• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[연말기획-5] 개인정보보호법 시행 3개월 성과는?! 2011.12.27

개인정보보호법, 관련 개별법에 더한 이중규제 아니라는 인식 필요

정보유출시 ‘5일 이내’ 신고 및 통지 기간 문제점 드러나     

개인정보분쟁조정으로 집단소송 수임료 ‘먹튀’ 방지 가능


[보안뉴스 김정완] 개인정보보호와 관련된 법체계를 일원화하고, 개인의 권익보호를 강화하기 위해 제정된 ‘개인정보보호법’이 9월 30일, 시행·발효된 지 3개월여의 기간이 지났다.


개인정보의 수집·유출·오남용으로부터 개인 사생활 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위해 개인정보 처리에 관한 사항을 규정하고 있는 개인정보보호법의 시행으로 우리 사회는 어떠한 변화가 있었을까?


우선 1,320만명 가량의 개인정보가 유출된 넥슨 사건은 개인정보보호법 시행 후 발생한 최초의 개인정보 유출사건으로 이 사건을 통해 법 시행 후 달라진 점에 대한 유추가 가능하다.  


지난 2008년 발생했던 옥션 사건이나 최근의 SK커뮤니케이션즈의 네이트·싸이월드 사건 등 기존 개인정보 유출사고가 발생했을 때에는 정보통신망을 사용하거나 정보통신 서비스를 제공하는 사업자들인 만큼 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 정보통신망법)’을 적용받아 이 법이 규율하지 않는 부분에 대해서는 사실상 방치돼 왔던 것이 사실이다.  


개인정보 유출사고 발생 시에는 ‘5일 이내’ 신고·통지해야

우선 정보통신망법 제48조의3에 따라 개인정보 유출 시(동법은 ‘침해사고 신고’임) 사업자는 방송통신위원회나 한국인터넷진흥원(KISA)에 ‘즉시’ 그 사실을 신고하도록 하고 있다. 여기서 문제는 ‘즉시’라는 표현이 애매모호하다는 점이다. 그렇다보니 사업자 나름대로 해석해 신고함에 따라 개인정보 유출로 인해 발생할 수 있는 피해를 최소화할 수 있는 조치가  늦어지는 문제가 발생해 왔다.


이에 반해 개인정보보호법은 제34조 개인정보 유출 통지제에 따라 개인정보 유출 시 ‘지체 없이’ 신고하도록 했고, 표준 개인정보 보호지침을 통해 ‘5일 이내’에 신고하도록 상세하게 규정하고 있다. 물론 ‘5일 이내’에 이루어지도록 하는 신고·통지과 관련해 인지시점과 신고시점 사이의 간격이 너무 긴 만큼 이에 대한 추가 논의는 필요해 보인다.


개인정보분쟁조정으로 집단소송 수임료 ‘먹튀’ 방지

또 주목되는 것이 개인정보에 관한 분쟁의 조정을 위해 설치·구성된 ‘개인정보분쟁조정위원회’다. 기존 정보통신망법에서는 15인 이내 위원으로 구성(현재 법상 위원회는 ‘심의위원회’로 변경됨)했던 데 반해 개인정보보호법은 20인 이내 위원 구성으로 규모 면에서도 물론 커졌지만, 무엇보다 기존에는 없던 집단분쟁조정을 할 수 있게 됐다는 점이 큰 차이다.


기존에는 명문화되지 않았던 공공기관에 대한 분쟁조정도 가능하게 됐고, 위원회의 조정결정의 효력은 양 당사자가 수락하게 되면 재판상의 효력을 가지게 된 점도 괄목할 만한 부분이다.


특히, 개인정보 유출사고가 발생되면 피해자들을 모아 변호사가 수임료만 챙기는 행태가 이번 개인정보분쟁조정위원회로 해결될 수 있다. 즉, 집단소송 진행을 위해 지불해야 했던 수임료를 내지 않고도 피해자들은 분쟁조정위원회에 조정 신청을 하면 되기 때문이다.


개인정보보호법, 분야별 개별법에 더한 이중규제 아니다!

이번 넥슨 사건에서 넥슨이 우선하는 법은 정보통신망법이다. 넥슨이 정보통신서비스제공 사업자이기 때문이다. 그런데 왜 개인정보보호법도 적용을 받게 되는가 하는 문제가 있다. 개인정보 유출통지 및 신고제나 분쟁조정위원회 등은 정보통신망법에서는 규율하고 있지 않기 때문이다.


금융권 역시 개별법은 ‘신용정보의 이용 및 보호에 관한 법(이하 신용정보보호법)’이고, 이 법이 규정하지 못하고 있는 사항에 대해 개인정보보호법이 적용되는 것이다. 즉, 개인정보보호법은 정보통신망법이나 신용정보보호법 등 관계 법령들에 더한 이중 규제가 아니라 분야별 개별법에 따라 시행되던 개인정보 보호의무 적용대상을 공공·민간 부문의 모든 개인정보처리자로 확대 적용한 것이라고 보면 된다.


개인정보보호법이 시행된 지 3개월여가 지났다. 하지만 일반 시민들이 9장 75조항으로 구성된 이 방대한 분량의 법을 이해하고 인식하기 위해서는, 더 나아가 기업이나 정부가 이러한 법을 분명히 인식하고 개인정보보호 프로세스를 갖추기에는 좀 더 오랜 시간이 필요해 보인다.

 

그런 만큼 이를 위한 정부의 홍보·계도가 무엇보다 필요하고 절실하다. 물론 대상기업들 역시 개인정보보호법을 컴플라이언스로만 인식할 것이 아니라 진정한 의미의 고객정보보호를 실천해 나가는 틀로 삼아야 할 것이다. 

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>