정보보호 관점에서 바라본 데이터3법 개정에 대한 개인적인 생각

드디어 기다리고 기다리던 데이터3법(개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법), 신용정보의 이용 및 보호에 관한 법률(신용정보법))이 2020년 1월 9일에 국회 본회의를 통과하였다.

2024495_의사국+의안과_의안원문(개인정보보호법).hwp

0.10MB

2024492_의사국+의안과_의안원문(신용정보법).hwp

0.21MB

2024491_의사국+의안과_의안원문(정보통신망법).hwp

0.12MB

과학기술정보통신부에서 민간 분야 정보보호 관리 정책(정보보호 관리체계 인증, 정보보호 최고책임자 지정·신고, 정보보호 사전점검, 정보보호 관리등급, 정보보호 준비도 평가, 정보보호조치에 관한 지침)을 담당하고 있는 나는 이 소식이 무척이나 반가웠다.

사실 정보통신망법은 정보통신망 이용촉진과 개인정보 보호와 정보보호가 짬뽕이 되어 있고, 소관 부처는 과학기술정보통신부와 방송통신위원회로 나뉘어져 있으며, 일부는 그 소관을 나누기 곤란하여 부처간 핑퐁이 잦았다.
이번 정보통신망법 개정에 따라 개인정보 보호와 관련된 사항은 완전히 개인정보 보호법으로 이관되어, 정보통신망법에는 정보보호와 관련된 내용만 남아있게 되었다.
정보통신망법에서 정보보호와 관련된 사항은 전부 과학기술정보통신부(대부분 사이버침해대응과)에서 깔끔하게 처리하면 될 것으로 예상된다.
잡설이지만, 사이버침해대응과의 영문명은 Cyber Security & Threat Management Division 이다.
침해사고 대응, 정보보호 관리 정책, 민간 주요정보통신기반시설 정책 등을 총 8명(서무, 과장 포함)의 공무원으로만 담당하다 보니(아무리 실제 집행을 KISA가 도와준다고 해도) 업무가 많다.

개인정보 보호법은 과학기술정보통신부의 소관이 아니기 때문에 여기서는 설명하지 않는다(아니, 못한다).
또, 이 내용은 지극히 개인적인 생각이기 때문에 부처의 공식 입장과는 전혀 관련이 없다.
(무엇보다 법률 개정에 나는 참여한 적이 없고, 내 일이 바빠서 구체적인 논의 과정을 알지 못한다.)

2020년 1월 12일 기준으로 개정 법률이 아직 정부로 이송되지 않아 많은 국민들이 흔히 찾아보는 국가법령정보센터에 개정 법률의 내용이 나와있지는 않다.
그렇지만 법률 개정안은 국회 의안정보시스템에서 볼 수 있고, 국회에 발의된 내용부터 국회 회의록, 검토내용까지 모든 기록을 확인할 수 있다.
(참고로 대통령령, 부령, 행정규칙 개정안 등은 통합입법예고센터에서 확인할 수 있다)
언론사에서 조금만 더 발품을 팔아서 보도자료만 베끼지 말고 법률의 내용을 설명해주면 좋을텐데 항상 아쉽다.
(국회나 부처 입장에서 제정·개정되는 모든 내용을 보도자료에 넣을 순 없다보니 주요 내용만 담다보면 오해가 생긴다)

이제부터 정보통신망법의 변화를 보겠다.

그 전에 “정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(대안)”의 제안이유와 주요내용을 보면, 중요한 내용은 2가지로 요약된다.
“개인정보 보호 관련 사항의 삭제”와 “방송통신위원회의 소속기관에 대한 위임 근거 마련”이다.
큰 변화가 개인정보 보호 관련 사항의 삭제에 있을 것이란 건 굳이 설명할 필요가 없을 것 같다.

2. 대안의 제안이유 데이터를 핵심 자원으로 하는 4차 산업혁명 시대를 맞아 개인정보의 보호와 활용을 균형적으로 조화시킬 수 있는 제도를 마련하여 더 나은 국민의 삶을 만들어 나가야 할 시점임. 사회적 공감대와 신뢰에 바탕을 둔 개인정보의 안전한 활용을 위해 대통령 직속 4차산업혁명위원회는 관계 부처, 법조계, 산업계, 시민사회 등이 참여한 ‘규제‧제도 혁신 해커톤’을 개최하고 국회는 4차산업혁명 특별위원회를 구성하여 다양한 의견을 수렴하는 등 일련의 노력들이 있었음. 그 결과 해커톤 합의사항과 국회 4차특위 활용결과보고서에서 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「위치정보 보호 및 이용 등에 관한 법률」, 「신용정보 이용 및 보호에 관한 법률」 등 개인정보 관련 법령에서 유사‧중복조항을 정비하고, 거버넌스 개선방안을 마련하도록 하였음. 이에 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등으로 산재한 법체계와 행정안전부, 방송통신위원회, 개인정보보호위원회 등 다수의 감독기구가 존재함에 따른 수범자의 혼란과 중복규제 부담 등의 문제를 해결하기 위하여 관련 법률을 정비할 필요가 있음. 또한 지난해 9월, 방송통신위원회의 소속기관으로 방송통신사무소가 설립됨. 그러나 현행법은 아직까지 방송통신위원회가 방송통신위원회 소속기관에 위임할 수 있는 내용은 규정하고 있지 않은바, 방송통신위원회가 기관 권한 중 일부를 소속기관인 방송통신사무소에 위임할 수 있는 근거 조항을 마련할 필요가 있음. 3. 대안의 주요내용 가. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 규정된 개인정보 보호에 관한 사항을 삭제하고「개인정보 보호법」으로 이관함(안 제22조 삭제 등). 나. 방송통신위원회의 권한의 일부를 방송통신위원회의 소속기관의 장에게 위임할 수 있는 근거를 명시적으로 마련하려는 것임(안 제65조제1항).

 

정보통신망법 개정은 정말 놀랍게도 제1조(목적)부터 이뤄졌다.
아무리 법률이 개정되더라도 법률의 목적이 달라지는 경우는 거의 없다보니, 목적 조항의 개정은 법률의 해석을 달리할 수 있다는 점에서 매우 큰 변화라고 볼 수 있다.
정보통신망법은 목적을 “정보통신서비스를 이용하는 자의 개인정보를 보호함”에서 “정보통신서비스를 이용하는 자를 보호함”으로 개정하였다.
사실 이 목적 규정 때문에 기업들은 개인정보를 보호하는 것이 정보보호의 모든 것이라고 오해하고 있었다.
이를 “정보통신서비스를 이용하는 자”, 즉, 정보가 아닌 사람(또는 법인 등)을 보호하는 것으로 정보보호의 목적을 명확히 해주었다.
이를 통해 정보보호라는 것이 궁극적으로 데이터를 보호하는 것이 아니라 사람을 보호하는 것이라는 인식이 확산되었으면 좋겠다.

제1조(목적) 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.

제1조(목적) ---------------------------------------------------------------자-------------------------------------------------------------------------------------------------------------------------------------------.

 

제2조(정의)는 예상되는 바와 같이 “개인정보”에 대한 정의를 삭제했다.
이에 따라, 다른 조항에서는 “개인정보”라는 용어가 삭제되었고, 필요한 경우에는 “정보”라는 용어로 변경되었다.
사실 기업에 중요한 정보는 개인정보만 있는 것이 아닌데, “정보보호=개인정보보호”라는 인식이 너무 강하다.
기업에서 서비스에 사용하는 알고리즘, 데이터, 상품 제작 시 활용하는 도면, 영업에 사용되는 비지니스 모델 등이 중요할텐데, 홈페이지 상에서의 개인정보 보호에는 투자하고 그외의 정보에 대해서는 심각할 정도로 소홀히 대하는 곳이 많다.
개정 정보통신망법은 “개인정보”를 “정보”로 바꿔서 정보보호에 대한 기업의 인식을 바꾸려는 것으로 보인다.
(그리고 제발 그렇게 되었으면 좋겠다...)
잡설을 하나 추가하자면, 민원을 받다보면, 우리 회사는 개인정보를 다루지 않으니 정보보호를 할 필요가 없다는 주장을 자주 듣는다.
심지어 개인정보만 안 다루지, 각종 정보를 송수신하고 처리하는 정보통신업종에서도 이런 주장을 자주 듣는다. 에효...

제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.	제2조(정의) ① ------------------------------------------.
1. ∼ 5. (생 략)	1. ∼ 5. (현행과 같음)
6. “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.	<삭 제>
7. ∼ 13. (생 략)	7. ∼ 13. (현행과 같음)
② (생 략)	② (현행과 같음)

 

제5조(다른 법률과의 관계)에서는 개인정보 보호법과의 관계가 삭제되었다.
정보통신망법 상 개인정보 관련 사항이 개인정보 보호법으로 옮겨갔기 때문에 당연하다고 볼 수 있을 것 같다.

제5조(다른 법률과의 관계) 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 다만, 제4장의 개인정보의 보호에 관하여 이 법과 「개인정보 보호법」의 적용이 경합하거나 제7장의 통신과금서비스에 관하여 이 법과 「전자금융거래법」의 적용이 경합하는 때에는 이 법을 우선 적용한다.

제5조(다른 법률과의 관계) -----------------------------------------------------------------------------------------------------------------. ------제7장---------------------------------------------------------------------------------------------------.

 

그리고 “제4장 개인정보의 보호”는 “제4장 정보통신서비스의 안전한 이용환경 조성”으로 이름이 바뀌고, 아름다운 “<삭  제>”로 도배되었다.
그럼 대체 정보통신서비스의 안전한 이용환경 조성이 무엇을 말하는 것일까.

제22조의2(접근권한에 대한 동의)
제23조의2(주민등록번호의 사용 제한) (일부 개정)
제23조의3(본인확인기관의 지정 등)
제23조의4(본인확인업무의 정지 및 지정취소)
제32조의5(국내대리인의 지정) (일부 개정)

이 5개 조만 남기고 제4장의 범위였던 제22조~제40조는 삭제되었다.
여기서 주목해야할 것은 일부 개정된 제23조의2와 제32조의5.
제23조의2는 본인확인기관으로부터 주민등록번호를 수집하는 경우만 남게 되었고, 방송통신위원회 고시로 규정했던 내용이 법률로 규정되었다.
제32조의5는 관계 물품·서류 등의 제출을 위해 국내대리인을 지정하도록 하였고, 국내대리인을 공개하는 방법이 개인정보 처리방침에서 인터넷 사이트 등으로 변경되었다.
다른 곳은 다 바꿨으면서 제32조의5만 “정보통신서비스 제공자등”을 “정보통신서비스 제공자”로 바꾸지 못한건...ㅠㅠ
(“정보통신서비스 제공자등”이란 정의가 삭제되었기 때문에, 방송통신위원회는 집행할 때 엄청 골치 아플 거다...)
(근데, 어...? 국내대리인 자체가 과학기술정보통신부로 올 수도 있겠는데?)

제23조의2(주민등록번호의 사용 제한) ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다.	제23조의2(주민등록번호의 사용 제한) ① -----------------------------------------------------------------------------------------------------------------------.
1. (생 략)	1. (현행과 같음)
2. 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우	<삭 제>
3. 영업상 목적을 위하여 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우	3. 「전기통신사업법」 제38조제1항에 따라 기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민등록번호를 수집·이용하는 경우
② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집·이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 “대체수단”이라 한다)을 제공하여야 한다.	② 제1항제3호에---------------------------------------------------------------------------------------------------------------------------------------------------------------.

제32조의5(국내대리인의 지정) ① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 서면으로 지정하여야 한다.	제32조의5(국내대리인의 지정) ① ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------.
1. 제27조에 따른 개인정보 보호책임자의 업무	<삭 제>
2. 제27조의3제1항에 따른 통지·신고 및 같은 조 제3항에 따른 소명	<삭 제>
3. (생 략)	3. (현행과 같음)
② (생 략)	② (현행과 같음)
③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 제27조의2에 따른 개인정보 처리방침에 포함하여야 한다.	③ -----------------------------------------------------------------인터넷 사이트 등에 공개하여야-----.
1.⋅2. (생 략)	1.⋅2. (현행과 같음)
④ (생 략)	④ (현행과 같음)

 

그리고 내 입장에서 깜짝 놀란 변화, 제47조의3(개인정보보호 관리체계의 인증)의 삭제.
설마해서 개정 개인정보 보호법을 봤는데, 개인정보보호 관리체계 내용은 이관되지 않았다.
이제 “개인정보보호 관리체계”라는 용어는 법률에서 더 이상 언급되지 않는다.
이렇게 될 거라면 개인정보 보호법 제32조의2의 “개인정보 보호 인증”을 “개인정보보호 관리체계의 인증”으로 바뀌는 게 좋았을텐데 하는 아쉬움이 남는다.
어쨌건 이 개정에 따라 내가 담당하고 있는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시를 6개월 내에 개정해야 한다.
어차피 이번에 정보보호 관리체계 인증제도를 개선하면서 법규 개정 작업을 할테지만.

제47조의3(개인정보보호 관리체계의 인증) ① 방송통신위원회는 정보통신망에서 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 “개인정보보호 관리체계”라 한다)를 수립·운영하고 있는 자에 대하여 제2항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. ② 방송통신위원회는 제1항에 따른 개인정보보호 관리체계 인증을 위하여 관리적·기술적·물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한 사항을 정하여 고시할 수 있다. ③ 개인정보보호 관리체계의 수행기관, 사후관리 등에 대하여는 제47조제6항부터 제12항까지의 규정을 준용한다. 이 경우 “제1항 및 제2항”은 “제1항”으로 본다. ④ 개인정보보호 관리체계 인증기관의 지정취소 등에 대하여는 제47조의2를 준용한다.

<삭 제>

 

부처 간 핑퐁이 정말 심했던 제49조의2(속이는 행위에 의한 개인정보의 수집금지 등)이 제49조의2(속이는 행위에 의한 정보의 수집금지 등)으로 바뀌고 온전히 과학기술정보통신부 소관으로 바뀌었다.
좋은 건지 나쁜 건지 사실 잘 모르겠다...
내 뒷자리에서 이거로 민원 정말 많이 들어와서 고생하던데...

제49조의2(속이는 행위에 의한 개인정보의 수집금지 등) ① (생 략)	제49조의2(속이는 행위에 의한 정보의 수집금지 등) ① (현행과 같음)
② 정보통신서비스 제공자는 제1항을 위반한 사실을 발견하면 즉시 과학기술정보통신부장관, 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.	② -------------------------------------------------------------과학기술정보통신부장관--------------------------------------------------------.
③ 과학기술정보통신부장관, 방송통신위원회 또는 한국인터넷진흥원은 제2항에 따른 신고를 받거나 제1항을 위반한 사실을 알게 되면 다음 각 호의 필요한 조치를 하여야 한다.	③ 과학기술정보통신부장관---------------------------------------------------------------------------------------------------------------------------------------.
1. ∼ 3. (생 략)	1. ∼ 3. (현행과 같음)
④ 과학기술정보통신부장관 또는 방송통신위원회는 제3항제3호의 조치를 취하기 위하여 정보통신서비스 제공자에게 정보통신서비스 제공자 간 정보통신망을 통하여 속이는 행위에 대한 정보 공유 등 필요한 조치를 취하도록 명할 수 있다.	④ 과학기술정보통신부장관은-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------.

 

개인정보 관련 규정이 삭제되었으니, 당연히 제63조(국외 이전 개인정보의 보호), 제63조의2(상호주의), 제64조의3(과징금의 부과 등), 제67조(방송사업자에 대한 준용), 제69조의2(고발)는 삭제되었다.
그리고 설마하는 생각이 들긴 하지만, 벌칙에서 “개인정보”가 “정보”로 바뀌어서 형사처벌이 확대되는 것이 아닌가 약간 걱정된다.

제72조(벌칙) ① 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.	제72조(벌칙) ① ----------------------------------------------------------------------------------------.
1. (생 략)	1. (현행과 같음)
2. 제49조의2제1항을 위반하여 다른 사람의 개인정보를 수집한 자	2. --------------------------------------정보------------
2의2. ∼ 5. (생 략)	2의2. ∼ 5. (현행과 같음)
제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.	제73조(벌칙) ----------------------------------------------------------------------------------------.
1. 제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 자	<삭 제>
1의2. 제29조제1항을 위반하여 개인정보를 파기하지 아니한 자(제67조에 따라 준용되는 경우를 포함한다)	<삭 제>
2. ∼ 6. (생 략)	2. ∼ 6. (현행과 같음)
7. 제49조의2제1항을 위반하여 개인정보의 제공을 유인한 자	7. --------------------------정보--------------------
7의2. ∼ 8. (생 략)	7의2. ∼ 8. (현행과 같음)

 

이상으로 정보보호 관점에서 정보통신망법 상 주요 변화를 살펴보았다.
개인정보와 관련된 내용이 개인정보 보호법으로 이관되면서(정보통신서비스 제공자에 대한 특례로 거의 그대로 남아있긴 하지만) 개인정보 보호와 정보보호가 혼재되어 있던 정보통신망법이 깔끔해졌다.

사실 정보통신망법은 “정보통신망 이용촉진”이 주 목적이었다가 “정보보호”가 포함되어 버린 형태라, 정보보호라는 규제를 적용하기에 부적절한 상황이 참 많았다.
정보보호 기본법(가칭)이란 걸 만드려고 해고 개인정보 보호와 관련된 사항이 엉켜서 작업이 쉽지 않았을 것이다.
이제 정보통신망법에서 정보보호만 깔끔하게 남게 되어서, 초연결·초지능 사회에 적합한 정보보호 법제를 다시 검토할 시기가 온 것 같다.
민간부문 정보보호 관리 정책을 담당하고 있는 입장에서, 내가 더 많은 생각과 고민을 하고 개선방안을 적극적으로 주장해야할 것 같은데, 현재 내가 놓여 있는 상황이 영 녹록치 않다.
빨리 잡일들 해치워버리고 국민을 위한 정책을 고민해야지.

 

잡설.

아직 깊이 생각해보지 못했고, 이해관계를 파악하지 못한 부분이 많지만, 정보보호 법은 “원칙-조직-구축 보안-운영 보안-침해사고 대응-폐기 보안-지원”으로 구성되어야할 것으로 생각한다.
원칙에서는 정보보호 정책과 조직, 위험관리를 해야한다는 내용이 들어가야할 것 같다.
조직에서는 정보위험관리 최고책임자(CSO, CISO, CPO의 총괄), 정보보호 조직 구성 등을 규정하는 내용이 필요할 것 같다.
구축 보안은 Security by design이라 불리는 정보보호 사전점검과 그 의무대상을 규정하는 내용이 들어가야할 것이다.
운영 보안은 말할 것도 없이 정보보호 관리체계다.
침해사고 대응은 침해사고 예방과 사고 피해 확산 방지가 주요 내용이 될 것이다.
폐기 보안은 서비스 폐기 단계에서의 정보보호를 의미한다.
사실 서비스 종료나 폐업에 따라 정보를 안전하게 폐기해야하는데, 우리는 이 부분을 너무 소홀하게 대하지 않았나 싶다.
나는 정부가 안전하게 정보를 폐기했는지 점검할 필요가 있다고 생각한다.
폐업에 따라 책임자가 사라지면 아무도 폐기해야 할 정보를 책임지지 않기 때문에, 이 부분을 정부가 신경써줘야한다고 나는 생각한다.