[임홍철 칼럼] '개인정보보호법'이란 작명 이대로 좋을까

흔히들 이름이 중요하다고, 이름을 잘 지어야만 한다고 얘기들을 한다. 이름을 어떻게 짓느냐에 따라 사람의 팔자가 달라질 수 있다고 하면서 말이다. 백번을 곱씹어도 맞는 말이다.

실제 사람이 살아가는 데 있어 그 이름이 차지하는 영향은 생각보다 크다. 오죽하면 이름으로 인한 고통이나 불편함을 견디지 못한 사람들을 위해 개명신청을 할 수 있도록 했겠는가.

이름이 중요한 이유는 첫인상 또는 첫 느낌에 있어 중요한 역할을 하기 때문이다. 좋은 이름, 편안한 이름, 재미있는 이름은 좋은 인상과 느낌을 주고 오랫동안 좋게 기억된다. 잘못 지은 이름은 그 사람에 대한 나쁜 선입견을 줄 수 있고 나쁜 쪽으로 오랫동안 기억될 수 있다. 그만큼 선입견은 무서운 것이고 그래서 이름을 잘 짓는 것이 중요하다.

정보보안 분야에서 이름과 관련되어 가장 아쉬운 경우는 보안 분야에서 가장 유명한 법률인 개인정보보호법이다. 이름 만으로도 법을 대하는 사람들이 선입견을 갖기 좋은 조건이기 때문이다. 바로 정보보호 또는 보안에 대한 법이라는 선입견, 이 법이 기업의 보안조직에게만 해당되는 법이라는 선입견 말이다.

사실 개보법은 개인정보의 처리 과정에 대한 내용과 처리 과정에서의 보호에 대한 내용을 담은 법이다. 기업이 고객정보를 처리하는 데 있어 지켜야 할 기준을 제시하고, 처리과정에서의 사고를 방지하기 위한 보호대책을 마련하도록 하는 것이 주요 골자다.

여기서 '처리'란 기업이 고객정보를 수집하고, 저장하고, 내부에서 이용하고, 업무수탁 등을 위해 협력사에 제공하고, 필요시 다른 기업에게 제공하고, 이용기한이 다된 고객정보의 경우 파기하는 등에 관한 전 생명주기를 의미한다.

그리고 각각의 과정에서 고객정보가 유출되거나 훼손되지 않게 보호하도록 요구한다. 즉, 개보법은 사실 개인정보의 처리와 개인정보의 보호에 대한 법인 것이다.

이 법의 이름은 개인정보보호법이다. 그리고 현실 세계의 기업 현장에서는 이 이름으로 인해 생겨난 오해와 선입견으로 인한 많은 슬프면서도 웃긴 웃픈 상황들이 소문이 되어 들려오고 있다.

보안조직에게 "고객정보를 뭘 수집하면 되느냐"라고 문의하거나 "보존기한이 다 된 고객정보가 담긴 문서나 파일을 파기해도 되느냐"고 문의하거나 "고객에게 광고메시지를 보내도 되느냐"고 문의하는 경우 등이 대표적이다. 모두 보안과는 연관이 없는 업무다.

실제 기업 현장에서는 선입견이 적지 않게 작용하고 있고, 그 선입견이 생겨난 배경에는 아마도 법의 이름이 큰 역할을 하지 않았을까 싶다. 법의 이름이 법과 관련된 모든 내용들을 보안조직에서 담당한다고 인식하는 선입견을 준 것으로 여겨지는 것이다.

흔히들 정통망법으로 부르는 법의 정식 명칭은 정보통신망 이용촉진 및 정보보호 등에 관한 법률이다. 그렇듯 개인정보 보호법도 처음부터 개인정보의 처리 및 보호에 관한 법률이었으면 어땠을까 하는 아쉬움이 남는다.