피해자는 손해액 입증 없이도 최대 300만원까지 청구 가능
[아시아경제 김영식 기자]앞으로 허술한 관리로 인해 온라인에 고객 개인정보를 유출한 기업은 관련 매출의 최고 3%에 이르는 과징금을 물린다. 또 피해 고객은 개인정보 유출로 입은 피해 액수를 입증하지 않아도 최대 300만원까지 손해배상 청구를 할 수 있다.
방송통신위원회는 지난 2일 이 같은 내용을 골자로 한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'이 국회 본회의를 통과했다고 8일 밝혔다.
현행법은 개인정보를 유출한 기업에 대해 기술적·관리적 보호조치를 위반한 것이 유출사고와 인과관계가 있음을 입증할 경우 1억원 이하의 과징금을 부과하도록 규정하고 있다. 그러나 인과관계 입증이 쉽지 않은데다 매출액에 상관없이 최고 1억원까지만 물릴 수 있어 제재 수준이 미흡하다는 지적이 끊이지 않았다. 또 개인정보 유출 사고가 발생했을 때 이용자가 손해배상을 청구하려면 직접 손해 규모를 증명해야 하고 구체적인 배상 기준도 없어 이용자권리를 보호하는데 턱없이 부족했다.
그러나 이번 법 개정을 통해 개인정보 유출시 기술적·관리적 보호조치와 유출 사고와의 인과관계를 입증하지 않고도 관련 매출액의 3% 이내 과징금을 부과할 수 있도록 크게 강화됐다. 기업이 이용자 동의를 받지 않고 개인정보를 수집한 경우 등 각종 개인정보 관련 위반 행위를 저지른 경우에도 동일한 제재 기준이 적용된다.
이와 함께 이용자의 구체적인 손해액 입증 없이도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도가 도입된다. 방통위는 "우리 국민 대다수가 이통사나 포털 등 정보통신서비스를 폭넓게 이용하고 있어 기업들이 적지 않은 부담을 느끼는 만큼, 기업 스스로 개인정보보호 조치를 한층 강화하는 요인으로 작용할 수 있을 것"이라고 설명했다.
한편 이용자가 사전에 수신동의한 경우에 한해 영리목적의 광고성 정보 전송을 허용함으로써 스팸을 원칙적으로 제한한다. 지금까지는 휴대전화 문자와 달리 이메일·홈페이지 게시판 등은 사전 동의 없이도 광고전송이 가능했지만, 이제는 전송매체와 관계없이 모두 이용자의 사전 동의를 받은 후에만 영리목적의 광고성 정보를 전송할 수 있도록 제한했다.
이외에 개인정보가 유출된 경우 기업은 24시간 이내에 신속하게 이용자에게 알리고, 보유기간이 지난 개인정보를 파기할 경우 복구·재생할 수 없는 조치를 취해 2차 피해를 예방하도록 했다.
또 개인정보 제공에 사용자가 동의하지 않을 경우 정보통신서비스 제공자가 이를 이유로 서비스를 거부하는 것도 금지했다. 해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 최소한의 정보 이외에는 사용자가 정보 제공을 거부하더라도 서비스를 허용해야 한다.
최성준 방송통신위원장은 “이번 법 개정을 통해 카드사, KT 등 잇따른 대규모 개인정보 유출로 인한 국민들의 불안을 근본적으로 해소하고 ‘스팸 공화국’이라는 오명에서 벗어나는데 도움이 될 것”이라고 기대했다.
방통위는 하위 규정을 마련하는 한편, 개인정보 유출 기업과 스팸 발신자에 대한 전방위 실태조사를 병행해 내실 있는 정책 추진이 이루어지는데 모든 역량을 집중하겠다고 덧붙였다.
김영식 기자 grad@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>