개인정보보호법을 헌법적 관점에서 살펴보면, 다음과 같은 문제가 있다. 첫째, 개인정보보호법은 개인정보 보호에 관하여 공공부문뿐 아니라 민간부문에도 적용되는 통합법이다. 하지만 개인정보 보호, 나아가 프라이버시 보호는 공공부문과 민간부문을 구분하여 접근하는 것이 타당하다고 본다. 개인정보를 처리, 즉 수집ㆍ이용ㆍ제공하기 위한 법적 근거가 공공부문과 민간부문에 있어서 서로 다르기 때문이다. 기본권 주체인 국민은 원칙적으로 모든 행위를 자유로이 할 수 있으며 (일반적 행동자유권), 다른 사람의 개인정보를 처리하는 행위 역시 자유로이 할 수 있다. 국가와 그 기관은 원칙적으로 자유로이 모든 행위를 할 수 없고, 헌법과 법률에 의하여 부여된 업무를 수행하기 위하여 필요한 범위 내의 행위만 할 수 있을 뿐이다. 또한 공공부문에서는 개인의 프라이버시를 최대한 보장하기 위하여 공권력 행사를 최대한 통제하는 방향으로 법제가 마련되어야 하지만, 민간부문에서는 양 당사자가 대립되는 자유와 권리를 주장하고 있으므로 상충하는 기본권모두가 최대한으로 그 기능과 효력을 발휘할 수 있도록 조화로운 방법을 모색하여야 한다. 둘째, 개인정보보호법은 정보주체의 권리로서 동의를 중시하고 있다. 정보주체의 권리로 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 명시하고(제4조 제2호), 정보의 수집 및 이용을 제한적으로 허용하고(제15조 제1항), 이를 위반한 경우 5천만 원 이하의 과태료를 부과하고(제75조 제1항 제1호) 있다. 그러나 정보주체가 일상적으로 행하는 동의가 과연유효한 것인지 의문이다. 동의가 유효하려면, 정보주체가 동의하는 내용을 알아야 하며, 동의 여부및 동의의 범위에 대한 선택권을 가져야 한다. 현실은 두 조건을 충족하지 못한다. 셋째, 개인정보보호법에서는 개인정보 보호를 위해 법 위반사항에 대한 제재조치로 과태료보다형사처벌이 광범위하게 사용된다. 개인정보의 정의가 개방적이고, 그 적용범위가 넓은 상태에서 경미한 법 위반사항까지 형사처벌하는 것은 죄형법정주의에 반한다. 또 다른 법과 비교할 때 형벌이 과도하게 무거워 체계정당성의 원리에 반한다. 정보화 사회에서 개인정보는 보호의 대상이면서 동시에 활용의 대상이다. 개인정보보호법에 개인정보 활용에 대한 고려 없이 개인정보 보호만 강조하고 있어 균형을 상실한 법이다. 개인정보는 보호되어야 할 대상이지만, 동시에 기업의 영업자산 내지 공공기관의 공적 기록으로서 성격도 가지고 있기 때문에 적절한 수준의 수집ㆍ이용ㆍ제공 역시 보호되어야 한다. 법 개정이 필요하다.

This paper is aimed at constitutional review on Personal Data Protection Act, which was enacted on March 29, 2011 to protect individuals` privacy from collection, leakage, misuse and abuse of personal data. The Act is marked by following features. First, in regard to personal data protection, it is an integrated law that applies to both pubic and private sector. However, in my opinion, individuals`privacy can be more widely protected by separate approach to each of public and private sector. As private sector is based on the equal relationship between private entities, we should focus on public sector where freedom of individuals can be violated unilaterally by the exercise of state power. Second, the data subject`s consent is a key element of Personal Data Protection Act. However, we cannot guarantee the validity of the consent. In order to regard the consent as valid, the data subject should know about the object of the consent, and have the right to choose whether to give consent and the scope of the consent. In reality, either one of these criteria are not being satisfied. Third, Personal Data Protection Act imposes criminal punishment for almost every law violation. It states that the violation can be punished by imprisonment up to ten years, which shows the level of the punishment is also significantly high. Imposing criminal punishment for the violation of processing of personal data without clearly defining the concept of personal data is against the principle of legality, which requires the elements of the statute that imposes punishment to be clear so that one with sound common sense and a reasonable sense of law should know specifically which act is prohibited. In the information society, personal data is not only an object of protection but also that of use. Personal Data Protection Act lacks in the sense of balance between two conflicting values, personal data protection and freedom of information.