개인정보 보호법에서 자율규제의 의미와 기능 ― 자율규제단체의 자율규약을 대상으로 ―

개인의 정보자기결정권을 바탕으로 하여 개인정보 보호법이 제정되고 시행된 이후 데이버 현실은 지속적으로 변화하고 있다. 데이터 정보사회의 역동적인 변화 가운데 실질적으로 개인정보를 보호하며 동시에 자유로운 데이터의 이동과 처리를 보장할 방안이 모색되고 있다. 다양한 개별 영역별로 보다 실질적이고 특화된 개인정보 규범을 형성하고 집행하는 것은 공식적인 법의 규율만으로 한계가 있다. 이에 대해 유용한 대안으로 제시되는 것이 자율규제이다. 자율규제의 본래적 의미는 국가나 법에 의한 규제가 아니라 사회 영역에서 자기이익을 추구하기 위해 개별적 및 집단적 질서를 형성하여 이에 따라 스스로 책임을 지고 통제한다는 것이다. 자기책임의 원리와 자기통제의 원리를 배경원리로 하는 자율규제는 법이 규정하는 범위를 넘어 책임을 발생시킬 수 있고 이행형태를 확장시킬 수 있다. 또한 단순한 준법의무를 넘어 개별화된 주의의무를 이행하고 통제를 감수한다. 그러나 현대 사회에서는 국가나 법과 완전히 절연된 순수한 자율규제를 논의할 실익이 크지는 않다. 자율규제가 국가와 법에 관련되면서 자율규제는 법의 내용을 보완하거나 구체화하는 기능을 수행할 수 있으며 이는 자율규제의 인센티브로 작동할 수도 있다. 만약 특정한 공익목표를 위해 자율규제를 도구화하기 위해서는 국가와 자율규제 주체가 분업적이고 협력적으로 공익을 수행하는 규제적 자율규제의 개념요소를 갖추어야 한다. 무엇보다도 규제적 자율규제는 공익목표를 위한 규제권한을 자율규제에 두게 되며 이를 위하여 국가와 사회의 내용적 협력과 합의가 필수적이다. 자율규제에서 규제적 자율규제에 이르는 다양한 규제전략은 개인정보 보호법제에서 활용되고 있다. 현행 개인정보 보호법은 자율규제단체가 규약을 작성하고 소속 개인정보처리자가 이를 준수하도록 자율규제를 실시할 수 있도록 자율규제단체를 지정하고 심사한다. 이는 GDPR과 유사한 모습을 보이는바, GDPR은 개인정보 보호와 데이터의 자유로운 이용을 위해 회원국이 동일한 보호수준을 구축할 것을 규제적 자율규제로 수행하고 있다. 이를 위한 수단으로 사용되는 행동강령의 승인은 현행 개인정보 보호법상의 지정심사 등과 유사한 모습을 보인다. 현행 개인정보 보호법상 자율규제 역시 규제적 자율규제로 평가될 수 있는 만큼, 공익목표의 이행을 위해 국가와 자율규제 주체 간의 내용적 협력과 합의에 법적 근거를 강화하고 자율규제와 규제적 자율규제의 의미를 올바르게 이해할 필요가 있다.