개인정보취급방침 심사와 개인정보보호 감사제도 도입방안

Review of Privacy Policies of Personal Data Processors and Audit of Privacy Protection: Lessons from the EU, the UK and the US Experiences

이 논문은 개인정보취급방침 심사제도와 개인정보보호 감사제도를 도입할 필요가 있다는 논지를 EU, 영국, 미국의 유사제도를 조감하고 시사점을 찾는 작업을 통하여 구체화하고자 한다. 개인정보 취급방침은 법인의 개인정보보호정책의 대외적 표현이므로 개인정보보호 수준을 확인하고 개선하기 위해 가장 먼저 조사하여야 할 대상임은 분명하다. 이에 대해서 약관심사와 같은 방식의 적정성 심사를 하는 것은 나름 의미 있는 작업이 될 것이다. 그러나 일반적 약관에서 보다도 개인정보처리에 있어서는 공식적으로 표명된 취급방침과 실제 운영 간에 괴리가 크리라는 것은 쉽게 예상되는 일이다. 이미 인터넷 상에는 개인정보취급방침 표준양식이 올라와 있으며, 온라인 자가진단이 가능하며, 각 정보처리자의 상황에 맞추어 십여 분 내에 자신의 개인정보 취급방침을 만들 수 있는 템플릿도 올라와 있다. 하지만 개인정보 취급방침에 대한 심사는 개인정보보호에 있어서의 문제점 발견과 개선책 마련의 극히 일부이며 첫 단계에 불과하다. 이 논문이 살펴본 주요 외국 사례는 정보처리자의 개인정보보호에 관한 감사제도를 운용할 필요성을 보여준다. 물론 개인정보보호감사의 대상이 형식적의미의 개인정보 처리방침에 한정되지 않으며 개인정보처리 직원의 교육, 기술적 보호조치, 조직구조, 관행 등과 같은 개인정보보호에 영향을 미치는 전분야에 걸쳐서 감사가 이루어진다. 따라서 우리나라도 개인정보 취급방침에 대한 심사 논의가 개인정보처리의 전반적인 실태에 대한 감사제도 도입 논의로 발전되는 것이 바람직하다고 할 것이다.

This article argues that it is necessary for Korea to introduce a review system of privacy policies and an audit system of the practices of personal data processors. The author tries to draw lessons from surveying relevant laws and regulations of the European Union, the United Kingdom, and the United States. Privacy policies of entities may be the first target of privacy protection review but should not be the only target. It should be noted that there is discrepancy between what is stated in the privacy policy and what is actually carried out. Standard privacy policies may be easily found on the Internet. Self-assessment tools are also available. Personal data processors may draft their own privacy policies in a quarter of an hour by online templates. A review of those privacy policies may only be an initial step in the process of finding problems and solutions therefor in the current practices of personal data protection by the public and private entities. The experiences of major foreign countries that this article surveyed show the necessity to introduce a privacy audit system. The scope of audit of personal data protection should go beyond the formal privacy policies of entities into organizational structure, field practices, education of employees, technological privacy protection measures, etc. Measured steps should be taken to develop the discussion on the review of privacy policies into the discussion on the audit of general practices of personal data processors.