강은성의 보안 아키텍트 | 정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대
2019.12.23
강은성 | CIO KR
2010년이었던 것 같다. 개인정보보호법 제정에 대해 의견을 모으는 과정에 참여하여 산업계 입장에서 기존 정보통신망법 규제에 추가되는 이중 규제가 될 가능성이 크다는 의견을 냈다. 그 뒤 행정안전부에서 개인정보보호 인증제(PIPL)에 대해서 정보통신망법의 개인정보보호 관리체계(PIMS) 인증 외에 기업이 받아야 할 또 하나의 인증제를 만들지 않으면 좋겠다는 의견을 냈다. 형식적인 자리였는지 모르지만 반영된 것은 없다. 담당 공무원들의 의견은 한결같았다. 적용 대상이 달라서 이중 규제가 아니라는 것이다. 전형적인 공급자 마인드다.
임직원이나 주주의 개인정보, CCTV 설치 등 정보통신망법이 규율하지 않는 분야는 일반법인 개인정보보호법을 적용받는다. 행정 규제와 법적 규제의 관할이 다른 업종도 있다. 정보통신서비스 제공자의 개인정보 담당자들은 개인정보보호법 각 조문을 꼼꼼히 살펴볼 수밖에 없다. 법률의 적용을 받는다는 것은, 그것의 위임을 받은 시행령, 시행규칙, 고시도 적용된다는 의미이다. 그뿐만 아니다. 각 법률이나 고시에 대한 해설서, 주요 이슈에 대한 가이드, 안내서도 있고, 각 규제기관의 실태 점검과 그에 따른 시정조치, 과태료, 과징금도 있다. 어느 하나 소홀히 할 수 없다. 정보통신망법과 개인정보보호법의 차이가 개인정보보호 관련 자격증 시험에 심심치 않게 나오는 이유이기도 하다.
정보통신망법 “제4장 개인정보의 보호”를 개인정보보호법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례”로 이동하는 것을 골자로 하는 정보통신망법과 개인정보보호법의 개정안이 국회 통과를 눈앞에 두고 있다. 이미 2011년에 개인정보보호법이 제정될 때 정리되었어야 할 사안이고, 정보통신망법의 개인정보보호 조문을 거의 그대로 옮겨와 물리적인 통합만 이뤄지는 한계가 비판을 받기도 하지만, 그 의미는 작지 않다.
첫째, 규제기관이 방송통신위원회와 행정안전부에서 개인정보보호위원회로 일원화된다. 이제 사업자들은 개인정보보호위원회만 대응하면 된다. 행정안전부 관할 업종이어서 실태점검은 개인정보보호법 기준으로 행정안전부에서 나오는데, 법적으로는 정보통신서비스 제공자(사업자)여서 방송통신위원회 대응이 필요한 기업들도 상당수 있다. 이러한 기업들도 규제기관 일원화가 도움이 된다. 어떤 기업이 정보통신서비스 제공자 특례 적용 대상인지, 기존 개인정보보호법 조문 적용 대상인지 잘 모르겠으면 이제는 개인정보보호위원회에만 문의하면 된다. 적지 않은 일이다.
둘째, 정보통신서비스 제공자는, 준수해야 할 개인정보보호 규정이 ‘특례’에 포함되어 있다면 기존 개인정보보호법에 유사 내용이 있다 하더라도 ‘특례’만 준수하면 된다는 점도 명확해졌다. 대표적인 것이 개인정보 수집·이용 동의에 관한 사항이다. 개인정보보호법에서는 개인정보 수집·이용 시 다음 사항을 알리고 동의를 받아야 한다(제15조 제2항).
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
하지만 정보통신망법에서 개인정보 수집·이용 동의 시 고지사항을 규정한 제22조 제1항에는 개인정보보호법 제15조 제2항 제4호(동의 거부권)에 대한 내용이 없다. 하지만 제4호의 내용을 수집·이용 동의 고지 내용에 넣는 정보통신서비스 제공자들이 많다. 정보통신망법에 없는 조문이 개인정보보호법에 있으면 이를 따라야 한다고 생각하기 때문이다. 동의 거부권이 있다는 점을 이용자에게 알리는 일이야 좋지만, 정보통신망법과 개인정보보호법의 관련 조-항-호-목을 비교하는 것은 과중한 일이다. 이번 ‘물리적 통합’을 통해 이 부분이 명확해졌다는 점 또한 의미가 있다.
셋째, 이제 한 법률로 통합되면 향후 정보통신망법과 개인정보보호법의 소소한 차이가 있는 조문들이 통합될 가능성이 한층 커졌다. 최소한 부처의 이해관계에 따른 문제는 없어질 테니까 말이다. 개인정보 수집·이용 동의, 개인정보 처리위탁, 개인정보 유출 시 통지 및 신고, 이용자의 권리 등은 어렵지 않게 통합될 수 있을 것으로 보인다. 고시도 마찬가지다. ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시)이나 ‘개인정보의 안전성 확보조치 기준'(행정안전부 고시)은 유사한 조문이 많다. 충분히 하나로 만들 수 있다. 그에 따라 해설서, 안내서, 가이드까지 하나로 통합된다면, 개인정보보호 실무자들이 좀 더 실제적인 개인정보보호 업무에 집중할 수 있지 않을까 싶다.
개정법안에 문제가 없는 것은 아니다. 특히 개인정보보호법에 비식별조치 내용이 포함되면서 개인정보보호책임자(CPO)에 대한 형사처벌 사유가 하나 더 늘었다. 기존 개인정보보호법에서는 CPO가 안전성 확보조치를 하지 아니하여 민감정보나 고유식별정보, 개인영상정보, 개인정보가 분실·도난·유출·위조·변조·훼손당한 경우에 2년 이하의 징역 또는 2천만 원 이하의 벌금 처벌을 받을 수 있는데(제73조 제1호), 처벌 사유에 비식별조치와 관련하여 정보집합물의 결합을 수행한 경우에 이를 복원하기 위한 추가 정보에 대한 안전성 확보조치가 포함된 것이다. 정보통신망법에서는 개인정보보호법과 같이 개인정보의 유출 등에 대한 처벌뿐 아니라 목적 달성 또는 보유·이용 기간이 만료된 개인정보를 지체없이 복구·재생할 수 없는 방법으로 파기하지 않은 때에도 같은 처벌을 받을 수 있어서 통합 개인정보보호법에서 CPO가 개인정보보호 업무를 수행하다가 받을 수 있는 형사처벌의 사유는 모두 6가지나 된다.
필자가 이전 칼럼에서도 밝힌 것과 같이 기업의 개인정보 유출 책임에 대하여 국가의 형벌권이 개입하는 것은 세계적으로 유례를 찾기 어려운데, 처벌 사유가 계속 늘고 있다는 점은 개인정보보호 업계에서 일하는 한 사람으로 안타까운 일이 아닐 수 없다. 지난 10월에 김병관 의원이 개인정보보호법에서 CPO의 형사처벌을 삭제하고, 대신 기업에 과징금 부과를 강화하는 개정안을 냈다. 반가운 일이다. 여야의 대치가 극심하고 이미 20대 국회가 종료되는 시기라 국회를 통과할 수 있을지 모르겠다. 이번에 안되면 21대 국회에서 개정안이 다시 발의되고 통과되면 좋겠다.
통합 개인정보보호법은 지금은 작아 보이지만, 매우 의미 있는 출발점이다. 이번 개정안이 국회를 통과하고, 이후 지속적인 개정과 후속 조치를 통해 실질적인 통합이 이뤄질 수 있기를 바란다.
*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr