무조건 단속보다 대대적인 교육과 홍보 통한 계도기간 가져야

오는 9월 개인정보보호법 시행을 앞두고 있는 현재 기업들은 어수선한 분위기 속에 휩싸여 있다. 그 동안 미뤄왔던 개인정보보호 투자가 불가피해졌지만, '법 대비를 어떻게 해야 하고, 어디부터 손을 대야 할지'를 몰라 난감해 하는 기업들이 많기 때문이다.

또한 그동안 개인정보보호법이 통과된다, 된다고 예고만 하다가 갑작스레 되는 바람에 미처 개인정보보호를 위한 인력이나 솔루션, 시스템 등을 구비하기 위한 올해 예산을 제대로 배정 못한 곳도 많기 때문이다.

더욱이 정부기관에서는 '안전성 확보에 필요한 보호조치를 하지 않아 개인정보가 유출된 경우 2년 이하 징역, 1천만 원 이하의 벌금형에 처하게 된다', '개인정보보호 담당자 책임 하에 CEO가 구속될 수 있다'는 식의 형사처벌 부분을 부각시키고 있어서 법 시행으로 인해 막연한 두려움을 가지고 있는 상태다.

한국CPO포럼 정태명 회장은 "영리적 목적으로 개인정보를 이용했던 사업자 외에 앞으로 동창회, 친목회, 후원회 등도 법적용 대상에 포함되지만, 법 준수 여부를 일일이 모니터링 해 단속하기도 현실적으로 어려울뿐더러 법이 있다는 것조차 모르고 걸려봐야 아는 사람들이 많을 것"이라며 "법 시행 초기에는 사회적 혼란이 예상된다. 무조건 단속을 강화하기보다 당분간은 법이 왜 중요한지 교육과 홍보를 통해 알리는 계도기간이 필요할 것"이라고 지적했다.

350만 사업자 대상… 산업별 형편 안 봐줘
개인정보보호법은 공공, 민간을 포함해 개인정보를 수집· 이용하는 모든 영역의 조직은 물론 개인에게도 적용된다. 개인정보의 기술적· 관리적 보호조치 강화가 요구되며, 처벌수위 또한 대폭 강화된다.

기존에 정보통신망법의 적용을 받아온 인터넷 사업자들이나, 신용정보 이용 및 보호에 관한 법률에 의해 고객 개인정보를 보호해온 금융사들은 개인정보보호법이 그리 낯설지 않겠지만 의료, 교육, 유통, 서비스 등 그동안 개인정보보호에 등한시 해 온 여타 기업들은 대규모 투자와 노력이 요구된다.

특히, 관광사, 비디오대여점 등 PC 한 대를 놓고 업무를 보는 5인 이하 소규모 기업들은 시스템도 없이 수기로 개인정보를 수집해 이용하는 곳이 많다. 이에 그동안 법 적용을 받지 않은 사각지대에 있었던 기업들까지 개인정보보호법의 테두리로 들어오려면 상당한 시일이 걸릴 것으로 보여진다.

개인정보보호법 시행으로 인해 주목할 만 한 점은 ▲법 적용 대상의 확대 ▲보호 대상의 확대 ▲정보 주체자의 권리 강화 ▲개인정보 처리자의 책임 강화 ▲안전성 미확보 시 처벌 수위 강화 등이다.

먼저, 350만 사업자로 법적용 대상이 확대되어 행정, 공공기관 외에 전체 온·오프라인 사업자는 물론 비영리단체, 입법, 사업기관에도 모두 적용이 된다. 특정분야의 개별법을 적용받던 민간 사업자들도 특별법을 우선 적용받지만, 세밀한 부분은 개인정보보호법을 적용받는다.

산업별 형편을 봐줄 수 없게 일반적으로 만들어진 개인정보보호법 시행 시 기존에 있었던 특별법과의 일부 충돌이나 법 위반 상태로 가는 혼란기를 거치게 될 것이라는 게 업계 전문가들의 공통된 시각이다. 금융사, 의료기관 등은 개인정보보호법이 그대로 적용 시 비즈니스적인 영향이 클 것으로 보고, 법이 요구하는 사항보다 완화된 무언가가 특별법에 새로 추가되기를 바라고 있는 게 현실이다.

처벌 수위 강화로 'CEO 구속도 가능'
개인정보보호법이 시행되면 보호 대상도 크게 확대된다. 과거 영리 목적의 고객정보만 보호 대상이었지만, 앞으로 내부 직원정보를 포함해 모든 개인정보를 보호해야 한다. 그리고 시스템 내 있는 전자적 문서 외에 오프라인상 수기 문서도 보호 대상에 포함된다.

또한 앞으로 정보 주체자의 권리도 한층 강화되어 자기정보를 열람/ 수정/ 삭제를 요청할 수 있고 정보유출 사실을 바로 통지받을 수 있는 권리가 생겼다. 기업들은 만일의 사고 발생 시 유출개인정보항목, 유출시점 및 경위, 정보주체가 할 수 있는 피해최소화방법, 대응조치 및 피해구제 절차 등을 통지할 의무가 있다.

개인정보 처리자의 책임도 한층 강화된다. 분명한 목적 하에 최소한의 정보만을 수집하고 안전하게 보관/ 사용하고 있으며 만일의 정보유출사고 시 고의냐 과실이냐를 밝힐 수 있는 입증책임이 주어진다. 수탁기관(협력업체)에 대한 관리감독 책임에 있어서 정보 전송 시 안정성과 함께 정보를 위탁한 경우 수탁업체의 관리체계까지 항상 모니터링하고 교육도 반드시 해야 한다.

정보통신망법 등 개별법에서 법률 위반 사항에 대해 규정했던 과태료가 상향 조정되고 형사처벌 및 벌금 조항이 추가되는 등 처벌 수위가 대폭 강화된다. 구체적으로 안전성 확보에 필요한 기술적 조치를 하지 않아 개인정보가 유출된 경우 2년 이하 징역, 1천만 원 이하 벌금형에 처하게 된다.

특히 기업의 이미지에 타격을 입는 것은 물론 개인정보보호 담당자 책임 하에 CEO가 구속될 수도 있기 때문에 기업 입장에서는 민감하게 받아들일 수밖에 없다.

NHN 개인정보보호팀 이진규 팀장은 "기업 외에 개인정보가 포함된 파일을 취급하는 경우 일반 국민도 누구나가 개인정보보호법의 적용대상이 된다. 사회생활을 하면서 개인정보를 주고받지 않을 수가 없다. 따라서 개인정보보호법은 비범죄화를 목적으로 모든 사용자들에게 공평하게 적용하되, 창조적인 활동을 저해하지 않는 범위 내에서 시행되어야 할 것"이라고 말했다.

<보다 자세한 내용은 컴퓨터월드 5월호 참조>

저작권자 © 아이티데일리 무단전재 및 재배포 금지