- 개인정보보호법, 정보통신망법 등 개인정보보호 관련법 준수 모호함 해소

[디지털데일리 이유지기자] 개인정보보호법이 본격 시행되고, 정보통신망법도 꾸준히 개정되면서 날이 갈수록 사업자들에게 보다 엄격한 개인정보보호 의무가 부과되고 있다. 여전히 많은 사업자들은 새롭게 제·개정되거나 시행된 정보보호 관련 법 대응에 어려움을 갖고 있다.

실무 담당자들은 다양한 법률 간의 관계에서 혼란을 느끼거나 특정 법조항을 이해하거나 해석하기에도 버거워하기도 한다.

이로 인해 자칫 적절한 개인정보보호 조치를 취하지 못할 경우, 해킹 등 다양한 원인으로 개인정보 유출 사고가 발생하게 되면 피해자들의 손해배상 요구 등으로 인해 이어질 법적소송에서 사업자들에게 지나치게 불리하게 작용하게 될 수도 있다.

한국CPO포럼은 3일 개최한  ‘국제 개인정보보호 심포지엄(Privacy Global Edge 2012)’에서 ‘개인정보보호 애정남 - 애매한 것을 정해드립니다’라는 새로운 형식의 패널토의를 마련, 이같은 개인정보보호 관련법 대응 과정에서 어려움으로 작용하는 애매한 이슈를 뽑아 한꺼번에 해소하는 자리를 마련했다.

이경호 고려대 정보보호대학원 교수의 사회로 진행된 이 패널토의에서는 한순기 행정안전부 개인정보보호과장, 김광수 방송통신위원회 개인정보윤리과장, 전응준 유미 법률사무소 변호사, 박진식 법무법인 넥스트로 변호사, 유창하 다음커뮤니케이션 법무센터 본부장이 ‘애정남’으로 참여해, 애매한 이슈에 대한 해석을 내렸다.

이날 개인정보보호 애정남 핵심 토의 내용을 정리해본다.


1. 아이디(ID)는 개인정보에 해당되나요? - 개인정보입니다.

(박진식 변호사) 지난 2005년 리니지2 정보유출 사건 소송에서 아이디가 개인정보냐 아니냐가 쟁점이 됐었다. 2006년 4월 법원에서 리니지2 정보유출 사건 판결이 나왔을 때 아이디가 개인정보임을 법원이 처음 인정한 것으로 알았지만, 2005년에 이미 대법원 판례가 있었다. 아이디는 익명성을 갖고 있지만 행위자의 인격을 표상하므로 개인정보에 해당한다는 판례다. 이용자들은 통상 여러 사이트에서 활용해 유사한 아이디를 사용한다. 아이디는 정보통신망법상 개인정보이다.

2. 단순한 개인의 위치정보가 보호의 대상이 되나요? - 차이는 있지만 그렇습니다. 하지만 보호조치가 과하게 적용되는 측면이 있어 이를 해결하기 위한 보다 세밀한 연구와 검토가 필요합니다.

(김광수 과장) 위치정보보호법에서는 위치정보를 사람 또는 이동성이 있는 물건에 존재했거나 존재하는 위치에 관한 정보로 정의하고 있다. 위치정보에는 개인식별이 가능한 개인 위치정보와 개인과 연관 또는 식별할 수 없는 사물의 위치정보로 나뉜다. 결론은 둘 다 보호의 대상으로 보고 있다. 다만 개념이 다르고 보호해야 할 가치에 차이있어 보호의무도 달라진다.  
법에서는 개인 위치정보는 보호조치와 함께 동의절차 받도록 의무화돼 있다. 하지만 단순 위치정보는 이용자 동의만 받도록 하고 있다.  

물론 현재 단순 위치정보는 동의 등 보호절차를 없애야 한다는 문제제기가 있다. 스마트폰의 경우, 전화번호와 같은 개인 식별정보와 결합되지 않아도 누가 어디 있는지 충분히 알 수 있는 경우가 있어 보호 절차는 필요하다.  

현재 위치정보보호법 개정은 추진하고 있다. 현행법에 위치정보로 분류되는 버스운행정보처럼 이용자 프라이버시와 관련이 없는 것은 보호조치 의무를 완화하는 방향으로 법개정을 추진하고 있다.

(전응준 변호사) 위치정보는 이동성이 있는 물건, 식별되지 않는 개인 위치정보와 개인임이 식별되는 개인 위치정보가 있다. 식별되는 개인 위치정보에는 엄격한 보호조치·관리가 필요하다는 것에 이견은 없다. 하지만 다른 두가지는 동의의무와 관련해 문제가 발생할 수 있다. 사업 전개하는 기업들은 이용자 동의를 받지 않으면 처벌받을 가능성이 발생한다. 따라서 어느 정보까지 동의를 받아야 하는지 개인 위치정보의 범위가 검토돼야 한다.

정부개정안은 개인 식별이 안되는 부분은 규제를 풀어주려는 것으로 알고 있지만, 현재 위치정보법 15조에 따라 개인 식별이 안되는 위치정보여도 동의를 얻지 않고 서비스할 수 있는 방법이 없다. 그에 따라 기술 관리적 보호조치를 적용해야 하기 때문에 (비용이나 시간, 인력, 기술) 낭비가 생길 수 있다. 또 정보통신망법에서는 보호조치 의무 위반해 개인정보가 유출되면 형사처벌 대상이 되지만, 위치정보는 기술관리적 조치를 안하면 형사처벌 대상이 돼 있어 법적 형평성 문제도 있다.

(유창하 본부장) 개인 식별이 되지 않는 개인 위치정보는 완화할 필요 있다는 의견이다. 스마트폰을 사용하는 시대에 개인위치를 파악해 그에 맞는 서비스를 제공하는 서비스는 가장 핵심이 된다. 현재 규정을 적용하면 많은 앱 사업자, 포털 등은 감옥에 가야하는 상황이 벌어지고 있다.

작년에 이와 관련해 수사를 받은 적이 있다. 모바일 광고 플랫폼 아남 서버에서 IP와 GPS 정보 수집했다. 로그인 안한 상태에서 스마트폰으로 다음에 접속해 모바일 광고 봤을 때 수집하는 것으로, 개인을 특정할 수 없는 상태였다. 동의 받을 시에 개인정보 프라이버시 주체가 있어야 보호해야 한다고 생각했는데. 특정되지 않은 상태에서도 보호해야 하는 것인지 처음 알았다.

경찰은 IP와 GPS를 수집한 서버가 다르지만 다음의 별도 서버에 IP와 개인정보를 모두 갖고 있어 매칭이 가능하다는 점에서 동의없는 개인정보 수집으로 봤다. 현실적으로 개인이 특정되지 않아도 GPS 동의없이 수집하면 5년 이하의 징역. 3000만원, 5000만원의 벌금 가해지는 중형을 받을 수 있으므로 법이 개선돼야 한다.

(김광수 과장) 물론 앱을 통해 위치정보 GPS 수집하는 것 자체가 개인 위치정보가 아닐 경우가 많다. 개인을 특정할 수 없는 경우도 대부분이다. 그럼에도 불구하고 이용자 입장에서 살펴볼 필요가 있다. 가장 사유화돼 있는 스마트폰에서 수집하는 GPS 값이지만 정보가 수집되는 것 자체를 이용자가 인식해야 한다.
사업자가 내 스마트폰으로 위치 값을 가져가는 것을 이용자가 모르는 상태에서 수행된다면 이용자 입장에서는 기분 좋지 않을 것이다. 동의 절차는 이용자에게 알리는 행위다. 위치정보법이 개정되더라도 이용자에게 알리는 행위는 필요하다. 휴대폰의 위치 값이 누구의 위치인지 알 수 없어도 모르게 가져갈 수 있어 인식을 위한 동의절차는 이행해야 한다.

3. 법에서 나오는 ‘선량한 관리자의 주의’ 의무는 무엇인가요? 기술·관리적 보호조치 기준 고시 등에서 명시한 의무를 이행하면 되나요? - 보호조치는 최소한의 규정. 최소한의 의무만 지키면 ‘불량해진다’는 점을 인지하고, 개인정보보호를 위해 최대한 노력해야 해요.  

(한순기 과장) ‘선량한 관리자의 주의 의무’는 조건부 과실 책임이라고 이해해야 한다. 일반적으로 불법행위에는 과실 책임 여부와 연관돼 있다. 개인정보보호법은 개인정보처리자가 개인정보를 유출·분실·도난 되지 않도록 규정했다. 일단 안전성 확보조치기준에서 규정한 기술·관리·물리적 보호 관련 8가지 항목 지키는 것이 조건부 과실 책임을 충족한 것으로 해석할 수 있다.

(박진식 변호사) 법적 소송이 진행되면 선량한 관리자의 주의 의무 보다는 사업자 과실 여부로 다투게 된다. 고시에서 보호조치 의무를 다했지만 ‘불가항력’적인 해킹에 의한 것으로 사업자가 주장하면 과실을 인정되지 않은 판례가 있었다. 하지만 만일 웹서버나 DB서버, 애플리케이션의 ID나 비밀번호가 출하 상태 그대로 운영하고 있는 등 제대로 관리되지 않았거나, 위험성을 인지했음에도 조치하지 않았다면 과실로 볼 수 있지 않겠나.

(전응준 변호사) 법원은 선량한 관리자 주의 의무 이행여부를 판단할 때 고시를 참작할 수밖에 없다. 고시는 최소한의 주의 의무를 규정하는데, 수많은 사업자들이 일률적으로 준수할 수 있을지 의문이다.

(김광수 과장) 기술적 보호조치 기준 고시는 정보통신서비스제공자들의 최소한의 기준이다. 현재 온라인 사업자는 40만개가 넘는데, 이 중 50~60%는 이 기준을 전혀 지키지 않고 있다. 수천만이 넘는 개인정보 가진 기업들이 고시만 지키면 의무 다했다고 볼 수 있는가? 아니다. 만일 대규모 개인정보를 보유한 대기업에게 기준을 맞추면 95% 이상의 기업들이 적용하기 어려울 것이다. 따라서 고시는 가장 낮은 수준, 필수적인 부분에 맞춰있다.
최근 법원도 기술적 보호조치를 이행했다는 것만으로 선량한 관리자 의무 다했다고 보지 않는 것 같다. 조치기준을 형식적으로 다 지켰다고 해서 유출사고 났을 때 법원이 100% 의무 이행을 다했다고 판단하지 않을 것이라는 점을 인지하고 노력을 기울여 달라.

(이경호 교수) 선량한 사람이 되려고 최소한의 의무만 지키면 불량해지는군요.  

4. 개인정보 유출 시 이용자 통지가 의무화 돼 있다. 이와 관련한 기준과 유출시 통지시점은 언제인가. - 개인정보보호법에서는 5일. 하위법령에 규정돼 있습니다.  

(한순기 과장) 유출사실 통지는 2차 피해 막기 위한 긴급조치이다. 개인정보보호법에는 ‘지체없이’ 5일 이내에 유출사실을 통지토록 돼 있다.

(김광수과장) 개인정보보호법에서는 1만건 이상 유출사고 발생시 통지 의무를 뒀다. 정보통신망법에서는 최근까지 유출통지 의무조항이 없었으나, 작년 말 개정되면서 유출 통지제도가 새롭게 도입됐다. 시행은 8월 18일부터이다. 앞으로 시행령 통해 유출사실이 발생했을 때 신고 절차와 방법을 안내할 예정이다.

현재 시행령 초안은 최소 유출 건수 제한은 없앴다. 단 한건의 유출사고가 발생해도 당사자에게 통지하도록 돼 있다. 이미 유출 사실이 발생한다면 건수가 중요한 문제는 아니다. 특히 최근 온라인상에서의 개인정보가 유출되면 이후 금전적 피해까지 발생하게 된다. 많은 어르신들이 보이스피싱 피해를 입고 있다. 유출된 개인정보가 지능적인 보이스피싱의 원인이다. 이미 유출이 발생 인지하면 피해자가 단 한명이더라도 유출 사실 알려줘야 할 의무가 있다. 한건의 개인정보 유출이라도 당사자에게는 그 피해가 심각할 수 있다는 점을 염두해야 한다.

5. 개인정보보호법 ‘즉시’ 폐기 의무에서 ‘즉시’는 어느 정도의 시간인가요？- 하이법령에 명시돼 있습니다. 개인정보호보법에서는 3일로 돼 있지요.

(한순기 과장) ‘즉시’는 사전적 의미로 일어나는 그 때, 그 순간을 이야기한다. 하지만 개인정보보호법에서 표현된 즉시는 개인정보보호책임자가 해당 사실을 알게 된 ‘즉시’로 볼 수 있다. 합리적인 기일 내에 조치를 취하라는 뜻으로 보면 된다. 예를 들어 ‘즉시’를 명기한 출처고지 의무는 3일이다. 즉시 외에도 ‘지체없이’라는 표현이 있는데, 각각 하위법령에 7일, 5일, 3일 등으로 규정돼 있다.

6. 탈퇴자 개인정보의 즉시 파기의 범위는 무엇입니까. 회원 탈퇴시 특정 DB뿐만 아니라 백업 테이프, PC 등 여러 군데에 저장돼 있을 수 있고, 30년 전 데이터가 있을 수도 있는데, 이를 모두 다 지워야 하는지요? - 그렇습니다. 최대한 노력하십시오.

(김광수 과장) 원칙적으로 흩어져 있는 개인정보를 다 찾아서 파기해야 한다. 만일 이와 관련해 세부사항을 정하면 더욱 혼란이 발생할 수 있을 것이다. 이를 지키기는 어렵지만 어디까지 삭제해야 할 지는 사업자들이 더 잘 알 것이라고 본다. 탈퇴자 개인정보 파기는 해당 개인정보를 서비스, 기업의 비즈니스 목적상 사용하지 말라는 의미다. 삭제해야만 실수로든 고의로든 서비스에 활용되지 않을 것이기 때문이다. 충분한 노력 기울여야 한다. 예를 들어 만일 탈퇴자는 아니지만 누구라도 내 이동통신사 가입신청서가 어딘가에 굴러다니는 것을 원치 않을 것이다. 만일의 경우 생각지 못한 부분에서 노출되거나 악용될 소지 충분히 있기에 시간 들여서라도 지우려는 노력을 해야 한다.

(유창하 본부장) 개인정보보호를 위해 이용자가 탈퇴하면 삭제에 최선 다해야 한다는데 100% 동의한다. 하지만 최근 들어 이를 더욱 어렵게 하는 환경이 되고 있다. 스마트폰 등 여러 기기를 사용하면서 개인의 기기도 사무실에서 이용할 수 있으며, 회사의 업무와 접목되고 있다. 클라우드 서비스의 등장으로 특정 물리적 공간이 아니라 다양하게 분산 저장되는 환경이 됐다. 때문에 기업은 개인들이 가진 스마트한 기기를 적극 활용토록 하면서도 개인정보에 접근할 인원 수나 접근권한을 최소화시키고, 업무 제대로 하는지 모니터링 해야 한다. 또 이용자가 탈퇴한 후 개인정보 파기 등 사후조치에 대한 감사도 중요하다.

7. 출력물 사전 승인제도를 사후에 승인할 필요성이 있다고 봅니다. - 사전 승인제도는 이미 없어졌어요.  

(김광수 과장) 작년까지만 해도 정보통신망법에 의한 기술적 보호조치 고시에 출력물에 대해 사전 승인제도 의무를 부여했다. 업무 프로세스상 인쇄할 때마다 사전 승인 절차가 적절치 않다는 지적이 많아, 이번 고시 개정에서 관련 내용이 삭제됐다. 따라서 보호 의무만 부여돼 있다.  

8. 개인정보 유출로 물리적 손실이 없었음에도 정신적 손실에 대한 배상이 반드시 필요한가? - 법에서는 정신적 손해배상이 인정됩니다.

(박진식 변호사) 정보유출로 인한 재산적 손해가 발생됐다는 인과관계 입증은 거의 불가능하다. 때문에 정보통신망법상 개인정보가 누출되면 바로 정신적 고통 있는 것으로 해석해 손해배상이 인정되고 있다. 개인정보가 유출 되면 경험치상 정신적 고통 있다고 본다는 판례가 있다. 그 이유는 재산적 손해 인과관계 인정되지 않기 때문.  

9. 네이트·싸이월드 유출사고 관련해 최근 100만원의 손해배상 판결이 났다. 이 금액이 타당한가? - 개인 입장에서는 과하지 않다고 생각할 수는 있습니다. 하지만 대규모 유출 사고라는 점에서 어마어마한 금액은 사실입니다. 아직 우리는 개인정보의 가치를 잘 모르고 있는 것 같아요.   

(박진식 변호사) 정보유출로 인한 집단소송이 활성화되기 전에는 한 사람에게 개인정보 유출로 인한 100만원 배상책임을 인정한 사례가 있다. 자기 개인정보가 유출된 입장이라면 그 금액이 그리 과하지도, 부족하지도 않다고 생각한다. 사람이 많아지는 경우엔 달라진다. 국민은행 개인정보 유출 사고 관련 소송에서 1500명에게 3만원의 배상금을 지급하라는 판결이 있었다. 대개 집단소송에 참여하는 인원은 전체 유출규모의 1% 내외이다. 개인정보가 유출되면 기업이 망할 수도 있다는 각성 효과를 주는 차원에서라도 100만원의 배상책임을 인정해야 하지 않을까 하는 생각도 해본다.

(이경호 교수) 100만원씩 3500만명이면 35조이다. 소송 참여인원을 1%만 봐도 3500억원으로, 각성효과가 상당할 것으로 보인다. 지난해 SK커뮤니케이션즈의 수익 24억원을 기준으로 35조를 배상하려면 8000년이 걸린다는 계산이 나온다.
 
(전응준 변호사) 사실 100만원은 엄청난 금액으로, 2심이 진행되면 그 금액이 유지되긴 어려울 것으로 본다.
우리나라에서 개인정보의 가치를 근본적으로 어떻게 평가하고 있는지 볼 필요가 있다. 우리리나라에서는 배상액 10만원, 미국은 100달러 안팎이 적당한가? 현실적인 고민이 필요하다. 10명이면 별 문제가 없지만 1000명만 돼도 엄청나다. 사업자에게 엄청난 위협 될 수 있다. 입장을 바꿔보면 우리도 개인정보처리자가 될 수 있다. 막대한 금액의 손해배상이  맞는 것인지 근본적 질문을 던질 때가 왔다.

10. 개인정보보호법, 정보통신망법, 신용정보보호법 등 다양한 법률 적용 순서는 어떻게 되나요? - 개별법이 일반법인 개인정보보호법에 우선 적용됩니다. 단 개별법에 적용돼 있지 않아도 개인정보보호법에 규정돼 있으면 지켜야 합니다.  

(김광수 과장) 개인정보보호법은 일반법이다. 정보통신망법과 같은 특별법이 있으면 일반법인 개인정보보호법에 우선 적용된다. 예를 들어 개인정보보호법에는 주민번호 수집 금지 규정이 없다. 명시적 동의만 받으면 개인정보를 활용할 수 있다. 하지만 조만간 시행될 정보통신망법 개정으로 온라인에서 개인정보 수집을 금지했다. 온라인 사업자는 특별법 규정에 따라 이를 준수해야 한다.  

또한 특별법에 규정이 없고 일반법에만 있다면 이 역시도 준수해야 한다. 예를 들어 개인정보보호법에서는 유출사고 발생시 신고와 유출 통지가 의무화돼 있다. 정보통신망법도 최근 개정으로 이같은 의무가 적용됐지만 아직 시행되진 않고 있다. 이 경우 지금 유출사고가 발생하게 된다면 온라인 기업도 개인정보보호법에 따라 신고와 유출통지 의무를 이행해야 한다.
위치정보보호법은 정보통신망법에 우선 적용된다. 망법에 비해선 특별법 지위를 갖고 있다.

(전응준 변호사) 각 법에서 동일한 상황을 다르게 규율하거나 표현이 약간 다른 경우가 있어 혼란이 발생할 수도 있다. 한국인터넷진흥원에서 발간한 개인정보보호법 해설집에 잘 정리돼 있어 참고하면 된다. 하지만 우리나라는 개인정보보호 관련해 일반법이 존재하면서 개별법이 있고, 또 우리나라에만 있는 위치정보보호법처럼 많은 개별법이 존재하고 있어 문제가 발생한다.  

<이유지 기자> yjlee@ddaily.co.kr