지난 1월 카드 3사에서 대규모 개인정보 유출사고가 발생했고, 그 여파가 채 가라앉기도 전에 또다시 통신사, 소셜커머스 업체 등에서도 유출사고가 난 것으로 밝혀지면서 국민 사이에 불안감이 확산되고 있다. 이런 분위기 속에서 관련 기업의 책임성을 대폭 강화해야 한다는 사회 전반의 목소리가 높아져 있다.

또한 이러한 일련의 개인정보 유출사건은 국민 스스로 자신의 개인정보에 대한 권리의식을 가지고 개인정보 자기결정권을 제대로 행사하도록 유도하는 계기가 되었다. 과거에는 관행적으로 자신의 개인정보를 함부로 제공했다면 이제는 왜, 어떤 목적으로 개인정보를 요구하는지 다시 생각해보는 사회적 분위기가 형성된 것이다. 실제로 카드 3사 개인정보 유출사고 이후 국민신문고 등을 통해 사업자가 개인정보를 수집하는 것이 정당한 것인지 또는 안전하게 관리되도록 조치하고 있는지 묻는 질문이 쏟아지고 있다.

2013년 개인정보 보호 실태조사에 따르면 개인정보보호법 시행 이후 개인정보 보호 중요성에 대한 인식이 확산되는 등 기본적인 기반은 마련된 것으로 보인다. 민간 사업자의 법 인지도는 법 시행 초기인 2012년 3월 33.4%에서 2013년 7월 91.2%로 상승했고 또한 개인정보 침해 상담 및 신고 건수도 지속적으로 증가하는 추세이다.

그러나 개인정보를 보유하고 있는 각 사업장 또는 기관에서는 아직도 기본적인 조치사항을 다하지 못하는 등 개인정보 침해·유출사고의 가능성이 상존하고 있는 것이 사실이다. 안전행정부는 2011년 9월 개인정보보호법 시행 이후 2014년 4월까지 총 1024개소를 점검했고 905개소(위반율 88.4%)에 대해 과태료 174건, 시정조치 520건 등 총 1483건의 행정처분을 실시했다. 실태점검을 통해 나타난 주요 위반사항으로 첫째, 안전성 확보 조치와 관련하여 내부관리계획 미수립, 접근 권한 및 접속 기록 미관리 등 대부분의 기술적 보호조치가 여전히 미흡했다. 둘째, 위탁 후 수탁자에 대한 관리·감독 미실시, 수탁자 명단 공개 미이행 등 위탁관리 분야에서 다수 위반사례가 발생했다. 셋째, 개인정보 수집·이용 동의시 필수 고지항목을 누락하거나 과도한 개인정보 수집 등도 빈번하게 나타났다.

주요 위반사항들은 많은 인력과 예산이 수반돼야 하는 부분도 있지만 내부관리계획 수립이나 수탁업체 관리·감독 실시 등 조금만 관심을 가졌다면 지킬 수 있었던 부분도 상당히 존재한다. 실제 카드사 개인정보 유출 사고 원인은 해당 카드사들이 외부 파견직원에 대한 관리·감독을 소홀히 해 고객정보가 유출된 인재였다. 그동안 높아진 국민들의 인식과 달리 기업이나 기관들은 아직까지도 개인정보 보호를 일부 전산부서나 담당 직원의 일인 양 소홀히 다루고, 안정성 확보를 위한 필수 조치사항을 불필요한 비용으로 인식하고 있다는 것이다.

개인정보보호에 대한 높은 인식과 낮은 이행이라는 괴리는 그간 개인정보보호의 중요성은 알고 있지만 실제로 유출된 경우 그에 상응하는 제재 수준이 미비했다는 점이 가장 큰 원인이다. 미국에서는 모 카드회사가 4000만건의 개인정보 유출 사고 이후 주요 고객을 잃고 매각되었다가 2008년 최종적으로 퇴출된 바 있다. 그러나 우리나라 카드 3사의 경우 3개월 일부 영업정지와 과태료 600만원이 부과되었을 뿐이다. 또한 해당 카드사는 개인정보 유출로 인해 2차 피해가 발생한 경우에만 전액 보상하겠다고 약속했을 뿐 실제로 금전적 피해가 발생하지 않는다면 보상받기 어려운 것이 현실이다.

또 다른 중요한 원인 중 하나는 개인정보보호 관련 법 적용상 혼란이 있다는 점이다. 현재 개인정보보호 관련 법 체계는 일반법인 개인정보보호법과 정보통신망법, 신용정보법 등 각 개별법이 병립하는 구조로 되어 있다. 즉 각 개별법에서 개인정보보호법의 기본 원칙과 달리 규정하고 있는 경우 해당 개별법이 우선 적용되는 구조로 되어 있어 다양한 법률이 업종별로 달리 적용되고 있는 것이다. 그로 인해 실제 일선 현장에서는 개인정보 보호와 관련하여 어느 법률을 어떻게 지켜야 할지 혼란스럽다는 불만과 중복 규제 문제 등이 제기되곤 하였다. 예를 들어 개인정보가 유출된 경우 정보통신사업자는 정보통신망법에 따라 과징금이 부과될 수 있지만, 금융회사는 과징금이 부과되지 않으며, 온·오프라인을 병행하여 사업을 하는 대형마트의 경우 오프라인 매장에서의 회원관리는 개인정보보호법, 홈페이지를 통한 회원관리는 정보통신망법을 적용받는다.

이제 개선해야 할 과제는 명확하다. 기업은 개인정보보호가 기업의 생존과 관련된 중요한 투자임을 인식하도록 하여 최고경영자를 비롯한 전 직원이 노력하도록 유도할 필요가 있다. 그리고 정부는 수범자들이 준수해야 할 사항들을 명확하게 알 수 있도록 개인정보보호와 관련한 다양한 법·제도 역시 개선해야 할 것이다. 이를 위해 지난 2월부터 총리실에 `개인정보보호 범정부 TF`를 중심으로 정보통신망법, 신용정보법 등 관련 법률간 정합성을 높이는 작업과 함께 새로운 피해구제제도 도입 등을 검토하고 있어 조만간 가시적인 성과가 나올 것으로 기대하고 있다.

 

저작권자 © 법조신문 무단전재 및 재배포 금지