[정미하기자] 개인정보 유출 사업자가 기술적·관리적 보호조치를 하지 않은 상태에서 개인정보 누출사고가 발생하면 영업정지에 준하는 수준의 과징금을 부과받게 될 전망이다.
기술적·관리적 보호조치 위반과 개인정보 누출 등 침해사고와의 인과관계 입증 없이도 제재를 가할 수 있게 되는 점은 법안 개정시 신중해야 한다는 의견이 많았다.
17일 오후 방송통신위원회는 서울 가락동에 위치한 한국인터넷진흥원(KISA)에서 '개인정보 보호조치 위반에 대한 과징금 부과 관련, 정보통신망법 개정안 공청회'를 개최했다.
방송통신위원회는 대규모 개인정보 유출사고가 빈번하게 발생하고 있으나 이에 대한 제재가 미흡하다는 비판이 제기되자 이용자의 개인정보 보호 강화 및 개인정보 보호조치 위반 사업자에 대한 제재의 실효성 확보를 위해 내년 상반기 발의를 목표로 정보통신망법 개정을 추진 중이다.
이날 정보통신망법 개정안의 주요 내용 발표를 맡은 방송통신위원회 반상권 개인정보보호윤리과장은 "현행법은 SK텔레콤·KT·LG유플러스·나이스평가정보 등 본인확인기관에 대한 제재수단으로 업무정지 명령만 규정해두고 있으며, (개인정보 누출사고 발생의 책임을 물어) 본인확인기관의 업무를 정지할 경우 이용자의 불편이 예상된다"며 "업무정지에 갈음하는 수준의 과징금을 부과하는 안을 마련했다"고 설명했다.
월 평균 약 5천300만건(휴대폰 4천500만건, 아이핀 약 800만건)에 이르는 본인확인 인증 건수를 감안하면, 개인정보 유출사고가 발생했더라도 해당 사업자의 업무를 정지시키는 것보다 과징금 납부가 낫다는 설명이다.
예를 들어 A통신사 이용자는 A통신사를 통해서만 본인확인을 받을 수 있기에 개인정보 누출로 영업정지를 당했을 경우, 본인확인을 받을 수 있는 길이 막히는 것을 방지하자는 것이 개정안 취지다.
또한 정보통신망법 개정안은 기술적·관리적 보호조치 위반과 개인정보 누출 등 침해사고와의 인과관계 입증 없이 사업자에게 과징금을 부과할 수 있도록 하는 내용을 담고 있다. 과징금 역시 현행 정액 과징금(1억원 이하) 제도에서 기술적·관리적 보호조치 위반행위 '관련 매출액의 1% 이하'로 부과하는 정률 과징금 제도로 변경하는 내용을 담고 있다.
반 과장은 "개인정보 보호조치 위반과 누출사고와의 인과관계 입증이 어려워 과징금 부과가 어려웠다"며 "대규모 개인정보가 침해됐음에도 정부 제재는 솜방망이 처벌에 그친다는 비판을 받아왔다"고 설명했다.
이에 대해 최경진 가천대 교수 외 토론자들은 업무정지가 아닌 과징금 납부 방식에 찬성의견을 표했다.
최 교수는 "본인확인 업무는 광범위한 영역에서 필요로 하기 때문에 업무정지 명령에 갈음해 과징금을 부과하여 법규 준수를 강제하는 방법은 타당하다"고 말했다.
권창범 법무법인 인(仁) 변호사는 "본인확인업무는 중요한 것이고 매우 엄격한 기준하에 실시돼야 하는 것이므로 이용자에게 극심한 불편을 초래하거나 공익을 해할 우려가 있는 경우로 요건을 한정해 제한적으로 운영해야 한다"고 덧붙였다.
다만 한국통신사업자연합회 이승진 실장은 "보안기술은 해킹기술을 따라갈 수 없다"며 "해킹을 당한 건 사업자도 예측을 할 수 없는 불의의 사고인데 사업자에게 과징금을 부과하고 정액에서 정률 과징금을 부과하는 것은 사업자가 부담하기 어려운 수준"이라고 반대의견을 피력했다. 이 실장은 또 기술적·관리적 조치를 취하지 않을 경우 현재 납부하고 있는 과태료와 이중 처벌 가능성이 있다고 문제를 제기했다.
또한 이 실장은 개정안과 같은 과징금 부과는 인터넷 스타트업, 벤처기업 등과 같은 신규업체에게는 시장 진입 장벽으로 작용할 수 있으며, 서버를 해외에 두고 있는 해외사업자와 국내 사업자간의 역차별이 존재할 수 있다고 우려했다.
이어 이 실장은 정률과징금 보다 1억원 이하로 돼있는 현행 정액 과징금 상한선을 높일 것과 개인정보 보호관련 정부인증을 취한 사업자에 대해선 면책 조항과 과징금 감면 조항을 보완할 것을 대안으로 제시했다.
이에 대해 반 과장은 과징금을 신설할 경우 과태료를 부과할 수 없는 조항을 만들어 이중처벌을 막을 것이며 현재도 PIMS과 같은 개인정보보호 관련 인증을 받은 사업자에 대해선 과징금을 감경받을 수 있는 조치가 있다고 설명했다.
다만 반 과장은 기술적·관리적 조치를 위반한 해외사업자의 경우 한국에는 마케팅과 영업조직이, 서버는 해외에 나가있어 실질적으로 제재가 어렵다는 점을 토로했다.
반 과장은 "현실적으로 우리나라 영토 밖에 있는 서버를 기술적으로 점검하는 것은 애로사항이 있다"며 "최대한 역차별 문제가 발생하지 않도록 국제기구나 해외 규제기관과 합의를 보는 등 장기적 검토를 하고 있다"고 말했다.
방통위는 내년 1~2월 중에 정보통신망 개정안에 대한 법제처 심사를 마친 뒤 2014년 하반기 중으로 발의하는 것을 목표로 추진 중이다.
정미하기자 lotus@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기