"국내법상 개인정보 유출 사고시 형사처벌 조항은 전문가 검토가 많은 사안이다. 유럽 GDPR, 일본, 미국 비롯한 주요국 법은 형사처벌까지 하진 않으니, 빼자는 의견도 있다. 그런데 대외적으로는 아무도 서로 문제제기를 못 한다. 사실 (법을 개정하려면) 공론화할 필요가 있다.
국민들, 국회, 시민단체, 정부가 같이 얘기해야 한다. 이미 만든 제도(사이버침해사고로 인한 개인정보 유출시 형사처벌 조항)를 무르게 되면, 국민들에겐 법이 개인정보보호에 소홀해지는 인상을 주지 않겠나. 그렇지 않다는 것을 좀 … 공론화시키고 (개정 추진이) 돼야 할 사안이다."
최근 방송통신위원회 김재영 이용자정책국장이 현행 정보통신망법의 형사처벌 조항 관련 질문에 이같이 답했다.
지금처럼 사이버사고 발생에 따른 개인정보 유출 사고시, 개인정보 관련 기술 및 관리적 보호조치를 맡고 있는 실무자를 형사처벌하는 게 최선은 아니란 뉘앙스다.
방송통신위원회 소관인 현행 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'은 제4장 '개인정보의 보호'에 열거한 여러 조항을 통해 사업자의 개인정보 수집, 이용, 제공, 관리, 파기 행위별 절차와 의무를 정하고 있다. 이를 어긴 경우 제10장 '벌칙'의 여러 조항으로 처벌한다. [국가법령정보센터 '정보통신망법' 바로가기]
제10장 가운데 제70조는 명예훼손, 제70조의2는 악성프로그램 유포, 제71조와 제72조는 불법적인 개인정보 수집, 제공, 위탁이나 사이버침해와 침해미수 행위를 처벌한다. 일반적인 사이버범죄 또는 현실의 범죄 행위이거나 고의적인 권리침해를 금지하는 내용으로 볼 수 있다.
제73조1항은 성격이 좀 다르다. 같은 법의 제28조 제1항 2~5호에 규정된 '기술적·관리적' 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손하게 한 사람을 처벌한다. 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 업무상 과실을 형사처벌하는 셈이다. [관련기사 "CISO는 회사 목표 달성에 기여해야 한다"]
법은 제75조 '양벌규정'을 둬서 제71~73조와 74조1항에 해당하는 위반행위시 CISO와 CPO같은 '행위자' 그리고 그 기업을 함께 처벌한다. 제73조를 위반할 경우 기업은 형사처벌로 최고 2천만원의 벌금형을 받지만, 소속 실무자인 CISO와 CPO는 2년 이하 징역을 받을 수 있다.
이런 얘기다. CISO와 CPO가 악의 없이 개인정보보호를 위한 기술적 조치와 관리적 조치를 수행해 왔더라도, 그 조직이 사이버침해를 당해 개인정보 유출이 발생했을 때, 법이 요구한 수준에 미흡했거나 착오를 저지르는 등 업무상 과실이 있었다고 인정되면 징역을 살 수 있다.
일부 법률가, 다수 실무자는 개인정보보호 관련 실무를 맡고 있는 기업 담당자가 업무상 과실만으로 형사처벌 대상이 되는 게 합리적이지 않다고 지적해 왔다. 현행법에도 개인정보보호 수준을 더 높여갈 여지가 많지만, 업무상 과실을 처벌하는 게 도움이 될진 의문을 남긴다.
김재영 국장의 발언도 이런 논의의 연장으로 나왔다. 개인정보보호 필요성을 인식하는 주요 국가 중 한국처럼 담당자의 업무상 과실에 형사처벌을 적용하는 사례는 없다. 그는 관련 문의에 "유럽 GDPR, 일본, 미국 등 한국 외의 주요 선진국에는 없다고 할 수 있다"고 답했다.
김 국장은 "(형사처벌 조항 개정 논의 필요성을) 알면서 아무도 이슈제기를 못 해 공론화를 할 수 없는 상황"이라며 "시만단체도 개별적으로 만나면 '그것(형사처벌)까진 너무하다, 대신 과징금을 강하게 부과하자'는 의견인데, 시만단체에서 먼저 제기해주면 좋겠다"고 언급했다.
김 국장은 지난 10일 국회에서 진행된 '사이버사고 피해 구제 현실화를 위한 사이버보험 활성화 방안 토론회'를 마치고 나설 때 질문을 받아 답했다. 그는 토론 패널로부터도 사이버사고에 따른 개인정보 유출시 형사처벌 조항의 실효성을 비롯한 여러 애로사항을 전달받았다. [관련기사 "사이버보험 만들려는데, 쓸만한 '사고정보'가 없다"]
관련기사
- 정보보호 고수들이 대학생들에게 한 조언은?2019.01.15
- 한국CISO협회, 14일 기업 정보보호 멘토링 토크콘서트2019.01.15
- "CISO는 회사 목표 달성에 기여해야 한다"2019.01.15
- IT 기업 보안 최고책임자 선임 의무 강화2019.01.15
기업 실무 현장의 인력 선순환 저해 현상도 토론 패널이 제기한 형사처벌 조항의 부작용 중 하나였다. 기업에 요구되는 보안 수준만큼 CISO와 CPO의 수준도 높아져야 하는데, 이 보직의 형사처벌 부담 때문에 정보보안업무 담당자의 보직 기피 현상이 있다는 진단이었다.
이런 지적에 김 국장은 토론 마무리 발언으로 "말씀한 형사처벌 조항은 전문가 검토가 많이 이뤄지고 있는 사안"이라며 "더 이슈화해 집중 논의 환경에서 정부 정책에 시민단체 의견이 반영됐으면 한다"고 말했다. 또 "특례조항으로 형사처벌 부담 완화를 검토하겠다"고 덧붙였다.
