[프라임경제] 대규모 개인정보 침해는 대형화·지능화·다양화추세를 맞고 있으며 이러한 사고들의 빈발로 인해 국민들의 불안감은 더욱 급증하고 있는 추세다. 이에 행정안전부에서는 위원회의 소속격상 및 기능 확대 등 개인정보보호법 체계의 일원화를 꾸준히 촉구하며 법 제정에 앞장서고 있다.

지난해 개인정보 침해사고는 약 1억건 이상이 발생했으며, 주로 해킹이나 내부직원, 담당자 부주의 등이 원인으로 나타났다. 전체적으로 모 쇼핑몰 등이 지난해 4월 기준 6950만건, 모 텔레콤이(20건)1만1831건으로 소송액 127억원, 모 경매 사이트가 2008년 3월기준 1800만건으로 총 67건 소송액 2100억원을 기록했다.

이는 개인정보보호 일반법의 미비로 법 적용 사각지대가 발생한 것으로 공곡기관 개인정보보호법, 정보통신망법 등 개별법 체계로 헌법기관, 오프라인 사업자, 비영리기관 등은 관련법 부재로 인한 한계를 나타냈다. 지난해 개인정보침해 신고는 총 5만4832건으로 법적용사업자가 26.3%에 해당하는 1만4401건 법 적용제외사업자가 4만431건으로 73.7%을 차지했다.

행정안전부는 지난 16일 한국정보보호학회의 주최로 업계 관계자 150여명이 참석한 가운데 한국인터넷진흥원 12층에서 ‘개인정보보호법 워크숍’ 을 개최했다.

개인정보보호법의 제정의 주요내용은 적용대상을 개인정보 보호법안의 적용대상을 공공·민간 부문으로 확대하고, 개인정보에 관한 주요사항을 심의·의결하는 대통령 소속 개인정보보호위원회를 두고 위원회에 사무국을 설치해 개인정보 처리를 단계별(수집, 이용, 제공, 위탁, 파기)로 보호기준을 마련하는 것이다. 또한 고유 식별정보의 처리 제한 및 강화, 영상정보처리기기의 설치 제한 근거 마련, 개인정보 영향평가제도 도입, 개인정보 유출사실의 통지·신고제도 도입, 국민의 개인정보 피해 구제 절차 강화 등을 주된 내용으로 포함하고 있다.

또한 개인정보에 관한 주요사항을 심의·의결하는 대통령 소속 개인정보 보호 위원회를 두고 위원회에 사무국을 설치해 개인정보 보호 정책의 수립·결정 및 제도 운영 등 중요 사항에 대한 의사결정의 신중성·전문성·객관성을 확보하고 개별부처 등 이해 당사자로부터의 독립성을 확보하고 있다.

행정안전부 강신기 과장은 고유식별정보(주민등록번호)의 처리제한 강화, 영상정보처리기기의 설치 제한 근거 마련, 개인정보 영향평가제도 도입, 개인정보 유출사실의 통지·신고제도 도입, 국민의 개인정보 피해 구제 절차 강화 등의 내용에 대해 설명했다.

강신기 과장은 “개인정보 수집, 이용, 제공, 파기 등 단계별로 처리기준을 규정하는 것과 개인정보처리과정에서 국민의 개인정보 자기 결정권 강화 등을 통해 개인정보의 보호와 이용의 조화를 도모해야 한다”며 “개인정보 보호법의 체계적인 일원화와 개인정보보호법의 제정에 따른 기업이 준비 등을 통해 유출피해를 최소화해야 할 것”이라고 설명했다.

기존의 법률과 개인정보보호법의 먼저 적용대상에서 차이를 나타낸다. 우선 정통망법에서 개인정보보호법의 적용대상은 정보통신서비스 제공자인 전기통신 사업자와 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자, 준용사업자로 여행사, 호텔, 항공사, 학원, 백화점 비디오 등이 속하는데 반해, 개인정보보호법에서는 개인정보처리자인 업무를 목적으로 개인정모파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체 등 개인정보파일 등이 이에 해당한다.

◆개인정보보호법 알고 대처해야

특히 법무법인 세종 장주봉 변호사는 “개인정보보호법의 적용대상이 상당히 축소되거나 적용 법률의 확정에 논란이 야기될 수 있으므로 이에 정통망법을 우선 적용해야 한다”고 강조했다.

또한 “정통망법에는 명시적인 규정이 없었지만, 개인정보보호법에 따른 개인정보 보호원칙에 입각해 명확한 개인정보 처리목적과 목적에 필요한 최소한의 범위 내에서 개인정보를 수집이 가능하다”며, 하지만 “개인정보의 처리목적에 필요한 범위 내에서 사생활 침해를 최소화하는 방법으로 개인정보를 처리하고 목적 외 활용을 금지하는 것을 내용으로 하고 있다”고 전했다.

장 변호사는 “개인정보의 정확성·완정성·최신성 보장 등 개인정보의 처리방법 및 종류에 따라 침해가능성 및 위험정도를 고려해 개인정보를 관리해야 한다”고 설명했다.

개인정보보호법의 개인정보의 수집·이용의 기본적인 절차는 정통망법과 유사하며 개인정보의 수집·이용·제3자 제공의 경우 원칙적으로 정보주체의 동의를 필요로 한다. 하지만 △개인정보보호법의 법률 규정에 따른 경우 △계약의 체결 및 이행을 위해 불가피하게 필요한 경우 △정보주체의 사전 동의를 얻기 곤란한 경우로서 생명·신체·재산의 이익을 위해 필요하다고 인정되는 경우 △개인정보처리자의 정당한 이익을 달성하기 위해 필요하고 명백하게 정보주체의 권리보다 우선하는 경우 △의사표시 불능 또는 주소불명 등의 사유로 사전 동의를 받을 수 없는 경우는 예외 경우에 해당된다. 덧붙여 계약의 체결 및 이행을 위해 불가피하게 필요한 경우도 이에 해당된다고 명시하고 있다.

또한 개인정보의 제공에 대해선 기본적인 개인정보 제공자라는 정통망법과 유사하며 개인정보를 제공받는 자, 제공받는 자의 개인정보 이용목적 및 제공되는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간, 동의거부권 및 동의 거부시 불이익의 내용 등을 정해 정보주체의 동의를 받아야 한다고 명시하고 있다.

개인정보보호법에서 개인정보의 해외제공과 민감 정보, 고유 식별 정보의 제공은 별도로 동의를 받아야 한다. 예외로는 법력에 따른 경우와 정보주체의 사전 동의를 얻기 곤란한 경우, 생명·신체·재산의 이익을 위해 필요하다고 인정되는 경우가 해당된다.

개인정보처리의 위탁에 대해선 정통망법에서는 원칙적으로 동의를 요하고 계약의 이행에 필요한 경우와 개인정보 취급방침 또는 개별통지를 통해 수탁자 및 위탁업무의 내용을 알린 경우에는 동의를 받을 필요가 없었다. 반면, 개인정보보호법에서는 원칙적으로 공개로 충분하다고 정리된다. 특히 위탁시에는 수탁업무 외 개인정보 처리를 금지하고 개인정보 보호조치 및 기타 시행령이 정하는 사항이 포함된 문서로 해야 한다.

개인정보 침해사건의 발생 시에 개인정보보보법에서는 정보주체에 대한 통지 및 행정안전부 장관 등에 신고해야 한다. 기존에는 정보통신서비스제공자 및 개인정보 처리의 수탁자가 손해 배상책임의 주체가 됐지만, 개인정보보호법에서는 개인정보 처리자가 손해배상의 주체가 된다.

◆‘의무와 주의’는 최소한의 피해보장

개인정보 유출 인식시 지체 없이 유출개인정보 항목과 시점 및 경위 등을 정보주체에게 통지해야 하며, 일정규모 이상의 개인정보 유출시 행정안전부장관 등에게 신고해야 한다.

장 변호사는 “이에 관한 예로 LGU+, 리니지, 옥션의 사건을 들 수 있다”고 전했다.

LGU+의 경우, 휴대전화의 기종별 이용가능 부가서비스 조회시 분석 작업을 거치면 가입고객의 주민등록번호를 알 수 있었던 것에 이에 대해 1심에서 정통망법 위반에 따른 개인정보 유출로 인정해 1인당 5만원의 위자료 지급을 판결했다. 2심에서는 전문적인 분석을 거치지 않으면 주민등록번호를 알 수 없어 유출이 있었다고 볼 수 없다고 판결했다.

또한 서버를 해킹해 외원의 성명·주민등록번호·주소·전화번호·계좌번호 등이 유출된 옥션의 경우, 옥션은 개인정보보호를 위한 기술적 보호조치를 취했고, 기술적 문제로 인해 해킹을 방지할 수 있는 방화벽을 설치하지 않은 것 뿐이므로 주의의무 위반을 인정할 수 없었다.

하지만 리니지의 경우, 리니지2 업데이트시 이용자들의 ID와 비밀번호가 암호화되지 않은 상태로 PC에 저장돼 정통망법 위반으로 인정돼 1인당 10만원의 위자료지급 판결을 받기도 했다.

이처럼 개인정보 유출사건의 특성은 소규모의 손해를 입은 다수의 피해자가 발생하고 개인정보처리자가 고의 또는 과실이 없음을 입증해야 한다. 하지만 개인정보처리자의 직원 또는 수탁자가 유출 시에는 면책되기 어렵다.

현재 법으로 개인정보처리자가 개인정보보호법에 따른 의무를 준수하고 선량한 관리자의 주의를 다한 경우, 개인정보 유출 등으로 인한 손해배상책임을 경감 받을 수 있다.

개인정보처리자의 책임 최소화를 위한 조치로 개인정보 수집·이용·제공·위탁시 관련규정에 따라 필요한 절차를 충실히 거쳐야 한다. 또한 개인정보보호법에 따른 안전조치의무를 충실히 이행해야 하며, 개인정보 유출발생시 유출통지 등을 통해 추가적인 손해 발생의 최소화에 최선을 다해야 할 것이다.