한국인터넷진흥원

요약

1. 제목

 

개인정보보호 전문인력 지정제도 연구 

2. 연구개발의 목적 및 중요성

4차 산업혁명 시대 기술 혁신은 대규모의 데이터 수집․처리․이동을 수반하며, 기업의 모든 비즈니스에 데이터가 활용됨에 따라 기업이 보유하고 있는 데이터와 활용 능력은 기업의 경쟁력과 미래 가치를 평가하는 주요한 잣대가 되고 있다. 특히 개인정보는 부가가치 창출의 주요한 자원이 되고 있어 세계 각국은 개인정보 유출 우려 등 개인정보 보호 및 처리뿐만 아니라 개인정보 활용 등 개인정보 관련 법제 재정비에 박차를 가하고 있다. 2018년 5월 발효된 EU의 GDPR(General Data Protection Regulation)은 데이터를 활용하는 기업이 준수해야 하는 의무를 설정함으로써 보다 강한 책임을 부과하여 개인정보 처리와 관련한 선제적인 법제도 기준을 제시하고 있다. EU의 GDPR이 EU 회원국뿐만 아니라 EU를 대상으로 비즈니스를 하는 모든 국가의 기업들에 적용되기 때문으로 국내 기업들 역시 선제적 대응과 내부 대응체계 확립을 위해서 DPO를 지정하거나 준비 중에 있다. 주로 EU 내 기업들과 비즈니스 관계에 있는 기업들 중심으로 적극적인 대응에 나서고 있고, 그 외 기업들은 소극적인 편이다. 
한편, 국내에도 유사한 제도로 개인정보처리자의 내부 관리체계를 강화하기 위해 개인정보보호 책임자(CPO: Chief Privacy Officer) 지정의 의무를 둔 법률 규정이 있다. GDPR에서 규정하고 있는 개인정보보호 전문인력(DPO)과는 그 역할과 지위 측면에서 차이가 있으나 명확한 차별성과 운영 방식 등에 대한 인식이 부족한 상황이다. 뿐만 아니라 국내 개인정보보호 관련법에는 DPO 지정 의무를 명문화하고 있지 않기 때문에 기업들은 필요에 의해 자율적으로 DPO를 도입하고 있으며, CPO가 DPO를 겸직하는 경우가 많다.
선행연구(2019년 개인정보보호 전문인력 지정제도 도입방안 연구)에서는 해외 주요국의 개인정보보호 전문인력 지정 관련 법제도와 관련 지원 및 민관협력 프로그램에 대한 분석, 국내 개인정보호보호 분야 포함 유사 분야별 전문인력 지정 관련 법제도 및 운영 현황 파악, 조사․분석 내용을 토대로 하여 국내에 기존 제도 외에 DPO와 같은 개인정보보호 전문인력 지정 제도를 도입할 수 있는 여건을 검토하고 도입을 위한 착안점과 시사점을 도출하였다. 
본 연구는 2019년 연구를 심화하여 GDPR 시행에 따른 국내 기업의 개인정보보호 유출․사고 대응능력 강화와 개인정보보호 수준 제고를 위해 기존의 개인정보보호 책임자 제도의 개선을 포함한 개인정보보호 전문인력 지정제도 전반의 이슈 분석 및 구체적인 법제도 개선방안 마련뿐만 아니라 개선된 제도의 구체화 및 운영을 위한 세부 방안 수립을 목표로 수행하고자 한다.
이를 위해 국내․외 개인정보보호 분야 책임자 및 전문인력 지정제도 관련 이슈 및 법․정책 동향에 대한 특화된 분석을 진행한 후, 민간기업 및 공공기관을 대상으로 개인정보보호 전문인력 지정제도 실질화 방안 모색을 위해 심층인터뷰를 통한 정책 수요 조사 및 분석을 시행하였다. 이러한 내용을 토대로 개인정보보호 전문인력 지정제도 법제도 개선 방안 발굴을 위한 전문가 연구반을 운영하여 자문 의견을 종합하고 최종적으로 국내 개인정보보호 전문인력 지정제도 운영을 위한 법제도 개선 방안을 마련하고자 한다. 

3. 국내·외 개인정보보호 분야 책임자 및 전문인력 지정 및 운영 현황

● 해외 DPO 제도 운영 현황

독일의 경우 연방개인정보보호법(BDSG) 제5조 이하에서는 공공기관에 대한 DPO 제도를 규율하고 있고, 법 제38조에서는 민간영역에서의 DPO 제도에 대해 규정하고 있다. 공공기관의 경우 민간기업과 함께 경쟁하는 ‘주립’ 병원, ‘주립’ 은행과 같은 공공기관도 DPO를 지정해야 하는 대상으로 명시하고 있다. 민간의 경우 개인정보를 자동처리함을 전제로, 최소 20인 이상 자동처리 업무에 종사하는 종사자가 있는 경우, 개인정보영향평가를 시행해야 하는 민간 처리자 또는 비즈니스 모델이 (익명) 정보의 이전 또는 시장ㆍ여론조사 목적으로 개인정보를 처리하는 경우 DPO를 지정할 의무가 발생한다. 이러한 DPO 지정 의무는 결국 개인정보의 처리형태, 개인정보 처리되는 분야 및 활동의 중요성, 처리업무에 종사하는 종사자 수가 중요한 기준으로 작용함을 알 수 있다. 
미국은 연방 차원의 포괄적인 개인정보보호법이 없고, 교육, 통신, 의료, 신용평가 등 개인정보가 사용되는 특정 산업이나 특정 분야별 법률이 존재한다. 미국 연방정부기관에 적용되는 개인정보보호 관련법은 1974년의 프라이버시법(Federal Privacy Act of 1974), 프라이버시법(Federal Privacy Act of 1974), 컴퓨터보안 법(Computer Security Act of 1987), 컴퓨터정보 결합 및 프라이버시보호법(Computer Matching and Privacy Protection Act of 1988) 등에 근거한다. 공공부문의 경우, 1966년 정보공개법(FOIA) 제정에 따라 연방정부가 보유하고 있는 정보는 원칙적으로 공개되어야 하지만 프라이버시법에 의해 제한되는 부분도 존재한다. 금융현대화법, 의료정보법, 아동 온라인 프라이버시 보호법(COPA) 등 20여개가 연방 개인정보보호 관련 법률에 해당한다. 민간의 경우, DPO 지정을 의무화하는 법적 근거는 마련되어 있지 않으며 시장자율규제 방식을 채택하고 있기 때문에 GDPR의 적용을 받는 기업이 자발적으로 DPO를 지정하고 있다.  DPO 유사 제도인 CPO는 글로벌 기업, 공공기관과 그 외 기관 내 위험 관리 책임을 지는 고위직 임원으로, 개인정보 책임자(Privacy Officer), 개인정보 리더(Privacy Leader), 개인정보 보호 자문가(Privacy Counsel) 등 다양한 직함을 가진다. 주요 정부 기관은 기관별 CPO를 지정하도록 되어있는데, 국토안보부, 교육부, 법무부등 기관에서 CPO를 지정하여 개인정보보호를 담당하고 있다. CPO와 DPO의 가장 큰 차이는 DPO의 경우, EU GDPR 관할 하에 특정 조직이 필요하며, GDPR 제39조 및 관련 지침에 명시된 특별한 역할, 요구사항, 기대를 수행해야 한다는 점이다. 또한 DPO는 CPO와는 다르게 독립적이고 분리된 조직으로 존재해야 한다. 
프랑스는 2019년 기준 총 39,500개 조직이 DPO를 지정하였으며, 16,000명의 DPO를 임명하였다. 국가정보위원회(CNIL)는 DPO 교육을 위해 공적 자금을 투입하여 교육 프로그램을 제공하고 있으며 교육 서비스기관을 통해 개인정보보호 교육을 유도하고 인증 제도를 정착시키는 노력을 계속하고 있다. 또한 DPO 유사제도로서 CDO(최고 데이터 책임자, Chief Data Officer)를 지정하고 있다. 프랑스는 2011년부터 공공 데이터 관련 내용을 공개하여 활용하도록 하였는데, 이후 총리 권한 하 정부현대화(SGMAP) 사무국 소속 CDO 제도를 만들어 데이터의 공개 및 가공과 관련하여 효과적인 데이터 거버넌스 관리를 위한 CDO 지위를 신설하였다. CDO는 데이터 거버넌스, 생산, 유통 및 데이터 사용과 관련하여 행정 관리 조치를 시행하는 업무를 담당하며 CDO의 수행 업무에 관련한 내용을 매년 국무총리에게 보고할 의무를 포함한다.
벨기에는 2017년 12월 3일 ‘Data Protection Act’법을 개정하고 이후 2018년 7월 30일 ‘Data Protection Act’에 개인정보보호와 관련된 정의와 요구 사항을 추가하였다. 이후 형사법에서 개인 데이터 처리에 관한 2016/680 지침을 변경하여 경찰 정보 관리 감독 기관(COC)를 설립하고, EU 법률의 범위를 벗어난 정보 및 보안서비스 당국에 대한 규제를 진행하고 있다. 벨기에 데이터 보호 당국(DPA)은 DPO 임명요건에 관한 권고 지침을 갖고 있으며, 조직 내부인으로 DPO를 지정한 경우 DPO의 역할과 회사 내의 다른 기존의 역할 간의 잠재적인 이해 충돌을 피하기 위한 사례별 평가를 진행하여야 한다. DPO의 지정은 벨기에 DPA의 프레임워크에 따라 (1) GDPR 준수 모니터링, (2) 데이터 보호 영향평가, (3) 내부 기록유지 의무 지원, (4) 데이터 보호 기관과의 협력을 기준으로 지정되어야 한다. 더불어 조직 내부인으로 DPO를 지정한 회사는 (1) 개인정보 보호와 관련된 질문에 대해 DPO에 문의하고, (2) DPO에 충분한 리소스를 제공하고, (3) DPO가 독립적으로 자신의 업무 수행을 할 수 있도록 보장해야 하는 의무를 가진다. 
스페인은 2017년 10월 데이터 보호국(AEPD)에서 DPO에 대한 공식 인증 체계를 만들기 위한 조치가 취해졌지만 아직 운영되지는 않고 있다. DPO에 대한 인증 체계는 ISO 17024를 기반으로 한다. 따라서 스페인의 DPO 관련 인증은 GDPR 42조에 따른 인증(certifications)과는 다르다. 2019년 AEPD는 DPO를 지정하지 않은 민간기업에 대한 조사를 진행하여 GDPR 37(1)(b)조를 위반하였다고 판단한 바 있다. 
일본의 경우 2004년 4월부터 개인정보보호에 관한 법률(APPI)을 시행하고 이를 중심으로 공공 및 민간 부분에서 다루고 있는 개인정보의 정의 및 데이터와 같은 기본 개념을 정립하였다. 또한 행정기관이 보유한 개인정보에 관한 법률(APPIHAO), 통합행정기관이 보유한 개인정보보호에 관한 법률(APPI-IAA) 등의 개인정보보호법이 제정되었다. 현재 일본 내 47개 현, 도시, 구청은 개인정보보호에 관한 자체 조례가 존재하며, 각 현의 개인정보보호 조례는 행정기관, 대학, 학교, 병원의 개인정보 처리에도 적용된다. 이후 2017년 APPI 개정을 통해 GDPR 적정성 평가에 대비하였고, 2019년 1월 23일 유럽집행위원회는 일본 GDPR 적정성 평가를 최종 승인하였다. 적정성 평가 승인으로 인해 일본 기업들은 별도의 조치 없이 EU 회원국으로부터 개인정보 이전이 가능해졌다. 이후 2020년 6월 개인정보보호에 관한 법률 개정안이 공표되었지만, 아직 DPO 관련 법안 및 가이드라인은 없는 상황이다. 

● 국내 타 분야 전문인력 지정 관련 유사제도 운영 현황

신용정보관리·보호인의 경우 「신용정보의 이용 및 보호에 관한 법률」(‘신용정보법’) 제20조 제3항에 의해 지정된다. 이에 따라 신용정보회사, 본인신용정보관리회사, 채권추심회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공·이용자는 신용정보관리·보호인을 1명 이상 지정하여야 한다. 신용정보법의 위임에 따른 시행령 규정은 신용정보관리·보호인의 자격 요건에 관하여 일정한 직책에 있을 것을 요구할 뿐 그 업무 수행에 필요한 전문지식이나 역량과 같은 자격을 요구하지는 않는다.  신용정보관리·보호인의 업무는 개인신용정보와 기업신용정보에 따라 달리 규정된다(신용정보법 제20조 제4항). 신용정보관리․보호인의 업무 중 주목할 부분은 신용정보보호 관련 법령 및 규정 준수 여부 점검, 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영, 신용정보보호 교육과 같은 업무이다. 이 중에서 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영, 신용정보보호 교육 업무는 개인정보보호법상 개인정보보호 책임자의 업무로도 규정되어 있으나, 신용정보보호 관련 법령 및 규정 준수 여부 점검 업무는 신용정보관리․보호인에게 특유한 업무이다. 신용정보관리․보호인의 업무 범위에는 EU 법상의 업무집행 감독 제도인 DPO의 업무도 일부 포함되어 있는데, 이는 신용정보보호 관련 업무집행 기능과 업무집행 감독 기능이 동일인에게 귀속되는 결과가 된다는 점에서 주의를 요하는 부분이다. 신용정보관리․보호인이 규제기관인 금융위원회와 협의할 의무가 부과되어 있다는 점도 EU법상의 제도인 DPO와 유사한 부분이다.  
준법감시인 제도는 「금융회사의 지배구조에 관한 법률」에 따라 금융사지배구조법이 적용되는 금융회사들과 「자본시장법」 제335조의8에 따른 금융투자업관계기관에 해당하는 신용평가회사에 대하여 지정이 의무화되어 있다. 준법감시인 지정의무가 있는 금융회사는 사내이사 또는 업무집행책임자 중에서 준법감시인을 선임해야 한다(금융사지배구조법 제25조 제2항 본문). 금융사지배구조법상 임원은 이사(사내이사, 사외이사, 비상임이사 포함), 감사, 집행임원(「상법」에 따른 집행임원을 둔 경우로 한정) 및 업무집행책임자로 구성되는데(법 제2조 제2호, 제3호), 이 중에서 사내이사와 업무집행책임자만이 선임될 자격을 갖는다. 따라서 금융회사의 준법감시인은 임원으로 지정되는 것이 원칙이다. 다만, 자산규모, 영위하는 금융업무 등을 고려하여 대통령령으로 정하는 금융회사 또는 외국금융회사의 국내지점은 사내이사 또는 업무집행책임자가 아닌 직원 중에서 준법감시인을 선임할 수 있다(법 제25조 제2항 단서). 
금융사지배구조법령은 준법감시인의 자격 요건에 관하여 소극적 요건과 학력, 경력 등과 같은 적극적 요건을 나누어 자세히 규정하고 있다(법 제26조, 영 제21조). 
준법감시인의 직무는 임직원의 업무 수행을 감시하고 위반 여부를 조사하며 더 나아가 적극적인 사전 교육, 연수, 상담 등을 통하여 임직원의 직무윤리와 관련법규 준수를 유도하는 것에 중점을 두고 있다. 금융사지배구조법상 준법감시인의 직무는 내부통제기준의 준수 여부를 점검하고 내부통제기준을 위반하는 경우 이를 조사하는 등 내부통제 관련 업무를 총괄하면서 필요하다고 판단하는 경우 조사결과를 감사위원회 또는 감사에게 보고하는 것을 그 내용으로 하므로(법 제25조 제1항), 준법감시인의 직무는 내부통제기준과 밀접하게 관련되어 있다. 준법감시인이 수행하는 업무집행 감독 기능은 업무집행 기능과는 이해가 상충되고 감사위원회 또는 감사와는 중첩적인 위치에 있다. 다만 감사위원회 또는 감사 제도는 사후 감독을 주로 하였으나 준법감시인 제도는 위법행위를 사후적으로 적발하기 보다는 위법행위를 사전적으로 예방하는 장치이다. 
준법지원인의 경우 상장회사의 내부통제의 한 부분인 경영위험과 법률위험을 예방하기 위하여 준법통제기준에 따라 임직원의 일상적인 업무활동의 준법경영을 체계적으로 지원․관리하고 준법통제기준의 위반 여부를 상시적으로 감시하는 역할을 수행한다. 준법지원인 제도는 상장회사의 관련 규범의 준수 업무를 담당하는 준법지원인을 두도록 하면서 준법지원인의 업무를 회사에서 작성하는 준법통제기준을 준수하는 업무로 정하여 직제와 그 업무 기준이 유기적으로 연결되도록 하는 구조를 갖고 있는 특징이 있다. 준법지원인을 지정하도록 의무화된 상장회사의 범위는 시행령에 최근 사업연도 말 현재의 자산총액이 5천억원 이상인 회사로 정해져 있다. 다만, 다른 법률에 따라 내부통제기준 및 준법감시인을 두어야 하는 상장회사는 제외하므로(영 제39조), 준법감시인을 지정해야 하는 금융회사는 준법지원인을 따로 선임할 필요가 없다. 상법은 준법지원인의 법률관련사무의 전문성을 높이기 위하여 변호사, 법학교수 등 법률전문가와 시행령으로 열거하는 법률지식이 풍부한 사람으로 그 자격을 제한하고 있다(상법 제542조의13 제5항). 준법지원인제도는 기존의 사외이사나 감사와는 달리 법률전문가를 자격 요건으로 하여 기업의 업무집행의 적법성을 담보하기 위한 제도이기에, 감독규제위험 관리를 중점으로 할 수밖에 없는 준법감시인제도와는 차이가 있다.
지능정보화 책임관은 2020. 12. 10.부터 시행된  「지능정보화 기본법」제8조에 따라 중앙행정기관의 장과 지방자치단체의 장이 지능정보사회 시책의 효율적인 수립·시행과 지능정보화 사업의 조정 등의 업무를 총괄하기 위해 지정되는 직책으로서, 지능정보화 사업의 조정, 지원 및 평가 등의 업무를 수행한다.

4. 국내 개인정보보호 전문인력 지정제도 실질화 방안에 대한 정책수요 조사 

● 개인정보보호 관련 조직 운영 현황

정부부처 및 공공기관의 대부분이 개인정보보호를 담당하는 전담부서가 별도로 없고, 담당자 1명이 개인정보보호와 관련한 모든 업무를 수행할 뿐만 아니라 순환보직이어서 전문성을 갖추는 데 한계가 있다. 개인정보보호와 관련하여 상당한 전문성을 지닌 인력을 확보하고 있는 곳은 학술 관련 공공기관 등 개인정보 보유량이 많은 소수의 몇 곳을 제외하고는 거의 전무하다고 볼 수 있다. 반면 민간 기업은 개인정보보호 관련 전담부서가 있을 뿐만 아니라 개인정보가 주요한 비즈니스 대상인 경우는 철저한 관리가 이루어지고 있다. 병원은 민감 정보를 다루고 있음에도 불구하고 개인정보 관련 전문 인력이 없는 것으로 조사되었다. 
개인정보보호 담당인력의 전문성의 경우 공공기관은 기존 인력이 개인정보보호 업무를 맡게 되면서 전임자를 통해 업무를 습득해가는 방식을 취하고 있다. 반면 민간은 개인정보보호에 대한 법적 이해에서부터 기술력을 겸비한 전문인력이 배치되어 있는 것으로 조사되었다. 병원 역시 내부 직원 중에 선별하여 개인정보보호 업무를 수행하도록 배치하기 때문에 전문성은 낮다고 볼 수 있다. 
또한 보유하고 있는 정보나 규모도 기관의 특성에 따라 상이한데 적게 약 18만 건에서 많게는 약 7백만 건의 개인정보를 보유하고 있다. 이처럼 기관 및 기업의 특성에 따라 개인정보보호 전담 조직 및 인력 구성, 전문성 수준이 차별적이기 때문에 개인정보보호 책임자 도입시 제반환경의 차이를 고려할 필요가 있을 것이다. 

● 기존 유사제도 지정 현황

공공기관과 병원은 전문성을 갖춘 CPO가 아닌 책임을 질 수 있는 의사결정권자를 CPO로 지정하는 반면, 민간 기업은 업무의 특성상 전문성을 갖춘 CPO가 지정되고 있다. 

● DPO 지정 제도 도입에 대한 인식

공공기관 관계자들은 CPO와 달리 DPO는 전문성을 갖추어야 한다고 보았다. 자격 요건은 공공과 민간기업 모두 일정 기간 이상의 개인정보보호 분야 실무 경력을 가진 자가 지정되어야 한다고 제안하였다. 그러나 스타트업과 같이 설립한지 얼마 되지 않는 기업이거나 소규모 기업의 경우 경력 기간 요건을 충족시키기 힘들 수 있기 때문에 외부 지정 방안과 같은 대안도 마련할 필요가 있다는 의견을 제시하였다. 또한 DPO의 직급과 관련해서는 책임을 질 수 있는 위치에 상응할 수 있는 직위로 공무원 5~6급 정도, 팀장급, 부서장 정도를 제안하였다. 민간의 경우는 직급을 법으로 강제하는 것에 대해서는 부정적 입장이었다. DPO 의무지정 범위와 관련해서는 새로운 기준을 적용하게 될 경우 공공 및 민간의 저항이 높을 수 있으므로 최대한 기존 틀을 바꾸지 않도록 하는 선에서 기존 기준을 준용할 것을 제안하였다. 또한 민간의 경우는 제도 자체를 자율적으로 도입하는 방안을 선호하였으며, 강제하기보다는 인센티브를 제공하여 자발적 도입이 가능하도록 유도하는 방안을 제안하였다. 
DPO 제도를 도입하는 방식에 있어서 기존 유사 제도인 CPO와의 차별화 여부 등 이해관계자들의 의견이 엇갈렸다. CPO 제도와 별도로 DPO 제도의 취지를 살리는 방안을 선호하는가 하면, 기존 CPO 제도를 개선하여 DPO의 장점만을 반영하는 방안을 제안하기도 하였다. 뿐만 아니라 DPO 지정이 여의치 않은 경우 외부 DPO 지정 및 공동 DPO 지정 등의 보완적 수단도 필요할 것이라는 의견도 있었다. 이러한 다양한 의견들을 토대로 이해관계자들의 공통된 의견은 기존 CPO 제도를 개선하여 DPO의 일부 주요 특성을 반영하는 방안으로 의견이 수렴되었다. 주요 내용 중 DPO 또는 전문 CPO의 전문성 요건으로 특정 기간의 경력 요건에 대한 우려가 있긴 했지만, 유사 경력도 인정 비율을 차별화하여 전문성 요건을 유연하게 적용할 수 있도록 하는 방안이 제안되었고, 이는 수용 가능성이 높을 것이라는 평가를 내렸다. 직위와 관련해서는 공공기관의 경우 책임 문제와 직결되는 부분이기 때문에 책임을 질 수 있는 정도의 최소 직급을 요구하였다. 이처럼 DPO 또는 전문 CPO 지정을 의무화하는 대상으로 공공기관의 경우 개인정보영향평가 대상, 민간의 경우 ISMS-P 겸직제한 대상으로 제한하는 것에 대해 이해관계자들이 상당부분 공통된 의견을 보였다. 단기간에 새로운 제도를 도입하기 위해서는 기존의 기준들을 활용하는 것이 이해관계자들의 저항감을 경감시키는 데 유용한 방안이 될 수 있음을 시사하였다. 또한 일부 기관 및 기업들은 내부 전문가로 DPO 또는 전문 CPO 지정이 어려운 경우가 있을 것으로 예상되는 가운데 외부 DPO 또는 전문 CPO 지정 방안을 마련할 필요가 있다는 데 다수의 지지가 있었다. 

5. 개인정보보호 전문인력 지정제도 법제 개선 방안 

● 지정의 범위와 방식

개인정보보호 전문인력의 지정의 범위와 방식을 정하기 위해서는 먼저 현행의 CPO 제도와 구별되는 DPO를 별도로 규정할 것인지 여부와 별도로 규정할 경우 그 방식에 관한 논의가 선행될 필요가 있다. 
EU에서는 제도화된 DPO의 관점에서 그렇지 않은 CPO의 역할이 규정되는 반면에, DPO가 도입되어 있지 않고 CPO만이 제도화되어 있는 우리나라에서는 제도화된 CPO 및 이와 유사한 신용정보관리․보호인의 기능과 역할에 비추어 향후 도입될 DPO의 기능과 역할을 어떻게 규정할 것인지를 논의할 필요가 있다. 우리 개인정보보호법제에 DPO를 도입할 경우에는 기존의 CPO와 DPO를 통폐합할 것인지, 아니면 CPO와 DPO를 별도로 운영할 것인지에 대하여 제도 설계에 대한 의사결정이 필요하다. 
이와 관련하여 이 연구에서는 해외 제도와 운영 현황에 대한 시사점을 토대로 하여 국내에 적용할 수 있는 4가지 안[옵션 1 내지 4]을 비교 검토하였으나, DPO 제도의 장점과 도입 필요성에도 불구하고 우리나라의 현실적 여건을 고려하여 기존의 CPO 제도의 틀 내에서 DPO 제도의 장점을 고려한 [옵션 1]을 대안으로 제시한다. 이 방안에서는 CPO가 내부의 개인정보보호 업무 및 정책을 관리하는 고유 업무에 추가하여 DPO의 업무에 속하는 평가 및 감시도 수행하는 이중적 역할을 수행하도록 하되, 전반적으로 업무의 독립성을 강화하고 일정한 규모 이상의 개인정보처리자의 경우 CPO의 전문성을 강화하기 위하여 자격요건을 갖춘 CPO를 선임하여 개인정보보호위원회에 신고하도록 한다. 현재의 CPO에 대한 책임자 명칭으로 인한 위험부담으로 CPO의 역할 수행을 기피하는 풍토를 개선하고 외부 지정의 부적합성을 피하기 위해서 명칭 변경을 적극적으로 검토할 필요가 있다는 점을 지적하고, 대체할 명칭으로는 ‘개인정보보호 전문 관리자’를 제안한다.
법 개정안 제31조 제1항 제2문에서 개인정보보호 전문 관리자를 신고하여야 하는 개인정보처리자의 범위는 자산총액, 매출액 등 대통령령으로 정하도록 위임하게 되므로, 그 위임에 따른 시행령 조항을 구성할 필요가 있다. 그 범위는 공공기관과 민간을 별도로 정할 수도 있고 공공기관과 민간에 공통적인 기준을 정할 수도 있다. 
[제1안]은 공공기관과 민간에 대하여 다른 기준을 적용하는 안이다. 공공기관은 현행법상 개인정보처리자로서 CPO를 지정하여야 하는 공공기관 중 각급 학교 등 일부를 제외한 것이고, 민간은 정보통신망법상 CISO 겸직의무가 적용되는 정보통신서비스 제공자를 그 대상으로 한 것이다. 민간 적용 대상을 개인정보처리자로 확대할 경우 정보통신서비스 제공자가 아닌 개인정보처리자의 경우 개인정보처리시스템과 이를 통해 처리하는 개인정보 건수를 기준으로 한 제외 요건을 설정하는 방안을 제안한다.
[제2안]은 공공기관과 민간에 공통적인 기준을 적용하는 방안이다. 공통적인 기준은 개인정보 영향평가 대상을 참조하되, 공공기관에 적합한 개인정보파일 기준을 민간에도 확대 적용하기보다는 개인정보파일 기준의 대리변수로 민간에도 적용할 수 있는 개인정보 건수 기준을 개발하여 통합적으로 적용하는 방안을 모색할 필요가 있다.

● 전문 CPO의 자격과 전문성

현행 CPO는 자격 및 전문성 요건을 CPO의 직위로 대체하고 있다. CPO가 조직 내에 고위직에 해당하면 자격 및 전문성을 갖추고 있는 것으로 추정 또는 간주하는 방식이다. DPO 제도 대신 전문 CPO 제도를 현행 CPO에 추가로 도입하여 CPO의 전문성을 높이는 방식으로 DPO 제도의 도입 방향을 정했다면, 전문 CPO의 자격 및 전문성 요건을 별도로 규정해야 할 것이다. 
다만, 제도 설계에 앞서 해결되어야 할 몇 가지 쟁점과 고려요소가 존재한다. 먼저, 전문 CPO의 자격 및 전문성 규율의 방식이다. GDPR과 독일 개인정보보호법은 ‘개인정보보호 실무에 대한 전문지식’과 ‘DPO 임무의 수행능력’을 요구할 뿐이다. 이러한 추상적인 규율 방식은 공공기관과 민간의 현실과 상황을 고려하여 적합한 전문 CPO를 임명할 수 있다는 장점은 있으나, 통일성을 결여하고 있고 전문 CPO의 도입 취지를 무색하게 만들 우려가 있다. 전문 CPO를 지정하였더라도, 그 자격 및 전문성 요건을 갖추었는지에 대한 판단을 어렵게 하는 요인으로 작용할 수 있다. 명확성과 법적 안정성을 위해 전문 CPO의 자격과 전문성에 대한 요건을 확정적으로 규정할 필요가 있다. 다음으로, 전문 CPO의 외부지정 허용 여부를 결정해야 한다. 전문적인 CPO를 수급하기 어려운 환경에서 자격과 전문성이 입증된 외부 CPO를 지정할 수 있는 가능성을 열어두어 탄력적으로 전문 CPO 제도의 안착을 유도할 수 있는 수단이 될 수 있다. 마지막으로 공공기관과 민간의 전문 CPO의 자격을 차별화할 것인지 여부에 대한 판단이 필요하다. 원칙적으로는 공공기관과 민간의 전문 CPO 자격 요건을 통일하는 것이 바람직하다. 그러나 공공기관에서 고위직이라는 직위 요건과 일정 수준 이상의 전문성을 동시에 갖추기는 어렵다. 실제 공공기관의 CPO 중에서 개인정보보호 관련 업무의 실무경력이 있는 자는 많지 않은 상황이다. 공공기관의 구성원이 될 수 있는 자는 채용시험 등의 제약이 있기 때문에, 민간 개인정보처리자와 동일한 잣대로 비교할 수는 없다. 따라서 현실적인 어려움을 감안한 자격 요건의 차별을 고려할 수 있을 것이다.
전문 CPO의 자격 및 전문성 요건은 ISMS-P 인증심사원의 자격요건을 최대한 활용하는 방안이 바람직하다고 판단된다. ISMS-P 인증심사원은 개인정보보호와 정보보호의 전문성을 두루 고려할 수 있기 때문이다. 전문 CPO는 개인정보보호법 지식만 요구되어서는 안 된다. 개인정보가 처리되는 다양한 상황과 업무절차에 대한 전반적인 이해가 필요하다. 
이에 공공부문의 자격요건은 “4년제 대학졸업 이상 또는 이와 동등학력을 취득 후, 개인정보보호 경력을 1년 이상 필수로 보유하고 개인정보보호 또는 정보보호 경력을 합하여 6년 이상을 보유”할 것을 제안한다. 민간부문의 자격요건은 공공부문보다 강화된 “4년제 대학졸업 이상 또는 이와 동등학력을 취득 후, 개인정보보호 경력을 6년 이상을 보유”할 것이 바람직하다고 판단된다.

● CPO의 업무

DPO의 주된 업무는 감시ㆍ감독자의 역할이다. 개인정보보호법 위반 여부를 조직 내부에서 감시ㆍ감독하고, 그 위반 사항이 있을 때 개인정보처리자에게 보고하고 적절한 조치를 취하도록 조언하는 기능울 수행한다. 개인정보보호를 이행하는 과정에서 어디에서 문제가 있는지를 발굴하여 개인정보처리자에게 알리고, 이로써 개인정보처리자가 개인정보보호법상 책임을 회피하기 위하여 적절한 조치를 취할 수 있게 한다. 
당장 DPO를 도입하지 않고 전문 CPO 제도로 DPO의 기능을 점진적으로 도입하더라도 현재 CPO의 업무 범위에 포괄적으로 DPO 본연의 업무 기능들이 포함되어 있는 것으로 볼 수 있다. 만일 추가적인 CPO의 업무 사항이 있다면, 시행령 개정으로 보완할 수 있는 제도 체계를 갖추고 있다. 따라서 전문 CPO 도입에 따른 CPO 업무 관련 조항의 개선 소요는 특별하게 존재하지 않는다고 판단된다. 

● CPO의 지위와 독립성

DPO는 그 업무수행에 있어 독립성이 보장되어야 한다. DPO의 기능을 전문 CPO로 흡수하는 제도 개선을 기화로 CPO의 독립성 보장 및 강화를 도모할 수 있다.
독립성을 보장할 수 있는 강력한 수단은 CPO의 적극적인 임기 보장이다. EU 집행위원회의 GDPR 초안은 (외부 지정 DPO를 포함하여) DPO의 임기를 2년으로 보장하도록 규정한 바 있다. EU 의회의 GDPR 초안은 내부 DPO는 4년, 외부 DPO는 2년으로 제안하기도 하였다. 한편, 독일 연방과 주의 민간분야 개인정보보호 규제당국 연합체(Düsseldorfer Kreis)는 2010년에 공동성명을 통해 원칙적으로 DPO의 임기를 4년으로 제안한 바 있다. 따라서 CPO의 임기를 적극적으로 2년 이상 또는 4년 정도로 보장하는 것도 독립적인 업무수행을 위한 지위 보장적 차원에서 고려해 볼 수 있을 것이다. 명문의 임기보장 외에도 해임을 위해서는 이사회 결의를 요구하는 방법도 있다. 적극적 임기 보장 규정이 바람직하지 않다면 최소한 소극적인 독립성을 보장하기 위한 장치는 마련되어야 한다. “개인정보 업무처리와 관련하여 해임 또는 징계 등 불이익을 받지” 않도록 하는 규정을 둘 필요가 있다. 독립성을 보장하기 위한 구체적 규정으로 “부당한 업무 지시를 해서는 안 된다.”는 등의 내용으로 전환할 수 있을 것이다. 
CPO에게 부여된 업무를 효과적으로 수행하고 그 도입 취지가 제대로 실현될 수 있도록 하기 위해서는 직접 개인정보처리자의 장(CEO)에게 개인정보보호 업무와 관련하여 직접 보고할 수 있어야 한다. 따라서 CPO의 개인정보처리자의 장에 대한 직접 보고 권한이 부여될 필요가 있다. 추가적으로 이러한 보고가 가능하기 위한 CPO의 직무수행과 관련된 자료를 적절한 시기에 충분히 제공받을 권한이 있어야 한다. 또한, CEO에게 보고ㆍ권고된 사항이 개인정보보호 업무의 개선으로 이어졌는지, 어떠한 조치가 이루어졌는지를 확인하고 피드백을 받을 수 있어야 한다. 따라서 개인정보보호 업무의 개선, 권고 및 조치결과를 확인할 수 있는 권리가 보장되어야 할 것이다.

6. 시사점 및 제언 

개인정보보호 전문인력의 지정의 범위와 방식을 정하기 위해서는 먼저 현행의 CPO 제도와 구별되는 DPO를 별도로 규정할 것인지 여부와 별도로 규정할 경우 그 방식에 관한 논의가 선행될 필요가 있다. 이와 관련하여 이 연구에서는 해외 제도와 운영 현황에 대한 시사점을 토대로 하여 국내에 적용할 수 있는 4가지 안[옵션 1 내지 4]을 비교 검토하였으나, DPO 제도의 장점과 도입 필요성에도 불구하고 우리나라의 현실적 여건을 고려하여 기존의 CPO 제도의 틀 내에서 DPO 제도의 장점을 고려한 [옵션 1]을 대안으로 제시한다. 
이 방안에서는 우선 CPO 명칭을 현재의 개인정보보호 책임자에서 개인정보보호 전문 관리자로 변경할 것을 제안한다. 또한 CPO가 내부의 개인정보보호 업무 및 정책을 관리하는 고유 업무에 추가하여 DPO의 업무에 속하는 평가 및 감시도 수행하는 이중적 역할을 수행하도록 한다. 
일정한 규모 이상의 개인정보처리자의 경우 CPO의 전문성을 강화하기 위하여 자격요건을 갖춘 CPO를 선임하여 개인정보보호위원회에 신고하도록 한다. 신고의무가 있는 CPO에 대하여는 일정한 자격요건을 두는 규정을 신설한다. 
DPO를 당장은 도입하지 않는 대신 CPO가 개인정보 관리 업무와 개인정보 처리에 대한 감독 업무를 겸하여 이중적인 지위를 갖게 되는 점을 고려하여 업무 범위를 명확하게 구성한다. 또한 CPO의 지위와 독립성을 보장하기 위한 규정을 신설한다. 

목차

제 1 장 서론  1 
  제 1 절 연구의 목적  1 
  제 2 절 연구의 개요  3 

제 2 장 국내․외 개인정보보호 분야 책임자 및 전문인력 지정 및 운영 현황  5
  제 1 절 해외 현황  5
    1. 독일  5
    2. 미국  13
    3. 프랑스  24
    4. 벨기에  34
    5. 스페인  37
    6. 일본   40
  제 2 절 국내 타 분야 전문인력 지정 관련 유사 제도 운영 현황  41
    1. 신용정보관리·보호인   41
    2. 준법감시인   50
    3. 준법지원인  59
    4. 지능정보화책임관  64

제 3 장 국내 개인정보보호 전문인력 지정제도 실질화 방안에 대한 정책 수요 조사  68
  제 1 절 개인정보보호 전담 조직 운영 현황  68
     1. 개인정보보호 전담조직 및 담당 인력 현황  68
     2. 개인정보보호 인력의 전문성  72
     3. 개인정보의 규모 및 종류   76
  제 2 절 기존 유사 제도(CPO) 지정 현황  77
  제 3 절 DPO 지정제도 도입에 대한 인식   80
     1. DPO 역량  80
     2. DPO 자격 요건  81
     3. DPO 직급 및 연봉  84
     4. DPO 의무지정 범위   86
     5. 기존 CPO 지정제도 등과의 차별화 방안   90
     6. 개인정보보호 업무 수행시 애로사항   95
  제 4 절  개인정보보호 전문인력(DPO) 지정제도 도입 방안에 대한 이해관계자 의견  98
     1. 자격 요건  98
     2. 의무 지정 대상 및 범위  102
     3. 외부 지정  108

제 4 장 개인정보보호 전문인력 지정제도 법제 개선 방안  110
 제 1 절 국내 개인정보보호 전문인력 지정(안) 및 전망  110
    1. 의무지정 기준(안)  110
    2. DPO 지정 대상 산출 방법 및 예측  119
    3. DPO 지정 의무 대상 예측 시나리오  124
 제 2 절 개인정보보호 지정제도 법안 개선방향 제안   135
    1. 지정의 범위와 방식  135
    2. 전문 CPO의 자격과 전문성  153
    3. CPO의 업무  171
    4. CPO의 지위와 독립성  171

제 5 장 결론  178
 제 1 절 요약   178
    1. 국내·외 개인정보보호 분야 책임자 및 전문인력 지정 및 운영 현황  178
    2. 국내 개인정보보호 전문인력 지정제도 실질화 방안에 대한 정책 수요 조사  184
    3. 개인정보보호 전문인력 지정제도 법제 개선 방안  187
 제 2 절 시사점 및 제언   190