「공공기관의 개인정보보호에 관한 법률」제3조의 2(개인정보보호의 원칙) [제정 1994.1.7 법률 제4734호, 법제명 변경 및 일부개정 2007.5.17 법률 제8448호("공공기관의 개인정보보호에 관한 법률"에서 변경)]

1994년 「공공기관의 개인정보보호에 관한 법률」이 제정, 공포되었으나 개인정보보호법은 국민의 낮은 개인정보보호의식, 개인정보를 보호하기 위한 효율적인 통제방안의 결여 등 많은 문제점이 있었다. 이후 전자정부의 발전에 따라 개인정보를 어떻게 관리하고 이용할 것이며 정보주체의 통제권은 어느 수준까지 인정되어야 하는가에 대한 논의가 사회적으로 큰 쟁점이 되었다. 이러한 개인정보보호법의 제정에 관한 논의는 2003년 5월 교육행정정보시스템를 둘러싼 충돌에서 보듯이 구체적으로 전자정부사업에 영향을 미치고 있고 향후 수많은 정보시스템의 도입과 활용이 예정되어 있는 상황에서 관련 제도의 정비가 시급히 요구되었다. 

아울러 전자정부 환경에서 개인정보를 잘 이용하고 안전하게 보호하기 위하여 개인정보의 집적과 이용을 백안시 하거나 불법화하고자 하는 노력보다는 개인정보의 경제적 가치나 이용필요성을 인정하는 시각에서 그 안정성과 투명성 및 책임성을 확보하기 위한 제도설계가 우선적으로 필요하다고 지적되었다.

2002년 11월 대한민국전자정부 서비스가 시작된 이래 정보기술이 여러 분야에 확산되었지만, 정보사회의 발전에 따른 전자정부시대의 효율적인 개인정보보호를 위한 개인정보보호기본법은 마땅히 없었다. 이후 법 제정의 필요성은 2003년에 교육행정정보시스템에 따른 개인정보침해가 사회적 쟁점으로 떠오르고 나서야 제기됐다. 

2003년 7월 정부혁신위원회에서 개인정보보호정책토론회를 개최하여 개인정보보호기본법 제정에 대해 논의하기 시작했다. 이후 개인정보보호기본법(안)을 위해 정부혁신위원회 주체로 개인정보보호 정책포럼 등을 유치하여 법안에 대한 의견을 수렴하였다.(2004. 4~6) 

법안은 공공과 민간을 포괄하여 적용하는 개인정보보호원칙, 실효성을 담보하는 수단, 개인정보 보호 기구의 설치 등을 핵심적 내용으로 하는 것이었다. 당초 법안에서는 개인정보 보호기구를 국가인권위원회의 특별위원회로 설치하기로 하고, 2005년에 국회공청회를 거쳐 법안을 국회에 제출하기로 했다. 그러나 법안 심사를 앞두고 2005년 4월 국가인권위원회는 개인정보보호위원회가 별도로 설치되는 것이 타당하다는 의견을 표명함에 따라 제출한 법안을 철회하고 수정안을 마련하였고 당정협의를 거쳐 2005년 7월 11일 국회에 제출하였다. 

그러나 2007년 11월, 민간부문에 대한 「개인정보보호기본법(안)」은 계속해서 계류 중에 있으며, 공공기관의 개인정보 노출 문제에 대한 「공공기관의 개인정보보호에 관한 법률 일부개정 법률안」만 2007년 5월에 국회를 통과하였다.(시행일: 2007년 11월 17일)

법안의 구성 체계는 총 5개장 35조로 구성되었으며, 주요내용은 다음과 같다.

1. 개인의 자유로운 인격발현과 정보사회의 지속적인 발전을 법의 기본이념으로 천명하고 개인정보 취급의 원칙을 제시한다.(안 제2조 제1항 및 제2항)

2. 공공부문과 민간부문을 불문하고 개인정보취급자가 정보주체의 동의, 법률의 규정, 법률행위의 목적을 달성하기 위하여 필요한 경우에 제한적으로 개인정보를 수집할 수 있도록 한다.(안 제11조)

3. 개인을 부당하게 차별할 목적으로 개인정보를 수집하는 행위를 금지한다.(안 제12조)

4. 개인정보취급자에 대하여 일정한 경우 개인정보영향평가를 실시토록 하여 개인정보의 침해를 사정에 예방할 수 있는 근거를 마련한다.(안 제18조)

5. 개인정보보호 업무의 체계적·일괄적 집행을 위해 국가인권위원회로 하여금 개인정보특별위원회를 설치토록 하고, 국가인권위원회에 개인정보침해신고센터를 설치한다.(안 제22조 및 부칙 제3항) 

6. 개인정보에 관한 분쟁 조정업무를 신속하고 공정하게 처리하기 위하여 국가인권위원회의 조정위원회가 개인정보에 관한 분쟁조정을 할 수 있도록 한다.(안 제27조) 

개인정보 보호법(안)이 통과되면 현행 정보통신망법의 개인정보보호 관련조항의 개선사항을 보완하고 법 적용 범위를 확대해 민·관에 체계적으로 적용되도록 할 예정이다. 법 적용대상을 현재 정보통신 서비스 제공자로 제한한 것을 개인정보 취급자로 확대하고, 비영리 사업자와 개인도 법의 적용대상에 포함시킨다. 보호해야 할 대상은 이용자에서 정보주체로 확대해 이용자와 관계없는 일반적인 정보주체를 보호대상에 포함시킨다. 또한 주민등록번호 도용을 방지하기 위해 아이핀(i-PIN) 등 대체수단을 도입하며, IT 서비스 제공자에게는 개인정보 보호를 위한 기술적․관리직 조치의무를 부과할 예정이다. 다른 법률과의 충돌이나 중복을 피하기 위해 신용·의료 등 각 분야 전문성과 특수성을 고려해 개별법을 우선 적용하는 방침을 세울 계획이다.

이처럼 개인정보보호법은 과거의 중시되지 않았던 개인 정보의 중요성을 환기시켰다. 그리고 앞으로 진행되는 전자정부 인증사업 등의 법률적 토대를 마련해 주었다.

대통령자문 정부혁신지방분권위원회, <참여정부의 전자정부> 정부혁신지방분권위원회, 2005
법제처, <혁신을 통해 국민 속으로> 한국정보사회진흥원, 2007