보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

개정 개인정보보호법의 개정사항 및 이해

2016.04.05

13,181

 

 

 


1. 개인정보보호법 개정에 따른 이유 및 근거

 

1) 2015년 개인정보 유출 사고 정리

 


2015년 4월 병원에서의 개인정보 대량 유출은 개인신상정보가 담긴 문서를 고물상에 팔아 버림으로써 발생한 사고로, 개인정보의 안전성 확보조치 기준 제 10조(개인정보 파기) 사항을 위반함으로써 발생한 사고이다. 6월, 메르스 감염 의심자의 개인정보가 담김 내부 문건이 인터넷 카페와 SNS등에 떠돌아 최초 유포자가 처벌받았다. 이는 개인정보 보호에 대한 낮은 인식수준을 현저히 보여주고 있다. 이런 허점 속에 지난 2015년 총 4건의 영리목적 유출 사고가 발생하였고, 그 외 4건의 해킹 및 개인정보 보호에 대한 낮은 인식 수준을 보여주는 유출 또한 발생하였다.

 

2) 일부 개정의 이유


이에 국회는 개인정보 보호법의 일부 개정 이유를 다음과 같이 밝혔다.
“개인정보의 수집ㆍ유출ㆍ오용ㆍ남용으로부터 사생활의 비밀 등을 보호하기 위하여 2011년부터 현행법이 제정ㆍ시행되고 있었으나, 2014년 1월 카드사 개인정보 유출사고와 같은 대형 개인정보 유출이 빈발하는 등 아직까지는 개인정보 보호에 대한 인식 수준이 낮은 상황이다. 이에 대통령 소속 개인정보 보호위원회의 총괄ㆍ조정 기능 강화, 개인정보 보호 인증기관 지정 근거 마련 등 현행법의 운영상 미비사항을 보완하고, 징벌적 손해배상제ㆍ법정손해배상제를 도입하여 개인정보 유출에 대한 피해구제를 강화하는 한편, 개인정보 불법 유통으로 얻은 범죄수익을 몰수ㆍ추징하고, 부정한 방법으로 개인정보를 취득하여 영리 등의 목적으로 타인에게 제공한 자에 대한 벌칙을 신설하는 등 개인정보 범죄에 대한 제재수준을 강화하려는 것이다.”
이하에서 그 구체적인 내용을 살펴보고자 한다.

 

 

2. 개인정보 보호법 주요 개정 내용에 따른 기대효과

 

1) 개인정보 유출에 따른 피해구제의 강화


◎법정손해배상제 도입(제39조의2)

 제 39조의2(법정손해배상의 청구) 

① 제39조제1항에도 불구하고 정부주체는 개인정보 처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 명할 수 없다.

② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 제1항에 따른 청구로 변경할 수 있다. 

 

 

◎징벌적 손해배상제 도입(제39조 제3항) 

 제 39조(손해배상책임)


… 이하 생략 

 

③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위도ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보 처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

 

 … 이하 생략

 


‘2011년 11월 개인정보 유출 피해자들이 S사를 대상으로 한 손해배상청구소송에서 잇따라 패소했다.’, ‘2012년 12월 G사의 업무 위탁 중 고객정보 유출 손해배상청구가 기각판결 되었다.’, 기존 법률을 통해서도 정보주체(피해자)는 법 위반 행위로 손해를 입으면 손해배상 청구를 할 수 있었지만, 피해자가 피해액을 구체적으로 입증해야 했기 때문에 손해배상판결을 받기가 쉽지 않았다. 위의 사례들도 ‘개인정보 유출에 대한 책임을 묻기가 어렵다’, ‘위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵다’ 등의 이유로 패소 및 기각되었다. 또한 개인정보 유출에 대한 보상을 받더라도 소액에 불과했다. 그 예로 카드 3사 유출피해의 배상액은 10만원에 불과했다.
국회는 본 법의 개정 이유를 ‘현행법의 운영상 미비사항 보완’으로 밝힌 바, 현행법에서 피해구제가 제대로 이루어 지지 못하였기에 개정법에서는 피해자가 구체적인 손해액을 입증 하지 못하더라도 법원으로부터 배상판결을 받을 수 있는 제도적 장치가 마련되었으며, 실제 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상제도가 도입되었다.
이에 따라 앞으로 개인정보 유출 관련 손해배상소송이 활성화 될 것으로 예상되며, 징벌적 손해배상제도가 도입됨으로써, 개인정보를 취급하는 기관과 사업자들은 개인정보 관리 및 감독에 보다 많은 노력을 기울일 것으로 기대된다.
위 개정규정들은 공포 후 1년이 경과한 2016년 7월 25일부터 시행된다.

 

2) 개인정보 유출에 대한 제재의 강화


◎개인정보 침해 관련 사범에 대한 처벌 대폭 강화(제70조 제2호, 제73조, 제74조의2)

제 70조(벌칙) 

 다음 각 호의 어느 하나에 해당하는 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.


… 이하 생략


② 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자.

 

제 73조(벌칙) 

다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
① 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자
② 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한다.
③ 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자.

 

제 74조의2(몰수ㆍ추징 등) 

제70조부터 제73조까지의 어느 하나에 해당하는 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익을 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다.

 

 

이전 카드 3사 개인정보 유출사고 시 카드사가 받은 개인정보 관련 행정처분은 신용정보의 이용 및 보호에 관한 법률 (이하 신용정보법) 위반에 따른 과태료 600만원에 불과했다. 이에 본 개정안에서는 개인정보를 불법 취득 후 영리 목적으로 유통시킨 자에게 개인정보 보호법상 가장 높은 법정형인 10년 이하 징역 또는 1억원 이하 벌금을 부과하며, 개인정보 불법 유출ㆍ유통으로 얻은 법죄 수익은 전액 몰수ㆍ추징 된다. 이와 동일한 맥락에서 신용정보법도 올해 3월에 개정돼 개인정보 유출 시 관련 매출액의 3%까지 과징금을 부과할 수 있도록 벌칙을 대폭 강화한 바 있다.
하지만 우리는 대량 개인정보 유출에 익숙해져 개인정보 유출이 새삼스럽지 않았다. ‘유출 사고를 ‘보안인식 부재'의 문제로만 돌리고, 처벌을 강화하면 되는 것일까?’ 하는 우려의 목소리도 있다. 그 동안 많은 개인정보 유출 사고가  발생할 떄 마다 재발방지 대책을 내놨지만, 유출 사고는 끊이질 않아 왔다. 우려의 목소리를 잠재우고, 근본적인 원인을 바로 잡을 수 있도록 이번 개정안을 숙지하여 개인정보를 수집 및 이용하는 모든 기관과 사업자들은 경각심을 가지고 개인정보 보호수준을 높이기 위해 노력해야 할 것이다.


위 개정규정들은 2015년 7월 24일 공포한 날부터 바로 시행되었다.

 

※ 개정 신용정보법 : 2015년 9월 12일 부터 시행 된 신용정보법 역시 개정 개인정보보호법과 유사한 법정손해배상제도를 도입하였고, 법령상 최초로 징벌적 손해배상제도를 도입하였다. 또한 과징금 규정 역시 새로이 신설 하였는데, 개인 비밀을 업무 목적 외에 누설하거나 이용한 경우와 불법 누설된 개인비밀임을 알고 있음에도 타인에게 제공하거나 이용한 경우에 관련 매출액의 3%이하의 과징금을 부과하도록 하였다.

 

 

3) 개인정보보호위원회의 기능 강화

 

◎개인정보보호위원회 역할의 대폭 확대(제8조, 제8조의2, 제11조 제2항, 제63조 제3, 4항)

제 9조(기본계획)

① 보호위원회는 개인정보의 보호와 정보주체의 권익 보장을 위하여 3년마다 개인정보 보호 기본계획(이하 "기본계획"이라 한다)을 관계 중앙행정기관의 장과 협의하여 수립한다.

 

제 40조(설치 및 구성)

 … 이하 생략

 

② 분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성하며, 위원은 당연직위원과 위촉위원으로 구성한다.
③ 위촉위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 보호위원회 위원장이 위촉하고, 대통령령으로 정하는 국가기관 소속 공무원은 당연직위원이 된다.
④ 위원장은 위원 중에서 공무원이 아닌 사람으로 보호위원회 위원장이 위촉한다.


… 이하 생략

⑧ 보호위원회는 분쟁조정 접수, 사실 확인 등 분쟁조정에 필요한 사무를 처리할 수 있다.

 

 

개정법의 시행으로 행정자치부가 수행하던 개인정보 보호 기본계획 수립, 개인정보 분쟁조정위원 위촉 등 일부 기능이 개인정보보호위원회로 이관되었으며, 분쟁조정에 필요한 사무를 직접 처리할 수 있도록 규정하였다.

 

 

제 8조(보호위원회의 기능 등)  

 … 이하 생략


② 보호위원회는 제1항 각 호의 사항을 심의ㆍ의결하기 위하여 필요한 경우 다음 각호의 조치를 할 수 있다.
  1. 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이나 시민사회단체 및 관련 사업자로부터 의견 청취
  2. 관계 기관 등에 대한 자료제출이나 시설조회 요구
③ 제2항제2호에 따른 요구를 받은 관계 기관 등은 특별한 사정이 없으면 이에 응하여야 한다.
④ 보호위원회는 제1항제2호의 사항을 심의·의결한 경우에는 관계 기관에 그 개선을 권고할 수 있다.
⑤ 보호위원회는 제4항에 따른 권고 내용의 이행 여부를 점검할 수 있다.

 

 

또한, 관계기관에 대하여 개인정보 보호 관련 정책 및 제도에 대한 개선권고를 하고 그 이행여부를 점검할 수 있으며,

 

 

제 8조의2(개인정보 침해요인 평가)

① 중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통하여 개인정보 처리를 수반하는 정책이나 제도를 도입·변경하는 경우에는 보호위원회에 개인정보 침해요인 평가를 요청하여야 한다.
② 보호위원회가 제1항에 따른 요청을 받은 때에는 해당 법령의 개인정보 침해요인을 분석·검토하여 그 법령의 소관기관의 장에게 그 개선을 위하여 필요한 사항을 권고할 수 있다.
③ 제1항에 따른 개인정보 침해요인 평가의 절차와 방법에 관하여 필요한 사항은 대통령령으로 정한다.

 

 

각 부처에서 개인정보 처리를 수반하는 법령을 제ㆍ개정할 때 개인정보 침해요인을 분석ㆍ평가하여 해당 부처에 개선, 권고할 수 있는 권한을 부여 받았다. 행정자치부 관계자가 “개인정보보호위원회가 사실상의 정보보호 컨트롤타워로 자리매김하게 될 것”이라고 전한 바와 같이 개인정보보호위원회가 보다 실질적인 역할을 할 것으로 기대된다.

 


4) 개인정보보호인증제도의 법적 근거 제시

 

◎개인정보보호인증제도 조항의 신설(제32조의2)

제 32조의2(개인정보 보호 인증)

① 행정자치부장관은 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.
② 제1항에 따른 인증의 유효기간은 3년으로 한다.
③ 행정자치부장관은 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 취소하여야 한다.
  1. 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우
  2. 제4항에 따른 사후관리를 거부 또는 방해한 경우
  3. 제8항에 따른 인증기준에 미달하게 된 경우
  4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
⑤ 행정자치부장관은 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있다.
⑥ 제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.
⑦ 제1항에 따른 인증을 위하여 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정한다.
⑧ 그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준·방법·절차 등 필요한 사항은 대통령령으로 정한다.

 

 

그 동안 개인정보의 처리 및 보호에 관한 일련의 조치가 개인정보보호법에 부합하는 지에 대한 인증제도로 한국정보화 진흥원이 주관하여 진행해 온 개인정보보호인증제도에 대한 법률적 근거를 부여하였다. 인증을 받게 되면 인증의 내용을 표시하고 홍보를 할 수 있는 근거 조문도 포함되었다. 이에 따라, 2013년 11월 시작 된 개인정보보호인증제도가 더욱 활발하게 이용될 것으로 예상된다.
한가지 주의 할 점은 2016년, 개인정보보호 인증제(PIPL)가 개인정보보호 관리체계 인증제(PIMS)에 통합되며 한국인터넷진흥원 및 지정된 인증기관이 수행하게 된다. 그에 따라 한국인터넷진흥원의 자료실에 2016년 1월 8일 ‘PIMS제도 통합에 따른 인증신청 가이드라인’이 안내되었다. 중복이 많던 심사 항목을 총 86개로 조정하고, 공공기관ㆍ대기업ㆍ중소기업ㆍ소상공인 등 인증 신청기관 유형별로 심사항목을 차등화한다.
기존 인증 취득기관은 인증 효력이 그대로 유지되며, 사업자의 혼란을 막기 위해 2016년도 인증심사에 대해서는 개정 전 기준으로 신청 가능하도록 할 예정이지만, 통합된 인증제를 미리 숙지하여 기업의 부담을 완화하기 위해 개정 된  심사항목으로 인증절차를 진행하는 것이 효율적이라 생각된다.


※ 개인정보보호 관리체계 인증제(PIMS) ; 개인정보보호관리체계를 수립ㆍ운영하고 있는 조직에 대해 인증심사 기준에 접합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도
※ 개인정보보호 인증제(PIPL) ; 개인정보보호법의 도입 취지에 따라 개인정보처리자의 개인정보보호 관리체계 구축 및 개인정보 보호조치 사항을 이행하고 일정한 보호수준을 갖춘 경우 인증을 부여하는 제도

 

 

3.맺음말


앞서 언급하였듯 개정 신용정보법에도 법정손해배상제도가 도입되고 과징금 항목이 추가되었으며, 2014년 개정 된 정보통신망 이용촉진 및 정보보호 등에 관한 법률 또한 비슷한 항목이 추가 되었다. 이번 개정 개인정보보호법은 그 동안의 ‘피해구제 및 범죄에 대한 제재수준 강화’에 마무리 작업이라고 생각한다.
2015년, 개인정보보호법의 존재가 무색하게 많은 개인정보 유출사고들이 있었다. 그 중에는 개인정보 보호에 관심을 갖고 생각했다면 일어나지 않을 수 있는 사고들도 있었다. 시간이 흐를 수록 ‘개인정보 및 정보보안’에 대한 중요성이 커지고 있는바, 일부 기업의 ‘눈 가리고 아웅’ 식의 관리는 어려워졌다. 개인정보를 취급하는 기관과 사업자들은 기업의 자산인 정보주체의 정보를 지키고, 소송과 손해배상액 지급을 피하기 위해서라도 개인정보의 관리ㆍ감독에 상당한 노력을 기울여야 할 것이다.
기업과 사업자 뿐만 아니라, 필자를 비롯한 모두가 개정 된 개인정보 보호법을 숙지하여 한 기관 및 단체의 ‘내부자’들 로써 개인정보 보호에 대한 인식 수준을 한 단계 높였으면 하는 바램이다.

 


참고문헌


법제처 국가법령정보센터(www.law.go.kr)
한국인터넷진흥원, ‘개인정보보호 관리체계(PIMS) 인증신청 가이드라인(16.01.18)’
DPP Group, ‘개인정보보호법 일부 개정법률안 국회 본회의 통과(15.07.06)’
디지털데일리, ‘개인정보보호법 개정안 국회 통과(15.07.07)’
SHIN&KIM 법무법인세종, ‘개정 개인정보 보호 법령 소개 Ⅰ(15.08.31)’
SHIN&KIM 법무법인세종, ‘개정 개인정보 보호 법령 소개 Ⅱ(15.09.07)’
법무법인 세움 박진일 변호사, ‘개인정보 보호법의 주요 개정 내용(15.9.23)’
여성소비자신문 고승주, ‘책임 없는 개인정보 유출(13.02.08)’ 관련 기사
보안뉴스, ‘왜 개인정보 유출 계속되고 있나?’ 관련 기사
인터넷 언론매체, 2015년 개인정보유출사고정리