개인정보 동의제 보완 위한 ‘개인정보보호 중심설계’ 도입 방안
피해자 권리구제 필요성 대두... ‘개인정보보호법’상 자료제출명령 제도 논의
‘개인정보 보호법’상 징벌적 손해배상 제도 보완

[보안뉴스 이소미 기자] 2023년 국정감사가 10월 10일부터 27일까지 진행된다. 올해 개인정보보호위원회에 대한 국정감사에서 △‘개인정보 보호 중심설계’ 도입 방안 △‘개인정보 보호법’상 자료제출명령 제도 보완 △‘개인정보 보호법’상 징벌적 손해배상 제도 보완 등이 논의된다. 이에 <보안뉴스>는 미리보는 2023년 국정감사 시리즈에서 개인정보보호위원회의 개인정보보호와 관련한 주요 이슈를 살펴본다.


‘개인정보 보호 중심설계’ 도입 방안
우리나라 개인정보 보호체계는 개인정보 수집·이용의 근거로 상당 부분 정보주체의 동의, 이른바 ‘동의 제도’에 의존하고 있다. 동의 제도는 원칙적으로 정보주체 동의 없이 개인정보를 수집하거나 이용할 수 없다. 그러나 개인정보 수집·이용에 대한 정보주체의 동의는 형식적으로 이루어지는 경우가 많아 사실상 정보주체를 보호하는데 한계점이 지적되고 있다.

그리고 이를 보완하기 위해 ‘개인정보 보호 중심설계(Privacy by Design)’ 즉, 제품이나 서비스의 기획·설계 단계부터 개인정보보호 기술·조치를 포함시켜야 한다는 개념이 주목받고 있다.

다만, 우리나라 개인정보보호 체계는 중심설계 이념을 실천하는 데 있어서 미흡한 측면이 있어 최근 개인정보보호위원회가 ‘개인정보보호 중심설계 인증제’를 시범 실시할 예정이나 이 제도에 대한 한계점이 지적되고 있다. 이에 개인정보 동의제도를 보완하는 수단으로 적극적인 방안을 검토할 필요성이 제기되면서 현재 시범 실시되고 있는 ‘개인정보보호 중심설계 인증제’의 효과성 강화를 위한 논의가 제기됐다.

주요 내용으로는 △인증 대상을 ‘제품’ 외 서비스 및 그 외 다양한 국면으로의 확대 필요성 △인증 획득에 추가적인 인센티브 부여 및 정보주체 대상의 개인정보보호 중심설계 인식 향상을 통한 제품·서비스 제공자의 개인정보보호 중심설계 인증 취득 유인 확보 △ISMS-P 등 유사 성격의 인증제도와 연계성를 높여 유사 인증 중복 취득에 따른 사업자 부담 경감 방안 △장기적으로 개인정보보호 중심설계를 의무 규범으로 도입하는 방안 검토 등의 의견이 제시됐다.


‘개인정보 보호법’상 자료제출명령 제도 보완
최근 ‘개인정보 보호법’ 개정으로 자료제출명령규정이 도입됐다. 자료제출명령 제도는 손해배상청구소송에서 일방 당사자가 법원에 자료제출명령을 신청하는 경우 법원이 상대방에게 해당 자료 제출명령을 할 수 있도록 하는 제도다.

이는 ‘개인정보 보호법’ 위반행위로 인한 손해배상청구소송의 경우 그 특성상 개인정보처리자에게 법 위반 관련 정보와 ‘증거의 구조적 편재’로 피해 입은 정보주체가 자신의 피해를 주장·증명하기 어려운 점을 시정하기 위해 도입됐다.

자료제출명령 제도는 당사자 사이에 발생하는 실질적 불평등 해소와 피해자 권리구제를 용이하게 한다는 점에서 긍정적인 측면이 있다. 하지만 정보주체가 자료제출명령 제도를 활용한 손해배상청구소송 진행 과정에서 발생할 수 있는 한계점이 예상되면서 이 제도의 한계를 보완하고 실효성 제고 방안에 대해 논의돼야 한다는 의견이다.

이에 △자료제출명령 범위를 ‘손해 증명에 필요한 자료’ 뿐만 아니라 ‘법 위반행위의 증명에 필요한 자료’로 확대하는 방안 △영업비밀 보호 조치 태양을 한정하지 않고 개별 사건 특징에 따라 법관이 다양한 보호조치를 활용할 수 있는 방안 △‘in camera 심리 절차’ 중 제한적인 선에서 문서제출 신청인 측 참여 보장 방안에 대한 검토가 필요하다고 보고 있다.

예컨대, 저작권법 제129조의2제4항과 같이 △‘신청인·대리인의 의견을 특별히 들을 필요’ 요건으로 신청인 측 참여 인정 △신청인 측 참여 여부 결정 시 쌍방 의견 청취 △참여를 인정하는 경우 비밀보호를 위해 소송대리인에게만 문서 개시하는 방안 △문서를 개시 방식으로 전부 개시하지 않고 문서 요지를 고지하는 방안 등을 고려해야 한다는 것이다.


‘개인정보 보호법’상 징벌적 손해배상 제도 보완
현행 ‘개인정보 보호법’은 개인정보처리자의 고의·중대 과실로 인해 개인정보 분실·도난·유출·위조·변조·훼손된 경우, 정보주체가 ‘징벌적 손해배상’을 청구하도록 규정하고 있다.

‘징벌적 손해배상’이란 무자비한(Outrageous) 행위자를 징벌하고 추후 행위자 및 그 외 다른 누군가가 유사 행위를 못하게 하기 위한 손해배상 유형으로, 전보적(Compensatory) 혹은 명목적(Nominal)인 손해배상과 구별되는 개념이다.

이에 ‘개인정보 보호법’은 징벌적 손해배상제도를 수용해 정보주체에게 손해가 발생한 경우 법원은 고의·손해 발생 우려 인식 정도, 위반행위로 입은 피해 규모, 위법행위로 개인정보처리자가 취득한 경제적 이익 등을 종합적으로 고려해 손해액의 3배를 넘지 않는 범위에서 손해배상액을 정할 수 있다고 규정해 왔다(제39조 제3항·제4항).

최근 ‘개인정보 보호법’ 개정 이후에는 개인정보처리자의 개인정보 보호 경각심 제고와 정보 주체가 입은 손해의 실질적 보상 강화를 취지로 9월 15일부터 배상액 상한이 실손해액의 5배까지 상향됐다.

이 같은 변화는 손해에 대한 충분한 배상과 개인정보처리자에 대한 징벌, 장래 유사행위 억제 효과 강화로 상대적 약자인 정보주체를 보호한다는 측면에서 긍정적으로 평가되고 있다.

하지만 다른 측면에서는 제도 도입에 따라 △남소 가능성 △과잉배상 가능성 △배상액 산정 어려움 등의 부작용이 심화될 가능성이 있다며 해당 규정 시행에 따른 부작용 대비를 위한 논의가 필요하다는 의견이 제기됐다.

이와 관련해 △남소·과잉배상 가능성 대비, 피해자에게 귀속되는 손해배상액 액수 제한 △징벌적 손해배상액 산정 시 객관성·예측가능성 제고를 위한 고려 요소와 해당 요소들의 적용 순서 및 적용 시 고려할 세부사항 △배상액 예측 가능성 확보를 위한 상세한 기준 마련 등이 필요하다는 의견이다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>