8월 개인정보보호법 개정 실효성 의문

<대한금융신문=전선형 기자, 김민수 기자> 정부의 솜방망이 처벌이 결국 사상 최악의 개인정보 유출 사고를 일으켰다.

지난해 개인정보 수집·동의·파기 등 ‘개인정보보호법’을 지키지 않은 사례들이 수두룩했음에도 정부는 비교적 가벼운 조치에 그친 것으로 드러났다.

24일 정부와 금융권에 따르면 안전행정부는 지난 5일 금융위원회, 금융감독원, 전국은행연합회, 한국대부금융협회에 지난해 하반기 실시한 개인정보보호법 위반 실태조사에 따른 행정처분 사례를 담은 공문을 하달했다.

지난해 위반 사례를 바탕으로 각 금융사들이 향후 유사한 사례가 발생하지 않도록 주의시키기 위함이다.

금융 분야에서 적발된 주요 위반 내용은 △개인정보 수집·이용 동의 의무 위반(제15조) △개인정보의 파기 의무 위반(제21조) △개인정보 수집 동의를 받는 방법 위반(제22조) △개인정보 처리 위탁 시 준수사항 위반(제26조) △개인정보의 안전성 확보조치 의무 위반(제29조) 등이다.

안행부는 위반 사례에 대해 개인정보보호법에 의거, 최대 5000만원 이하의 과태료 부과 또는 개선권고 정도의 조치를 내렸다.

하지만 금융전문가들은 개인정보를 유출하거나 동의없이 수집한 금융사에 비교적 가벼운 처벌을 부과한 것 아니냐는 지적을 하고 있다.

실제 개인정보보호법에 따라 가장 많은 과태료를 받는 위반 사례는 개인정보 수집 시 정보주체의 동의를 받지 않은 경우로 1000만원(최대 5000만원)에 그쳤다.

구체적으로 한 금융사는 홈페이지 Q&A에서 개인정보 수집할 때 동의를 요구하지 않아 1000만원의 과태료를 물었다.

이밖에 개인정보 보유기간이 경과되거나 처리목적을 달성한 경우 개인정보를 파기해야 함에도 이를 지키지 않은 경우에는 600만원(최대 3000만원)의 과태료가 주어졌다.

이번에 발생한 개인정보 유출 사건과 마찬가지로 개인정보 위탁 시 준수사항을 위반했을 때는 처벌 수위가 더욱 미미했다.

개인정보를 위탁할 때는 △위탁 목적·범위 △기술적·관리적 보호 조치 △안전성 확보 조치 △관리현황 점검·감독 등을 문서에 필수적으로 반영해야 한다. 이를 지키지 않을 경우 정부는 200만원(최대 1000만원)의 과태료를 부과한다. 수탁자에 대한 관리·감독이 소홀했을 경우에는 시정조치 또는 개선권고에 그칠 뿐 과태료가 전혀 부과되지 않았다.

개인정보를 안전하게 보관해야 하는 의무를 지키지 않았을 때의 과태료도 600만원(최대 3000만원)에 불과했다.

특히 최근 보안성이 문제로 대두되고 있는 주민등록번호 등 고유식별정보를 저장 또는 송·수신 할 때 암호화하지 않는 경우는 600만원의 과태료(최대 3000만원)만 부과한 것으로 나타났다.

한편 오는 8월 7일부터는 강화된 개인정보보호법 개정안이 적용될 예정이지만 실효성에 의문이 제기되고 있다. 금융당국과 금융사들이 주민번호를 수집할 수 있는 ‘금융사 예외 조항 신설’을 추진하고 있기 때문이다.

금융소비자원 조남희 대표는 “금융사 입장에선 주민등록번호 중심의 관리 시스템에 대한 대비가 안 돼 있기 때문에 예외 조항을 요구하는 것이다. 이해는 가지만 그것이 불가능한 것이라고는 생각하지 않는다”면서 “마냥 예외조항을 두는 것이 아니라 한시적인 예외조항을 둬야 할 것”이라고 말했다.

이어 그는 “정보유출 사태에서 가장 중요한 것은 소비자 구제다. 금융당국은 소비자에 대한 피해보상 조항만 법에 명시하면 된다”며 “최근 금융당국의 제재는 당국의 권한만 늘리는 제재일 뿐 실질적인 제재가 아니다”라고 지적했다.