‘개인정보보호 정상화 대책’ 10문 10답

1. 과거에도 여러 차례 개인정보 보호 대책이 발표된 바 있는데, 과거에 발표된 대책과의 차이는 무엇인가?

- 과거 발표한 대책은 개별 정보유출 사건에 초점을 맞춘 사고대응적 성격이었다.

과거 대책발표 사례로는 ▲금융분야 개인정보 유출 재발방지 종합대책(14.3월, 카드3사 정보유출 관련), ▲금융전산 보안강화 종합대책(13.7월, 신한·농협 전산장애 관련), ▲KT 고객정보 해킹사고 재발방지대책(12.8월, KT 해킹 관련) 등이 있다. 

그에 반해, 이번 대책은 면밀한 실태조사를 바탕으로 국정조사 결과를 반영하고 민간 전문가 의견 수렴을 거쳐 마련됐다.

또한 정보유출에 대한 피해구제 방안 및 주민번호제도 개선방안 등 근본적인 대책까지 포함하였다는 점에서 과거의 대책과 차별화된다. 

이번 대책발표를 통해 개인정보보호가 우리 경제·사회·문화 발전의 견고한 토대(Social Capital)로 자리매김 할 수 있을 것으로 기대된다.

2. 새로운 형태의 손해배상제도가 도입되었는데 주요 내용은?

- 기업이 개인정보보호를 소홀히 할 경우 시장에서 도태될 수 있을 정도로 강력한 책임을 묻기 위해 징벌적 손해배상제도와 법정 손해배상제도가 도입된다.

징벌적 손해배상 제도는 고의 또는 중대한 과실로 개인정보가 유출되어 명의도용, 사기 등 직접적인 피해가 발생한 경우에는 정보유출 기관에 가중된 책임을 물어 피해액의 3배까지 배상토록 하는 제도다. 

법정 손해배상제도는 피해자의 피해액 입증 없이도 법원 판결에 따라 300만원 이내에서 일괄적으로 손쉽게 배상 받을 수 있는 제도다.

정보유출시 피해자들은 징벌적 손해배상과 법정 손해배상 중 본인에게 유리한 제도를 선택하여 청구할 수 있다.

3. 징벌적 손해배상과 법정 손해배상이 적용되는 기준 시점은?

- 강화된 손해배상제도 시행 시기는 기업들이 이에 대비할 수 있도록 일정기간 유예기간(예: 1년)을 부여한 후 시행할 계획이며, 소급 입법 등의 우려가 없도록 법 시행 후 유출된 사고부터 적용된다.

4. 새로운 손해배상제도 도입으로 기업들의 부담이 늘어나는 것 아닌가?

- 법정손해배상제도와 징벌적 손해배상제도 도입은 개인정보를 처리하는 기업 입장에서 부담이 될 수 있는 것은 사실이다.

그러나 그간 개인정보 유출에 따른 제재 수준이나 손해배상책임이 크지 않아 경각심을 갖기 어려웠음을 감안할 때 보다 강화된 피해구제 제도 도입을 통해 정보보안에 대한 투자를 촉진하고 고객정보 보호에 최우선적인 가치를 부여할 필요가 있다.

기업에서 개인정보를 철저히 보호하면 기업에 대한 신뢰가 높아져 기업의 경쟁력이 제고되고, 우리사회 전반의 거래비용이 절감되는 등 긍정적인 효과가 기대(신뢰에 기반한 Social Capital 형성)된다.

5. 주민번호의 변경은 어떠한 경우에 허용되나?

- 주민번호의 변경은 신분세탁 등에 악용될 소지가 있고 이에 따른 사회적 혼란도 있을 수 있으므로 일정한 요건을 충족한 경우에 한해 제한적으로 허용할 계획이다.

주민등록번호가 유출되고 도용·변조돼 생명·신체를 해치거나 재산상 중대한 피해를 입을 가능성이 있는 경우 등이다.

구체적인 기준 등 방안을 마련해 주민등록법을 개정한 후 시행할 예정이다. 주민등록번호 변경 허용 기준·절차 등에 대해서는 향후 안전행정부에서 구체화해 별도로 발표한다.

6. 각 부처에 산재된 개인정보보호 관련 법규와 조직을 통합해야 한다는 주장이 있는데?

- 각 부처별로 업무를 분담·수행토록 되어 있는 우리 행정체제를 고려할 때 개인정보보호 기능만 별도로 통합하는 것은 행정혼선과 비용 등을 높이는 측면이 있으므로 현재의 틀을 유지하면서 개인정보보호위원회의 기능을 강화하는 편이 바람직하다.

개인정보보호위원회의 부처에 대한 실질적인 조정 및 정책 정합성 확보를 위한 기능을 강화하고 전문 분야별로 소관부처가 인·허가 권한 등을 활용해 소관 분야에 대한 감독을 효과적으로 추진할 계획이다.