개정법이 국회를 통과하여 국무회의에서 의결된 날 개인정보보호위원회에서는 다음과 같은 보도자료를 냈다.
- “개인정보 보호법 전면 개정, 데이터 신경제 시대 열린다”(개인정보보호위 보도자료, 2023.3.7.)
위 보도자료에서는 당시 개정의 핵심을 세 꼭지로 뽑았는데, 주요 내용을 요약하면 다음과 같다.
- 전 분야 마이데이터 확산, 디지털 경제 성장 견인
- 개인정보 전송요구권(마이데이터 사업), 이동형 영상정보처리기기 규제, 온·오프라인으로 이원화된 규제를 일원화
- 디지털 시대에 적합한 국민의 적극적 권리 강화
- 동의 없이 개인정보 수집·이용 가능, 인공지능을 활용한 자동화된 결정에 대한 거부권/설명 요구권, 이해하기 쉬운 용어 사용, 개인정보 분쟁조정 참여 의무 확대
- 국제 기준(글로벌 스탠다드)에 부합하는 법제도 정비
- 개인정보 국외 이전 요건 다양화, 개인정보 보호 책임을 경제벌 중심으로 전환, 공공기관 개인정보 보호 수준 평가
법률 소관 부처의 관심이 어디에 있는지 알 수 있는 대목이다. 법을 적용받는 입장에서도 기업이나 공공기관인지, 기업도 사업 분야에 따라 관심 있는 개정사항이 다를 수밖에 없다.
대다수 개인정보보호책임자(CPO)는 아무래도 CPO 형사처벌 조항의 폐기에 관심이 높을 수밖에 없다. CPO 직책을 맡기도 하고, CPO 교육을 많이 해 오면서 CPO 형사처벌 조항의 문제점을 지적하며 폐기를 주장해 온 필자로서는 2023년 3월 개정사항 중 가장 반가운 부분이었다. 이 개정 조항의 시행일인 2023년 9월 15일로부터 1년 이상 지난 지금 이에 관한 사항을 정리하고자 이번 달 주제로 잡았다.
CPO의 형사처벌을 규정한 종전법 제73조는 다음과 같다.
| 개인정보보호법 제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. <개정 2015. 7. 24., 2016. 3. 29., 2020. 2. 4.> >1. 제23조(민감정보의 처리) 제2항, 제24조(고유식별정보의 처리 제한) 제3항, 제25조(고정형 영상정보처리기기의 설치·운영 제한) 제6항, 제28조의4(가명정보에 대한 안전조치의무 등) 제1항 또는 제29조(안전조치의무)를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자1의2. 제21조(개인정보의 파기) 제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 파기하지 아니한 정보통신서비스 제공자 등 |
위 조문에는 CPO에 대한 형사처벌 요건이 무려 6개에 이른다. 이 조항은, 2008년 2월 A쇼핑몰에서 대규모 개인정보 유출 사건이 알려진 뒤 정보통신망법에 처음 도입됐는데, 그 뒤 법 제·개정을 통해 처벌 수준의 강화, 처벌 요건의 확대가 이뤄졌다. 관련 변경 이력은 다음과 같다.
- 2008년 6월 정보통신망법 개정(2008년 12월 시행) – CPO 형사처벌 조항 신설
- 제73조(벌칙) 제1호 신설 – 2년 이하의 징역 또는 1,000만 원 이하의 벌금 부과
- 요건: 개인정보 보호조치(제28조(개인정보의 보호조치) 제1항 제2호~제5호)를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조·훼손한 자
- 2011년 3월 개인정보보호법 제정 시(2011년 9월 시행) 정보통신망법의 해당 규정 적용
- 제73조(벌칙) 제1호 – 2년 이하의 징역 또는 1,000만 원 이하의 벌금 부과
- 요건: 제24조(고유식별정보의 처리 제한) 제3항, 제25조(영상정보처리기기의 설치·운영 제한) 제6항 또는 제29조(안전조치의무)를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조·훼손당한 자
- 2014년 5월, 정보통신망법 제73조(벌칙) 제1호에 대한 처벌 강화 – 2년 이하의 징역 또는 2,000만 원 이하의 벌금(2014년 11월 시행)
- 2014년 1월, 신용카드 3사에서의 대규모 개인정보 유출 사고로 인한 처벌 강화 흐름
- 형사처벌 요건 추가: 제29조(개인정보의 파기) 제1항을 위반하여 개인정보를 파기하지 아니한 자(제73조 제1호의2) – 신용카드 3사에서 탈퇴한 회원의 개인정보가 다수 유출된 것이 드러남
- 2015년 7월, 개인정보보호법 제73조(벌칙) 제1호에 대한 처벌 강화 – 2년 이하의 징역 또는 2,000만 원 이하의 벌금(공포와 동시에 시행)
- 정보통신망법의 처벌 강화와 맥을 같이함
- 2016년 3월, 개인정보보호법 제73조(벌칙) 제1호에 형사처벌 요건 추가(2016년 9월 시행)
- 개인정보처리자가 민감정보를 처리할 때 안전성 확보 조치 의무를 부과하고 이를 위반하여 개인정보 사고가 발생할 때 형사처벌 가능
- 2020년 2월, 개인정보보호법 제73조(벌칙) 제1호 개정(민감정보 안전조치 의무 위반 시 처벌) 및 제1호의2(개인정보 파기 위반 시 처벌) 신설(2020년 8월 시행)
- 데이터 3법 개정 시, 정보통신망법의 개인정보 보호 관련 규정이 개인정보보호법으로 통합되면서, 정보통신망법에만 있던 개인정보 파기 위반에 대한 형사처벌 조항 제1호의2 신설(정보통신서비스 제공자 등에게만 적용)
- 데이터 3법 개정 시, 가명정보의 처리에 관한 규정이 신설되면서, 제73조 제1호에 가명정보의 안전조치 의무 위반 요건 추가
- 2023년 3월, 개인정보보호법 제73조(벌칙) 제1호 및 제1호의2 폐기(2023년 9월 시행)
개인정보의 안전성 확보조치 미비에 따른 개인정보 사고는 기업(개인정보처리자)이 책임질 문제이지, CPO를 비롯한 특정 개인이 책임질 문제가 아니라는 점은 필자를 비롯해 개인정보 분야에 있는 많은 사람들이 지적해 왔다.
- 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌”, CIO, 2018.11.6.
- 개인정보 유출 사고에서의 개인정보보호책임자(CPO)의 기소, CIO, 2019.7.12.
- 방통위 김재영 국장 “개인정보유출 형사처벌 개정 공론화 필요”, 지디넷, 2019.1.15.
- “보안 전문가 키우고 싶으면 형사처벌 없애라” – 보안업계, 2차 정보보호 산업 진흥계획 외 규제 개선책 제시, 지디넷, 2020.8.6.
2019년에는 20대 국회 막바지에 김병관 의원이 형사처벌 조항을 삭제하는 개인정보보호법 개정안을 낸 적이 있다. 20대 국회가 끝나면서 폐기되긴 했지만, 매우 반가웠고, 이 이슈가 공론화되는 또 다른 계기가 되었다.
- [2022890] 개인정보 보호법 일부개정법률안(김병관 의원 등 11인), 국회 의안정보시스템, 2019.10.15.
- 보안 사고 발생시 개인정보담당자 형사처벌 대신 기업 과징금, 보안뉴스, 2019.10.16.
CPO 형사처벌 조항은 2008년 12월에 처음 시행됐으니, 2023년 9월에 폐기되기까지 14년 9개월 동안이나 살아 있었던 셈이다.
개인정보 유출 사고가 터지면, 이 조항을 근거로 수사기관은 1단계로 범인 검거를 위해 수사를 진행하고, 2단계로 기업의 법률 위반 행위가 있는지, 그 위반 행위와 개인정보 사고와 인과관계가 있는지 수사를 하였다. 실제 기소까지 이른 적은 별로 없지만 말이다. (2017년 개인정보 유출 사고가 났던 B사, H사, Y사의 ‘책임자’는 기소돼 벌금형의 유죄 판결을 받았다.)
오랫동안 수사력이 ‘낭비’되고, 사고가 난 기업에서는 CPO를 비롯해 정보보안 및 개인정보 보호 실무진들은 혹시 형사처벌을 받을 수 있지 않을까 하며 우려하는 상황을 겪어 왔다는 것은 정말 안타까운 일이 아닐 수 없다.
개인정보보호법 제73조 제1호 폐기 시행일인 2023년 9월 15일 이후에 일어난 개인정보 사고에 대해서는 CPO가 개인정보의 안전조치 의무를 다하였는지는 수사기관의 수사 대상이 아니다. 기업에서 발생한 개인정보 유출 사고는 기업이 책임져야 한다는 상식적인 시간으로 돌아온 것이다. (CPO가 유출 범죄에 연루되었다면 전혀 다른 이야기다. 당연히 수사 대상이 된다.)
이미 개인정보 유출 사고 시 기업이 져야 할 책임은 작지 않다.
| 개인정보보호법 >제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억 원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 9. 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. |
개인정보 유출 사고에 기업의 위법 또는 과실이 있는지 조사하는 것은 규제기관인 개인정보보호위원회의 몫이다. 실무적으로는 한국인터넷진흥원이 담당한다. 2023년~2024년에 일어난 개인정보 유출 사고에 대해 대규모 과징금은 L사 68억 45만 원, G사 75억 400만 원, K사 151억 4,196만 원에 이른다. 그전에는 2016년 I사 사고에 부과된 44억 8,000만 원이 최대였는데 큰 폭으로 증가한 것이다. 특히, K사와 L사는 법 개정 전 사고로 ‘위반 행위 관련 매출액’의 3% 이하 규정에 해당하는 건이어서 개정 뒤 발생하는 사고에 대해서는 더욱 유의할 필요가 있다.
이제 각 기업에서는 최소한 법 제29조와 하위 시행령 제30조(개인정보의 안전성 확보 조치)와 제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등)(공공기관만 해당), 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)은 확실하게 준수해야 사고가 발생하더라도 과징금의 위험을 줄일 수 있다. 해야 할 일이 꽤 많다.
[email protected]
Read More from This Article: 강은성의 보안 아키텍트 | 개인정보 유출 사고 시 개인정보보호책임자(CPO) 수사는 없어졌다
Source: News