정연수 한국인터넷진흥원 개인정보보호단장
1. 추진배경
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 정보통신망법) 은 민간 정보통신분야의 대표적인 개인정보보호 관련 법률이라고 할 수 있다. 그 동안 정보통신망법은 IT 환경변화로 야기되는 다양한 역기능 문제를 적극 해결하기 위해 수차례 개정돼 왔다.
이번 개정 정보통신망법은 2011년 11월 전혜숙 의원이 대표발의한 개정법률안을 국회 문화체육관광방송통신위원회가 대안으로 마련한 것으로, 기업의 무분별한 주민등록번호의 수집과 이용을 금지하고, 개인정보 누출 시 이용자에게 해당 사항을 즉시 알리도록 하는 한편, 일정기간 동안 이용하지 않는 휴면계정 등의 개인정보에 대해 파기 등의 조치를 취하도록 해 개인정보보호 수준을 제고하기 위한 것이 주요 목적이라고 할 수 있다.
이와 더불어 분산서비스거부(DDoS) 공격이나 조직적·지능화된 사이버 침해사고에 효과적으로 대응하기 위해 기업의 정보보호 체계를 확립하는 내용도 포함돼 있다. 기업의 정보보호를 체계적으로 관리하고 지원할 수 있도록 정보보호 안전진단제도를 정보보호관리 체계로 일원화하고, 정보보호 투자확대·인식제고를 위한 임원급 정보보호최고책임자 지정 등이 그것이다. 이러한 내용을 담은 개정 정보통신망법은 지난 2월 공포됐으며, 올 8월부터 시행할 예정이다.
2. 주요 내용
이번 정보통신망법 개정에서 개인정보보호 관련 정책의 가장 큰 변화는 인터넷상 주민번호 수집·이용이 원칙적으로 금지된다는 것이다. 과거 행정목적으로 발급된 주민등록번호는 개인 식별의 편의성이 높다는 점에서 민간 웹사이트에서 회원관리, 연계서비스 제공 등을 위해 관행적으로 수집·이용돼 왔다. 그러나 웹사이트의 주민번호가 외부 해킹 등으로 쉽게 유출됨으로 인해 스팸·전화사기 등 2차 피해에 대한 불안감이 조성되는 것은 물론, 고객 신뢰를 기반으로 하는 인터넷 비즈니스에도 부정적인 영향을 미치고 있다.
이에 개정 정보통신망법에서는 정보통신서비스 제공자로 하여금 원칙적으로 이용자의 주민등록번호를 수집·이용할 수 없도록 했다. 다만, 본인확인기관으로 지정받거나, 법령에서 주민등록번호 수집·이용을 허용하는 경우, 영업목적상 주민번호 이용이 불가피해 방송통신위원회가 고시하는 경우는 예외적으로 허용하고 있다.
이번 조치에 대한 추진방안으로 방송통신위원회와 한국인터넷진흥원은 주민번호 미수집 전환 지원센터를 구축·운영하고 있다. 기술인력 부족으로 인해 주민번호 미수집 전환에 어려움이 예상되는 중소·영세 기업 등을 대상으로 준비사항 안내 등의 제도적 지원과 더불어, 컨설팅과 대체수단 보급 등의 기술적 서비스를 제공한다.
두 번째 개인정보보호 관련 신규제도는 개인정보 누출 사고에 대한 이용자 통지 및 신고제도이다. 개인정보 누출 통지 및 신고제도는 개인정보 분실·도난·누출 등의 사고가 발생하면 이용자에게 해당 사실을 지체 없이 통지하고 주무부처인 방송통신위원회에 신고하도록 함으로써 명의도용·금전적 피해 등 개인정보 누출로 인한 2차 피해 확산을 방지하고 이용자의 피해를 최소화하기 위해 도입한 제도이다.
따라서 정보통신시서비스 제공자 등은 개인정보 누출 사고 발생 사실을 안 때에는 지체 없이 누출 등이 된 개인정보 항목, 누출 등이 발생한 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자등의 대응 조치, 이용자가 상담 등을 접수할 수 있는 부서 및 연락처를 이용자에게 통지하고 방송통신위원회에 신고해야 한다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령이 정하는 바에 따라 통지에 갈음하는 조치를 취할 수 있다. 구체적인 통지 및 신고의 방법, 절차 등에 관하여 필요한 사항 역시 대통령령으로 규정될 예정이다. 아울러 개정 법률에서는 정보통신서비스 제공자등에게 개인정보의 누출 등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하도록 하고 있다.
참고로 개인정보보호법에 유사제도인 개인정보 유출통지제도가 2011년 9월부터 시행됐다. 하지만 정보통신분야의 특성상 개인정보가 누출될 경우 타 분야에 비해 보다 광범위한 피해가 예상되므로, 정보통신망법에도 정보통신망을 통한 누출 사고에 대응할 수 있는 누출 통지·신고제도가 도입돼야 한다는 사회적 요청에 따라 정보통신망법에서 이 같은 제도가 도입됐다.
세 번째 신규제도는 개인정보 유효기간제도이다. 이 제도는, 장기간 서비스를 이용하지 않는 이용자의 개인정보에 대해 파기 등의 조치를 취함으로써, 사업자의 불필요한 개인정보 보관을 최소화하고 이로 인한 개인정보 유출 및 오·남용 방지를 목적으로 한다.
하루에도 수 없이 많은 웹사이트가 개설되고 폐쇄되는 인터넷의 특성상, 이용자는 자신이 자주 이용하지 않는 웹사이트에 대해서는 회원가입 사실을 인지하지 못해 회원탈퇴 등의 조치를 하지 않고 방치하는 경우가 대부분이다. 이른바 휴면 이용자의 개인정보가 제대로 관리되지 않을 경우 개인정보 유출사고 시 2차, 3차의 피해를 유발시키는 문제가 발생, 개정 법률에서는 대통령령으로 정하는 기간 동안 이용하지 않는 이용자의 개인정보보호를 위해 파기 등 필요한 조치를 취하도록 하고 있다. 파기 등의 필요한 조치를 취할 수 있는 이른바 유효기간과 필요한 조치 등 구체적인 사항은 2012년 상반기 중 대통령령으로 규정해 법 시행에 차질이 없도록 할 예정이다.
네 번째 신규제도는 개인정보 이용내역 통지제도이다. 이 제도는 정보통신서비스 제공자등으로 하여금 주기적으로 이용자의 개인정보 이용내역을 통지하게 해, 이용자가 자신의 개인정보 이용 내역을 정확히 알고 통제할 수 있도록 하기 위하여 신설된 제도이다.
정보통신망법에 이용자가 자신의 개인정보 이용·제공 현황을 열람·제공 요청할 수 있는 권리가 보장돼 있으나, 사실상 대부분의 이용자가 이러한 이용자 권리에 대한 인식이 부족할뿐더러 수많은 사이트에 대해 일일이 이용 내역 열람·제공을 요청하기도 현실적으로 쉽지 않다. 이와 같은 이유로, 이 제도는 정보통신서비스 제공자등이 능동적으로 이용자의 개인정보 이용내역을 통지하도록 해 이용자의 알권리를 보장하고 자기정보에 대한 통제권을 강화하기 위한 취지로 도입됐다.
이에 따라 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자는 개인정보 취급위탁, 제3자 제공을 포함한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지해야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우는 예외로 한다. 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정하여 시행할 예정이다.
그 밖에 정보통신망법의 개정을 통해 개인정보보호 분야에서 달라지는 점은 그 동안 방송통신위원회 의결로 운영됐던 개인정보보호 관리체계 인증(PIMS) 제도에 대한 법적 근거가 마련된 점이다. 개인정보보호 관리체계 인증과 관련하여 방송통신위원회는 관리적·기술적·물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정해 고시할 예정이다.
한편 정보보호 사전점검제도의 법적 근거를 마련하고, 정보통신서비스제공자가 임원급의 정보보호 최고책임자를 지정할 수 있도록 근거 조항도 신설했다. 또 정보보호 안전진단제도를 폐지하고, 정보보호 관리체계 인증제도로 일원화했다.
그리고 정보통신망법의 적용대상이 방송사업자(지상파방송사, 종합유선방송사, 위선방송사 등)로 확대된 점 역시 중요한 변화중 하나이다. 방송사업자가 시청자의 개인정보를 수집·이용 또는 제공하는 경우에도 정보통신서비스 제공자와 동일하게 정보통신망법상의 개인정보보호 규정을 준수해야 할 의무를 지게 된다.
3. 향후 계획
정보통신망법 개정으로 국민들의 소중한 개인정보가 안전하게 보호받고 국내 기업의 정보보호 수준도 획기적으로 향상돼, 민간 분야의 정보보호 수준이 한 단계 높아지는 계기가 될 것으로 기대된다.
특히 인터넷에서 관행적으로 수집·이용해온 주민번호의 사용을 제한하는 것은 개인정보보호 정책 전환의 가장 큰 변화이자 도전으로, 금번 정보통신망법 개정이 국민들의 소중한 개인정보가 안전하게 보호받고 국내 기업의 정보보호 수준도 획기적으로 향상시키는 좋은 계기가 될 것으로 보인다.
방송통신위원회와 한국인터넷진흥원은 정보통신망법 개정을 통해 도입된 개인정보보호 관련 신규제도들이 원활히 시행·운영될 수 있도록 제도의 구체적인 방법·절차를 규정하고 있는 시행령을 공청회 등의 의견수렴 과정을 거쳐 2012년 상반기 중 개정하고, 신규제도에 대한 정보통신망법 안내서, 사업자 교육·홍보 등 후속조치들을 신속히 추진할 예정이다.