앞으로 기업이 주소, 전화번호 등 개인정보를 제 3자에게 팔려면 당사자에게 이 사실을 알려야 한다. 예전에는 `제3자 제공 동의`만 받으면 판매 여부를 밝히지 않아도 됐다.
1000만명 이상 고객정보를 유출한 인터파크에는 역대 최고인 45억여원의 과징금이 부과됐다.
방송통신위원회는 6일 전체회의를 열고 이같은 내용의 정보통신망법 개정안을 의결하고, 개인정보 유출사고 시정조치를 의결했다.
개정 법에서는 인터넷 쇼핑몰 등 사업자가 가입자 개인정보 제3자 제공 동의를 받을 때, 이 정보를 단순 제공하는 지 아니면 판매하는 지를 당사자에게 명확히 고지하도록 규정했다.
현행법에서는 단순히 제3자 제공 동의만 받으면 개인정보를 사용자 의사와 무관하게 팔아도 막을 방법이 없다.
지난 8월 롯데홈쇼핑은 고객 개인정보를 보험회사에 무단으로 팔아 수십억 원을 챙긴 사실이 방통위에 적발됐지만 일부 사용자에게서 `제3자 제공 동의`를 받지 않은 사실만 제재를 받았다. 개인정보 무단 판매에 대해서는 규정이 없어 처벌을 면했다.
개정안은 제3자 동의를 한 후에도 당사자가 원하면 개인정보 처리를 중단하도록 요구할 수 있는 `처리정지 요구권`도 신설했다.
개정안은 또 외국으로 옮겨진 개인정보가 다른 국가로 재이전될 때 종전과 같은 개인정보 보호 조처를 해야 한다는 원칙을 명시했다. 방통위가 개인정보 국외 이전을 중단하라고 요구할 수 있는 `명령권`을 신설하고 관련 벌칙 규정도 마련했다.
방통위는 이날 올 봄 해킹 사건으로 1000만명 이상의 고객 정보를 유출한 인터파크에는 과징금 44억8000만원, 과태료 2500만원 등 총 45억500만원을 부과했다. 고객 정보 유출 관련 역대 최고 액수다. 2014년 정보통신망법 개정으로 제재가 훨씬 강해졌다.
지난 5월 해커가 가족을 사칭한 이메일로 한 인터파크 직원 사내 PC를 악성 코드에 감염시키고 전산망에 침입, 아이디와 비밀번호·휴대폰 번호·주소 등 1030만여명의 고객 정보를 유출했다.
인터파크는 방통위 의결에 대해 `관련법이 개정됐다고 예전 개인정보 유출 사례와 비교해 최대 60배에 달하는 과징금을 산정하는 것은 부당하다`고 반발했다.
인터파크 관계자는 “주민번호 등 민감한 개인정보가 유출되지 않았고 북한 소행이라는 점 외에는 개인정보 보호조치 의무를 위반했다고 보기 어렵다”면서 “적법한 절차를 통해 정확한 과실 여부를 밝히겠다”고 말했다.
김용주 통신방송 전문기자 kyj@etnews.com
