보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
개정 정보통신망법, 주요 개정사항과 향후 과제는?
2015.08.26
17,144
개정 절차 및 이유
개인정보 누출사고 이후 유출된 개인정보는 2차 피해 발생 가능성 또한 높아 사전에 개인정보 유출을 방지하기 위한 법적ㆍ제도적 장치를 마련할 필요성이 존재하여, 개인정보보호조치를 강화함과 동시에 동 법상의 의무위반에 대한 정보통신서비스 제공자의 처벌을 엄격히 하고, 법정 손해배상제도를 도입하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하려는 목적이 있다.
정보통신망법 주요 개정사항
▶ 최소한의 정보 수집 원칙 강화
기존 현행법에서 ‘필요한 최소한의 개인정보’에 대한 정의를 “해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보”라고 하여 좀 더 상세한 의미를 담았으며, ‘필요한 최소한의 개인정보’를 재차 강조하여 과도한 정보수집을 지양하고 이용자의 동의 항목을 최소화하고자 하였다.
※본질적 기능 : 사업자가 해당 서비스 제공 과정에서 업무처리를 위해 반드시 필요한 기능을 의미
▶ 미사용 개인정보 파기기간 단축 및 파기 방법 규정
정보통신서비스를 이용하지 아니하는 이용자의 개인정보 파기기간은 3년에서 1년으로 조정되었으며, 개인정보를 파기할 때는 “복구ㆍ재생할 수 없도록 파기” 하여야 한다. 파기 방법에 관한 자세한 사항은 방송통신위원회에서 제공하는 ‘온라인 개인정보 취급 가이드라인’을 참고하도록 한다. 단, 시행령 제 16조의 시행일은 2015년 8월 18일부터 시행되므로 2014년 8월 18일부터 이용여부를 체크 하여야 하며, 이를 지키지 않을 시 “2년 이하의 징역 또는 2천만원 이하의 벌금”에 처한다.
▶ 영리목적의 광고성 정보(스팸) 전송 규제 강화
이번 개정에서 스팸과 관련된 사항이 다수 개정되었다. 기존에 쪽지, 메신저 등에서 광고를 전송하는 경우 OPT-OUT방식을 사용하여 수신자는 불필요한 수신에 따른 고충이 있었다. 이를 해결하고자 개정된 법률에서는 모든 전자적 전송매체에 OPT-IN 방식을 채택하였다. 다만, ‘거래관계로 직접 연락처를 수집한 경우 6개월’, ‘육성으로 전화권유를 하는 경우’ 는 사전 동의가 필요하지 않으며, 오후 9시부터 오전 8시까지는 ‘전자우편’의 경우만 별도의 사전 동의를 받고 광고성 정보를 전송할 수 있다.
※OPT-IN(사전동의) : 광고성 정보를 전송하기 전에 수신자의 수신동의를 받아야 전송할 수 있는 방식을 의미
▶ 의무위반에 대한 과징금 상향 조정
정보통신서비스 제공을 하는 기업들의 과징금 부과 금액이 상향 조정되었다. 기존 과징금의 부과 정책은 관련 매출액의 100분의 1이하, 즉 ‘1%이하에 해당하는 금액을 부과’ 하는 것 이었다면, 정보통신망법 개정 이후 과징금은 3%이하로 상향되었고 기본과징금 부과기준율 또한 전체적으로 상향 조정된 모습을 볼 수 있다.
[표 1] 기본과징금 부과기준율
▶ 법정손해배상제도 도입
법정손해배상제도가 새롭게 도입되어 개인정보 누출을 인지한 후 3년 또는 누출이 발생한 후 10년 내에 청구가 가능하며 누출에 대한 무과실 입증은 정보통신서비스 제공자가 하여야 하며, 유출 피해자는 청구 금액 300만원 이하의 범위에서 배상청구가 가능하다.
정보통신망법 주요 폐지 사항
▶ 개인정보취급방침 전자적 표시 폐지
실효성이 미흡한 개인정보취급방침의 전자적 표시 방법을 폐지하는 사항으로 이번 개정 사항 중에 정보통신서비스 제공자의 부담을 경감시켜주는 대표적인 개정 항목이다.
※전자적 표시 : 방송통신위원회가 정하여 고시 (개인정보 취급방침의 전자적 표시방법<현재 폐지>) 하는 방법으로 W3C에서 제정한 P3P 1.1의 표준 데이터 및 XML 구문 형식에 따라 작성하여 작성한 문서
정보통신망법 개정에 대한 기대와 우려
개정안이 발표된 후 방송통신위원회에서는 지난 9월 2일「정보통신망법 시행령」개정 공청회를 개최했으며 각종 미디어에서 이슈가 되었다. 각 분야의 전문가들이 개정안에 대하여 다양한 기대와 우려를 표출했다.
결론
지난 11월 29일 정보통신망법이 시행되었다. 개정안의 목적과 같이 개인정보보호조치를 마련하여 법적 의무사항을 위반할 경우 처벌을 엄격히 하기 위함은 틀림없다. 다만, 아쉬운 점이 있다면 각 분야의 전문가들이 시행 전까지 다양한 의견을 제시하였고, 공청회도 개최하였지만 그 다양한 우려사항들이 적극적으로 반영되지 않았다.
잦은 개인정보유출사고와 유출 피해자들의 수가 증가됨에 따라 법을 개정하여 급하게 “불”을 끄려고 하였지만, 급한 마음에 정작 중요한 “불씨”를 끌 준비까지는 안되어있지 않았나 생각한다. 적어도 개정 법에서 미흡한 부분은 “해설서”나 “가이드 라인” 등을 활용하여 추가적인 상세방안을 제공할 것을 권고한다.
끝으로, 필자가 언급하였던 주요 개정 사항들뿐 아니라 ‘정보보호 최고책임자 지정’, ‘바이오정보 양방향 암호화 대상으로 변경’ 등 다양한 항목이 개정되었으므로 관련 담당자는 숙지하여 최신 사항을 반영해야 할 것이다.
[참고문헌]
ㆍ법제처 국가법령정보센터(www.law.go.kr)
ㆍ방송통신위원회, ‘온라인 개인정보 취급 가이드라인(2014.11.12)’
ㆍ방송통신위원회-한국인터넷진흥원, ‘불법 스팸 방지를 위한 정보통신망법 안내서(2014.11)’
ㆍSHIN&KIM|법무법인 세종, ‘정보통신망법의 주요 개정 내용’
ㆍ블로터, ‘5대 쟁점으로 본 정통망법 시행령 개정안’
ㆍ보안뉴스, ‘개정 정통망법 ‘보완’ 필요성 공감, 각론엔 시각차’
ㆍ보안뉴스, ‘개정 정통망법 시행 D-1, 실무 체크사항 9가지’