미국 연방거래위원회법 제5조에 의한 소비자 개인정보 보호- 자율규제에 의한 소비자 개인정보 보호의 안전장치 -
The Protection of Personal Data Under Section 5 of the FTC Act: The Safety Device of the Self-Regulation Which Promote Both the Protection and Utilization of Consumer Information
이문지(배재대학교)
27권 1호, 443~476쪽
초록
우리나라를 비롯한 많은 국가들은 공공부문과 민간부문을 구별하지 않고 동일한 기준으로 개인정보를 보호하는 일원적 방식을 채택하고 있다. 이와 달리 미국은 연방차원에서 공공부문과 민간부문을 분리하여 이원적으로 접근하는 방식을 취하고 있다. 즉 공공부문은 일찍부터 개인정보보호를 위한 일반법을 제정하여 보다 엄격한 규제를 가하고 있는 반면, 민간부문에 있어서는 1차적으로는 정부에 의한 직접적인 보호보다는 시장의 자율규제(self-regulation)에 의존하되 시장이 실패했다고 인정되는 특정 영역에 대해서만 구체적 문제를 해결하기 위해서 보호입법이 마련되어 있다. 여기에서 유의할 것은 미국처럼 민간부문에서는 자율규제에 의해 소비자 개인정보의 보호와 이용을 동시에 도모하는 규제체제가 유럽의 경우와 비교할 때 사물인터넷과 같이 개인정보를 활용하는 온라인 산업의 육성에 훨씬 유리하다는 사실이다. 민간부문의 개인정보 보호를 1차적으로 자율규제에 의존하더라도 개인정보 보호의 실효성을 확보할 대책이 필요하다. 미국은 개인정보를 처리하는 기업이 자율규제방식으로 개인정보처리방침(Privacy Policy)를 채택하여 게시하도록 유도하는 한편 이를 위반하는 경우 연방거래위원회법 제5조가 금지하는 ‘기만적이거나 불공정한 행위’라는 이유로 규제한다. 또한 각종의 지침 제정, 연구보고서의 발행 및 워크샵의 개최 등을 통해 민간의 충실한 자율규제를 촉진하고 자율규제의 실효성이 없는 경우의 영역별 보호법규 제정 및 개정에 대비하는 한편 타율적인 입법이 싫으면 자율규제를 하라고 촉구한다. 즉 FTC의 권한 행사는 민간의 자율규제에 의한 개인정보 보호의 실효성을 확보하기 위한 안전장치에 해당한다. 따라서 FTC는 경쟁촉진 및 소비자보호를 담당하는 미국 연방정부의 중앙행정관청으로서 소비자 개인정보를 일반적으로 보호하는 책임을 맡고 있다. IT강국을 자처하는 우리나라가 채택하고 있는 현행 개인정보법제는 개인정보의 보호만을 목적으로 삼고 그 정보가 갖고 있는 가치의 활용에 대한 배려는 전무한 상태로 볼 수 있으며 개인정보의 보호와 이용의 균형을 이루지 못하는 현행 개인정보보호법제를 개정해야 하고 민관의 협력적 거버넌스 또는 자율규제의 활용이 절실히 필요하다는 의견이 최근 학계에서 유력해지고 있다. 따라서 우리나라의 개인정보 보호법제는 개인정보의 보호와 활용의 균형을 이룰 수 있도록 조만간 개정될 가능성이 적지 않다고 판단된다. 우리나라가 앞으로 개인정보의 보호와 이용의 균형을 이룰 수 있도록 현행 개인정보보호법제를 개정하는 경우에 발생할 규제의 공백지대를 메우기 위해 민간의 자율규제를 활용하는 경우 미국처럼 자율규제의 실효성을 확보하는 방법을 강구할 필요가 절실할 것이다. 따라서 이 글에서는 미국 FTC법 제5조에 의한 소비자 개인정보 보호의 역사와 규제의 방식 그리고 규제사례에서 형성된 사실상의 법규범에 관해 소개하고 한국에서 미국의 경우처럼 사적 분야에 대해 개인정보 보호의 규제를 완화하고 자율규제를 활용할 경우 자율규제의 실효성 확보를 위해 강구할 방안에 관해 검토하였다.
Abstract
Since the late 1990s, the Federal Trade Commission (FTC) has been enforcing companies' privacy policies through its authority to police unfair and deceptive trade practices. Despite over seventeen years of FTC enforcement, there is no meaningful body of judicial decisions to show for it. The cases have nearly all resulted in settle- ment agreements. Nevertheless, companies look to these agreements to guide their privacy practices. Thus, in practice, FTC privacy jurisprudence has become the broadest and most influential regulating force on information privacy in the United States--more so than nearly any privacy statute or any common law tort. The FTC solidified its role by lending credibility to the self-regulatory approach. Under self-regulation, businesses essentially determined for themselves the basic rules they will adhere to regarding data collection, use, and disclosure. They stated these rules in their privacy policies. FTC enforcement added some teeth to the promises in privacy policies, most of which lacked any penalty or consequence if a company failed to live up toits promises. FTC’s Section 5 privacy enforcement serves as the lynchpin that makes the U.S. self-regulatory approach more than hollow. The FTC's dominance in privacy is in part due to its playing this lynchpin function. The FTC has filled a great void, and without the FTC, the U.S. approach to privacy regulation would lose nearly all its legitimacy. The FTC has essentially turned a mostly self-regulatory regime into one with some oversight and enforcement. The data privacy law should value the protection of personal information as well as the utilization of it. But the Korea’s legislation for the protection of personal information takes heavy criticism for its focusing on the protection of personal information in private sectors. It should be noted that industry self-regulation of consumer data privacy and security has been proposed as a flexible alternative to government regulation. If government regulation is displaced by industry self- regulation, the FTC’s experience of Section 5 privacy enforcement deserves special consideration as the safety device of self-regulation.
- 발행기관:
- 한국경영법률학회
- 분류:
- 법학