지난회에 이어 개정 정보통신망법의 내용을 이어서 알아본다.
◆ 개인정보 누출 신고·통지 제도 강화
개인정보 누출시 기업은 그 사실을 방송통신위원회에 신고해야 하고, 정보주체에게 이를 통지해야 하는데, 구법은 정확한 기한 설정을 하지 않았기에 이에 대해 정확한 법집행에 문제가 있었다.
개정법은 신고·통지 기한을 24시간으로 규정했고, 신고기관도 방송통신위원회뿐만 아니라 한국인터넷진흥원도 추가했다. 다만 정당한 이유가 있는 경우에는 24시간이 지난 이후에 신고·통지를 할 수 있지만, 이럴 경우에 방송통신위원회에 지연사유를 소명해야 한다.
개인정보 누출시 신고나 통지 기한을 설정한 것은 매우 바람직해 보인다. 다만 신고는 그렇다 치지만, 현실적으로 통지를 24시간 안에 하기에는 조금 무리가 생기지 않을까 하는 점이 염려된다. 신고는 24시간, 통지는 48시간 정도로 하는 것이 좀 더 현실적이라 할 수 있을 것이다.
◆ 개인정보 파기방법의 구체화
개인정보보호법과 달리 정보통신망법은 파기의무만을 부과하고 있지, 파기방법에 대해는 침묵하고 있었다. 개정법은 이 점을 감안해 ‘복구·재생할 수 없도록 파기’하라는 파기 방법을 구체적으로 규정하고 있다.
복구·재생할 수 없도록 파기하라는 것은, 단순한 삭제로는 되지 않고 로우레벨 포맷이나 디가우징 정도를 요구하는 것이다. 파기 방법을 명확하게 규정함으로써, 탈법적 파기를 막을 수 있을 것이다.
◆ 법정손해배상제도의 인정
개인정보 유출 등으로 피해를 본 피해자는 기업에 대해 손해배상을 청구할 수 있는데, 이 경우 자신이 손해를 입었다는 사실과 그 손해액을 입증해야 한다. 하지만 현실적으로 구체적인 손해액을 입증하기가 쉽지 않았다. 이런 점을 감안해 또 하나의 옵션을 제공하고 있는데 이게 바로 신설된 법정손해배상 조문이다.
법정손해배상제도는 일부 지적재산권 법률에 도입된 제도인데, 피해자의 손해 입증이 없더라도 법률에 규정된 손해액을 기준으로 배상액을 산정해 주는 제도이다. 한편 법정손해배상제도를 도입한 개정법은 두 가지 제한을 하고 있는데, 첫째, 배상액을 300만원 이하의 범위에서 상당한 금액으로 정해 상한 제한을 하고 있고, 둘째, 적용되는 사유를 모든 법위반 사유가 아니라 개인정보가 분실·도난·누출된 경우로 제한하고 있다.
이 제도의 도입으로 일단 피해자의 권리구제에 새로운 길이 열린 것은 장점으로 볼 수 있다. 다만 현실적으로 지금까지 존재했던 모든 개인정보 유출 소송이 정신적 피해를 원인으로 한 위자료를 청구했는데, 정신적 피해라는 것은 재판에서 손해 사실이나 손해액을 입증할 필요가 없는 영역이라는 점에서, 피해자의 권리구제에 이 제도가 실질적인 기여를 했다고 보기는 어려울 듯하다. 즉 위자료 청구에서는 법정손해배상제도는 무용한데, 기존의 모든 개인정보 유출 소송이 위자료 청구 소송이었다는 것이다.
현실적인 피해자의 권리구제에 도움을 주는 길을 열어주려면, 현재 소송에 임한 피해자들이 가장 어려워하는 부분을 긁어주었어야 하지 않을까. 예컨대 인과관계 입증 전환이라든지, 법위반사실 입증 정도의 약화라든지, 사업자의 입증방해에 대한 강력한 제재 등의 이러한 부분들에 대해 피해자들의 입증상의 이익을 고려하는 것이 절실하다 할 것이다.
◆ 과징금 액수의 상향 조정
개정법은 개인정보보호 규정 위반시에 부과되는 과징금 액수를 상향 조정했다. 구법에서는 관련매출액의 1% 이하이던 것이 관련매출액의 3% 이하로 상향조정됐고, 종래 개인정보 유출시 부과되던 1억원 이하의 정액과징금 제도는 폐지되고, 관련매출액의 3% 이하의 정률과징금 제도로 통일됐다.
과징금의 상향 조정으로 인해 기업의 부담은 커지게 됐고, 특히 개인정보 유출시 정률과징금 부과는 기업의 안일한 대처를 뿌리뽑는데 기여할 것으로 보인다.
◆ 과징금 부과시 인과관계의 불입증
개인정보 유출시 종래 1억원 이하의 과징금이 부과될 수 있는데, 이 때에는 행정청이 기술적 보호조치 위반과 개인정보 유출 사이의 인과관계를 입증해야 했었다. 이러한 규정이 얼핏 보면 법리적으로 부합하게 보이지만, 현실적으로 해킹사고 등에서 인과관계를 입증하기가 쉽지 않아, 많은 대규모 개인정보 유출 사고에서 기업들은 과징금에서 피해갈 수 있었다.
그리고 또 한가지 이렇게 인과관계를 입증하기기 쉽지 않은 이유는, 전통적으로 사용되던 조건설에 기반한 인과관계 존부 판단 방법 때문인데, A를 하지 않으면 B가 발생하지 않아야 한다는 판단방법이 해킹사고에서는 기업에게 매우 유리하게 작용했던 것이다.
위와 같은 현실적 이유·법리적 이유 때문에 발생하는 불합리한 점을 극복하고자 개정법은 종래의 ‘제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니해 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우’의 조문을 ‘이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우’로 규정을 변형했고, 이 조문에 따르면 기술적 보호조치 위반 사실과 개인정보 유출 사실만 있으면, 따로 두 사실 사이의 인과관계를 입증하지 않더라도 과징금을 부과할 수 있게 됐다.
개인정보 유출에 대한 과징금 부과시 인과관계를 필요로 하지 않도록 한 것은 법리적인 입장에서만 보면 일부 전문가들로부터 비판받을 수 있지만, 실무적으로 보면 매우 적절하고 타당한 결단으로 볼 수 있을 것이다.
◆ 위탁자에 대한 과징금 규정 신설
개정법은 ‘제25조제4항에 따른 관리·감독을 소홀히 해 수탁자가 제4장의 규정을 위반한 경우’라는 과징금 규정을 신설했다. 구법에서는 관리·감독을 제대로 하지 못한 위탁자를 처벌할 수 있는 규정이 없어서, 많은 기업들이 이러한 맹점을 이용해 개인정보 위탁을 광범위하게 행하고 있었다. 한 마디로 개인정보 위탁으로 많은 책임을 덜 수 있었다.
이러한 불합리한 점을 개선하고 위탁 방편에 의한 책임회피의 탈법적 행위를 방지하고자 개정법은 과감하게 과징금 규정을 도입한 것이다. 다만 위탁에 관해 필요한 여러 조문이 더 도입됐으면 하는 아쉬움이 있다. 예컨대 재위탁 근거 조문, 위탁자의 수탁자·재수탁자 등에 대한 구체적인 관리·감독 방안, 재위탁·재재위탁시 위탁자로부터 동의를 받게 하는 규정 등이 병행됐으면 더 바람직했을 것으로 판단된다.
* 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2014. 5. 23.) 기고.