법제도/정책

“개인정보보호법 시행, 사업자 이중규제·혼선 해소”

이유지 기자
- 정보통신망법 등 타법과 관계 구체화·명확화, 지침·해설서 등에 반영

[디지털데일리 이유지기자] “개인정보보호법을 적용하는데 정보통신망법 등 다른 개인정보보호 관련법률과 혼선이 있는 부분은 지침과 해설서 및 실무자 업무매뉴얼에서 명확히 구체화 하겠다.”

개인정보보호법 시행을 한달가량 앞두고 행정안전부와 개인정보보호 위원회가 민간사업자들의 혼선을 최대한 막을 수 있도록 표준 개인정보보보호 지침과 해설서 등에 반영키로 방침을 정했다.

23일 광화문 정부종합청사 별관에서 열린 ‘표준 개인정보보호지침 및 개인정보 안전성 확보 수립을 위한 토론회’에 참여한 전문가들이 개인정보보호법 시행으로 이중규제나 타법과의 관계혼선 등이 지적되자 이같은 방침을 밝혔다.

이날 토론회에 참여한 이성엽 김앤장 법률사무소 변호사는 “온라인과 오프라인에서 개인정보를 수집하는 민간사업자의 경우 정보통신망법과 개인정보보호법을 모두 적용받는 이중규제 가능성이 있다”면서, “이를 표준지침으로 명확하게 구분하거나 해설해줄 필요가 있다”고 지적했다.

박재현 율촌 변호사도 “개인정보보호법과 시행령에 있는 개념이 모호하다보니 개인정보파기를 불필요하다고 인정되는 주체나 위탁업체 동의 등 실무에서 혼란을 막기 위해 지침 등에서 행안부가 유권해석을 내려주는 식으로 명확히 해야 할 필요가 있다”고 말했다.
 
이에 대해 표준지침 수립 작업에 참여한 김일환 성균관대 교수는 “다른 법률에 동일한 사항이 규정돼 있다면 특별법 우선의 원칙이 적용되는 것이 맞다”면서 “타 법률과의 관계는 지침에 녹여달라는 요청이 많이 있었지만 조문화되는 지침에서 특정 법률에 따른 지침이 우선 적용되는지 여부를 담는 것이 현실적으로 어렵지만 민간사업자들에게 명확성을 제공할 수 있도록 지침에 담거나 해설서에라도 구체화하도록 하는 의견을 반영하겠다”고 밝혔다.

행정안전부 관계자 역시 “사업자 혼선을 유발하는 부분은 해설서에 구체적으로 유형을 예시하는 형태로 만들고 있으며, 지침의 세부조문에도 담을 수 있도록 고민해 혼란을 최소화하도록 하겠다”고 강조했다.

이 관계자는 “개인정보보호법 해설서나 실무자 업무매뉴얼에서는 개인정보보호법의 각 조문별로 정보통신망법과 신용정보보호법 등 타법률과의 관계를 명확히 하도록 만들고 있다”며, “사업자들이 이를 참고하면 상당한 도움이 될 것”이라고 덧붙였다.

이에 따라 개인정보보호법 발효를 앞두고 정보통신망법이나 신용정보보호법 등 기존 정보보호관련법의 적용을 받아온 민간사업자들의 혼선이 앞으로 일정부분 해소될 것으로 보인다.

다만 기술적·관리적·물리적 보호지침을 담은 안전성 확보 지침에 규정돼 있는 내부망에 저장되는 개인정보 암호화 저장 규제 수준과 범위 등이 정보통신망법과는 크게 차이가 있어 온·오프라인 서비스 병행 사업자들이 이를 적용하는데 있어 별도의 적용기준이나 가이드가 제시돼야 할 필요성이 제기될 것으로 예상된다.  

이날 토론회에는 보건복지부 등 정부부처, 은행연합회, 대한병원협회 등 협회, 대한항공·하나은행 등 사업자, 교수 등 40여명이 참석했으며, 개인정보보호연구회 등 전문가들이 마련한 표준지침안과 안전성 확보지침안에 대한 의견을 수렴하기 위한 차원에서 마련됐다.

이날 발표된 ‘표준 개인정보보호 지침’에는 개인정보의 처리에 관한 기준, 침해 유형 및 예방조치 등을 반영하기 위해 개인정보호법 적용범위, 개인정보 수집·동의 절차, 개인정보의 파기, 개인정보의 위탁관계, 유출통지·신고제, 법 시행 이전사항에 대한 경과조치 등을 담고 있다.

이 지침안에서는 민간과 공공 전반에 포괄적으로 적용되는 개인보보호법의 의무대상자인 개인정보처리자를 개인정보를 제공받는자까지 포함시키는 등 법령을 보완, 구체화했다.

이에 따르면, 개인정보취급자 역시 직접 개인정보를 취급·처리하는 업무담당자뿐 아니라 개인정보를 열람·활용하는 영업·마케팅 업무담당자까지 확대된다.

‘개인정보 안전성 확보지침’은 개인정보의 안전한 처리를 위한 내부관리계획 수립, 주민번호 등 암호화, 접근기록의 보관, 접근통제 시스템 설치 등 관리적·기술적·물리적 보호조치 사항을 규정했다.

안전성 확보지침안에는 민간사업자들이 내부망에 저장하는 주민번호 등 주요 개인정보(고유식별정보)를 일괄 암호화하지 않아도 먼저 종합적인 위험수준을 측정, 분석해 암호화 적용 범위를 결정하도록 했다. 공공기관은 개인정보 영향평가 분석결과를 바탕으로 이를 정할 수 있도록 규정했다.

또 개인정보 암호화 저장시한도 시행일로부터 3개월 이내에 계획을 수립하고, 이후 12개월 이내에 조치를 완료할 수 있도록 정해, 사실상 1년이 넘는 암호화 조치 유예기간을 뒀다.

황서종 행정안전부 정보기반정책관은 “이번 토론회에서 논의한 사항을 충실히 반영해 개인정보보호법 시행 이전에 표준지침과 안전성 확보 지침을 공포할 방침”이라고 말했다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널