'정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(이하 정보통신망법 시행령)' 개정안이 오는 6월 13일부터 시행된다. 개인정보 유출사고 등에 대비한 보험·공제 가입이나 적립금 준비가 의무화되지만, 아직 정부도 기업도 갈 길이 바쁜 모습이다.
방송통신위원회(위원장 이효성)와 한국인터넷진흥원(KISA, 원장 김석환)은 13일 KISA 서울청사에서 '정보통신망법 시행령 개정을 위한 공청회'를 개최했다. 법 시행을 불과 3개월 앞둔 시점이지만 참석자 상당수는 어떻게, 얼마나 준비해야 하는지 혼선을 빚는 모습을 보였다.
개정된 정보통신망법 제32조의 3은 개인정보보호 법규 위반에 따른 손해배상 책임 이행을 위해 정보통신서비스 제공자 등에 보험·공제 가입, 준비금 적립 등 조치를 의무 부과한다. 사업자 배상능력 부족으로 개인정보 유출사고 피해 구제가 충분치 못한 경우를 대비하기 위한 조항이다. 시행령은 의무 부과 대상과 그 범위·기준을 규정한다. 필요한 조치를 이행하지 않은 경우에는 위반 횟수와 무관하게 과태료 2000만원이 부과된다.
이번 공청회에서 다수 참가자는 자사가 의무 부과 대상에 해당하는지부터 혼란스러워 하는 모습을 보였다. 시행령 개정안은 개인정보가 저장·관리되는 이용자 수가 일일 평균 1000명 이상인 정보통신서비스 제공자 등과, 그로부터 개인정보를 제공받는 제3자를 의무 부과 대상으로 한다. 방통위와 KISA는 이용자 수가 방문자 수가 아니라 데이터베이스(DB) 등에 개인정보를 보관한 이용자 수를 뜻한다고 설명했다. 또한, 인터넷·모바일상에 영리 목적으로 웹사이트나 앱을 운영하며 이용자 정보를 보유한 사업자라면 업종에 관계없이 모두 해당한다고 강조했다.
가장 화두가 됐던 것은 조치 범위와 기준이다. 시행령 개정안은 보험·공제 가입 기준을 이용자 수와 매출 규모에 따라 차등을 둬 9가지 경우로 나눈다. 이용자 수는 전년도 10월, 11월, 12월에 DB 등에 저장된 일일 이용자수 보유량 평균으로 산정한다. 매출은 정보통신서비스만 아니라 해당 법인 전체 매출에 해당한다. 적립금을 준비할 경우 보험·공제 최저 가입금액을 기준으로 삼는다.
공청회에서는 이러한 기준이 어떤 근거로 이뤄졌는지, 또 이를 더 세분화하거나 별도 감면 혜택이 적용될 여지는 없는지 질문이 이어졌다. 이에 대해 신종철 방통위 개인정보보호윤리과장은 “신용정보법과 전자금융거래법 등 기존 입법례를 참고해 기준을 산정했다. 이러한 기준은 어떻게 나눠도 불만이 나올 수밖에 없는 측면이 있다”며 “4월 1일까지 입법예고 기간 동안 적극 의견 수렴해 반영할 수 있도록 하겠다”고 답했다.
보험에 대해서는 세부적 논의가 이뤄지지 못했다. 정보통신망법 개정안에 맞춘 보험 모델이 아직 개발 중이기 때문이다. 개인정보 관련 손해배상책임을 보장하는 타 법률 관련 보험·공제에 가입했을 경우 그만큼 최저가입금액에서 제할 수 있으나, 보험이 담보하는 범위가 정보통신망법 위반 관련 피해를 모두 포함할 경우에 한한다.
손해보험협회 관계자는 “금융사가 가입한 신용정보법과 이번 정보통신망법 개정안 시행령에서 각각 규정하는 범주가 일치하는지 검토 중이다. 사이버 종합 보험의 경우 보다 포괄적인 범위를 다루므로 이번 개정안 시행령 기준에도 부합될 것으로 본다”면서 “보험개발원에서 관련 보험 설계가 완료되는 대로 유관기관과 함께 설명회를 마련하겠다”고 밝혔다.
팽동현기자 paing@etnews.com
