업무상 개인정보 알아내 사적 이용하면 형사처벌받는다

2019년 7월 한 경찰관이 국제운전면허증을 발급하러 경찰서를 찾은 여성의 개인정보를 알아내 사적으로 연락한 일이 드러나 논란이 됐습니다.

개인정보를 사적인 목적으로 이용해 타인의 사생활을 침해했지만, 기존 개인정보보호법에는 이 경찰관을 처벌할 명확한 규정이 없었습니다.

그러나 앞으로는 개인정보 취급자의 정보 사적 유용도 형사 처벌할 수 있게 됩니다.

개인정보보호위원회는 오늘(5일) 국무회의에서 이런 내용을 담은 개인정보보호법 시행령 개정안이 의결됐다고 밝혔습니다.

지난 3월 14일 공포된 개인정보보호법과 후속 개정 시행령은 이달 15일부터 시행됩니다.

개정 개인정보보호법은 정보주체인 국민의 개인정보를 더욱 엄격히 보호하기 위해 개인정보를 사적인 목적으로 이용하는 행위를 엄격히 금지하고, 위반할 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 해당하는 형사처벌을 하도록 했습니다.

기존에는 법인이나 단체가 아닌 개인은 개인정보 처리자가 아닌 취급자에 해당해 개인정보보호법상 처벌 규정이 명확하지 않았습니다.

개정법에 따르면 긴급 구조를 해야 하거나 코로나19 등 공공의 안전을 위해 필요한 경우에는 개인정보를 수집·이용·제공할 수 있습니다.

이때도 개인정보 안전조치·파기·정보주체의 권리 보장 등 의무를 준수해야 합니다.

형식적인 개인정보 수집 동의 절차도 개선됐습니다.

내년 9월 15일부터는 정보주체가 자신의 자유로운 의사에 따라 동의 여부를 선택할 수 있어야 합니다.

개인정보처리자는 이 같은 사실을 구분해서 표시해야 합니다.

동의를 받은 경우 외에도 계약 이행을 위해 필요한 경우에는 개인정보를 동의 없이 수집·이용할 수 있도록 했습니다.

과징금 상한액은 전체 매출액 기준으로 산정하고, 그중 위반행위와 관련없는 매출액은 제외됩니다.

기존에는 개인정보위가 과징금 산정에 포함할 매출 부문을 하나씩 입증해야 했는데, 관련 자료를 기업이 보유하고 있다 보니 과징금 산정에 어려움이 많았습니다.

앞으로는 사업자가 개인정보보호법 위반 행위와 관련 없는 매출을 증명해야 합니다.

기존에는 개인정보 질서 위반행위에 대한 과태료 부과는 의무였으나 앞으로는 위반행위의 정도나 동기, 결과, 개인정보 처리자의 규모에 따라 면제까지 가능해집니다.

또 소상공인이 법을 알지 못해 발생하는 과태료 규정은 삭제되는 대신, 개인정보 보호 시정조치 명령 이후 불이행하면 과태료를 부과하는 체제로 전환합니다.

모든 개인정보처리자는 개인정보가 유출됐다는 사실을 알게 됐을 때, 유출된 개인정보 규모가 1천 명 이상인 경우, 민감정보나 고유식별 정보가 유출된 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 72시간 이내에 개인정보 당국에 신고해야 합니다.

기존에는 온라인 사업자는 24시간 이내에, 오프라인 사업자는 5일 이내에 신고해야 했으나 유럽연합(EU) 등 국제 기준에 맞춰 일원화한 것입니다.

정보주체에 대한 통지는 유출 규모와 무관하게 72시간 이내에 이행해야 합니다.

(사진=개인정보보호위원회 제공, 연합뉴스)