[보안뉴스 김경애] 잇따른 개인정보  유출사고에 대응하기 위해 지난 5월 2일 국회를 통과한 정통망법 개정안이 오는 11월 29일부터 본격 시행된다.

개정된 주요 내용을 살펴보면 △필요한 최소한의 개인정보 개념 명확화 △영업양수자 등의 통지의무 강화 △개인정보 누출신고 기한 명확화 △개인정보 파기의무 및 처벌 강화 △법정손해배상제 도입 △과징금 부과 상한액 상향 △개인정보 취급위탁시 위탁자에 대한 과징금 신설 △기술적·관리적 보호조치 위반 관련 제재 강화 총 8가지다.

첫째, 필요한 최소한의 개인정보 개념 명확화 측면은 다음과 같다. 기존 현행법에서 이용자가 필요한 최소한의 개인정보 이외에 개인정보를 제공하지 아니한다는 이유로 기업에서 서비스 제공 거부 금지를 규정하고 있다. 그러나 이번 개정을 통해 필요한 최소한의 개인정보는 ‘해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보’라고 규정하고 있다.

둘째, 영업양수자등의 통지의무 강화의 경우 기존 현행법에서는 개인정보 이전시 정보통신서비스 제공자가 이용자에게 통지하고, 양수자는 통지할 필요가 없었다. 그러나 이번 개정을 통해 정보통신서비스 제공자(양도자) 등의 통지 유무와 상관없이 영업양수자 등도 이용자에게 통지해야 한다.

셋째, 개인정보 누출신고 기한 명확화 측면에서는 개인정보 유출시 기존 현행법에서는 ‘지체없이’라고 애매했다면 개정 법에서는 24시간 이내로 명확히 규정하고 있다. 즉 이용자에게 24시간 이내 통지하고, 방통위 또는 한국인터넷진흥원(KISA)에 신고해야 한다.

넷째, 개인정보 파기의무 및 처벌 강화의 경우 현행법에서는 이용목적 달성시 개인정보를 지체없이 파기해야 하고 이를 위반할 경우 3천만 원 이하의 과태료가 부과됐다. 그러나 이번 개정안에서는 이용목적 달성 후 개인정보를 지체없이 복구·재생할 수 없도록 파기해야 하며, 위반 시 2년 이하의 징역 또는 2천만 원 이하의 벌금이 부과된다.

다섯째, 법정손해배상제 도입의 경우 기존 현행법에서는 이용자가 손해발생 여부를 입증해야 했다면 개정안에서는 손해액에 대한 입증 없이도 기업에 대해 300만원 이하의 범위에서 손해배상을 청구할 수 있게 된다.

여섯째, 과징금 부과 상한액 상향에서는 기존 현행법에서 동의 없이 개인정보 수집하거나 제3자에게 제공할 경우 위반행위와 관련한 매출액 1% 이하의 과징금이 부과됐다면 개정안에서는 3%로 상향조정됐다.

일곱째, 개인정보 취급 위탁 시 위탁자에 대한 과징금 신설로 현행법에서는 관리·감독 소홀에 대한 제재 규정이 없었다. 그러나 이번 개정으로 관리·감독 소홀로 개인정보보호 규정을 위반할 경우, 위반행위와 관련한 매출액 3%이하의 과징금이 부과된다. 

마지막으로 기술적·관리적 보호조치 위반관련 제재 강화 측면이다. 현행법에서는 개인정보 누출 시 기술적·관리적 보호조치 위반과의 인과관계가 있는 경우 1억원 이하의 과징금 부과와 2년 이하의 징역 또는 1천만 원 이하의 벌금이 부과됐다. 그러나 개정법에서는 인과관계 유무와 상관없이 위반행위와 관련한 매출액 3% 이하 과징금이 부과되고, 2년 이하의 징역 또는 2천만 원 이하의 벌금이 부과된다. 

한편 위탁자가 수탁자의 관리·감독 소홀로 인한 개인정보보호 위반행위시 매출액 3% 부과기준에 대한 구제적인 사항과 개인정보 유출시 24시간 이내 이용자에게 통지하지 못할 경우 소명해야 하나는 내용에 대해선 아직 작업중인 것으로 확인됐다.

이와 관련 방통위 관계자는 “현재 계속 보완작업 중에 있으며, 적어도 7월 15일 이전까지는 1차적으로 마무리할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>