Home > 전체기사

[보안칼럼] 개인정보보호법의 시행에 따른 분쟁과 대응

  |  입력 : 2011-07-04 15:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

2011년 3월 29일 개인정보보호법이 공포되어 2011년 9월 30일부터 시행되게 되었다. 보통 새로운 규제를 도입하는 법률은 1년 정도 유예기간을 두는 것이 보통이나 개인정보보호에 대한 국민적 관심을 반영하여 6개월의 유예기간을 두어 신속한 정착을 우선적으로 시도하고 있다.

개인정보보호법은 종래 정보통신망 이용 촉진 및 정보보호에 관한 법률(정보통신망법)과 공공기관의 개인정보보호에 관한 법률(공공기관 개인정보보호법)로 유지되어 온 우리나라의 개인정보보호 체계에 획기적 변화를 꾀하는 법이다. 그동안 민간부문 중 정보통신망을 통해 수집한 개인정보의 보호는 정보통신망법이, 공공부분이 취급하는 개인정보보호는 공공기관 개인정보보호법이 담당하여 왔다.

그 결과 민간부문 중 정보통신망 이 외의 생활관계에서 수집하여 이용하는 개인정보의 보호를 다루는 법이 없는 결과가 되어 소위 ‘온라인과 오프라인의 차별 대우’가 발생하게 되었고 수범자인 국민들도 이러한 불일치를 혼란스러워하며 개인정보 보호의식의 보편적 형성에 많은 장애를 가져 왔다.

과도적으로 이러한 문제점을 해결하기 위해 정보통신망법에 ‘준용사업자’ 제도를 두어 오프라인에서 개인정보를 많이 취급하는 사업자에 정보통신망법의 적용을 확대하는 것으로 조치하였지만 이 역시 제한적이어서 앞서 말한 문제점을 전부 해결하지는 못했다.


개인정보보호법의 시행

개인정보보호법은 종래 공공기관 개인정보보호법과 정보통신망법이 다루어 오던 영역은 물론이고 그 밖의 모든 민간, 공공 생활관계에도 기본적으로 적용되는 법이다. 업무상 처리하는 모든 개인정보를 다루기에 공공 부문 동창회 등 친목단체, 비영리법인, 시민단체에도 적용되게 된다.

개인정보보호법은 업무상 목적으로 다루는 개인정보에 적용되므로 여기서 제외되는 부분은 ‘개인적 연락을 목적으로 휴대전화에 저장해 둔 지인들의 전화번호’ 수준이라고 보아도 될 정도로 광범위하다.

업무상 목적인 이상 명함도 개인정보이므로 명함의 수집, 이용, 제3자 제공에도 개인정보보호법이 적용된다. 종래 생활관습상 다소 지나치다고 볼 수 있는 부분에 대해서는 주무관서인 행정안전부 또는 사법기관이 법을 적용할 때 합리적으로 조정하리라고 생각한다.

개인정보보호법에 따르면 원칙적으로 개인정보 주체의 ‘고지된 동의(informed consent)’가 있을 경우에 이를 수집·이용하고 제3자에게 제공하고 수탁자에게 위탁할 수 있다.

예외 규정이 몇 가지 있으나(법 15조 2호 이하) 기업과 관련된 규정은 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우(4호), 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우(5호), 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(5호, 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다)로 한정된다.

물론 위 예외규정이 구체적인 사례를 규정하지 않고 있어 위 예외규정 자체의 해석에 있어서도 실무상 많은 논란이 있을 것으로 예상된다.


개인정보처리 실태 파악하고 준비

기업이 개인정보보호법 시행을 앞두고 준비할 사항은 기본적으로 기업이 처리하는 개인정보의 실태를 파악하고 법위반 요소가 없는지 점검하고 법 위반 요소가 있으면 업무절차를 수정하여 이를 예방하고 정기적으로 위반 여부에 대해 실태점검을 반복하는 것이 가장 중요하다.

개인정보에는 고객정보뿐만 아니라 기업의 직원정보도 포함됨을 유념해야 한다. 각 부서가 보관, 이용하고 있는 개인정보의 실태를 정확히 파악하여야만 그 처리에 법적합성을 확보하도록 내부통제를 구축하는 것이 가능하다.

한편 개인정보보호법은 개인정보처리자에게 개인정보를 보호하기 위한 기술적, 물리적, 관리적 조치를 취할 것을 요구하고 있다. 현재 시행령 등을 제정하는 작업이 진행 중이나 정보통신망법의 기술적, 관리적 조치의 내용과 크게 다르지 않을 것으로 예상한다. 기술적, 물리적, 관리적 조치를 적절히 준수하지 않았을 경우에 그것이 원인이 되어 개인정보가 유출되거나 위변조되면 개인정보처리자는 형사처벌까지 받게 된다.

앞으로 기업이 보유하는 개인정보의 오남용이나 외부 유출이 발생할 경우에 기업은 많은 어려움에 처하게 된다. 행정안전부나 방송통신위원회의 행정조사를 받게 되고 기술적, 관리적, 물리적 조치를 제대로 준수하였는지 경찰의 수사를 받게 되며 피해자들의 분쟁조정에 응해야 하고 손해배상 소송에 응해야 한다. 무엇보다도 고객정보를 소홀히 취급한다고 평가받아 기관의 평판이 급속도로 저하되는 것이 가장 큰 손실일 것이다.


전문가에게 법 준수 여부 점검

기업은 어떻게 해야 할까. 흔히 이야기되듯이 개인정보보호 전담조직을 갖추고 개인정보 보호계획을 수립하고 내부통제시스템을 갖추고 개인정보취급자를 엄격히 구분하고 처리기한이 지난 개인정보를 적절히 폐기할 것이 요구된다.

무엇보다도 중요한 것은 개인정보 오남용사고나 유출사고가 발생할 경우에 행정기관이나 수사기관, 사법기관이 중점적으로 살펴보는 것은 법규위반이 발생하였느냐의 점이다. 다시 말하면 이들 기관은 개인정보의 침해를 야기한 원인이 될 수 있는 부작위가 있었는지를 조사하고 이를 토대로 행정제재, 형사제재, 민사제재를 내리게 된다.

그렇다면 기업이 중점적으로 대응할 부분은 기업이 개인정보보호법상 요구되는 여러가지 조치를 합리적인 수준으로 준수하고 있는지 점검하고 대응하는 체제를 갖추는 일이다. 기업이 취한 여러 가지 기술적, 관리적, 물리적 조치들이 행정기관, 사법기관의 기준을 통과할 수 있는지의 문제는 법률적 평가의 문제이다. 의문이 생길 경우에 행정기관과 사법기관의 실무를  잘 아는 경험 많은 전문가의 도움을 받는 것이 도움이 될 것이다.

[글 _ 구태언 김&장 법률사무소 변호사(tekoo@KimChang.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)