신용카드사·인터파크 개인정보 유출사건 이후...기업의 법적 대응은?

2016년 개인정보보호법 동향과 대응방향
개인정보 수집기업, 법적인 변화추세 파악하고 관리 강화해야

[보안뉴스= 손도일 법무법인 율촌 변호사] 2014년 신용카드사의 고객정보 유출사건을 계기로 2014년과 2015년을 거치면서 개인정보보호와 관련해 제도적으로 많은 변화가 있었고, 인터파크 개인정보 유출사고를 처리해야 하는 2016년 하반기에도 이와 같은 변화는 계속될 전망이다.

따라서 개인정보를 수집하거나 이용하는 기업들은 특히 이와 같은 지속적인 규제의 변화에 대응하는 시스템을 갖추어야 한다.

각 규제기관에서도 변화된 법령에 따른 감독과 그에 따른 제재를 그 어느 때보다 더 활발하게 하고 있으며 앞으로도 이와 같은 추세는 계속될 것으로 보인다.

방송통신위원회(이하, 방통위)는 지난 1월 14일 개인정보 유효기간제를 준수하지 않은 주요 통신사 및 포털사 등 8개 사업자에게 총 1억 1,000만원의 과태료와 시정조치를 부과했다. 방통위는 이와 같은 점검을 지속적으로 시행하겠다고 밝혔다.

이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, 정보통신망법)의 시행령 제16조 제2항의 개인정보 유효 기간제에 따른 것으로, 개인정보 유효기간제는 지난해 8월부터 시행됐다.

이에 따르면 과거 1년간 해당 기업의 서비스를 이용하지 회원들의 개인정보는 별도의 법령이나 이용자의 요청이 없다면 즉시 파기 또는 별도로 분리해 보관해야 한다.

방통위는 기간을 역산해 미이용 기간이 1년을 초과하는 경우 즉시 파기 등의 조처를 하되 현실적인 여건을 고려하여 매일은 아니더라도 최소한 영업일 기준 5일을 주기로 조치할 것을 요구하고 있다.

방통위는 이용자의 미이용 여부를 판단하는데 있어서는 광고성 메일을 클릭하는 정도로는 부족하며 적어도 로그인을 하거나 전화 상담을 한 정도의 증거 자료는 필요하다고 보고 있다.

이와 같은 규정에 대한 예외로는 전자금융거래기록의 5년 보관의무, 전자상거래에서의 소비자불만/분쟁처리 기록의 3년 보관, 계약체결 및 철회, 대금결제 및 재화공급 기록이 5년 보관의무 등을 가진다.

개인정보보호법에 손해배상 적용돼
방통위는 일단 통신사나 포털사 등 대규모 개인정보 이용기업을 대상으로 개인정보 취급·관리실태를 조사했으나, 향후 중견기업으로 그 조사 대상을 확대할 가능성이 높다.

특히, 온라인 서비스를 중심으로 하는 기업의 경우 미이용 여부를 판단함에 있어서 유의해야 하고, 서비스의 성격에 따라서 미이용 기간을 약관에서 달리 정하고 이에 관한 이용자의 동의를 얻는 것도 필요하다.

강화되는 규제에 대한 대응이라는 맥락에서 올해 변경된 주요 제도부터 살펴본다면, 개인정보보호법에도 7월부터 징벌적 손해배상제도 및 법정 손해배상제도가 도입됐다.

징벌적 손해배상제도에 따라 법원은 개인정보의 유출로 인한 손해배상의 최대 3배까지 배상을 명령할 수 있게 됐다.

또한, 법원은 법정손해배상제도에 따라 개인정보 유출로 인한 손해액의 입증에 어려움이 있다는 점과 법원이 변론의 전취지와 증거를 감안하여 손해액을 300만원 이하의 범위 내에서 정할 수 있다.

이와 같은 법정 손해배상조항은 정보통신망법에도 존재했던 조항이지만, 정보통신방법과는 달리 그 적용범위가 정보통신 서비스 제공자로 한정되지 않는 일반법이라는 점에서 의미가 있다.

인증의무 대상 확대·관리 기간 변경
아울러 정보통신망법에서는 정보보호 관리체계의 인증의무 대상이 확장되었다는 것에 주목할 필요가 있다.

기존에는 정보통신 서비스 부문 매출액이 100억원 이상이거나 3개월간 일일 평균 이용자수가 100만명 이상인 경우에만 인증의무가 있었으나, 올해 6월부터는 연간 매출 또는 세입액이 1,500억원 이상인 경우에도 이와 같은 인증을 받아야 하고 그에 관한 과태료를 3,000만원으로 확대 적용하게 됐다.

방통위의 시행령 개정안에 따라 그 범위는 조정될 것으로 예상한다. 또한, 신용정보를 주로 보호하는데 적용되는 신용정보의 이용 및 보호에 관한 법률(이하 신용정보보호법)에 따라 신용정보제공·이용자는 상거래관계가 종료된 날로부터 최장 5년(그 이전에 목적이 달성된 경우에는 목적달성일로부터 3개월) 이내에 해당 정보주체의 개인신용정보를 원칙적으로 관리대상에서 삭제해야 한다.

이 규정은 올해 3월부터 시행되고 있다. 이상에서는 개인정보를 규율하는 3대 법령인 개인정보보호법과 정보통신방법, 신용정보보호법의 핵심적인 개인정보 관련 개정 내용만 살펴봤다.

개인정보 관리 강화 필요
개인정보가 유출된 경우 기업에 가장 현실적으로 큰 부담은 정보통신망법에서 정하는 관련 매출액 3% 이하에 해당하는 과징금이다.

신용정보를 다루는 기관의 경우에는 신용정보법상의 관련 매출액 3% 이하에 해당하는 과징금도 유의해야 한다.

물론 초대형 개인정보 유출사고가 발생한 경우 법정 손해배상제도 역시 기업들에게 상당한 부담으로 작용할 것으로 예상한다.

상당수의 고객이 이를 통하여 자신의 권리를 구현하려고 할 것이고, 과거와는 달리 개인정보 유출 집단소송에 참여하는 고객들의 수도 급격하게 늘어나고 있기 때문이다.

마지막으로 강조하고 싶은 것은 이와 같은 손해배상액과 과징금을 결정함에 있어서 가장 중요한 요소는 개인정보를 처리하는 기업이 어느 정도의 정보보호조치를 취했느냐는 것이다.

정보유출 사고들은 기술적인 보호조치 미흡으로 인한 문제보다는 곤리적 보호조치 소홀로 일어나는 경우가 많고, 법원은 관리적 보호조치 소홀에 관하여는 비교적 더 기업들에 엄격한 잣대로 평가하는 경향이 있으므로 기업들은 관리적 보호조치 강화방안에 특히 관심을 기울일 필요가 있다.
[글_ 손도일 법무법인 율촌 변호사, 정보보호 담당 파트너(dison@yulchon.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)