지난 1월 개인정보가 유출된 신용카드 고객들이 카드 재발급을 하기 위해 영업점에서 차례를 기다리고 있다.

송창현의 글로벌 법률 가이드

올해 1월 신용카드사의 개인정보 대량유출 사태는 금융시스템 전반에 대한 신뢰의 위기를 야기했다. 고객들은 정보 유출에 따른 2차 피해를 우려해 카드를 재발급받거나 각종 사이트의 아이디와 비밀번호를 변경하느라 혼란을 겪었다. 2011년 개인정보법 시행 이후 연이어 발생한 대규모 개인정보 유출사태와 개인정보에 대한 일반인의 관심이 높아지면서 개인정보 민원도 급증하고 있다.

정부는 개인정보법·정보통신망법·신용정보법 등 개인정보 관련법제를 전반적으로 정비하고 있다. 올해 11월부터 시행되는 개정 정보통신망법에 따르면 정보통신 서비스 제공자는 개인정보 누출 사고 시 24시간 내에 이용자에게 알리고 방송통신위에 신고해야 하며, 개인정보 파기 시 복구·재생할 수 없도록 해야 한다. 또 정보통신 서비스 제공자의 법령 위반 또는 정보의 분실, 누출 시 이용자는 300만 원 한도 내에서 손해배상을 청구할 수 있도록 했다. 과거의 정보유출사건들에서도 1인당 10만~30만 원의 위자료를 배상토록한 판결이 있었지만 개인정보 침해와 피해 발생에 대한 피해자의 입증이 필요했다. 반면 정보통신서비스 제공자는 고의·과실이 없음을 입증해야만 책임을 면할 수 있다. 이외에도 법 위반에 대한 과징금 한도가 매출액의 1%에서 3%로 상향됐다.

나아가 정부는 고의 또는 중과실로 개인정보를 유출하거나 동의없이 활용해 피해가 발생한 경우 피해액의 3배까지 배상하도록 하는 징벌적 손해배상제도를 도입할 예정이다. 기업이 책임을 면하려면 사고 후 대응하기보다 개인정보 최고책임자를 지정하고 내부교육·감사 등 준법감독을 강화하며, 정보 취급과 접근을 제한하는 등 기술적·관리적 보호조치를 통해 상당한 주의와 감독을 기울였음을 입증해야 한다.

개인정보 보호의 핵심은 자신에 관한 정보가 어디까지 알려지고 이용될 수 있는지를 정보 주체가 스스로 결정할 수 있는 권리를 보장하는 것이다. 정보의 수집·이용·제3자 제공에 대한 동의권이 실효적으로 보장돼야 하는데 현실은 그렇지 않다. 약관이 복잡하고 서비스 이용을 위해 사실상 동의가 강제되기 때문이다. 이용자가 정보제공의 의미를 쉽게 이해할 수 있도록 동의서의 분량과 양식을 대폭 간소화하고, 글자·표·그래픽을 활용해 주요사항이 부각되도록 해야 한다.

한편으론 개인정보 보호를 위한 과도한 규제가 기술진보를 통한 소비자 후생증대와 상충할 수도 있다. 가령 수집·이용되는 정보를 사전에 구체적으로 특정해 이용자의 동의를 받게 하고 최소한의 정보를 수집하도록 하는 것은 빅데이터의 수집과 활용을 제한할 수도 있다. 또 사물인터넷, 스마트 그리드의 활용 시 생성된 정보가 누구에게 귀속되고 정보 보호와 보안의 책임을 누가 질 것인지도 명확히 정하기 어렵다. 클라우드 컴퓨팅 활용 시 정보의 수집·분석·관리가 여러 국가에 걸쳐 이뤄지므로, 정보의 위치를 특정하기 어렵고 정보의 국경 간 이동 등 여러 가지 법률문제를 발생시킨다. 따라서 개인정보 보호는 새로운 기술의 발전을 반영하면서 정보 주체가 자기통제권의 적정한 수준을 찾아가는 과정을 거쳐야 할 것이다.