|
교육인적자원부가 행정의 효율성을 이유로 교육행정정보시스템(NEIS)을 밀어붙였다 결국 실패했다.
NEIS는 전국 1만여 개의 초·중등학교, 16개 시·도교육청 및 산하기관, 교육인적자원부를 인터넷으로 연결하여, 교육관련 정보를 공동으로 이용할 전산환경을 구축하는 전국단위의 교육행정정보시스템을 말한다.
이는 개인정보의 한 면인 재산적 측면, 즉 경제적 또는 행정적 효율성을 극대화한 제도라고 할 수 있다. 그러나 이는 개인정보의 또 다른 측면인 인격적 측면을 도외시한, 인간을 다 삼켜버릴 수 있는 괴물 같은 제도이다.
조지 오웰(G. Orwell)이 예상한 'big brother'의 출현을 넘어서 네트워크를 지향(ubiquitous)하는 정보사회에 있어 개인정보를 디지털화하여 종합관리 한다면서 그 부작용에 대한 충분한 보장 없이 시행함은 기본권을 침해할 위험성이 크다.
정보사회의 성공적 발전을 위한 두 기둥은 개인정보보호와 IT산업의 활성화이다. 어느 한 쪽으로의 일방적인 보호나 희생의 요구는 오도된 정보사회를 유도할 수 있다. 한국산업사회에 있어서의 정부주도의 불균형적 고도경제성장의 개발방식을 정보사회에 그대로 이식하는 우를 또다시 범할 수는 없다.
개인정보자기결정권은 자기자신의 개인정보를 스스로 사용·수익·처분할 수 있는 권리이다. 이는 정보사회에서 공공기관과 민간기관 그리고 개인에 의하여 새로이 나타난 디지털화된 개인정보의 남용과 오용을 막기 위해 인정된 기본권이다. 개인정보자기결정권은 개념에서 풍기는 것과는 달리 개인정보에 대한 인격적 측면과 재산적 측면의 두 요소를 보호법익으로 하고 있다.
어느 한 방향으로의 일방적인 보호는 개인정보자기결정권의 본질을 침해할 수 있다. NEIS는 이러한 권리의 재산적 측면, 즉 경제적 또는 행정의 효율성을 극대화하고자 하는 것이다.
개인정보자기결정권의 보장은 사회적·정치적인 발달과 일정한 함수관계에 있다. 따라서 이는 민주주의가 강화된 사회에서 많이 논의되어진다. 또한 개인의 존엄을 최고가치로 보는 헌법의 이념에 충실한 결과이기도 하다. 여론시장에 있어 NEIS에 대한 뜨거운 논란도 이의 연장선상에 있다고 본다.
인간은 자기의 개인정보에 대한 주체이다. 개인정보는 사회속에서 존재의 가치가 있으므로 절대적인 보호를 하여야 한다고는 못하지만, 단순한 이용이나 수익의 객체일 수는 없다. 이는 자율적인 인간양성의 필수적인 조건이라 할 수 있다.
한편으로는 푸코가 얘기한 자기내면의 감시화를 통한 타율적 인간의 출현을 막기 위한 방법이기도 하다. 단지 행정의 효율성이나 경제적 이윤의 극대화의 대상으로서만 개인정보를 논하여서는 안 된다는 의미이다. 따라서 권리의 주체에게 우선적으로 자기개인정보가 어떻게 사용·처분되는지를 사전에 알려주어 실질적인 동의권을 회복하게 해 주어야 한다.
사실상 강제적으로 일괄적 동의를 통해 정보주체의 선택적 동의를 배제함은 실질적인 동의권의 침해로 보아야 한다. 효과적인 개인정보보호를 위해서는 개인정보의 수집제한의 원칙과 목적구속성의 원칙에 따른 사용·처분만이 인정되어야만 한다.
이는 공공기관, 민간기관 그리고 개인의 구별 없이 준수되어야만 하며 행정부의 행정지침이 아닌 법률의 의결사항이다. 명확한 법률규정에 의거해서만 개인정보의 활용이 허락된다. 실질적인 보호능력이나 동의능력이 없는 개인에게는 국가의 특별한 보호가 필요함은 자명하다.
따라서 노동조합의 관여권의 인정과 유럽의 중앙은행이나 독일의 연방은행처럼 외부적·기능적으로 독립된 가칭 개인정보보호기관의 설립과 일정한 자격과 능력을 갖춘 개인정보보호책임관의 임명을 통한 개인정보의 보호와 문제발생의 경우 입증전환책임의 원리도입과 소송법상의 강제중재제도의 도입 등도 필요하다.
개인정보보호에 있어 인격의 속성상 사후구제보다는 사전적인 예방의 중요성은 경험적으로 알고 있다. 유비쿼터스를 지향하고 있는 네트워크사회에서는 개인정보보호에 있어 사전적 보호를 지향함은 당연하다. 이를 만족시키기 위해서는 조직적이고 절차적인 보호책이 필요하다. 즉 개인정보의 익명화 또는 암호화 후 사용처리, 목적 달성 후 즉시 폐기처리, 권력분립의 원칙에 따라 다른 공공기관과의 기능상 분리, 기록의무 등이다.
구체적으로 보면 개인정보처리시 가능한 한 암호화 또는 익명화된 상태에서 이루어져야 하며 최신의 기술과 함께 보안이 이루어져야 한다. 간과하지 말아야 할 것은 기술로 인한 보안조치는 항상 충분필요조건이 아니라는 것이다. 이는 보안기술만 있으면 개인정보의 활용이 가능하다는 기술만능에 빠져 개인정보가 가지고 있는 인격측면을 무시할 수가 있기 때문이다. 이는 기술의 중립성을 요구한다는 의미이다. 즉 새로운 개인정보활용기술이 만들어질 때 되도록 개인정보의 보호측면도 고려되는 기술개발이 바람직하다는 것이다.
또한 법률에 규정이 없는 개인정보의 공유나 무제한적인 전송은 개인정보자기결정권의 침해이다. 그리고 권력분립원칙에 의거 통합적인 관리보다는 분산관리 그리고 분산처리가 바람직하다. 민감한 개인정보를 비민감한 개인정보 또는 행정정보와 동일시하여 항상 위험이 도사리고 있는 네트워크상태로 보존할 필요가 없다는 의미이다. 마지막으로 개인정보보호에 있어 개인정보의 주체자에게 실질적인 정보열람·갱신청구권, 정보분리청구권이 인정되어야만 한다.
개인정보의 침해와 침해가능성에 대한 논란은 그만큼 한국사회의 민주주의가 한 걸음 발전한 반증이라 볼 수 있다. 경제적 효율성을 통해서만 바라보던 개인정보의 또 다른 면인 인격적 측면을 주시하였기 때문이다. 자기자신의 개인정보의 소유자인 개인에게는 해당 개인정보의 사용·처리과정을 가능한 한 투명하게 알 수 있는 권리가 있다. 이는 당사자의 실질적인 동의권의 행사를 위한 개인정보자기결정권의 필수적인 권리이다.
물론 네트워크의 필수적인 구성분자가 되어버린 개인정보를 소유자에 의한 100%의 정보통제는 네트워크사회에서는 불가능하다. 그렇다 하더라도 NEIS의 논란에 있어 왜 당사자인 학생과 학부모의 자기 개인정보에 대한 처리를 하는데 있어 관련당사자의 동의권 행사에 대한 논의는 없는 것일까? 사전에 명확하게 교육현장에서 관련 당사자에게 실질적인 정보열람권, 갱신청구권, 정보분리청구권이 전부 설명이 되었고, 동의권을 얻었다는 말인가? 사전절차를 거쳐야 함을 알면서도 행정의 신속성을 앞세워 의도적으로 무시하지 않았는지 묻고 싶다. 또한 동의를 얻는데 있어서도 사실상 선택적 동의를 배제하는 사실상 강제성을 띤 일괄적 동의제도는 개인정보자기결정권의 실질적인 동의제도에 어긋난다고 볼 수 있다.
유럽연합의 개인정보보호준칙에서는 개인정보의 보호를 위하여 연합의 중앙은행이나 독일의 연방은행처럼 외부적·기능적으로 독립성이 강화된 가칭 개인정보보호관청의 설립을 촉구하고, 적절하고 능력 있는 가칭 개인정보보호책임관를 통한 개인정보보호를 시도하고 있다.
과연 한국에 있어 NEIS입력 담당교사와 교육인적자원부의 개인정보보호책임관은 과연 상급관청으로부터 기능적으로 독립된 자유롭고 적절한 능력을 가지고 있는 개인정보보호책임관인가? 교육인적자원부는 개인정보보호에 있어 한국의 한국은행처럼 독립적인 개인정보보호관청이 있는가? 답은 아니다. 법률이 아닌 행정지침에 의해 개인정보보호가 실행되고 있는 현실에서 독립적인 개인정보보호관청은 없다고 봄이 옳다.
개인정보의 통합적 관리와 네트워크화는 되도록 피함이 개인정보보호정책에 걸맞다. 필요하다면 명확한 법률의 규정이 있어야 하고, 공공기관에 의한 정보의 공유는 더욱 다른 법률에의 명확한 규정에 의해서만 가능한 것이다. 이는 개인정보보호에 있어 목적구속성의 원칙에의 강한 구속과 권력분립의 원칙에 따른 기능상의 분리원칙에 근거한다.
학교에서 수집한 학생과 학부모에 대한 관련 개인정보를 16개 시·도교육청 서버에 통합관리하면서 유사 공공기관에 의한 관련 개인정보 공유의 법적 근거는 무엇인가? 관련 개인정보를 민원서비스를 위해 타 기관에 제공할 수 있다고 규정했다는 민원사무처리에관한법률 제5조와 동 법 시행령 제11조 제2항은 과연 적절한가? 개인정보와 민감한 개인정보 그리고 단순행정정보를 혼동한 것이 아닌가? 민감한 개인정보의 전송은 단순행정정보와는 달리 독립적인 법률의 규정으로 보호를 행하는 것이 유럽연합의 개인정보보호준칙과 독일의 개인정보보호법의 일치된 규정인데 어느 쪽이 더 개인정보보호를 위한 올바른 길이라고 보는 것인가?
정보사회에 있어 행정업무의 효율성을 위한 행정정보의 디지털화의 필요성은 인정된다. 그러나 순수한 교육행정만을 위한 정보외에 순수하게 교육을 목적으로 수집된 개인정보를 다른 행정정보와 동일하게 취급하는 것은 바람직하지 않다. 더구나 교무/학사, 보건영역 등에 입력되는 디지털화된 정보는 한 개인의 장기간에 걸친 성장기록에 관한 것으로, 한 곳 또는 소수의 몇 군데에 모아 처리된다는 사실자체가 개인정보자기결정권을 침해할 소지가 많다. 정보는 권력의 속성을 가지고 있기 때문에 모이면 힘이 되다. 자연히 남용의 가능성이 높아지는 것이다.
문제는 알면서도 추진하였다는 점이다. 이는 고도경제성장시의 무수한 모순점들을 비판 없이 그대로 정보사회에다 이식시키려고 하는 교육관료들의 오만감 때문이라고 본다. 홈페이지를 통한 NEIS에 대한 개인정보보호정책을 보면 정보통신부가 제정한 '정보통신망이용촉진및정보보호등에관한법률'에 따라 이용자의 권리보호를 한다고 하는데, 그에 따라 개인정보의 수집·이용목적 및 범위 그리고 안전조치, 제3자에게 동의 없이 전송할 수 있는 예외적인 경우를 적시하였다.
그런데 왜 이용자의 해당 개인정보에 대한 권리와 사용자에 대한 의무규정설명은 기술이 되어 있지 않은가? 이용자와 사용자가 해당 관련법률을 다 숙지하고 있다고 생각해서 그러하는가? 그리고 왜 교육인적자원부의 개인정보보호책임관의 정확한 이름이 기술되어 있지 않은가? 단순히 개인정보보호정책중의 하나인 자율규제때문인가? 사용자의 설명의무규정을 위반한 것으로 볼 수 있다.
교육인적자원부는 CS시스템으로 모인 개인정보의 누출의 위험성으로부터 사생활의 비밀과 자유의 침해방지를 위해 NEIS를 개발하였다고 하나, 이는 여우를 피하려다 호랑이를 만나는 결과가 되기 쉽다.
관련당사자의 디지털화된 모든 개인정보를 보안조치를 통해 보호할 수 있다는 생각자체가 잘못됐다. 보안조치와 함께 하는 개인정보의 활용은 필요하지만 100%의 보안실현은 믿을 수는 없는 것이다. 민감한 개인정보는 처음부터 네트워크화를 지양함이 바람직하며, 필요하다면 행정부의 행정지침이 아닌 국회가 제정한 법률을 통해서 하여야만 한다. 유럽연합의 개인정보보호준칙과 독일의 개인정보법의 보호방향도 그러하다. 따라서 보건영역과 교무/학사 그리고 입(진)학에 대한 개발영역은 네트워크화가 이루어진 NEIS에서 완전 제외함이 바람직하다.
또한 교원인사기록카드의 입력사항 중 업무와 관련이 없거나 적은 그리고 민감한 개인정보인 호주성명·호주와의 관계, 군 미필사유, 당사자의 혈액형, 건강상태, 종교, 취미와 재산관련사항과 정당사회단체의 가입단체 성격·가입단체명 등은 법률에 따로 명문적인 규정이 없는 한 삭제되어야 하며, 네트워크화의 대상에 포함되어서는 안 된다.
결론적으로 NEIS의 27개의 영역 중 보건영역, 교무/학사 그리고 입(진)학 개발영역에 대한 교육정보화는 관련 당사자의 개인정보가 학교밖으로 넘어가지 않은 것을 원칙으로 하면서, 필요한 경우에는 법률로써 개인정보자기결정권의 한계를 설정하면서 기존의 LAN으로 연결된 CS시스템으로 보안을 강화하면서 운영함이 바람직하다고 본다.
다른 개발영역에 있어서도 마찬가지로 법률로써 명확히 개인정보의 사용 그리고 처리를 규정한 후에 NEIS를 실행함이 옳다고 본다. 순수한 재산적 가치만을 가지고 있는 권리와는 달리 인격적 요소까지 가지고 있는 개인정보를 보호하는데 있어 보호의 사전적 예방의 중요성은 더욱 의미가 있기 때문이다. 단순히 행정의 효율성만 가지고 개인정보를 논하는 것은 바람직하지 않다.
NEIS는 현대판 노예문서라 불러도 상관이 없을 듯하다. 개인정보의 소유자를 공공기관은 NEIS가 보유하고 있는 27개의 개발영역의 종합관리를 통하여 거의 완벽하게 통제할 수 있기 때문이다. 이러한 상태에서 국가인권위원회의 NEIS에 대한 권고는 정보사회에서 기본권중의 하나인 개인정보자기결정권의 잣대를 가지고 행정의 효율성만을 추구하는 정보정책에 한계를 설정하였다는데 그 의의가 있다고 볼 수 있다. 이는 교육정보화를 추진하는데 있어서도 기본권존중의 한계를 벗어날 수가 없음을 국가기관이 확인한 것이다.
독일에서의 1983년의 '인구조사'판결을 그 당시의 언론에서 세기의 판결이라고 불렀다면 국가인권위원회의 이러한 권고는 한국정보사회의 기본권보호를 위한 '21세기의 세기적인 권고문'이라고 불러도 무방할 듯하다. 정보화도 결국은 사람을 위한 정보화로 진행되어야지 타율적 인간을 양성하는 행정 그리고 기술종속적 정보화는 바람직하지 않다는 것을 다시 환기시켜준 정보사회의 기본권보호에 있어 큰 획을 그은 결정이라 할 수 있다.
|
|