2021.11.11

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (2)

강은성 | CIO KR
지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다.

셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정
개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.
 
② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다.
개인정보보호법 제65조(고발 및 징계권고) 제2항

개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.
 
② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다.
정보통신망법 제69조의2(고발) 제2항

2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다. 

비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다.

정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하고, 징계 요건 역시 “법을 위반한” 자로 명확하게 규정하고 있는 데 비해 개인정보보호법에서는 “개인정보 보호와 관련된 법규”라고 해서 징계 기준 법규를 개인정보보호법 외에 다른 관련 법규도 포함하고, 징계 요건 또한 “위반행위가 있다고 인정될 만한 상당한 이유가 있을 때”라고 규정하여 소관부처의 재량을 폭넓게 인정하였다. 

법규의 모호성을 줄이고, 수범자에 법 적용의 예측 가능성을 높여 준다는 의미에서 정보통신망법의 징계 규정이 합리적인 것으로 보인다. 개인정보보호법에서 이 조문을 “개인정보보호법을 위반한 개인정보처리자”의 CEO와 책임 있는 임원을 징계하는 것으로 개정하는 것이 바람직하리라 생각된다.

넷째, 가명정보 유출 시 통지 의무 제외 규정(개인정보보호법 제28조의7)의 개정
‘데이터 3법’ 개정에서 가장 큰 변화의 하나가 가명정보의 도입이었다. 가명정보는 “원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(개인정보보호법 제2조(정의) 제1호 다목)이다.

조문상으로는 추가 정보를 폐기하면 가명정보가 “특정 개인을 알아볼 수 없는 정보”가 될 것 같은데, 가명처리 방법에 따라 추가 정보 없이도 개인이 식별될 수 있다. 

그래서 개인정보보호법에서는 가명정보의 안전한 처리 환경을 확보하기 위한 안전성 확보조치 의무화(제28조의4(가명정보에 대한 안전조치의무 등), 특정 개인을 알아보기 위한 목적으로 가명정보 처리 금지(제28조의5(가명정보 처리 시 금지의무 등) 제1항)와 위반 시 전체 매출액 3% 이하의 과징금 부과, 가명정보를 처리하는 과정에서 개인을 알아볼 수 있는 정보가 생성되면 해당 정보를 지체 없이 파기(제28조의5 제2항)의 보완 규정을 두었다.

이러한 법적인 안전장치 안에서 “통계작성, 과학적 연구, 공익적 기록보존” 목적에 한해 정보주체의 동의 없이 개인정보를 가명 처리하거나 가명정보를 처리할 수 있도록 하고(제28조의2(가명정보의 처리), 개인정보보호법에서 개인정보처리자에게 부과된 다음 의무를 면제하였다.
 
가명정보에 관하여는 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지), 제20조의2(개인정보 이용·제공 내역의 통지), 제27조(영업양도 등에 따른 개인정보의 이전 제한), 제34조(개인정보 유출 통지 등) 제1항(통지 의무), 제35조(개인정보의 열람), 제35조의2(개인정보의 전송 요구), 제36조(개인정보의 정정·삭제) 및 제37조(개인정보의 처리정지 등)를 적용하지 아니한다.
개정안 제28조의7(적용범위) 

위 적용 예외 규정 중 개인정보의 유출 통지에 대한 고민이 좀 더 필요해 보인다. 안전한 처리 환경과 일정 수준의 가명처리 기술, 복원 시도에 대한 금지로 구성된 가명정보의 안전성에 대한 법적 정합성은 가명정보가 유출되면 구멍이 생긴다.

안전한 처리 환경은 사라지고 복원 시도도 알아내기 어렵다. 가명정보의 종류나 가명처리 기술에 따라서는 개인 식별이 어렵지 않게 이뤄질 수도 있다.

추가 정보는 그것이 불필요할 때 파기해야 하므로(시행령 제29조의5 제1항 제2호) 추가 정보를 보관하는 개인정보처리자가 가명정보 유출 시 정보주체에 대한 통지가 가능할 수 있다.

법적으로 가명정보 유출 시 분쟁조정이나 손해배상 청구가 가능한데, 유출 시 정보주체에 통지하지 않는다면 정보주체의 해당 권리가 원천적으로 차단된다. 가명정보 유출 시 규제기관 신고 의무를 유지하면서 통지 의무를 면제하는 것 또한 어색하다. 

개인정보보호법에서 개인정보 유출 시 규제기관에 신고할 의무는 1,000명 이상의 개인정보가 유출될 때 발생하지만(제34조 제3항), 정보주체에 통지할 의무는 1명의 개인정보가 유출되더라도 발생한다(제34조 제1항).

유출 통지를 받아 정보주체가 대응하는 것이 유출 신고를 받아 규제기관이 대응하는 것보다 더 중요하다고 보기 때문일 것이다. 하지만 가명정보에서는 그 반대로 되어 있다.

일반 개인정보보다 개인 식별 가능성이 '훨씬’ 적을 수 있는 가명정보가 유출되었다고 일반 개인정보와 동일하게 통지할 필요가 있는지는 별도의 이슈다.

지금 상태는 암호화된 정보가 유출되었을 때 개인정보 유출로 보면 통지해야 하고, 가명정보로 보면 통지하지 않아도 된다. GDPR에서는 암호화된 개인정보가 유출되었을 때 통지 의무를 면제한다(GDPR 제34조 3(a)). 

따라서 가명정보의 유출 시 정보주체에 대한 통지 여부는 여러 측면에서 검토할 필요가 있다고 생각된다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr



2021.11.11

강은성의 보안 아키텍트ㅣ개인정보보호법 2차 개정에서 개정할 것들 (2)

강은성 | CIO KR
지난 9월 개인정보보호위원회는 개인정보보호법 개정안(이하 ‘2차 개정안’)을 국회에 제출했다. 지난달 칼럼(개인정보보호법 2차 개정에서 개정할 것들(1))에 이어 2차 개정에 포함됐으면 하는 사항을 검토한다.

셋째, CEO 및 CPO의 징계 규정(개인정보보호법 제65조 제2항) 개정
개인정보보호법에는 개인정보보호 관련 법규 위반으로 개인정보 유출 사고가 발생했을 때 CEO와 개인정보보호책임자(CPO)를 징계할 수 있는 규정이 있다.
 
② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때는 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다.
개인정보보호법 제65조(고발 및 징계권고) 제2항

개인정보보호법으로 통합되면서 없어졌지만, 정보통신망법에도 이와 비슷한 규정이 있었다.
 
② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자 등에게 책임이 있는 자(대표자 및 책임 있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다.
정보통신망법 제69조의2(고발) 제2항

2017년 3월 발생한 W사의 개인정보 유출 사고에 대해 방송통신위원회가 정보통신망법의 위 조문을 근거로 최초로 ‘CEO와 책임 있는 임원’의 징계를 권고하였고, 같은 해 10월 발생한 H사의 개인정보 유출 사고에 대해 행정안전부도 CEO와 CPO에 대해 징계를 권고하였다. 

비슷한 목적으로 만들어졌고, 비슷한 상황에 적용된 두 조문은 겉으로 보기에는 별 차이가 없어 보이지만, 실제 내용은 상당히 다르다.

정보통신망법에서는 징계 기준 법규를 정보통신망법으로 한정하고, 징계 요건 역시 “법을 위반한” 자로 명확하게 규정하고 있는 데 비해 개인정보보호법에서는 “개인정보 보호와 관련된 법규”라고 해서 징계 기준 법규를 개인정보보호법 외에 다른 관련 법규도 포함하고, 징계 요건 또한 “위반행위가 있다고 인정될 만한 상당한 이유가 있을 때”라고 규정하여 소관부처의 재량을 폭넓게 인정하였다. 

법규의 모호성을 줄이고, 수범자에 법 적용의 예측 가능성을 높여 준다는 의미에서 정보통신망법의 징계 규정이 합리적인 것으로 보인다. 개인정보보호법에서 이 조문을 “개인정보보호법을 위반한 개인정보처리자”의 CEO와 책임 있는 임원을 징계하는 것으로 개정하는 것이 바람직하리라 생각된다.

넷째, 가명정보 유출 시 통지 의무 제외 규정(개인정보보호법 제28조의7)의 개정
‘데이터 3법’ 개정에서 가장 큰 변화의 하나가 가명정보의 도입이었다. 가명정보는 “원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”(개인정보보호법 제2조(정의) 제1호 다목)이다.

조문상으로는 추가 정보를 폐기하면 가명정보가 “특정 개인을 알아볼 수 없는 정보”가 될 것 같은데, 가명처리 방법에 따라 추가 정보 없이도 개인이 식별될 수 있다. 

그래서 개인정보보호법에서는 가명정보의 안전한 처리 환경을 확보하기 위한 안전성 확보조치 의무화(제28조의4(가명정보에 대한 안전조치의무 등), 특정 개인을 알아보기 위한 목적으로 가명정보 처리 금지(제28조의5(가명정보 처리 시 금지의무 등) 제1항)와 위반 시 전체 매출액 3% 이하의 과징금 부과, 가명정보를 처리하는 과정에서 개인을 알아볼 수 있는 정보가 생성되면 해당 정보를 지체 없이 파기(제28조의5 제2항)의 보완 규정을 두었다.

이러한 법적인 안전장치 안에서 “통계작성, 과학적 연구, 공익적 기록보존” 목적에 한해 정보주체의 동의 없이 개인정보를 가명 처리하거나 가명정보를 처리할 수 있도록 하고(제28조의2(가명정보의 처리), 개인정보보호법에서 개인정보처리자에게 부과된 다음 의무를 면제하였다.
 
가명정보에 관하여는 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지), 제20조의2(개인정보 이용·제공 내역의 통지), 제27조(영업양도 등에 따른 개인정보의 이전 제한), 제34조(개인정보 유출 통지 등) 제1항(통지 의무), 제35조(개인정보의 열람), 제35조의2(개인정보의 전송 요구), 제36조(개인정보의 정정·삭제) 및 제37조(개인정보의 처리정지 등)를 적용하지 아니한다.
개정안 제28조의7(적용범위) 

위 적용 예외 규정 중 개인정보의 유출 통지에 대한 고민이 좀 더 필요해 보인다. 안전한 처리 환경과 일정 수준의 가명처리 기술, 복원 시도에 대한 금지로 구성된 가명정보의 안전성에 대한 법적 정합성은 가명정보가 유출되면 구멍이 생긴다.

안전한 처리 환경은 사라지고 복원 시도도 알아내기 어렵다. 가명정보의 종류나 가명처리 기술에 따라서는 개인 식별이 어렵지 않게 이뤄질 수도 있다.

추가 정보는 그것이 불필요할 때 파기해야 하므로(시행령 제29조의5 제1항 제2호) 추가 정보를 보관하는 개인정보처리자가 가명정보 유출 시 정보주체에 대한 통지가 가능할 수 있다.

법적으로 가명정보 유출 시 분쟁조정이나 손해배상 청구가 가능한데, 유출 시 정보주체에 통지하지 않는다면 정보주체의 해당 권리가 원천적으로 차단된다. 가명정보 유출 시 규제기관 신고 의무를 유지하면서 통지 의무를 면제하는 것 또한 어색하다. 

개인정보보호법에서 개인정보 유출 시 규제기관에 신고할 의무는 1,000명 이상의 개인정보가 유출될 때 발생하지만(제34조 제3항), 정보주체에 통지할 의무는 1명의 개인정보가 유출되더라도 발생한다(제34조 제1항).

유출 통지를 받아 정보주체가 대응하는 것이 유출 신고를 받아 규제기관이 대응하는 것보다 더 중요하다고 보기 때문일 것이다. 하지만 가명정보에서는 그 반대로 되어 있다.

일반 개인정보보다 개인 식별 가능성이 '훨씬’ 적을 수 있는 가명정보가 유출되었다고 일반 개인정보와 동일하게 통지할 필요가 있는지는 별도의 이슈다.

지금 상태는 암호화된 정보가 유출되었을 때 개인정보 유출로 보면 통지해야 하고, 가명정보로 보면 통지하지 않아도 된다. GDPR에서는 암호화된 개인정보가 유출되었을 때 통지 의무를 면제한다(GDPR 제34조 3(a)). 

따라서 가명정보의 유출 시 정보주체에 대한 통지 여부는 여러 측면에서 검토할 필요가 있다고 생각된다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr

X