정준현 단국대 법학과 교수
특별법 자꾸 만들어 법끼리 상충
자율규제로 기업 책임 강화할 필요
오는 27일 본사 '금융 IT포럼'서 강연
[아시아경제 김혜민 기자] "우리나라에는 개인의 정보보호와 관련된 법이 너무 많습니다. 중첩돼있거나 한쪽 법에서는 문을 꽉 닫아놓은 규정이 다른 법에서는 활짝 열려있어요. 시급한 정비가 절실합니다."
경기도 용인시 단국대학교 연구실에서 24일 만난 정준현 법학과 교수는 현 카드사 고객정보 유출 사태에 대한 근원적인 처방으로 자율규제와 책임 강화를 제시했다. 이를 위해서는 얽히고 설킨 관련법 정비가 최우선으로 이뤄져야 한다는 것이 그의 지론이다. 징벌만 강화해서는 법대로만 하고 면피하는 구태를 벗어나지 못할 수 있다는 우려다.
◆"법vs법…일괄 정비 필요"=정 교수는 우후죽순으로 생겨난 개인정보보호 관련 법이 사태를 복잡하게 만들었다고 지적했다. 한쪽 법에서는 개인정보를 수집하지 못하도록 해놓고 다른 법에서는 수집을 할 뿐 아니라 공유까지 할 수 있도록 하는 등 법이 제멋대로라는 개탄이다.
대표적인 예가 '개인정보 이용 및 제3자 제공'에 대한 각각의 법률규정이다. 일반법인 개인정보보호법에서는 17조와 18조에 근거해 개인정보를 제3자에게 제공하는 행위를 엄격하게 제한하고 있다. 본인의 동의나 특별한 규정이 있는 경우에 한해 제공할 수 있으며 이용내역을 고객에 통지할 의무도 규정해놨다.
하지만 이후 만들어진 법에서는 '상호간에 업무상 필요할 경우' 혹은 '이용자의 동의없이' 고객의 정보를 공유할 수 있도록 규정하고 있다. 각각 금융실명거래 및 비밀보장에 관한 법률과 전자금융거래법(이하 전자금융법)에 근거를 두고 있다. 정 교수는 "개인정보보호법에서는 문을 꽉 닫아놨는데 특별법을 만들어 열쇠로 문을 열 수 있도록 해 놓은 것"이라며 "개인정보보호법이 중심이 돼야하는데 중심이 되지 못하고 있는 게 현실"이라고 말했다.
개인정보 유출에 대한 금융사의 제재도 법에 따라 수위가 제각각이다. 개인정보보호법의 경우 개인정보를 유출로 인해 최대 5000만원 이하의 벌금 또는 5년 이하의 징역을 부과받도록 규정돼있다. 주민등록번호 침해에 대해서는 5억원 이하의 과징금을, 기업과실로 개인정보를 분실했을 경우에는 2년 이하의 징역 또는 1000만원 이하의 과태료를 물도록 돼있다. 신용정보법이나 전자금융법은 형벌 조항은 제재수위가 같거나 더 높지만 과징금이 없거나 새마을금고 등 특정 금융회사에는 예외를 두고 있다.
◆"법 규제 최소화…기업 자율규제가 중요"=법을 더 많이 만들기 보다는 자율규제를 통해 기업이 책임을 지는 구조가 필요하다는 부분에서는 목소리를 높였다. 정 교수는 "자율이라는 것은 사실 책임이 굉장히 엄격한 것"이라며 "사업하는 사람들 입장에서는 법을 따르는 것이 오히려 쉬울 수 있다"고 지적했다.
정 교수는 "법이 시키는 대로 하면 문제가 생겨도 '시키는 대로 했으니 책임이 없다'고 말할 수 있는 것 아니냐"며 "법에 하지 말아야 할 것을 아무리 명기해놔도 사고는 나게 돼있다"고 말했다. 법에서 갖추라고 하는 정보보호 조치는 최소한으로 하되 기업이 필요에 의해 자율적으로 보호조치들을 마련하도록 길을 만들어줘야 한다는 것이다.
정 교수는 "새로운 해킹방식에 대한 대비책과 같은 것들을 모두 법으로 담을 수는 없다"며 "오히려 사용자가 이용자와의 관계에서 안전한 조치를 취하는 인식을 갖도록 만드는 것이 중요하다"고 강조했다.
◆"손해배상 논의도 필요해"=정 교수는 는 개인정보가 유출됐을 경우 실질적으로 책임을 떠안아야 할 사람은 소비자라는 점에서 손해배상에 대한 논의도 활발히 이뤄질 필요가 있다고 주장했다. 그는 "현재 정보유출에 대한 피해입증과 피해액 산정 모두 소비자가 하도록 돼있다"며 "인과관계를 규명하는 것이 상당히 어렵기 때문에 손해배상을 제대로 받지 못하고 있다"고 말했다.
정 교수는 현재와 같은 경우에는 입증 책임과 관계없이 유출된 사실만으로 일정 금액을 보상토록 하는 규정을 개인정보보호법에 넣을 필요가 있다고 조언했다. 그는 "합리적인 선에서 법정피해액을 정하면 너도나도 집단 소송에 나서는 상황을 막을 수 있다"고 덧붙였다. 대신 손해배상액을 감경할 수 있는 예외적인 사유를 둬야 한다고 강조했다.
그는 "사이버세상은 창과 방패, 즉 모순(矛盾)"이라며 "사업자가 많은 예산을 투입해 노력을 했는데도 사고가 날 수 있는 상황"이라고 설명했다. 이어 "소비자뿐 아니라 기업도 함께 살아야 하는 것이 중요하다"며 "노력을 했는데도 정보가 유출된 경우에는 감경을 하는 등 예외적인 사유가 필요하다"고 덧붙였다.
김혜민 기자 hmeeng@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>