• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보 보호조치 위반 사업자 ‘과징금 규정’ 강화 2013.12.17

“본인확인기관에 대한 ‘업무정지명령’ 대신 ‘과징금’ 신설”

[보안뉴스 김태형] 앞으로 개인정보 보호조치 의무 위반 사업자에 대해서 과징금 규정이 강화될 전망이다. 방송통신위원회는 이같은 내용을 주요 골자로, 17일 서울 가락동 한국인터넷진흥원 대동빌딩 14층 대강당에서 정보통신망법 개정 공청회를 개최했다.

   


이번 공청회는 정보통신망법의 ‘개인정보 보호조치 위반에 대한 과징금 부과’에 대해서 다양한 의견을 수렴하고 이를 바탕으로 과징금 규정의 개정을 추진하기 위해 마련됐다.


이날 반상권 방송통신위원회 개인정보보호윤리과 과장은 ‘정보통신망법 개정(안)’의 주요 내용 발표에서 “최근 대규모 개인정보 누출사고가 빈번하게 발생하고 개인정보보호의 중요성이 커지고 있지만, 이에 대한 제재가 미흡하다는 비판 여론 형성되고 있다”면서 “특히, 개인정보보호 조치 위반과 누출사고와의 인과관계 입증이 어려워 과징금 부과가 곤란하다. 하지만 과징금은 법적 의무 위반이 있으면 부과가 가능한 제도이기 때문에 이번 법 개정 추진을 통해 과징금 규정을 마련하게 됐다”라고 개정 취지를 말했다.


이어서 그는 “이번 법 개정은 개인정보보호 강화 및 제재의 실효성 확보를 위해서 합리적인 과징금 부과 기준에 대한 다양한 의견을 수렴하고 충분한 논의를 통해 내년 상반기 내에 개정 법안을 국회에 제출할 계획”이라고 설명했다.


이번 정통망법 개정안의 주요 방향을 보면, 우선 ‘본인확인기관에 대한 과징금 신설로 이용자의 편의성 제고’를 위해 ‘본인확인기관에 대한 업무정지명령’을 ‘과징금 부과’로 개정하고 과징금 상한은 1억원 이하로 하되 업무정지 기간에 따라 과징금액을 달리 산정한다.


또한 ‘개인정보보호조치 위반에 대한 제재의 실효성 확보’를 위해서 ‘개인정보 누출사고 발생 책임에 대한 제재’에서 ‘개인정보 보보호조치 의무 위반에 대한 제재’로 개정하고 ‘정액 과징금(1억원 이하) 부과’에서 ‘정률 과징금(위반행위 관련 매출액 1% 이하) 부과“로 개정한다는 것이다.

개정안의 주요 내용을 보면, △본인확인 업무 정지 명령을 갈음하는 과징금 신설(안 제23조의5), △개인정보 보호조치 위반 관련 과징금 개정(안 제64조의3제1항), △위반행위와 관련한 매출액 위임 근거 마련(안 제64조의3제1항) △과징금 체납시 가산금 부과기간 제한(안 제64조의3제8항), △과세정보 제공 요청 근거 신설(안 제64조의3제9항) 등이다.


법 개정안 주요 내용 발표에 이어 진행된 패널토의에서 최경진 가천대학교 교수는 “본인확인기관에 대한 업무정지 명령에 갈음해서 과징금을 부과하여 법규 준수를 강제하는 것은 타당하다”면서 “하지만 과징금 부과에 대한 구체적인 구분이 있어야 하고 개정안의 해석상 분실, 누출, 훼손이 제3자에 의하지 않고 내부 구성원에 의한 경우 과징금 부과로부터 벗어나는 것인지 의문”이라고 말했다.


권창범 법무법인 인 변호사는 “본인확인기관에 대한 업무정지로 인한 국민 불편을 해소하기 위한 과징금 부과 규정을 도입해 볼 수 있다. 하지만 다양한 형태로 변형되어 과징금 제도가 도입된다면 법 체계적인 비일관성이 문제가 될 수 잇다”면서 “이처럼 변형된 과징금 제도는 공익사업과 관련한 사업에 한해 도입되어야 한다”라고 말했다.


또한, 최민식 인터넷기업협회 실장은 “개인정보 보호조치 의무 위반에 대한 고의·과실에 대한 입증책임 없이 과징금 부과는 법률 명확성의 원칙에 위반되지는 않는지 우려된다. 또한 정보통신서비스 제공자가 기술적·관리적 조치를 수행했음에도 불구하고 발생하는 개인정보 누출 등의 침해사고에 대해서 개정안과 같이 과징금을 부과하는 것은 과징금 처분의 본래적 의미를 벗어나는 것”이라고 말했다.


이어서 이승진 한국통신사업자연합회 실장은 “본인확인기관에 대한 업무정지의 경우, 이용자의 심한 불편을 초래하므로 과징금 규정을 신설하는 개정안의 취지에 공감한다. 하지만 보안기술이 해킹기술을 따라갈 수 없는 현실에서 해커에 의한 개인정보 침해에 대한 책임을 아무 귀책사유가 없는 사업자에게 부과하는 것은 헌법의 자기책임의 원칙에 정면으로 위배된다”라고 말했다. 또한, 그는 “정보보호 관련 인증을 받은 기업의 경우에는 면책이나 감면조항 등의 정책 추진도 필요하다고 생각한다”라고 말했다.


조현장 NICE평가정보 실장은 “본인확인기관의 업무와 회사규모, 그리고 서비스 규모의 차이가 있기 때문에 과징금 부과 시 본인 확인업무 제공 규모에 따라서 과징금 적용기준을 일괄적인 기준으로 적용하기 보다는 서비스 규모에 따라 차등 적용하는 기준을 마련할 필요가 있다”고 말했다.


윤주희 소비자시민모임 전자상거래자문위원회 부위원장은 “보호조치 위반과 개인정보 누출 등 침해사고와의 인과관계 입증 없이 과징금 부과가 가능토록 하는 개선안은 지속적으로 발생하는 대규모 개인정보 누출 사고에 대한 사업자 제재라는 측면에서 유용할 것으로 보인다”면서 “개인정보보호 관리체계인증(PIMS)의 여부와 같은 것을 사업자가 최선을 다해 개인정보보호에 대한 노력을 기울였음을 입증하는 기준으로 작용할 수 있을 것”이라고 말했다.


이에 대해 반상권 과장은 “기술적·관리적 보호조치 의무 위반 사업자에 대해서는 과징금 부과와 과태료가 중복되지 않도록 할 것이다. 또한, 현행 사업자의 의무 준수 노력을 인정하고 있다. 즉 개인정보보호 위반행위에 대한 과징금 부과 고시를 통해 PIMS인증 기업의 경우 감면혜택이 있다”라고 말했다.


한편, 방통위는 이번 정보통신망법 개정안을 다양한 의견수렴과 논의를 통해 2014년 1~2월에 규제 심사 및 법제처 심사를 거쳐 2014년 5~6월에 국회 제출할 예정이다. 이를 바탕으로 내년 하반기에는 개정 법을 공포한 후, 6개월 후에는 본격적으로 개정된 법이 시행될 수 있도록 할 계획이다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>