제4항)

- 일반  개인정보처리자에게는  위반시  5천만원  이하의  과태료이나,  정보통신서비스 

제공자에 대하여는  5년 이하의 징역 또는  5천만원 이하의 벌금

ㅇ정정ㆍ삭제 필요조치 위반

- 일반  개인정보처리자는  2년  이하의  징역  또는  2천만원  이하의  벌금에  처하도록 

규정하고  있으나,  정보통신서비스  제공자등에게는  5년  이하  징역  또는  5천만원  이하 

벌금 규정

ㅇ파기 규정 위반

- 일반  개인정보처리자는  5천만원  이하의  과태료를  부과하도록  규정하고  있으나, 

정보통신서비스 제공자는  2년 이하 징역 또는  2천만원 이하 벌금을 규정

나.� 개선과제

ㅇ비형평적  제재규정의  정비 : 「개인정보  보호법」의  일반규정  제재규정을  기준과  원칙으로 

하되,  개별적  행위태양의  차이,  불법의  크기가  다름이  명확한  경우에만  합리적으로  그 

제재수준을 조율하여야 할 것임.

86

- 통합  「개인정보  보호법」이  오프라인  개인정보처리자만을  상정하고  만들어진  것이 

아니므로 양자를 이렇게 달리 규정하는 것은 타당하지 않음.

- 공공기관에  해당되는  개인정보처리자의  위법성이  정보통신서비스  제공자보다  현저히 

낮다고  볼  수  없는바,  현행  정보통신  서비스제공자에  대한  처벌수위는  상대적으로 

높다고 볼 수 있음.

ㅇ과도한  형벌수위에  대한  재검토 : 통상  「개인정보  보호법」  위반은  인격적  법익을  침해에 

대한 처벌인 바,  유사한 형법상 형벌과 균형이 필요함.

- 형법상  명예훼손죄,  모욕죄  등의  법정형은  크게  3년  이하  징역이나  7백만원  이하 

벌금을 넘지 않는 것에 비할 때 전체적으로 과중하다고 볼 수 있음.

- 특히 과징금과 형벌의 병과는  ‘비례의 원칙’  측면에서 전면적 재검토가 필요함.

87

통합� 개인정보� 보호법의� 의의� 및� 개선� 방향

개인정보 보호법의 체계 정합성 확보를 중심으로

김현경 ㅣ서울과학기술대학교  IT정책전문대학원

1. 서론

우리나라는 거의  20년간 공공,  정보통신,  금융,  의료 등 영역별 개인정보 보호 법체계를 

유지하고  있었다.  국가ㆍ지방자치단체ㆍ공공기관  등  공공  영역(public  sector)의  개인정보 

처리를  규율하는  「공공기관의  개인정보  보호에  관한  법률」(이하  ‘공공기관  개인정보 

보호법’)을  비롯하여,  민간  정보통신영역의  「정보통신망  이용촉진  및  정보보호  등에  관한 

법률」(이하  ‘정보통신망법’),  금융영역의  「신용정보의  이용  및  보호에  관한  법률」(이하   

‘신용정보법’)  등이  대표적이다.  특히  민간의  대부분의  개인정보처리가  정보통신망을  통해 

이루어지면서  「정보통신망법」은  마치  민간  영역에  관한  사실상의(de-facto)  개인정보  보호 

일반법으로 작용하게 되었다.1

이러한  영역별  개인정보  보호법체계는  다음과  같은  비판에  직면하게  되었다.  우선, 

개인정보  보호가  중요한  인권적  문제임에도  불구하고  이에  대한  공공과  민간의  영역을 

포괄하는 일반법이 없어 개인정보 보호의 사각지대가 발생하게 되고,  여러 법령의 난립으로 

수범자  혼란이  야기되며,  개인정보  보호의  법정화된  기준과  원칙이  미비하다는  것이다.2

1 이인호,  “한국 정보법의 발전 동향”, 공법연구 제35집 제4호, 한국공법학회(2007),  199쪽

2 2011.  3.  29.  법률  제10465호로  제정된  개인정보  보호법의  제정이유에  대하여  “정보사회의  고도화와  개인정보의 

경제적  가치  증대로  사회  모든  영역에  걸쳐  개인정보의  수집과  이용이  보편화되고  있으나,  국가사회  전반을 

규율하는  개인정보  보호원칙과  개인정보  처리기준이  마련되지  못해  개인정보  보호의  사각지대가  발생할  뿐만 

아니라,  최근 개인정보의 유출ㆍ오용ㆍ남용 등 개인정보 침해 사례가 지속적으로 발생함에 따라 국민의 프라이버시 

침해는  물론  명의도용,  전화사기  등  정신적ㆍ금전적  피해를  초래하고  있는  바,  공공부문과  민간부문을  망라하여 

국제  수준에  부합하는  개인정보  처리원칙  등을  규정하고,  개인정보  침해로  인한  국민의  피해  구제를  강화하여 

국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것임”이라고 밝히고 있다.

88

이에  2011년  9월  30일  공공기관  개인정보  보호법이  폐지되고  공공과  민간을  모두 

규율하는  일반법으로서  「개인정보  보호법」이  시행되었다.  그러나  이러한  「개인정보 

보호법」의  시행에도  불구하고  영역별  법령은  여전히  존재하고  있었고,  특히  대부분의 

개인정보가  디지털화된  형태로  정보통신망을  통해  처리되면서  「정보통신망법」과의 

중복ㆍ충돌은  오히려  「개인정보  보호법」의  일반법으로서  역할을  축소  혹은  배제시키게 

되었다.  따라서  2020년  「정보통신망법」의  개인정보  보호  규정을  통합한  「개인정보 

보호법」의 개정이 이루어졌고  8월  5일자로 시행되었다. 

통합  「개인정보  보호법」은  개인정보  보호의  일반법ㆍ기본법으로서  그  역할을  다해야  할 

것이다.  그러나 이러한 큰  맥락에서 몇  차례의 개편을 거쳤음에도 불구하고 통합  「개인정보 

보호법」은  여전히  다음과  같은  한계를  내포하고  있다.  첫째,  개인정보  보호에  있어서  법령   

간  체계  정합성의  미비다.  우리나라의  개인정보  보호법제가  일반법을  중심으로  법령의 

체계성을  맞추어  가면서  제ㆍ개정된  것이  아니라  영역별  필요에  의해  우후죽순으로 

만들어진  법령을  그대로  존치한  채  「개인정보  보호법」을  후발적으로  마련한  바,  법령  간 

체계성이  부족하다.  그  결과  여전히  개인정보  보호  관련  법령은  금융,  의료,  교육,  근로  등 

영역별로만 본다 할지라도 너무나 많다. 

둘째,  앞서  언급한  대외적  법령  체계성뿐만  아니라  통합  「개인정보  보호법」  내의  조문   

간  체계  부정합도  개선될  필요가  있다.  「정보통신망법」의  규정을  별도의  장으로(제6장 

정보통신서비스  제공자  등의  개인정보  처리  등  특례)  ‘기계적’으로  이관시켜  기존의 

개인정보  보호  규정과  물리적ㆍ형식적  통합을  이루었을  뿐  화학적ㆍ실질적  통합을  이루지 

못하였다.  그  결과  기존  「개인정보  보호법」의  규정들은  이러한  특례규정들에  의해  오히려 

무력화될  우려가  발생하게  되었다.  뿐만  아니라  「정보통신망법」의  일부  특례조항은 

국내에만  존재하는  갈라파고스  규제를  포함하고  있으며,  벌칙조항  역시  훨씬  엄격한 

「정보통신망법」의 형사벌 규정을 그대로 포함하고 있다.

셋째,  2020년  개정을  통해  행정안전부,  방송통신위원회의  개인정보  보호의  분산된 

기능을  개인정보  보호위원회로  이관하고  기존  심의기구에  불과한  개인정보  보호위원회를 

독립된  감독기구로  법률상  그  위상을  강화하였다.  그러나  개인정보  보호위원회의  근거법인 

「개인정보  보호법」은  일반법이므로  영역별  개별법이  우선  적용되며,  영역별  법령이 

체계화되지  못한  상황에서  수범자  역시  개인정보  보호위원회의  지도감독에  앞서  영역별 

소관부처의  지도감독을  우선시  하게  된다.  따라서  독립된  개인정보  감독기구로서  개인정보 

보호위원회의 실질적 권한과 역할의 확보가 현실화될 필요가 있다. 

89

이러한  한계가  가장  최근  대표적으로  드러난  사례가  바로  「신용정보법」이다.  최근 

금융위원회는  ‘신용정보’에  ‘「상법」  제46조에  따른  상행위에  따른  상거래의  종류,  기간, 

내용,  조건  등에  관한  정보’를  포함하여  모든  기본적  상행위  거래정보가  신용정보에 

포함되도록  규정함으로서  ‘개인신용정보’의  범위를  확장하였다.  이러한  개인신용정보의 

무분별한  범위  확장은  개인정보  영역의  일반법이자  기본법인  「개인정보  보호법」의  의미를 

희석화시킬  우려가  있다.  특별법  우선의  원칙에  따라  개인신용정보에  대하여는 

「신용정보법」이  「개인정보  보호법」에  우선하여  적용되므로  개인신용정보의  범위  확장은 

「신용정보법」의  적용영역  확장을  의미하며  이는  상대적으로  「개인정보  보호법」의 

적용범위를  축소시키게  된다.  「신용정보법」은  일종의  상사특별법이며  그  본질이  개인정보에 

관한 법이 아님에도 불구하고  「신용정보법」과 금융위원회의 개인정보에 대한 관할은 오히려 

「개인정보 보호법」이나 개인정보 보호위원회를 능가할 수 있다. 

본  연구에서는  이러한  문제의식을  기반으로  통합  「개인정보  보호법」이  지니는  한계를 

분석하고 향후 개선되어야 할 입법과제를 제안하고자 한다. 

2. 통합 「개인정보 보호법」의 입법배경과 의의

가.� 입법배경� 및� 주요내용

통합  「개인정보  보호법」은  데이터  3법(개인정보  보호법ㆍ정보통신망법ㆍ신용정보법)의 

개정과정에서 함께 이루어졌다.  그 입법배경은 다음과 같다.

1)� 데이터� 활용� 수요� 충족

디지털 경제의 핵심이 데이터라는 것은 누구도 부인할 수 없다.  인공지능에 기반한 모든 

기술ㆍ서비스  구현의  필수불가결한  요소는  ‘데이터’다.  5G  네트워크  구축에  수  조원이 

필요하다고  하나  그에  걸맞은  양의  데이터가  유통되지  않는다면  불필요한  투자다.  그러나 

우리나라는  개인정보의  처리에  있어서  엄격한  동의와  법률의  각종  규제로  인해  그  활용이 

용이치  않았다.  특히  가명정보의  처리에  있어서  산업계와  학계,  시민단체  간  그  활용을 

둘러싼 견해의 갈등이 첨예하였다.  그럼에도 불구하고  4차 산업혁명,  인공지능 기술의 발달 

등에  대한  국가적  수요에  부응하기  위하여  데이터  활용의  기반을  다지는  법령  개정이 

필연적이었다.  특히 국내에서 자주 모델법으로 거론하는  EU  일반  개인정보 보호규칙(General 

Data  Protection  Regulation,  이하  “GDPR”)의  가명정보  처리  규정은  우리에게  시사하는 

90

바가  컸다.  따라서  이러한  데이터  환경을  반영하여  산업계ㆍ학계  등으로부터  「개인정보 

보호법」의 개정이 강하게 요구되었다. 

그  결과  통합  「개인정보  보호법」은  개인정보의  법적  정의에  기존  개인정보  외 

가명정보ㆍ익명정보를  도입하였고,  개인정보의  활용  및  확대,  개인정보  보호위원회의  위상 

강화  등이  개선되었다.  또한  가명정보에  한하여  정보주체  동의  없이  통계  작성ㆍ과학적 

연구ㆍ공익적 기록 보존 목적으로 처리할 수 있게 되었다. 

2)� 중복ㆍ유사� 규정의� 정비

「정보통신망법」은  ｢개인정보  보호법｣과  유사하고  중복되는  조항이  다수  규정되어  있는 

문제점이  있었다.  대부분의  개인정보처리자가  정보통신서비스  제공자에  해당되므로  결국 

「정보통신망법」이  민간분야  개인정보  보호에  있어서  일반법처럼  작용하게  되었다.  국민 

입장에서는  「개인정보  보호법」과  「정보통신망법」  간  적용법규에  혼란이  있을  수밖에  없고, 

일반법으로서  「개인정보  보호법」의  지위  역시  형해화될  우려가  있었다.  「정보통신망법」에 

개인정보  보호규정이  대거  담겨있지만  본질적으로  정보통신망을  이용  촉진하고자  제정된 

법이며,  개인정보  보호를  본질로  하는  법은  아니다.  따라서  「정보통신망법」상  개인정보 

보호에 관한 내용을 삭제하고 관련 내용을  「개인정보 보호법」으로 이관하였다. 

3)� 개인정보� 감독기구의� 위상� 강화

우리나라의  당시  개인정보  감독기구의  기능과  권한은  행정안전부,  방송통신위원회, 

금융위원회  등에  분산되어  있었다.  행정안전부장관이  일반적인  강력한  집행권한을  가지고 

있고,  정보통신  분야에서는  방송통신위원회가,  개인신용정보에  대하여는  금융위원회가 

집행권한을  가졌다.  대통령  소속의  개인정보  보호위원회가  있지만  일부  사항에  관한 

심의기능을  수행할  뿐이었다.  즉,  감독기관의  다원화로  인해  집중적이고  효율적인 

감독기능이  이루어지고  있었다고  보기  힘들다.  이러한  이유로  행정안전부가  「개인정보 

보호법」  중심의  전체  GDPR의  적정성  평가를  추진하였으나,  2016년  10월  개인정보 

감독기구의  적격성이  미비하다는  이유로  평가  불가  통보를  받았다.  이후  방송통신위원회가 

부분  적정성  평가를  추진했지만  이마저도  「정보통신망법」이  개인정보  보호조치를  모두 

포괄하지 못한다는 이유 등으로 무산되었다. 

이러한  점을  해결하기  위하여  통합  「개인정보  보호법」은  개인정보  보호위원회를 

국무총리  소속  중앙행정기관으로  격상하는  한편,  현행법상  행정안전부와  방송통신위원회의 

기능을  개인정보  보호위원회로  이관하고,  개인정보  보호위원회에  관계  중앙행정기관의 

91

장에게  공동조사  및  처분  등에  대한  의견제시권을  부여하는  등  독립된  감독기구로서 

개인정보 보호위원회의 위상과 기능을 강화하였다.

나.� 의의

1)� 개인정보� 보호의� 기본법ㆍ일반법

가)� 영역별� 보호의� 원칙과� 한계� :� 법령� 간� 체계� 정합성� 확보

법의  ‘정합성’이라  함은  동일  사안에  법령을  적용함에  있어서  중복,  혼란,  불일치  그리고 

사각지대  등이  발생하지  않음을  의미한다.3 즉,  법을  적용함에  있어  관련법  간에  논리적 

통일성이  유지되어  있고  각  상황에  부합하는  적절한  법이  존재하는  것을  의미한다.  어떠한 

사안에  대해서도  적법한  법령이  존재하며,  동일  또는  유사한  사안에  적용되는  법령들  간에 

충돌이나 모순이 없어야 한다.  또한 헌법원리에 부합하는 법체계가 형성되어 있거나 해석을 

통하여  그러한  상태의  구현이  가능한  법적  상태가  형성되어  있어야  한다.4 즉,  모순  없이 

일관성과  흠결  없는  완전성을  포함하는  상위개념으로5 이러한  체계  정합성을  유지하기 

위한 입법적 기술 중 하나가  ‘일반법-특별법’  혹은  ‘기본법-개별법’의 적용관계다.

①� ‘일반법’과� ‘특별법’

입법기술상  기존  법리의  유추적용이  가능하고,  다만  세부ㆍ기술적  사항만이  다를  경우에는 

특별법  제정보다는  일반법의  보완이  더  나은  방식이다.  반면에,  기존  법리의  유추적용으로 

해결할  수  없는  경우에는  특별법의  입법이  요청된다.  예컨대,  형법상의  개념보완을  통한 

사이버범죄의  규율이  가능하다면(절도죄의  물건을  생각해보라),  굳이  특별법을  제정할  필요는 

없다.  반면에,  전자거래가  그  성립시기,  방식,  목적  등의  측면에서  기존의  민법상  법리로 

해결이 불가능할 경우 새로운 입법이 요청된다(「전자문서 및 전자거래 기본법」을 생각해보라).

3 일각에서는  유사하게  체계정당성(Systemgerechtichkeit)  또는  체계적합성(Systemgemäßheit)으로  설명하기도 

한다.  체계정당성(Systemgerechtichkeit)  또는  체계적합성(Systemgemäßheit)이란  입법기능에서  존중되어야  하는 

원칙으로서  법규범  상호간에는  규범구조나  규범내용면에서  서로  상치  내지  모순되어서는  아니  된다는 

원칙이다(허영,  ｢한국헌법론｣,  박영사,  2011,  890면,  헌재  1995.  7.21.  선고  94헌마136  결정).  즉,  어떠한 

법령이  전체  법질서나  다른  법령  간의  관계에  있어서  불일치하거나  모순되지  않아야  한다는  원칙이며,  법령의 

수직적  및  수평적  체계를  유지하도록  하여  법규범의  구조,  체계  및  내용이  모순⋅충돌되지  않도록  하는  것을 

의미한다(박영도,  “특별법  입법체계  개선방안”,  한국법제연구원,  2012,  70-71면  참조;  홍완식,  “체계정당성의 

원리에 관한 연구”, 토지공법연구 제29집, 한국토지공법학회,  2005.  12,  469면). 

4 양석진,  “정보공개법과 개인정보 보호법의 법체계 정합성 고찰”, 법학연구 제33집(2009), 한국법학회,  434~435쪽.

5 오세혁,  “규범충돌  및  그  해소에  관한  연구 :규범체계의  통일성을  중심으로”,  서울대학교  대학원  박사학위논문, 

2002,  49쪽.

92

기존의  법을  개정하여  문제를  포섭할  것인가  아니면  특별법을  제정할  것인가는  새로운 

법  현상의  크기와  정도  그리고  파급효과를  고려하여  결정해야  한다.  법적용의  기본원리가 

동일한지  여부  또한  하나의  기준이  된다.  두  법  현상이  다른  기본원리와  관점을  가지고 

규율되어야  한다면  별도의  특별법을  통해  새로운  법  원리를  천명하는  것이  바람직하다. 

그러나  기본원리는  동일하나  세부적  사항에  대한  특칙이  필요한  경우  특별법  제정은 

오히려  과다한  입법으로  수범자  혼란만  야기하고,  법의  적용에  있어서  중복ㆍ충돌만 

발생시킬  수  있다.  또한  특별법이  많아지면  전체  법체계를  이해하기  어렵게  되고  법적용상 

혼란이 발생할 수 있으므로 특별법을 만드는 경우에는 신중을 기하여야 한다. 

②� 기본법과� 개별법

우리나라의 경우 기본법이라는 용어는 법제실무에 있어서 다양한 뜻으로 사용되고 있다. 

첫째,  실생활에  있어서  광범위한  역할을  발휘하는  개별법령  또는  일단의  법군을 

의미한다(예:  헌법ㆍ민법ㆍ상법ㆍ형법ㆍ소송법ㆍ행정법을  기본육법이라  정의하는  것).  둘째, 

동일  위계에  속하는  법령임에도  불구하고  어떤  특정한  사항을  통일적으로  규율하기  위하여 

어느  하나의  법령을  다른  법령들보다  우월한  지위에  놓는  것을  의미한다(예:  조세감면에 

대한  사항은  조세특례제한법의  통제를  받도록  하는  것).  셋째,  어떤  분야의  정책에  있어서 

그 기본방향을 제시하고 있는 법령을 의미한다.6

어떠한  의미라  할지라도  기본법은  일정한  분야의  정책에  관한  법령의  총괄규범으로서 

당해  정책분야에  대한  모든  부서의  정책  및  법령의  체계화에  기여하게  된다.  국가차원에서 

그  분야의  정책이  중요하고  중점을  두어  추진한다는  인식을  제시하고  그  책무나  결의를 

명확히  함과  더불어  제시된  방향  및  지침에  따라  계획적ㆍ종합적ㆍ장기적  정책추진이 

가능하다.  또한  당해  정책의  이념이나  기본이  되는  사항을  정하고  그에  의거하여  시책을 

추진하거나  제도의  정비를  도모함으로서  관련  제도의  체계화를  추구할  수  있다.  단기적 

사안이  아닌  장기적ㆍ종합적  사안에  대한  정책방향  제시가  필요한  분야에  대한  입법이다. 

무계획적  입법으로  인한  법령  수의  증대,  법제의  고도화ㆍ복잡화  등에  수반되는  법률  간의 

모순ㆍ충돌 발생 등에 대응하여 제도ㆍ정책의 통일성ㆍ체계성을 확보할 수 있다. 

6 이하의 논의는 박영도,  “기본법의 입법모델 연구”, 한국법제연구원,  2006 참조.

93

나)� 「개인정보� 보호법」의� 지위

개인정보  보호  영역에서  일반법이  갖춰야  하는  최소한의  요소를  일반법의  성격과 

개인정보  보호에  대하여  갖추어야  하는  공통점을  바탕으로  추론하면  다음과  같다.7 우선 

보호대상의  일반성이다.  특수한  개인정보를  보호하는  것이  아니라,  정보주체에  대한 

일반적ㆍ포괄적  개인정보가  대상이어야  한다.  즉,  개인을  식별할  수  있는  모든  형태의 

정보가  보호대상이다.  정보주체  역시  소비자,  환자  또는  학생  등으로  제한되지  않는다. 

다음으로  수범자의  일반성이다.  법이  정하는  의무의  수범자가  금융기관,  의료기관  등으로 

제한되는  것이  아니라,  개인정보를  처리하는  일반적인  경우에  모두  적용되어야  한다.  또한 

정보주체에게  자신의  개인정보에  관한  일반적인  통제권이  부여되어야  한다.  OECD 

권고안이나  EU의  GDPR  등  국제규범에서 공통으로 정하고 있는 정보주체의 기본적 권리가 

반영되어야 한다.

이러한  일반법이  갖추어야  할  속성에  비추어  볼  때  「개인정보  보호법」은  개인정보 

보호에  관한  ‘일반법’이라  할  수  있다.  특정  개인정보가  아닌  모든  개인정보가  적용대상이며, 

소비자ㆍ학생ㆍ이용자  등으로  특정되지  않고  모든  정보주체를  포괄한다.  법의  수범자  역시 

‘개인정보처리자’이다.  또한  개인정보  처리에  대한  정보주체의  사전  동의권,  처리정지권, 

정정ㆍ삭제권 등 기본적 권리를 규정하고 있다. 

한편  「개인정보 보호법」은 응당 개인정보 보호의  ‘일반법’일 뿐만 아니라  ‘기본법’의 성격을 

지닌다.  개인정보와  관련된  정책분야의  총괄규범으로서의  개인정보  정책의  이념이나  기본이 

되는  사항을  정하고  그에  의거하여  개인정보와  관련된  모든  시책이  추진되어야  한다.  관련 

법령의  제ㆍ개정  기준으로  작용함으로써  제도  및  정책의  통일성ㆍ체계성을  확보하는  기능을 

한다.  뿐만  아니라  개인정보  영역의  입법공백을  치유하는  기능  또한  발휘하게  된다.  따라서 

「신용정보법」,  「위치정보법」,  「전자상거래  소비자보호법」,  「의료법」  등  다수의  개별법상 

개인정보의  처리  및  보호에  관한  규정은  「개인정보  보호법」의  이념과  기본원칙을  수렴, 

반영하여 체계화하는 방향으로 입법되어야 한다.  「개인정보 보호법」은 기본법으로서 개인정보 

보호  분야에  있어서  지도법,  지침법으로서  개별법을  유도하는  역할을  담당하는  만큼  그 

특별한 규정의 내용은  「개인정보 보호법」의 기본이념과 원칙에 위배되어서는 안 되고,  위배될 

경우 그 원칙에 부합하는 방향으로 개정되어야 한다.  따라서  「개인정보 보호법」은 개인정보와 

관련된  사회  각  영역  법령의  체계적  정비를  가능하게  하며,  정책목표  내지  원칙에  대한 

통일적 기준의 제시를 통해 법체계 부정합을 극복할 수 있는 방안이 될 수 있다.8

7 정성구,  “신용정보법상의 개인정보 보호의 문제와 그 개선방향”, 상사법연구 제25권 제2호(2006),  82-83쪽.

8 김현경,  “개인정보 법체계 정합성 확보를 위한 소고”, 성균관 법학 제28권 제1호(2016),  43쪽.

94

2)� 개인정보� 보호� 거버넌스� 확립

가)� 개인정보� 집행체계의� 중요성

개인정보 감독기구는 공적 영역과 사적 영역에서 크게 다음과 같은 이유로 중요하다. 

①� 공적� 영역

우선 공적 영역에서 국가에 의한 국민감시의 우려다.  행정기관 등은 공익 수행을 위하여 

권력적 또는 비권력적 행정조사를 수행하며 이를 통하여 국민의 개인정보를 수집,  활용하는 

과정에서  개인정보의  침해를  가져올  수  있다.9 국가는  공익을  위한  공권력  행사  수단으로 

국민감시를  정당화한다.  공익이라는  가치를  내세우기  때문에  실질적으로  국민감시라는 

이견을  제기하기도 어렵다.  그러나  아침에  집을 나선  후  귀가  시까지  가는  곳마다  CCTV에 

내  모습이  찍히고,  모든  금융거래는  국세청과  금융정보분석원(FIU)에서  이미  모두  보고   

있다.  개인의  사적  활동은  이미  기술적으로  국가의  감시  시스템에  다  포섭되어  있다고 

해도  과언이  아니다.  특히  2020년  COVID-19  사태를  통해  보여준  국가의  모니터링 

역량은  상상한  것  이상이다.  민간이  보유하는  통신내역,  신용카드  사용내역,  위치정보  등은 

모두 정부가 수집,  통제할 수 있다. 

이러한  국가 공권력에  의한  공공부문의 개인정보  처리는  국가와 국민  간의  불평등관계를 

전제로  하므로  정보수집과  이용에  대한  국민의  막연한  불안감은  상시  존재하게  된다.10

공권력에  의한  오남용을  감독관리할  ‘독립적’  개인정보  감독기구가  필요한  이유다.  이렇게 

볼  때  금융위원회는  공권력으로부터  독립된  개인정보  감독기구가  아니라,  공권력을 

발동하는 국가기관이다.

②� 사적� 영역

다음으로  정보주체와  개인정보처리자  간  힘의  불균형에  대한  후견기능으로서  개인정보 

집행기구의  필요성이다.  사인  간  개인정보의  처리는  사적자치의  원칙을  기본으로  한다.  그 

대표적  구현방식이  정보주체의  동의에  기반한  개인정보의  처리다.  그러나  상호  자유와 

평등을  기반으로  한  사적자치ㆍ계약자유의  원칙은  여러  폐해를  드러낼  수밖에  없다.  이미 

정보의  비대칭성과  전문성의  차이로  인해  정보주체와  개인정보처리자  간의  평등을  전제로 

한  관계는  깨졌다고  볼  수  있다.  정보주체  입장에서는  높은  수준의  개인정보  보호를  하는 

서비스에  대하여  ‘동의’라는  결정을  선호할  것이다.  그러나  정보의  비대칭성으로  인해  어떤 

9 김민호,  “공공부문 개인정보 보호법제의 현황과 과제”, 토지공법연구 제37집 제1호(2007),  213쪽.

10 김현경,  “개인정보 보호제도의 본질과 보호법익의 재검토”, 성균관 법학 제26권 제4호(2014),  285-287쪽.

95

서비스가  높은  수준의  개인정보  보호조치를  취하고  있는지에  대하여  정보주체는  정확히  알 

수가  없다.11 뿐만  아니라  정보주체는  개인정보의  처리가  가져올  손익에  대한  합리적 

선택을  할  수  없다.  설사  정보주체가  개인정보  처리방침을  읽는다  할지라도  제공된  내용이 

너무 어려워 그  내용을 이해하기 힘들다.  즉,  대부분의 사람들이 프라이버시 정책을 읽었다 

할지라도  자신의  개인정보의  처리에  동의한  결과를  적절히  평가할  만큼  충분한  전문성을 

가지고 있지 못하다.  내용  자체가 본질적으로 상세한 법적 내용으로 기술될 수밖에 없으며, 

기술적  세부사항들을  포함하고  있는  경우가  대부분이기  때문이다.  이는  평균  이용자가 

이해할  수  있는  범위를  넘어선다.12 이  문제는  지식의  비대칭성과  연결된다.  데이터를 

수집하고  처리하는  자들은  일반  이용자에게  부족한  전문  지식을  가지고  있다.13 이러한 

정보주체와  개인정보처리자  간의  불균형을  해소하고  조율하기  위해  국가가  신뢰를 

제공하는  관리ㆍ감독기능이  마련되어야  한다.  정보주체가  ‘고지내용’을  다  꼼꼼히  읽고 

숙지하지  않아도,  정보주체와  개인정보처리자  간의  권익  혹은  편익에  있어서  최소한의 

균형추가  맞추어져  있다는  신뢰를  제공하는  방향으로  개인정보  보호의  집행과  감독이 

이루어져야 한다. 

나)� 개인정보� 보호위원회� :� 독립적� 개인정보� 감독기구

아무리  법적인  권리와  의무가  잘  정비되어  있다  하더라도,  그것을  효율적으로  집행하는 

체계를  갖추지  못한다면  그  법의  입법목적은  충분히  달성되지  못할  것이다.  개인정보 

보호를  위한  독립된  집행기구는  공공부문에서는  공권력으로부터  정보인권  침해  감시  및 

구제의  역할을  수행한다.  뿐만  아니라  민간영역에서는  거대  기업  등  개인정보처리자와 

정보주체  간에  힘  또는  정보의  불균형이  발생할  경우  정보주체에  대한  후견적  역할로도 

매우  중요하다.  그리하여  개인정보  영역의  일반법이자  기본법인  「개인정보  보호법」은 

독립된 개인정보 집행기구에 대한 법적 근거를 규정할 필요가 있다.

개인정보  감독기구가  제  기능을  발휘하기  위한  요건을  GDPR  등  국제규범을  기준으로 

살펴보면 첫째,  ‘독립성’을  갖춘  ‘법정기구’이어야 한다.  ‘독립성’은  i) 직무수행 및  권한행사의 

11 Anderson, R.,  Why  Information  Security  Is  Hard–an  Economic  Perspective,  Proceedings  of  the  17th 

Annual  Computer  Security  Applications  Conference  (ACSAC).  IEEE,  2001.

12 Toubiana, V.  and  H.  Nissenbaum,  “An  Analysis  of  Google  Logs  Retention  Policies,”  Journal  of  Privacy 

and  Confidentiality3(1)  Article  2,  2011,  at  3–26. 

13 Acquisti, A  and  J.  Grossklags  “Privacy  and  Rationality  in  Decision  Making,”  IEEE  Security  and  Privacy3(1) 

2005,  at  26–33;  LaRose,  R.and  N.  Rifon,  “Promoting  i-Safety:  Effects  of  Privacy  Seals  on  Risk 

Assessment  and  Online  Privacy  Behaviour,”  Journal  of  Consumer  Affairs  41  (1),  2007  at  127–49. 

96

완전한  독립성,  ii) 직무수행  및  권한행사에  있어서  외부  영향  배제,  iii) 감독기관  위원들의 

이해상충행위ㆍ직무  금지,  iv) 직무수행  및  권한행사에  필요한  인력ㆍ기술ㆍ예산  및  인프라 

보장,  v) 감독기관  구성원의  지시만  따르는  자체인력  선정  및  보유,  vi) 국가  전체  예산의 

일부로서  연간  공식  예산  보장  등이  보장되어야  함을  의미한다.14 다음으로  ‘법정기구’라 

함은  i) 감독기관의  설립,  ii) 위원의  임명자격과  조건,  iii) 위원의  임명  규칙  및  절차,  iv)

위원들의  재임명  가능  여부  및  연장에  관한  사항,  iv) 위원회  임직원의  이해상충행위, 

의무저촉행위의  금지  및  고용중단에  관한  규칙,  v) 임직원의  임기  중과  임기  후 

기밀유지의무 등을 법률로 규정하여야 함을 의미한다.15

다음으로  적합한  ‘권한’을  보유해야  한다.  ‘권한’은  조사권한,  시정권한,  인가(승인)  및 

자문권한  등을  의미하며  사법기관에  고발할  권한  등  법적  절차를  취할  수  있는  권한을 

보유하고 있음을 법률에 명확히 하여야 한다.16

「개인정보  보호법」은  개인정보  보호위원회의  설치근거법이다.  지능화된  정보사회에서 

국민의  사생활을  보호하기  위하여  「개인정보  보호법」을  제정하는  것만으로는  충분하지 

않다.  새로운  기술의  발전과  그  적용가능성에  비추어  볼  때  정보주체  스스로가  이를 

통제하고  대응할  수  있는  능력이나  기회에  있어서  불리한  위치에  놓일  수밖에  없다. 

따라서  「개인정보 보호법」  그  자체도 중요하지만 정보주체를 효율적으로 보호하기 위해서는 

국가나 사회의 정보처리를 통제하는 통제기관의 설치 및 활동이 절대적으로 요구된다.17

이러한  의미에서  개정된  「개인정보  보호법」에  따라  2020년  새로  출범한  개인정보 

보호위원회는  위에서  언급된  독립된  집행기구로서  독립성,  법적  근거,  권한  요건을  모두 

적절히 갖추고 있다고 볼 수 있다.18

14 GDPR 제52조

15 GDPR 제54조 

16 GDPR 제58조 제5항

17 이인호, 개인정보 감독기구 및 권리구제방안에 관한 연구, 한국전산원,  2004 참조.

18 이에  대한  자세한  분석은  김현경ㆍ이경준,  “EU의  ‘GDPR  적정성  결정’을  위한  입법  과제”,  성균관  법학  제31권 

제3호(2019).

97

3)� 국제규범과� 조화

가)� 데이터� 경제와� 개인정보� 보호

미국  인터넷  기업인  페이스북은  24억  9800만  명의  개인정보를,  유튜브는  20억  명의 

개인정보를  처리하고  있다.  중국  14억  인구보다도  월등하며,  미국  3억  인구는  비할게 

아니다.  중국의  틱톡(5억  명),  시나  웨이보(4억  6500만  명)  역시  수  억  명의  개인정보를 

처리하고  있다.19 자국민의  데이터만으로  이러한  기업의  성공은  어림없다.  이처럼  데이터 

경제의  중요성이  높아지면서  각  국가는  자국  데이터  이전을  제한하고  국내에  데이터의 

양적ㆍ질적 확보를 통해 국내 기업에 대한 투자를 증가시킬 수  있다고 생각할 수  있다.  즉, 

자국  내  충분한  데이터  확보를  통해  지역경제  활성화를  위한  동기유발이  될  수  있다고 

본다.  이러한 데이터 강국으로 나아가기 위해 데이터 규범은 매우 중요하다.

나)� 국제규범과의� 조화

데이터  경제의  핵심으로서  개인정보는  국경  안에  가두어  둘  수  없다.  따라서 

우리나라만의  갈라파고스적  규범으로는  양적ㆍ질적  데이터의  확보가  곤란하다.  통합 

「개인정보  보호법」의  개정  근저에는  유럽과의  데이터  교역을  위해  GDPR의  적정성  승인을 

염두에  두고  있음은  부인할  수  없다.  따라서  「개인정보  보호법」은  국제적  기준에  부합해야 

한다.  국제기준에  부합하지  못하는  국지적  규제는  규제  당시  의도하지  못한  부작용만 

초래하면서  국내  데이터  경제에  타격을  줄  수  있다.  특히  개인정보  규제가  데이터  규범의 

특성을  무시한  결과  국내사업자에게만  적용되는  규범이라면  결국  불평등  집행으로  자국 

데이터  경제의  사기저하를  야기하며  국가에  대한  신뢰도를  약화시키는  결과를  초래할  수 

있다.  또한  국제적  기준에  미흡한  규범의  설정은  규제의  집행율과  준수율에  있어서  모두 

국민적  합의를  득하지  못함으로서,  ‘법을  지키면  손해’라는  의식이  만연하게  된다.  따라서 

데이터의  국제적  이동성을  고려할  때  개인정보  규제는  국제기준에  부합하여야  하며 

우리나라만의 고유한 규율방식은 신중할 필요가 있다.

19 노정연 기자,  “한국  SNS 이용 세계  3위···10대는 페북 · 40대는 네이버 밴드” 경향신문,  2020.9.7.

http://news.khan.co.kr/kh_news/khan_art_view.html?art_id=202009071155001  (2020.11.15. 최종확인)

98

다.� 소결� :� 법체계� 정합성� 확보

1)� 일반법� 원칙적,� 특별법� 예외적� 적용의� 준수

「개인정보  보호법」의  시행으로  공공ㆍ민간  전체를  완전히  포괄하는  법체계를  가지게 

되었음에도  불구하고  ‘개인정보’와  관련된  법령은  금융,  의료,  교육,  근로  등  영역별로만 

본다 할지라도 너무나 많다.  그러나 이러한 법령은  ‘개인정보’에 대하여 규정하는 것이 주된 

목적이  아니라,  법의  적용과정에서  개인정보에  대한  규율내용이  추가되거나  보완된  경우가 

대부분이다.  또한  이러한  법규들이  계획적  설계  하에  종합적ㆍ단계적으로  제정된  것이 

아니라  수요가  있을  때마다  개별적ㆍ산발적으로  만들어지다  보니  법률  상호  간에  정합성을 

확보하지  못하고  있는  실정이다.20 「개인정보  보호법」  제정  이전에  이미  규율된  사항도 

있으며,  「개인정보 보호법」  제정 이후에 보완된 내용도 있다. 

그러나  일반법의  속성상  다른  법률에  특별한  규정이  있는  경우에는  그  법률의  규정이 

우선하여  적용된다.  따라서  「신용정보법」,  「위치정보법」  등에서  개인정보의  처리  및  보호에 

관한  특별한  규정을  두고  있다면  동일한  사안에  있어서  모순ㆍ저촉  관계에  있을  경우에 

특별법상의 규정이 우선 적용됨이 원칙이다.21

앞서  언급한  바와  같이  법의  효력에  있어  그  효력이  미치는  범위를  기준으로  볼  때 

제한  없이  적용되는  법이  일반법이다.  반면에  일정한  사항,  사람  및  장소의  범위  내에서만 

제한적으로  적용되는  법은  특별법이다.  특별법은  말  그대로  특별한  상황인  사항,  사람  및 

장소로  한정해서  만들어지는  법으로  해당  특별한  상황이  해제되면  없어지거나  일반법으로 

편입되는  것이  보통이기  때문에  특별법이  많고  장기적으로  존재하는  것이  정상적이라고 

보기는  힘들다.  따라서  입법자의  인기영합  혹은  행정부의  조직이기주의에  따른  특별법 

만개는  절제되어야  하고,  특별법이  필요하다고  하더라도  입법자는  그  적용범위와  내용을 

가능한 명확하게 설정하면서 소수의 예외규정만으로 운영을 하여야 함이 상식적인 일이다.22

20 김현경,  “개인정보 법체계 정합성 확보를 위한 소고”, 성균관 법학 제28권 제1호(2016),  34-35쪽

21 대법원은  일관되게  “특별법이  일반법에  우선하고  신법이  구법에  우선한다는  원칙은  동일한  형식의  성문법규인 

법률이  상호모순ㆍ저촉되는  경우에  적용된다.  이때  법률이  상호모순ㆍ저촉되는지는  법률의  입법목적,  규정사항, 

적용범위  등을  종합적으로  검토하여  판단하여야  한다”고  보고  있다.  예를  들어  구  공공기관의  운영에  관한  법률에 

따른  준정부기관인  도로교통공단의  임직원에  대하여  도로교통법  제129조의2가  특별법  내지  신법으로  우선하여 

적용되고  구  공공기관의  운영에  관한  법률  제53조의  적용이  배제되는지  여부에  대해  대법원은  “공공기관운영법 

제53조와  도로교통법  제129조의2는  입법목적,  입법연혁,  규정사항  및  적용범위  등을  달리하여  서로 

모순ㆍ저촉되는  관계에  있다고  볼  수  없다.  따라서  공공기관운영법에  따른  준정부기관인  도로교통공단의  임직원에 

대하여  도로교통법  제129조의2가  특별법  내지  신법으로  우선하여  적용되고  공공기관운영법  제53조의  적용이 

배제된다고 볼 수 없다"는 입장이다(대법원  2016.11.25. 선고  2014도14166 판결).

22 김일환, 개인정보 보호위원회, 지능정보화 사회대응 개인정보 보호 세미나 개최결과 종합자료  ;  개인정보 보호 법령 

간 정합성 강화방안,  2018.1,  30-33쪽.

99

그러므로  개인신용정보의  처리에  있어서  그  기본원리가  개인정보의  일반  보호  규정과 

다르거나  특별히  취급되어야  할  이유가  없다면,  개인신용정보에  대하여  거의  개인정보의 

일반법과  유사한  수준으로  별도로  규정하는  입법방식은  지양되어야  한다.  일례로 

「신용정보법」상  신용정보관리ㆍ보호인  지정(신용정보법  제20조  제3항),  신용정보  활용체계의 

공시(신용정보법 제31조) 등은 모두  「개인정보 보호법」상 개인정보 보호책임자 지정(개인정보 

보호법  제31조),  개인정보  처리방침의  수립  공개(개인정보  보호법  제30조)와  유사하다. 

이러한  점을  감안하여  개정된  「신용정보법」에서는  이와  관련하여  「개인정보  보호법」을 

준용하도록 규정하고 있으나(신용정보법 제20조  제5항,  제31조  제2항),  수범자 입장에서는 

다른  별개의  제도로  이해할  경우  중복되는  양  법을  모두  준수해야  하는  혼란이  있다.  그 

목적  및  제도의  취지가  동일하다면  일반법에서  정한  사항을  준수하되,  특별법에는  예외적 

특칙만  규정하는  것이  타당하다.  한편  본인신용정보관리업의  시행(신용정보법  제22조의9) 

및  개인신용정보의  전송요구(일명  ‘개인정보  이동권’,  신용정보법  제33조의2),  자동화평가 

결과에  대한  설명  및  이의제기등(신용정보법  제36조의2)의  규정은  개인정보  보호법역의 

일반적  규율사항이  아니라  「신용정보법」에  특유한  제도이므로  「신용정보법」에  특례로 

규정하는 것이 타당하다.

2)� 기본법의� 기본정책� 및� 취지� 존중

「개인정보  보호법」은  기본법으로서  개인정보  보호분야에  있어서  지도법,  지침법으로서 

개별법을  유도하는  역할을  담당하는  만큼  그  특별한  규정의  내용은  「개인정보  보호법」의 

기본이념과  원칙에  위배되어서는  아니  되고,  위배될  경우  그  원칙에  부합하는  방향으로 

개정 혹은 해석되어야 한다.23

따라서  「신용정보법」에서  개인정보의  규율은  「개인정보  보호법」의  기본정책  및  취지에 

부합하여야  하며,  「개인정보  보호법」과  통일성ㆍ체계성을  갖추어야  한다.  예를  들어 

본인신용정보관리업(마이데이터)과  같이  개인정보  보호법에도  도입하지  아니한  제도를 

도입할 경우  「개인정보 보호법」의 기본 취지나 방향 및 지침에 위배되어서는 안 된다.

3)� 집행체계의� 일원화

개인정보  보호와  관련하여  「개인정보  보호법」의  제정  취지를  무용화시키지  않기 

위해서는  「개인정보  보호법」의  사후적  집행체계에  있어서  통일화ㆍ일원화가  필요하다. 

개인정보  보호위원회가  존재함에도  불구하고  영역별  집행의  범위가  확산된다면  개인정보 

보호위원회는 형식화ㆍ형해화될 수밖에 없다. 

23 김현경,  “개인정보 법체계 정합성 확보를 위한 소고”, 성균관 법학 제28권 제1호(2016),  39-40면.

100

그간  독립적  개인정보  감독기구의  부재로  인해  영역별로  일관성  있는  정책의  집행, 

입법의  감독  및  통제가  제대로  이루어지지  못한  것이  사실이다.  그  결과  앞서 

언급하였듯이  금융,  의료,  교육,  근로  등  영역별로  개인정보  규율체계가  난립되고  수범자 

입장에서는  개인정보  보호위원회보다도  소관부처의  정책이나  지침에  의존할  수밖에  없다. 

결국  개인정보  보호위원회가  존재함에도  불구하고  무분별한  영역별  집행체계의  확산은 

개인정보  보호위원회  본연의  기능을  축소시키게  된다.  따라서  아주  특별한  예외적  사유가 

아닌 한 개인정보 집행체계는 개인정보 보호위원회 중심으로 통합되어야 한다.

3. 대외적 법체계 정합성 : 「신용정보법」의 정비

가.� 「신용정보법」의� 의미와� 개인신용정보의� 범위� 확장

1)� 「신용정보법」의� 입법� 배경과� 주된� 기능

「신용정보법」은  김영삼  정부  출범  직후  규제  완화와  행정  개혁의  일환으로  제정되었다. 

당시  행정쇄신위원회는  경찰청이  관장하고  있던  신용조사업법상의  신용조사업을  폐지하고 

신용정보  관련  산업을  재무부  장관이  관장토록  결정하였다.  이  결정에  의거,  재무부가 

신용조사업의  근거법이었던  신용조사업법을  대체하기  위하여  「신용정보법」을  제안하였고 

제14대  국회에서  통과되어  1995년  시행되었다.  동법은  개인정보에  관한  내용도  담고 

있었는데,  당시  공공기관의  개인정보  보호에  관한  법률(이하  ‘공공개인정보법’)이  시행  중에 

있음을 감안하여,  공공부문에서의 개인정보 보호는 공공개인정보법에 의하여,  민간부문에서의 

개인정보  보호는  「신용정보법」에  의하여  각각  관리되어야  한다고  생각하고  「신용정보법」을 

기초하였던 것으로 보는 견해도 있다.24

그러나  「신용정보법」의  법의  주된  목적은  개인정보  보호가  아니라  신용조사업법을 

모법으로  하여  제정되었으며,  주관부처  역시  당시  재무부에서  현재의  금융위원회에 

이르기까지 개인정보 보호를 주된 역할로 하지 않는다는 점에 비추어 볼 때  「신용정보법」은 

일종의  상사특별법이며  그  본질이  개인정보에  관한  법은  아니다.  오히려  온라인상에서 

개인정보  보호  문제가  발생하면서  이를  규율하는  「정보통신망법」이  민간영역의  개인정보 

보호의  일반법으로  해석되기도  하였으나,  2011년  공공과  민간을  모두  규율하는  통합 

24 정성구, 앞의 논문,  77면

101

「개인정보  보호법」의  시행으로  이러한  논란은  일차적으로  불식되었다.  특히  최근  데이터 

3법의  개정을  통해  「정보통신망법」의  개인정보  보호에  관한  규정이  모두  「개인정보 

보호법」으로  이관된  정황  등에  비추어  볼  때  과거에도,  현재에도  「신용정보법」이  민간부문의 

개인정보에 대한 일반법적 지위를 지닌다고 보기는 어렵다.

따라서  「신용정보법」의  주된  목적과  기능은  신용정보  관련  산업의  규율이며  개인정보 

보호가  아니다.  다만,  「개인정보  보호법」과  특별히  달리  취급되어야  하는  신용정보에 

해당되는  개인정보에  대한  특칙을  정하고  있으므로  ‘개인정보’의  법역에서는  「개인정보 

보호법」에 대하여 특별법적 지위에 있다고 볼 수 있다. 

2)� 개인신용정보의� 범위

개인정보  보호에  관한  입법에  있어서  가장  중요한  출발점은  보호대상인  개인정보의 

범위를 어떻게 설정하는지에 달려있다.25

「신용정보법」의 보호대상인 개인정보는 신용정보 중  개인식별(가능)정보를 의미한다.  이에 

대하여  「신용정보법」  제2조  제2호는  ‘개인신용정보’에  대하여  “기업  및  법인에  관한  정보를 

제외한 살아 있는 개인에 관한 신용정보로서 ①해당 정보의 성명, 주민등록번호 및 영상 등을 

통하여 특정 개인을 알아볼 수 있는 정보(이하  ‘식별정보’)  또는 ②해당 정보만으로는 특정 개

인을 알아볼 수  없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보(이하 

‘식별가능정보’)를  말한다”고  규정하고  있다.  따라서  「신용정보법」이  규율하는  개인정보,  즉 

개인신용정보는  ‘신용정보’의  범위에  연동될  수밖에  없으며  신용정보는  개인신용정보의  범

위를  규명하는  기반이자  핵심개념이다.  「신용정보법」상  신용정보는  신용정보주체의  ①거래

내용,  ②신용도,  ③신용거래능력을  판단할  수  있는  정보  또는  이들과  결합되어  특정  신용

정보주체를  식별할  수  있는  정보를  말한다.  개인신용정보와  관련되는  신용정보를  자세히  정

리하면 다음과 같다. 

가)� 신용정보주체의� 거래내용을� 판단할� 수� 있는� 정보(신용정보법� 제2조� 제1의3호)

①  신용정보제공ㆍ이용자에게  신용위험이  따르는  거래로서,  「은행법」,  「여신전문금융업법」, 

「자본시장과 금융투자업에 관한 법률」 등에 의한 신용공여 관련 거래정보

②  「금융실명거래 및 비밀보장에 관한 법률」상 금융거래정보

③  「보험업법」상 보험계약,  보험금 청구 및 지급에 관한 정보

25 정성구, 앞의 논문,  103쪽

102

④  「자본시장과 금융투자업에 관한 법률」상 금융투자상품에 관한 정보

⑤  「상법」  제46조에  따른  상행위에  따른  상거래의  종류,  기간,  내용,  조건  등에  관한 

정보

⑥ 위와 유사한 정보로서 대통령령으로 정하는 정보

나)� 신용정보주체의� 신용도를� 판단할� 수� 있는� 정보(신용정보법� 제2조� 제1의4호)

① 채무의 불이행,  대위변제,  그밖의 약정 불이행 관련 정보

② 신용질서 문란 행위와 관련된 정보  :  명의도용정보,  부정한 금융거래 정보 등

다)� 신용정보주체의� 신용거래능력을� 판단할� 수� 있는� 정보(신용정보법� 제2조� 제1의5호)

① 개인의 직업ㆍ재산ㆍ채무ㆍ소득의 총액 및 납세실적

라)� 위� 가)-다)� 외에� 신용정보주체의� 신용을� 판단할� 때� 필요한� 정보(신용정보법� 제2조�

제1의6호)

① 신용정보주체가 받은 법원의 재판,  행정처분 등과 관련된 정보

② 신용정보주체의 조세,  국가채권 등과 관련된 정보

③ 신용정보주체의 채무조정에 관한 정보

④ 개인신용평점

⑤ 개인신용등급 등

‘신용’이라  함은  상대방이  일정  기간  후  상환  또는  지불  할  수  있는  능력을  갖는다고 

인정함으로써  물건  혹은  금전을  빌려주거나,  지불을  연기하여  주는  것을  의미한다.26 즉, 

금전  혹은  재화를  빌려줘도  되는지를  판단하기  위한  재산적  능력에  대한  판단이다.  이를 

위해 필요한 정보,  즉 신용정보를 규율하는 것이  「신용정보법」이다. 

「신용정보법」은  위에서  언급한  바와  같이  신용정보를  법률에서  열거하고  있다.  열거된 

정보  중  신용정보주체의  신용도ㆍ신용거래능력을  판단할  수  있는  정보(신용정보법  제2조 

제1의4호부터  제1의6호)의  경우  변제능력에  중요한  정보이며  신용정보에  해당될  수  있다. 

그러나  단순히  ‘신용정보주체의  거래내용을  판단할  수  있는  정보(신용정보법  제2조 

제1의3호)’가  신용정보에  해당되는지는  의문의  여지가  있다.  금융거래의  종류,  기간,  금액, 

금리,  한도  등을  규정하고  있는 제2조  제1의3호  ‘가’목부터  ‘라’목의  경우는  일응 변제능력에 

해당되는  신용을  측정하는  정보가  될  수  있다고  볼  수  있으나,  ‘마’목에서  규정하고  있는 

26 두산백과

103

‘ 「상법」  제46조에  따른  상행위에  따른  상거래의  종류,  기간,  내용,  조건  등에  관한  정보’의 

경우는 변제능력이 기초가 되는 신용정보라기보다는 오히려 정보주체의 취향이나 성향정보라고 

보는 것이 타당하다. 

상법  제46조는  ①재산의  매매,  ②재산의  임대차,  ③제조,  가공  또는  수선에  관한 

행위,  ④전기,  전파,  가스  또는  물의  공급에  관한  행위,  ⑤작업  또는  노무의  도급의  인수, 

⑥출판,  인쇄  또는  촬영에  관한  행위,  ⑦광고,  통신  또는  정보에  관한  행위  등  22개의 

기본적  상행위를  열거하고  있다.  상법  제46조의  기본적  상행위에  관한  열거규정의  의의는 

자기  명의로,  영업으로,  그  행위를  하는  자가  당연상인이  된다는  데  의의가  있다.  즉, 

당연상인과  의제상인을  구분하는  중요한  기준이  된다는  것이다.27 당연상인과  의제상인을 

구별하는  실익은  당연상인의  경우  기본적  상행위에  해당하는  영업을  하는  경우  추가적인 

요건  없이  상인으로  인정되어  상법의  적용을  받지만,  의제상인의  경우  회사가  아닌  이상, 

‘상인적  방법으로  영업’을  하는가의  별도의  기준을  충족한  경우에만  상인으로서  인정되고 

그  영업상의  행위에  대하여  상법을  적용할  수  있게  된다.  그렇다면  당연상인의  전제가 

되는  기본적  상행위는  어떻게  정해진  것인가?  대체로  이  목록은  역사적  경험과  밀접한 

관련을  맺고  있는  것으로  보고  있다.28 즉,  「상법」  제46조  각  호에  규정된  상행위들은 

경험적으로  상인들이  주업으로  삼아  왔던  것을  명문화한  것이다.  이는  신용정보가  아니라 

인류가  정형적으로  수행해온  모든  상거래  행위를  열거해  놓은  것이다.  따라서  기본적 

상행위와  관련된  개인식별(가능)정보를  모두  「신용정보법」에서  규율할  경우  인류의  정형적 

거래와  관련된  모든  정보가  「신용정보법」의  규율하에  있게  된다.  모든  매매와  임대차와 

관련된  소비자  정보는  모두  「신용정보법」의  적용을  받게  된다.  온라인  쇼핑몰에서  단순히 

칫솔,  �