[디지털데일리 이민형기자] 오는 11월 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행을 앞두고 사업자들의 혼란이 가중되고 있다.

주관부처인 방통통신위원회에서 손해배상, 과징금 등 개정 정보통신망법 신규 조항에 대한 해석을 제대로 내리지 못하고 있기 때문이다. 방통위는 개정법 시행 전 시행령을 개정해 문제를 해결할 계획이다.

16일 방통위는 양재동 엘타워에서 ‘2014 온라인 개인정보보호 컨퍼런스’를 열고 개정 정보통신망법과 주민번호 파기 정책 등을 발표했다.

개정 정보통신망법는 ▲개인정보 개념 명확화(제23조) ▲개인정보 이전시 통지의무 강화(제26조) ▲개인정보 유출시 24시간 내에 신고(제27조의3) ▲개인정보 유출 시 처벌 강화(제29조) ▲법정손해배상제(제32조의2) ▲과징금 부과 상한액 상향(제64조의3) 등을 골자로 하고 있다.

이중 해석이 모호한 조항은 제27조의3, 제32조의2, 제64조의3 등으로 꼽을 수 있다.

먼저 제27조의3항을 살펴보면 인터넷서비스 사업자는 개인정보 유출시 24시간 내에 방통위와 한국인터넷진흥원(KISA)에 신고해야 하며, 24시간 넘어가면 이에 대한 소명을 해야한다고 명시돼 있다.

업계에서는 개인정보 유출의 시점이 모호하며, 소명기간이 명시돼 있지 않다고 지적했다. 이날 컨퍼런스에 참석한 게임업계 관계자는 “‘개인정보 유출 사고 발생’의 시점이 사업자가 인지한 시점이란 점은 명시돼 있으나 ‘소명’과 관련된 내용은 명시돼 있지 않다. 어떤 내용을 담아 언제까지 소명해야 하는지 알 수 없다”고 말했다.

이와 관련 정복덕 방통위 사무관은 “소명에 대한 내용은 시행령에 구체적으로 담을 계획이며, 시행령 개정은 11월 개정법 시행 전 완료하겠다”고 설명했다.

사업자들은 이번 개정법에 핵심 중 하나인 ‘법정손해배상제’에 대해 많은 관심을 보였다. 여기에는 개인정보가 유출됐을 경우 사용자가 300만원 이하의 범위에서 손해배상을 청구할 수 있다는 내용이 담겨있다.

개인정보 유출에 대한 과실 입증이 사업자에게만 있기 때문이다. 게임업계 관계자는 “타사에서 유출된 개인정보를 통해 2차, 3차 피해가 발생했을 경우 이에 대한 배상책임을 특정 사업자가 무조건 지게될 수 있을 것 같다. 보다 명확한 법 해석이 필요하다”고 말했다.

정 사무관은 “손해배상에 대한 조항은 처음 도입되는 것이기 때문에 아직까지 명확하게 설명하기가 힘들다”며 “앞으로 사례가 생겨나고 사법부의 판결이 나오면 보다 구체화될 것으로 예상된다”고 설명했다.

개인정보 유출 사고 발생 시 위반행위에 대한 매출액 3%를 과징금으로 징수한다는 조항도 명확한 해석을 내리지 못했다.

동법 제64조에 따르면 개인정보보호 규정을 위반한 사업자, 개인정보위탁자 등은 위반행위와 관련한 매출액의 3%이하에 해당하는 금액을 과징금으로 부과할 수 있다. 하지만 ‘위반행위와 관련한 매출액’에 대한 해석이 모호하다는 평가다.

가령 KT 개인정보유출 사고의 경우 모바일 사업에 대한 매출액이 기준이 되는지, 통신사업 전체에 대한 매출액이 기준이 되는지가 명확히 가려지지 않고 있다.

이와 관련 정 사무관은 “위반행위와 관련한 매출액에 대한 기준은 시행령에서 구체적으로 담을 계획이고, 과징금 부과에 대한 고시 개정을 통해 구체적인 기준을 논의할 예정”이라며 “과징금의 성격이 부당이익의 환수이기 때문에 실무적으로 봤을 때 해석에 어려움이 있다”고 전했다.

한편 개정 정보통신망법은 지난 5월 본회의를 통과하며 같은달 28일 공포됐다. 시행은 오는 11월 29일부터다.

<이민형 기자>kiku@ddaily.co.kr