주민등록번호 처리를 원칙적으로 금지시키는 내용의, 황영철 의원 등이 제안한 개인정보보호법 개정안이 2013년 6월 26일 국회 본회의를 통과하였다.
2012년 8월 18일부터 시행된 개정 정보통신망법 제23조의2는 온라인 기업에 대하여 이미 주민등록번호 처리를 원칙적으로 금지하고 있었는바, 위 개인정보보호법의 개정으로 인하여 온라인 기업이든지 오프라인 기업이든지 모두 주민등록번호를 원칙적으로 처리할 수 없게 되었다. 이하 두 법의 내용을 비교ㆍ설명하고자 한다.
주민등록번호,개인정보,개인정보보호정보통신망법 제23조의 2에 의하면, 2012년 8월 18일부터 ① 본인확인기관으로 지정받은 경우, ② 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우, ③ 기간통신사업자로부터 이동통신서비스를 도매제공 받아 재판매하는 전기통신사업자의 경우를 제외하고는 주민등록번호를 신규로 수집할 수 없고, 일단 수집된 주민등록번호가 있더라도 2014년 8월까지는 주민등록번호를 파기하여야 한다.
나아가 주민등록번호를 수집ㆍ이용할 수 있는 예외적인 경우라도 아이핀, 휴대폰 인증, 공인인증서 인증 등의 대체수단을 제공하여야 한다.
주민등록번호 수집이 허용되지 않음에도 수집ㆍ이용하거나 대체수단을 제공하지 않거나 또는 2014년 8월까지 수집한 주민등록번호를 파기하지 않는 경우에는 3,000만원 이하의 과태료가 부과된다.
한편 2013년 6월 26일 국회를 통과한 개정 개인정보보호법 제24조의2에 의하면, ① 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우, ② 정보주체 또는 제3자의 급박한 생명ㆍ신체ㆍ재산의 이익을 위하여 명백히 필요하다고 인정되는 경우, ③ 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우 외에는 주민등록번호를 처리할 수 없다. 일단 수집된 주민등록번호는 2016년 하반기까지는 파기되어야 한다.
나아가 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
개정법 제24조의2에 위반하여 개인정보를 처리하는 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 애초에 제안되었으나, 최종적으로는 3천만원 이하의 과태료 부과로 변경되었다. 개정법 제24조의2는 공포일로부터 1년 이후에 시행되므로, 2014년 하반기부터 시행될 것으로 예상된다.
두 법을 비교하면 다음과 같다. 주민번호 처리 금지 원칙에 대한 예외사유를 제외하고는 전체적으로 유사한 내용을 담고 있다.
▲ 주민번호 처리 금지 원칙에 대한 예외사유
이 밖에 2014년 하반기부터 시행될 개정 개인정보보호법은 개인정보처리자에 대한 몇 가지 엄격한 책임요소를 담고 있다.
첫째, 주민등록번호 유출시 개인정보처리자에 대한 과징금 규정이 도입되었다(개정법 제34조의2). 정보통신망법의 경우에 개인정보 유출시 정보통신서비스제공자에 대하여 1억 이하의 과징금 부과가 가능하지만, 개정 개인정보보호법은 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손된 경우에 5억원까지 과징금 부과가 가능하게 되었다. 다만 과징금 부과시 과태료를 부과하지 않으며, 개인정보처리자가 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 다한 경우에는 과징금은 면제된다.
둘째, 개인정보처리자는 정보주체에게 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 정보주체의 동의를 받은 후에 개인정보를 수집하여야 한다(개정법 제16조 제2항). 필수정보 외에 선택정보에 대한 제공의무가 없다는 점을 정보주체가 알지 못한 채 선택정보를 제공하는 관행을 깨고자 도입된 개인정보 수집 요건의 강화 조문이다.
셋째, 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에 안전행정부장관이 징계 권고를 할 수 있는바, 그 대상에 대표자 및 책임 있는 임원이 포함된다는 것을 명확히 규정하고 있다(개정법 제65조 제2항).
황영철 의원 등이 제안한 개인정보보호법 개정안의 국회 통과로 인하여 앞으로 온라인 뿐만 아니라 오프라인 사기업의 주민등록번호의 수집 및 처리가 금지되게 되었다. 기업은 앞으로 주민등록번호 수집 및 처리를 금지하는 조치를 취하여야 할 것이며, 만일 주민등록번호의 처리가 불가피하다고 생각하는 경우에는 법령상의 허용 근거를 잘 찾아 대비하여야 할 것이다.
안전행정부 자료에 의하면, 전체 웹사이트 180만개 중 32만개가 주민등록번호를 수집하고 있고, 32만개의 웹사이트 중 29.6만개(92.5%)가 불필요하게 주민등록번호를 수집하고 있다고 한다. 모든 개인정보 범죄의 온상인 주민등록번호 수집 및 처리의 금지로 인하여, 장차 개인정보 유출로 인한 2차 피해가 많이 감소되었으면 하는 바람이다.
* 법무법인 민후 김경환 변호사 작성, 디지털데일리(2013. 7. 8.), 리걸인사이트(2016. 2. 17.) 기고.