2021.10.25

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (1)

강은성 | CIO KR
2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다. 
 
ⓒGetty Images

‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다. 

기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다). 

또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다. 

작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다. 

기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로써 이제 기업이 정보통신서비스 제공자인지 아닌지 고민할 필요가 없어졌다는 점이다.
 
이러한 방향에 크게 공감하면서 이번 2차 개정에서 보완하였으면 하는 사항을 몇 가지 제시하고자 한다.
 
첫째, 개정안 제64조의2(과징금의 부과) 제1항 제5호의 삭제
5. 제26조 제4항에 따른 관리·감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
개정안 제64조의2(과징금의 부과) 제1항 제5호

개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제4항에 따르면 개인정보 처리 위탁자는 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 수탁자를 교육하고, 개인정보를 안전하게 처리하도록 수탁자를 감독할 의무가 있다. 위 조문은 위탁자가 이 관리·감독·교육 의무를 소홀히 하여 수탁자가 개인정보보호법을 위반하면 전체 매출액의 3% 이하의 과징금을 위탁자에 부과하겠다는 것이다. 

수탁자는 위탁자와 마찬가지로 개인정보보호법 준수 의무가 있다. 개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제8항에서는, 개인정보처리자의 개인정보보호 의무를 구체적으로 다루는 개인정보보호법 제3장(개인정보의 처리), 제4장(개인정보의 안전한 관리), 제5장(정보주체의 권리 보장) 대부분의 조문을 수탁자에 적용한다. 

따라서 수탁자가 해당 법령을 위반하면 그에 대한 형사처벌, 과징금, 과태료 등 제재를 받게 된다. 또한, 수탁자의 법령 위반 행위로 발생한 손해배상은 위탁자가 책임져야 한다(제26조 제6항). 이미 수탁자에 대한 위탁자의 책임이 절대 가볍지 않다는 말이다.

그래서 수탁자의 단순 법령 위반 행위를 문제로 위탁자에 과징금을 부과하는 것은 적절해 보이지 않는다. 2차 개정안에서 이 조문은 삭제하는 것이 타당하리라 생각된다. 영세 수탁자에 대해 개인정보 관리·감독·교육 의무 미이행이 큰 문제라고 본다면 해당 위반 행위에 대해 과태료를 부과하는 것이 합리적일 것이다.
 
둘째, 개정안 제64조의2(과징금의 부과) 제1항 제9호의 개정
9. 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
개정안 제64조의2(과징금의 부과) 제1항 제9호

이 개정안은 정보통신서비스 제공자에 적용되는 현 조문을 전체 개인정보처리자에 적용하는 것으로, 현 조문과 비교해 보면 문장은 좀 달라졌지만, 의미는 별로 다르지 않다. 현 조문은 다음과 같다.
 
5. 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제29조의 조치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우
제39조의15(과징금의 부과 등에 대한 특례) 제1항 제5호

이 조문은, 2014년 1월 카드 3사의 대규모 개인정보 유출 사고가 발생한 직후인 같은 해 5월, 앞서 다뤘던 수탁자 관리·감독 미흡에 대한 과징금 부과 조문과 함께 정보통신망법 개정에 포함되었다. 카드사뿐 아니라 이를 감독할 의무가 있는 정부(규제기관)에 대한 비난이 하늘을 찌르는 상황에서 들어간 과도한 규정이 아닐까 싶다.

2014년 5월 개정 전 정보통신망법의 이 조문의 과징금 부과 요건은 다음과 같았다.
 
6. 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우
정보통신망법(법률 제12681호) 제64조의3(과징금의 부과 등) 제1항 제6호

벌써 좀 가물가물해진 독자들도 계시겠지만, 통합 전 정보통신망법 제28조(개인정보의 보호조치) 제1항은, ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 연계되어 다들 금과옥조처럼 살피고 또 살폈던 ‘개인정보 보호조치’에 관한 규정이다. 

그런데 2014년 5월, 과징금 부과 요건 중 보호조치 위반과 개인정보 사고의 인과관계를 없애고, 과징금의 상한선을 위반 행위 관련 매출액의 1% 이하에서 3% 이하로 대폭 늘리는 개정이 이뤄졌다. 

예를 들어 범인이 PC에 저장된 개인정보를 USB 메모리에 담아 훔쳐 갔는데, 기업이 네트워크 방화벽을 제대로 운용하지 않았다고 과징금을 부과할 수 있다는 말이다. 불법 행위를 통해 취득한 경제적 이익을 환수한다는 과징금 도입의 목적과도 맞지 않는 규정이다.

‘인과관계’는 현재 과징금 액수를 산정할 때 핵심 기준이다. 개인정보보호법에서 주민등록번호의 유출 사고에 따른 과징금 부과 기준(법 제34조의2(과징금의 부과 등) 제5항, 시행령 제40조의2(과징금의 부과기준 등) 제1항 별표 1의3)에서는 주민등록번호 사고의 원인이 개인정보처리자의 고의나 중과실, 경과실인지에 따라 기본 과징금 액수를 정한다. 

정보통신서비스 제공자의 개인정보 유출 사고에 대한 과징금 부과 기준(법 제39조의15(과징금의 부과 등에 대한 특례) 제4항, 시행령 제48조의11(과징금의 산정기준 등에 관한 특례) 제4항 별표 1의5)에서도 ‘인과관계’는 과징금 산정의 주요 기준 중 하나다. 실제 주요 고액 과징금이 부과된 사건에서 과징금 액수를 산정할 때 기본 기준은 위반 행위의 중대성과 개인정보 사고의 인과관계이다.

하지만 이 조문은 문장 형태만 바꾼 채 이번 개정에도 살아남았다. 과징금의 상한액을 전체 매출액의 3%로 대폭 늘린다고 하면 법 위반과 개인정보 사고의 인과관계를 규정하는 등 과징금 부과 요건을 엄격하게 할 필요성은 더욱 커진다. 해당 법령의 단순 위반에 대한 제재는 지금처럼 과태료를 부과하는 것이 합리적이라 생각된다.

2014년 5월 이들과 함께 도입되었던 정보통신망법 제32조의2(법정손해배상의 청구)에서는 정보통신망법 제4장(개인정보의 보호)의 각 조문 위반과 개인정보의 분실·도난·누출 사고가 함께 발생하면 둘 사이에 인과관계가 없다 하더라도 법원의 판단에 따라 300만 원 이하의 손해액을 인정하도록 하였는데, 2020년 데이터 3법 개정 시 이 조문이 폐기되고, 개인정보처리자의 고의·과실과 개인정보 사고의 인과관계가 있어야 손해배상을 인정하는 개인정보보호법의 법정손해배상제(제39조의2(법정손해배상의 청구))로 일원화됐다. 

과징금, 손해배상제 등 개인정보 사고에 부과하는 제재 측면에서 개인정보처리자의 행위와 개인정보 사고 사이에 인과관계 요건이 필요하다는 점에 일정한 공감대가 형성된 것으로 볼 수 있다. (다음 칼럼에서 계속) 


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr



2021.10.25

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (1)

강은성 | CIO KR
2019년 하반기, 국회에서 정보통신망법의 개인정보보호 관련 조문을 개인정보보호법으로 통합하는 개인정보보호 관련 법규의 통합이 데이터 3법 개정의 주요 내용으로 논의되고 있을 때 ‘물리적 통합’의 한계를 지적하며 정보통신망법과 개인정보보호법 개정의 의미를 평가절하하는 분위기도 일부 있었다. 필자가 법률 전문가도 아닌 주제에 굳이 “정보통신망법 개인정보보호 조문의 개인정보보호법 통합에 대한 기대”(CIO-KR, 2019.12.23)에서 ‘물리적 통합’ 자체가 상당히 의미 있는 일임을 적극적으로 설명한 이유다. 
 
ⓒGetty Images

‘통합’ 개인정보보호법이 시행된 지 1년이 좀 더 지난 지금, 가명정보 등 개인정보 활용을 중시하는 관점에서 개정의 의미를 부여하기도 하지만(“우려와 기대 ‘데이터 3법’ 시행 1년…변화는?”, KBS, 2021.7.28), 우리 사회에서 ‘실질적인’ 개인정보 보호 수준의 향상을 바라는 관점에서도 그 의미는 작지 않다. 

기업 등 수범자 쪽에서 보면, 개인정보보호 법령 및 규제기관의 일원화는 개인정보보호 업무를 수행하는 데 상당한 도움이 됐다(2019년부터 논의되었던 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시가 아직도 통합되지 않은 분명 아쉬운 일이다). 

또한 개인정보보호위원회가 다른 부처의 소관 법령과 정부 정책에 대해서 개인정보보호 측면에서 의견을 제시함으로써 우리 사회 전반적인 개인정보보호 수준을 높이는 데 역할을 하는 것 역시 2020년 개정의 의미 있는 성과다. 

작년 '통합’ 개인정보보호법 개정에 이어 9월 말에 개인정보보호위원회가 개인정보보호법 ‘2차 개정안’을 국회에 제출했다. 

기업 관점에서 이번 개정안의 가장 큰 특징은 개인정보보호법에 있던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정을 모두 삭제하고, 정보통신서비스 제공자와 개인정보처리자 사이에 혼재되어 있던 규정을 모두 개인정보처리자로 일원화함으로써 이제 기업이 정보통신서비스 제공자인지 아닌지 고민할 필요가 없어졌다는 점이다.
 
이러한 방향에 크게 공감하면서 이번 2차 개정에서 보완하였으면 하는 사항을 몇 가지 제시하고자 한다.
 
첫째, 개정안 제64조의2(과징금의 부과) 제1항 제5호의 삭제
5. 제26조 제4항에 따른 관리·감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
개정안 제64조의2(과징금의 부과) 제1항 제5호

개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제4항에 따르면 개인정보 처리 위탁자는 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 수탁자를 교육하고, 개인정보를 안전하게 처리하도록 수탁자를 감독할 의무가 있다. 위 조문은 위탁자가 이 관리·감독·교육 의무를 소홀히 하여 수탁자가 개인정보보호법을 위반하면 전체 매출액의 3% 이하의 과징금을 위탁자에 부과하겠다는 것이다. 

수탁자는 위탁자와 마찬가지로 개인정보보호법 준수 의무가 있다. 개인정보보호법 제26조(업무 위탁에 따른 개인정보의 처리 제한) 제8항에서는, 개인정보처리자의 개인정보보호 의무를 구체적으로 다루는 개인정보보호법 제3장(개인정보의 처리), 제4장(개인정보의 안전한 관리), 제5장(정보주체의 권리 보장) 대부분의 조문을 수탁자에 적용한다. 

따라서 수탁자가 해당 법령을 위반하면 그에 대한 형사처벌, 과징금, 과태료 등 제재를 받게 된다. 또한, 수탁자의 법령 위반 행위로 발생한 손해배상은 위탁자가 책임져야 한다(제26조 제6항). 이미 수탁자에 대한 위탁자의 책임이 절대 가볍지 않다는 말이다.

그래서 수탁자의 단순 법령 위반 행위를 문제로 위탁자에 과징금을 부과하는 것은 적절해 보이지 않는다. 2차 개정안에서 이 조문은 삭제하는 것이 타당하리라 생각된다. 영세 수탁자에 대해 개인정보 관리·감독·교육 의무 미이행이 큰 문제라고 본다면 해당 위반 행위에 대해 과태료를 부과하는 것이 합리적일 것이다.
 
둘째, 개정안 제64조의2(과징금의 부과) 제1항 제9호의 개정
9. 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
개정안 제64조의2(과징금의 부과) 제1항 제9호

이 개정안은 정보통신서비스 제공자에 적용되는 현 조문을 전체 개인정보처리자에 적용하는 것으로, 현 조문과 비교해 보면 문장은 좀 달라졌지만, 의미는 별로 다르지 않다. 현 조문은 다음과 같다.
 
5. 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제29조의 조치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우
제39조의15(과징금의 부과 등에 대한 특례) 제1항 제5호

이 조문은, 2014년 1월 카드 3사의 대규모 개인정보 유출 사고가 발생한 직후인 같은 해 5월, 앞서 다뤘던 수탁자 관리·감독 미흡에 대한 과징금 부과 조문과 함께 정보통신망법 개정에 포함되었다. 카드사뿐 아니라 이를 감독할 의무가 있는 정부(규제기관)에 대한 비난이 하늘을 찌르는 상황에서 들어간 과도한 규정이 아닐까 싶다.

2014년 5월 개정 전 정보통신망법의 이 조문의 과징금 부과 요건은 다음과 같았다.
 
6. 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우
정보통신망법(법률 제12681호) 제64조의3(과징금의 부과 등) 제1항 제6호

벌써 좀 가물가물해진 독자들도 계시겠지만, 통합 전 정보통신망법 제28조(개인정보의 보호조치) 제1항은, ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 연계되어 다들 금과옥조처럼 살피고 또 살폈던 ‘개인정보 보호조치’에 관한 규정이다. 

그런데 2014년 5월, 과징금 부과 요건 중 보호조치 위반과 개인정보 사고의 인과관계를 없애고, 과징금의 상한선을 위반 행위 관련 매출액의 1% 이하에서 3% 이하로 대폭 늘리는 개정이 이뤄졌다. 

예를 들어 범인이 PC에 저장된 개인정보를 USB 메모리에 담아 훔쳐 갔는데, 기업이 네트워크 방화벽을 제대로 운용하지 않았다고 과징금을 부과할 수 있다는 말이다. 불법 행위를 통해 취득한 경제적 이익을 환수한다는 과징금 도입의 목적과도 맞지 않는 규정이다.

‘인과관계’는 현재 과징금 액수를 산정할 때 핵심 기준이다. 개인정보보호법에서 주민등록번호의 유출 사고에 따른 과징금 부과 기준(법 제34조의2(과징금의 부과 등) 제5항, 시행령 제40조의2(과징금의 부과기준 등) 제1항 별표 1의3)에서는 주민등록번호 사고의 원인이 개인정보처리자의 고의나 중과실, 경과실인지에 따라 기본 과징금 액수를 정한다. 

정보통신서비스 제공자의 개인정보 유출 사고에 대한 과징금 부과 기준(법 제39조의15(과징금의 부과 등에 대한 특례) 제4항, 시행령 제48조의11(과징금의 산정기준 등에 관한 특례) 제4항 별표 1의5)에서도 ‘인과관계’는 과징금 산정의 주요 기준 중 하나다. 실제 주요 고액 과징금이 부과된 사건에서 과징금 액수를 산정할 때 기본 기준은 위반 행위의 중대성과 개인정보 사고의 인과관계이다.

하지만 이 조문은 문장 형태만 바꾼 채 이번 개정에도 살아남았다. 과징금의 상한액을 전체 매출액의 3%로 대폭 늘린다고 하면 법 위반과 개인정보 사고의 인과관계를 규정하는 등 과징금 부과 요건을 엄격하게 할 필요성은 더욱 커진다. 해당 법령의 단순 위반에 대한 제재는 지금처럼 과태료를 부과하는 것이 합리적이라 생각된다.

2014년 5월 이들과 함께 도입되었던 정보통신망법 제32조의2(법정손해배상의 청구)에서는 정보통신망법 제4장(개인정보의 보호)의 각 조문 위반과 개인정보의 분실·도난·누출 사고가 함께 발생하면 둘 사이에 인과관계가 없다 하더라도 법원의 판단에 따라 300만 원 이하의 손해액을 인정하도록 하였는데, 2020년 데이터 3법 개정 시 이 조문이 폐기되고, 개인정보처리자의 고의·과실과 개인정보 사고의 인과관계가 있어야 손해배상을 인정하는 개인정보보호법의 법정손해배상제(제39조의2(법정손해배상의 청구))로 일원화됐다. 

과징금, 손해배상제 등 개인정보 사고에 부과하는 제재 측면에서 개인정보처리자의 행위와 개인정보 사고 사이에 인과관계 요건이 필요하다는 점에 일정한 공감대가 형성된 것으로 볼 수 있다. (다음 칼럼에서 계속) 


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr

X