본문 바로가기
etc

기업이 개인정보 `보호조치 의무` 소홀 발각땐 무조건 처벌

by (주)엠플 2014. 6. 30.

기업이 개인정보 `보호조치 의무` 소홀 발각땐 무조건 처벌

`인과관계` 안따지고 무조건 처벌 방통위, 입증 조항 삭제 정보통신망법 11월부터 시행

오는 11월부터 기업이 주민등록번호와 같은 개인정보에 대한 `보호조치 의무'를 소홀히 한 사실이 발각되면 무조건 처벌을 받게 된다.
24
일 방송통신위원회에 따르면 오는 1129일부터 본격 시행되는 개정 `정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법)'에 따라 기업이 개인정보보호를 위한 기술적ㆍ관리적 보호조치 의무를 반드시 준수해야 한다. 의무를 위반하면 과징금 처벌도 받는다
.
이용자의 개인정보를 보호하기 위한 법적 의무조치를 위반한 것만으로 규제당국이 해당 기업을 처벌하는 것은 어찌보면 당연한 일이다. 하지만 그동안 정통망법은 정보유출 사고를 낸 기업이 보호조치 의무를 위반했다 하더라도, 해당 정보유출 사고가 반드시 그 의무 위반 때문에 발생했다는 `인과관계 입증'을 해야만 처벌할 수 있는 제한을 뒀었다
.
예를들어 이번에 980만명의 가입자 정보를 유출시킨 KT의 경우 개인정보와 금융정보가 모두 유출됐지만 이 회사를 처벌하려면 정통망법에 따라 KT의 기술적ㆍ관리적 보호조치 의무를 위반한 정황을 포착해야 한다. 또 의무위반 사실이 정보를 빼낸 해커의 범죄에 직접적으로 악용돼, 그 의무위반으로 해당 사고가 발생했다는 입증 또한 해야 한다
.
정보보호 정책 전문가는 "현행 정통망법은 기업이 보호조치 의무를 단순 위반할 경우 3000만원 이하의 과태료를 부과하고 있으나 개인정보 유출로 인한 사회적 파급력과 2차유출로 인한 피해에 상응하는 처벌로는 대단히 미흡하다"면서 "보호의무 위반과 개인정보 유출 간 인과관계가 입증될 경우에는 1억원 이하의 과징금을 부과할 수 있는데, 인과관계를 입증하는데는 현실적인 어려움이 많아 유명무실한 상태였다"고 분석했다
.
때문에 지난 2008년 발생한 옥션의 1000만명 정보유출 사건이나 2011 3500만명 개인정보 유출을 일으킨 SK커뮤니케이션즈도 방통위로부터 `기업의 책임은 없다'는 면죄부를 받아들 수 있었다
.
그러나 정보유출 사태가 점차 심각성을 더하면서 지난 52일 국회 본회의를 통과한 개정 정통망법에서는 인과관계 입증 조항을 삭제했다. 바뀐 법이 시행되면 정보유출 사고가 일어났을 경우 기업의 보호조치 위반 사실만 가지고도 처벌이 가능하다. 처벌 수위도 1억원 이하 과태료에서 3억원 이하 과징금 부과로 강화했다
.
방통위 관계자는 "이 조항은 단순히 기업의 보호조치 의무 위반 사실만 보는 것이 아니라 정보유출 사고 자체에 대해 규제 당국이 기업의 책임을 확실하게 묻겠다는 의지"라며 "당국의 책임인정 사실은 향후 기업의 민사 손해배상소송에도 막중한 영향을 미치게 될 것"이라고 설명했다
.
정보보호법 전문 변호사 역시 "해당 조항은 결과법에 해당하는 것으로, 정통망법 관할 아래 있는 기업은 정보유출 사실만으로 처벌받는다는 의미로도 해석할 수 있다"고 덧붙였다
.
다만 이같은 조항은 기존 정보유출 기업에 소급 적용되는 것은 아니다
.
강은성기자 esther@

 

출처: http://news.naver.com/main/read.nhn?mode=LS2D&mid=shm&sid1=105&sid2=732&oid=029&aid=0002227523

 

댓글