기술·보호조치 위반시, 형사처벌·과징금
‘개인정보 유출 기업은 9월 개인정보보호법 발효 후 더 엄한 처벌을 받게 되나?’
이번 SK커뮤니케이션즈(이하 SK컴즈) 사건만 국한해 살펴보면 SK컴즈가 받게 될 처벌은 개인정보보호법이 발효되기 전이나 이후나 달라질 게 별로 없다. SK컴즈는 정보통신서비스 제공자로 정보통신망법을 우선 적용받기 때문에 개인정보보호법이 발효돼도 처벌이 무거워지는 것은 아니다.
일부에서는 SK컴즈가 법적인 책임을 가볍게 하기 위해 개인정보보호법이 발효되기 전에 개인정보 유출 사건을 자진 신고했다는 의견도 내고 있지만 이와는 큰 상관이 없다는 것이 법률 전문가들의 해석이다.
김호성 한국인터넷진흥원 수석연구원은 “SK컴즈는 정보통신서비스 제공자로 정보통신망법을 우선 적용받고, 망법에서 규정한 사항 이외의 경우에만 바뀐 개인정보보호법이 적용된다”며 “개인정보보호법은 법 적용에서 벗어난 사각지대를 메우기 위한 법인만큼 발효되면 보다 강력한 처벌을 받을 업체들은 늘어나게 된다”고 말했다.
현재 조사가 진행 중이지만 만약 SK컴즈가 기술·보호적 조치를 위반했다는 사실이 밝혀지면 최대 2년 이하 징역 및 1000만원 이하의 벌금 등의 형사처벌, 매출액의 100분의 1에 해당하는 과징금 등이 부과된다.
김광수 방송통신위원회 개인정보보호윤리과장은 “기존 52만 사업자에서 350만 사업자가 개인정보처리자로 범위가 확대돼 개인정보를 수집하는 모든 사업자들은 개인정보 보호의 의무에서 벗어나기 어렵다”며 “기존 망법 대상자들도 정부 실태점검을 통해 안정성 확보조치 여부를 수시로 확인해 개인정보보호 수준을 높이기 위해 노력할 것”이라고 말했다.
<표 > 개인정보보호법과 SK컴즈 사고 관계
△다른 법과의 관계 : SK컴즈는 정보통신서비스 사업자로 정보통신망법(방통위소관)을 우선 적용받음-망법에서 규정한 사항 이외의 경우 개인정보보호법 적용
△개인정보 수집 원칙 : 망법에는 고유식별정보처리 제한이 없으나, 개인정보보호법 시행시, 원칙적으로 처리를 금지하고 별도의 동의획득과 더불어 암호화 등의 안전성 확보조치를 해야 함
△SK컴즈는 주민번호 대체수단 의무 적용 대상이며, 현재 대체수단(I-PIN)을 제공하고 있음
△개인정보파기 : SK컴즈가 노출한 개인정보중, 보유기간이 지난 탈퇴 회원의 정보가 포함되어 있다면 3000만원 이하의 과태료(망법 제76조 1항 4호) 벌칙에 해당
△유출통지 : SK컴즈는 발생한 유출사고에 대해 망법상 유출통지 의무대상은 아님. 단, 개인정보보호법이 시행되면 행안부/전문기관에 유출신고를 해야 하고, 각 개별 이용자에게 고지해야 함
△손해배상책임 : 피해를 입은 경우, 이용자가 손해배상 청구 가능. SK컴즈가 고의/과실이 없음을 입증해야 책임을 면할 수 있음(개인정보보호법 시행 시에도 동일함)
△집단분쟁 조정 : 망법상 피해자가 집단으로 분쟁조정을 신청하는 제도는 없으나,개인정보보호법 시행시 피해자들이 집단분쟁조정을 신청할 수 있음. 망법상 피해자가 단체로소송 할 수 있는 제도는 없으나, 개인정보보호법 시행시 피해자들이 단체소송을 제기 할 수 있음
장윤정기자 linda@etnews.com