법 위반행위에 대한 처벌규정도 지난해부터 대폭 강화

정부는 최근 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용·제공한 경우 위반자에 대한 처벌을 한층 강화했다. 특히 개인정보를 많이 취급하고 있는 일부 오프라인 사업자, 즉 여행업자, 호텔업자, 항공사, 학원, 콘도미니엄, 대형마트, 백화점, 쇼핑센터, 체인사업자 등의 9개 업종 외에도 대량으로 고객의 개인정보를 수집·이용하는 오프라인 사업자의 유형이 크게 확대됨에 따라 지난해 12월 31일 ‘정보통신망법’ 시행규칙을 개정, 준용사업자를 27개 업종으로 확대했다.

작년에는 연이어 발생하던 대형 개인정보 유출 및 오남용 사고가 금년 들어서는 좀 뜸하다. 퍽 다행스러운 일이다. 그러나 다른 한편으로는 개인정보보호의 중요성에 대하여 사업자나 소비자 또는 정책당국의 생각이 느슨하거나 안이해지지 않을까 걱정이다.

최근의 개인정보 유출 및 오남용 관련사건의 특징을 살펴보면 예전에 비해 불법으로 유출되거나 제공된 개인정보의 양이 어마어마하고 관련자들의 행위가 대범해지고 있다는 것이다. 작년 GS칼텍스 개인정보 유출사건에서도 볼 수 있듯이 약 1,125만 건에 이르는 고객정보가 콜센터를 운영해온 수탁회사 직원의 손에 의해서 외부로 유출되었고 하나로 텔레콤은 회사가 고객정보를 조직적으로 오남용했다는 의혹을 받았다.

해킹에 의한 사고도 적지 않았다. 국내 최대 전자상거래 오픈마켓인 옥션은 작년 2월 해킹으로 인해 1,081만 명의 개인정보가 유출되는 사고를 당하기도 했다. 

그동안 정부와 업계의 지속적인 노력에도 불구하고 개인정보 유출 및 오남용 사례가 계속 증가함에 따라 정부는 최근 ‘정보통신망 이용촉진 및 정보보호등에 관한 법률(이하 ‘정보통신망법’)’을 대폭 개정, 정보통신 서비스 제공자가 개인정보보호 의무를 제대로 이행하지 않거나 불법적으로 개인정보를 이용·제공한 경우 위반자에 대한 처벌을 한층 강화했다.

예컨대 개인정보보호를 위한 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보가 분실·도난·누출·변조 또는 훼손된 경우 그동안에는 1천만원 이하의 과태에 처했으나 이제는 2년 이하의 징역 또는 1천만원 이하의 벌금형을 받게 된다. 또 ‘정보통신망법’에도 과징금제도가 도입돼 전기통신사업자가 법을 위반해서 개인정보를 수집·이용하거나 제공한 경우에는 매출액의 일부를 부당이득으로 환수하게 했다. 과태료나 형사처벌로는 불법행위를 막을 수 있는 예방적 효과가 적다는 취지에 따라 부당이득을 몰수함으로써 불법적인 개인정보 수집·이용의 유혹을 아예 없애자는 취지다.

지난해 GS칼텍스 사건을 계기로 정보통신 서비스 제공자 이외에 일반 오프라인 사업자에 대해서까지 ‘정보통신망법’의 적용을 확대해야 한다는 요구가 많았다. 우리나라에는 아직 온라인 사업자와 오프라인 사업자가 수집·처리하고 있는 개인정보를 모두 보호할 수 있는 개인정보보호법이 제정되어 있지 않다.

‘정보통신망법’은 주로 정보통신 서비스 제공자가 수집·처리하고 있는 개인정보를 보호의 대상으로 하고 있기 때문에 오프라인 사업자에게는 적용할 수 없다. 따라서 ‘정보통신망법’은 준용사업자라고 해서 개인정보를 많이 취급하고 있는 일부 오프라인 사업자 즉 여행업자, 호텔업자, 항공사, 학원, 콘도미니엄, 대형마트, 백화점, 쇼핑센터, 체인사업자 등에 대해서도 ‘정보통신망법’을 확대 적용해 왔다.

그러나 최근 이들 9개 업종 외에도 대량으로 고객의 개인정보를 수집·이용하는 오프라인 사업자의 유형이 크게 확대됨에 따라 행정안전부가 지난해 12월 31일 ‘정보통신망법’ 시행규칙을 개정하여 준용사업자의 수를 기존 9개 업종에서 27개 업종으로 크게 확대했다.

이에 따라 여행사, 호텔, 항공사, 학원, 백화점 등은 물론 주유소, 공인중개소, 결혼중개업자, 직업소개소, 렌터카회사, 병원, 주택관리회사, 자동차매매업자, 자동차등록대행회사 등에 이르기까지 거의 모든 오프라인 사업자들이 개인정보를 수집·처리할 때에는 ‘정보통신망법’상의 의무를 준수해야 하게 되었다(‘09.7.1 시행).

더 나아가 행정안전부는 위에서 열거한 ‘정보통신망법’상의 준용사업자 외에 영리·비영리를 묻지 않고 모든 형태의 개인정보 수집·처리행위에 대해서 적용이 될 ‘개인정보보호법’의 제정을 서두르고 있다. 개인정보보호법안은 2008년 수차례의 전문가 자문, 입법예고, 공청회, 관계부처 의견수렴 등의 절차를 거쳐 현재 국회 행정안전위원회에 상정되어 있다.

지난 4월 23일에는 국회 차원의 공청회가 개최되어 학계, 법조계, 시민단체의 의견을 듣기도 하였다. 토론자들은 부분적으로 의견을 달리하는 부분도 있었지만 개인정보보호법이 조속히 제정되어야 한다는 데는 모두 의견을 같이 했다. 현재 OECD회원국은 물론 APEC회원국들도 대부분 개인정보보호법을 가지고 있어 우리나라도 연내에는 개인정보보호법이 제정될 것으로 보인다.

이 법이 제정되면 개인이 친구나 친척의 주소, 전화번호, 전자메일 등을 수집·관리하는 것과 같이 개인적인 목적으로 개인정보를 수집·이용하는 경우를 제외하고 업무 목적으로 수집·처리되는 개인정보는 원칙적으로 모두 이 법의 적용을 받게 된다.

<글 : 이창범 한국정보보호진흥원 법제분석팀장·법학박사(happyday@kisa.or.kr)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>