우리나라는 개인정보보호법이 처음으로 시행된 2011년 9월 이전엔 개인정보 유출이 발생한 경우라 할지라도 이를 관계기관에 신고하거나 정보주체에게 통지하는 법적 요구사항을 갖추지 못하였다. 2011년 9월 30일부터 전면 시행된 개인정보보호법은 ‘개인정보 유출 통지 등’의 내용을 규정(제34조)하면서 <개인정보 유출 통지·신고 제도>가 전격 도입되었다. 또한, 일반법인 개인정보보호법에 개인정보 유출 통지·신고 제도가 도입됨에 따라 특별법인 정보통신망법에도 그 이듬해 개인정보 누출 등의 통지·신고제가 도입되었다.

 

우리나라의 개인정보 유출 통지·신고 제도는 ‘실질적 정보보호 체계를 확립’하려는 목적으로 도입된 것으로 확인되지만 이의 적용을 받는 현장에 적잖은 혼란을 가져온 것을 부정하긴 어렵다. 해당 제도에 대해서는 여러 측면에서 다양한 문제점이 제기되고 있으나, 핵심적인 것들로는 다음의 것들을 꼽아볼 수 있다. ① 유출 통지·신고의 대상이 되는 ‘개인정보’의 범위를 한정하지 않아(예: 금융정보 등(미국, 일본 등)) 민감도가 낮은 정보가 단순히 유·노출 된 경우라 할지라도 반드시 통지·신고를 하도록 하여 개인정보처리자에게 불필요하게 과도한 부담을 부과하며, ② 암호화 등 개인정보에 적용된 보호조치나 유출된 정보의 민감성 등에 비례하는 “정보주체에게 발생 가능한 위험의 크기”에 대한 고려 없이 개인정보가 유출되기만 하면 무조건적으로 통지·신고를 하도록 규정하여 통지·신고에 대한 예외를 허용하지 않는 등 유연성이 떨어지고, ③ (1천명 이상의 개인정보가 유출된 경우) 홈페이지를 보유한 개인정보처리자와 그렇지 않은 개인정보처리자의 법정 통지 사항의 ‘게시의 방식’을 차별적으로 규정함으로써, 합리적 근거 없이 전자의 사업자로 하여금 보다 높은 비난을 감수하도록 한 문제가 있다.

 

이와 같은 우리나라 개인정보보호 법제의 태도는 전 세계적으로 130여 개국 이상이 채택한 개인정보보호 법제의 표준으로 자리 잡은 유럽연합 개인정보보호 일반법(General Data Protection Regulation, 이하 “GDPR”)이나, 미국 각 주의 data breach notification law, 그리고 일본의 개인정보보보호 관련 가이드라인의 태도와는 매우 다르다. 국제적으로 널리 통용되는 방식과도 맞지 않는다는 의미이다.

 

본 졸고에서는 우리나라, 유럽, 미국, 일본 개인정보보호법제에서의 <개인정보 유출 통지·신고제도>의 내용을 비교·분석해보고, 그에 기반을 두어 해당 제도를 어떻게 개선해야 글로벌 데이터 처리 환경에서의 상호운영성을 확보하여 보다 합리적인 데이터 처리 및 보호 환경을 만들어나갈 수 있는지를 살펴보도록 한다.

 

우리나라의 개인정보 유출 통지·신고제도

 

2011. 9. 30.에 본격 시행된 우리나라 개인정보보호법(법률 제10465호)은 법 제34조(개인정보 유출 통지 등)에 개인정보 유출 통지·신고 제도를 본격 도입하였다. 이후 정부조직의 변화에 따라 신고를 접수하는 기관의 명칭 변경이 몇 차례 발생했던 것을 제외하고 큰 변화 없이 제도의 틀이 유지되었다.

 

한편, 2012. 2. 17.에 일부 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(법률 제11322호, 이하 “정보통신망법”)은 제27조의3(개인정보 누출 등의 통지·신고)을 신설하여 개인정보 유출 통지·신고 제도를 도입하였다. 이에 대한 개정 이유를 살펴보면 “…(전략) 개인정보 누출의 통지·신고의무 등을 이행하지 아니한 자에 대하여 과태료를 부과하는 등 실질적인 정보보호체계를 확립하려는 것임.”이라 하여, 실질적 정보보호 체계 확립을 위해 해당 제도를 도입한 것이지 정보주체의 권리보호에 초점을 맞추어 해당 제도를 도입한 것은 아닌 점이 확인된다. 정보통신망법의 개인정보 유출 통지·신고제도 역시 개인정보 보호법과 유사하게 최초 도입된 이후, 2016년도에 통지·신고 제한 시간을 24시간으로 엄격히 제한한 것 외에 제도의 틀이 바뀐 것으로 평가할만한 큰 변화를 겪지 않았다.

현행 개인정보보호법(법률 제14839호, 시행 2017. 10. 19.)에서의 개인정보 유출 통지·신고제에서 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에게 일정한 사실을 알려야 한다(제34조 제1항 제1호 내지 제5호). 여기에서 ‘지체없이’는 ‘표준 개인정보 보호지침(행정안전부 고시 제2017-1호)’에 따라 ‘5일 이내’로 해석된다. 참고로, 정보통신망법상의 같은 제도는 해당 시한을 1일 이내로 규정하고 있다. 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다(제2항). 개인정보처리자는 대통령령으로 정한 규모 이상(법 시행령 제39조 제1항에 따라 1,000명 이상을 의미함)의 개인정보가 유출된 경우에는 같은 조 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부 장관 또는 전문기관(한국인터넷진흥원)에 신고하여야 한다(제3항).

 

법 제34조 제4항 및 법 시행령 제40조는 개인정보 유출 통지의 방법 및 절차 등을 규정하고 있는데, 이에 의하는 경우 유출 통지는 ‘서면 등의 방법’으로 진행해야 한다. 한편, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다. 아울러, 1천명 이상의 정보 주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 법정 통지 사항을 7일 이상 게재하여야 한다. 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 사업장 등의 보기 쉬운 장소에 통지 내용을 7일 이상 게시하여야 한다.

 

상기의 내용을 검토해보면, 우리나라의 개인정보 유출 통지·신고 제도는 다음과 같은 특징을 가지고 있는 것으로 평가할 수 있다.

 

첫째, 암호화 되었거나, (유출된 개인정보에 접근할 수 있는 자가) 읽을 수 없는 상태 내지 사용할 수 없는 상태이거나, 삭제(redaction)되어 있어 정보주체를 직접적으로 식별할 수 없는 경우라 할지라도 그에 대한 면책을 규정하고 있지 않다.

 

둘째, 유출의 대상이 되는 개인정보의 범위를 제한하지 않고 개인정보보호법, 정보통신망법 등 각 법이 정한 개인정보의 정의 조항을 그대로 사용하기 때문에 통지 신고 대상이 되는 개인정보의 범위가 매우 폭넓다. 이를 문언적으로 해석하는 경우, 정보주체를 식별할 수 있는 임의의 식별자(randomized identifier)가 웹페이지 소스코드로 보여지는 경우에도 개인정보의 유출에 해당할 여지가 있다는 것이다.

셋째, ‘유출 사실을 안 때부터 특정 시간 이내에(정보통신망법: 24시간 이내, 개인정보보호법: 5일 이내)’ 통지나 신고를 하도록 하고, 이를 준수하지 않는 경우 행정처분을 부과한다. 정보주체에게 직접적인 피해발생이 합리적으로 예견되지 않더라도 통지나 신고 의무를 배제하지 않으며, 연락처가 없는 등 예외적 상황에서 공지의 방식으로 통지를 갈음하도록 한다.

 

넷째, 개인정보 유출이 발생하는 경우, 개인정보보호법 및 정보통신망법 등 적용 법률과는 무관하게 단 1건의 유출이라 할지라도 무조건 정보주체에게 통지해야 한다. 또한, 정보통신망법의 경우 1건의 유출이라 할지라도 관계당국에 반드시 신고해야 하며, 개인정보보호법의 경우 1,000건 이상 유출 시에 신고를 회피할 수 없다.

 

위와 같은 유출 통지·신고 제도는 개인정보 유출로 인한 피해를 조기에 차단하고 정보주체로 하여금 스스로를 보호할 수 있는 정보를 제공하며 전문성 있는 관계당국의 신속한 대응을 가능하게 하는 등 장점이 있다. 다만, 이와 같은 장점에도 불구하고 해당 제도는 아래와 같은 적잖은 문제점들을 내포하고 있다.

 

우선, “유출시 통지·신고의 대상이 되는 개인정보”는 개인정보보호법에 의하는 경우, 법 제2조(정의)의 1.에 규정된 개인정보의 정의 – 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다) – 를 그대로 가져온 것이기 때문에 개인에 관한 정보로서 결합 용이성과 식별 가능성이 존재하는 경우라면 통지·신고의 대상이 된다. 즉, 유출로 인해 정보주체에게 발생할 수 있는 위험(risk)의 크기나 유출된 개인정보 항목의 민감성, 그리고 개인정보에 적용된 보호조치(암호화, 가명처리 등) 등과 무관하게 개인정보 유출이 발생하는 경우라면 무조건적으로 통지·신고를 진행할 수밖에 없도록 규정되어 있다. 개인정보보호법 해설서는 “유출된 개인정보의 수량, 종류, 시기 등은 따지지 않는다. 따라서 단 1건의 개인정보가 유출되었더라도 해당 정보주체에게 그 사실을 통지해야 한다. 유출된 개인정보가 암호화 되어 있는 때에는 통지의무를 면제하고 있는 나라(미국 등)도 있지만 우리나라에서는 그와 같은 예외를 인정하고 있지 않다.”라고 하여 우리나라의 태도가 다른 나라에 비해 비교적 엄격하다는 점을 확인할 수 있다.⁽¹⁾

 

 

통지·신고 제한 시간이 법마다 상이하여 현장의 혼란을 야기하는 것에 더하여 통지·신고를 면제할 수 있는 요건을 마련하지 않아, 정보주체의 권리나 자유에 미치는 영향이 아무리 사소한 경우라 할지라도 개인정보 유출에 해당하는 경우 반드시 통지·신고를 진행해야 하는 문제점이 있다. 또한, 대부분의 통지·신고 건은 통지·신고 과정이나, 실태조사 과정, 또는 결과에 대한 심의·의결 및 행정처분 과정 등에서 언론이나 대중에 노출되는 경우가 다반사이며, 이로 인해 사안의 경중과 관련 없이 사회적으로 무조건적인 비판의 대상이 되는 것이 현실이다. 또한, 유출된 개인정보가 암호화되어 있는 등 유출된 정보에 권한 없는 자가 접근을 하여 이를 열람할 때, 원래의 정보주체를 ‘알아볼 수 없는(unintelligible)’ 경우라 할지라도 면책을 기대할 수 없다. 결국, 개인정보의 암호화는 법에서 정한 개인정보 보호기제이기는 하지만, 이를 수행한다고 하여 개인정보처리자가 그에 따른 적절한 보상(면책)을 받기 어려운 방식의 규제라서 개인정보처리자가 암호화 등 보호조치에 적극적으로 나설만한 동인(incentive)을 제공해주지 못하는 점도 해당 제도의 문제라 할 수 있다.

 

마지막으로, 1천명 이상의 개인정보가 유출된 경우, 웹사이트를 보유하고 있는 개인정보처리자와 그렇지 않은 개인정보처리자의 법정 통지 사항 ‘게시의 방식’이 지나치게 차별적이라는 점도 지적된다. 웹사이트를 보유하고 있는 개인정보처리자는 ‘인터넷 홈페이지’에 법정 통지 사항을 7일 이상 게재해야 하며, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우 ‘사업장등의 보기 쉬운 장소’에 법정 통지 사항을 7일 이상 게재해야 한다. 그런데, 웹사이트에 대한 접근성과 사업장의 접근성은 크게 차이가 날 수 밖에 없기 때문에, 웹사이트를 보유하고 있는 개인정보처리자의 경우 그렇지 않은 개인정보처리자에 비해 사회적 비난이나 언론 노출로 인한 이슈화 가능성이 보다 높은 점은 자명하다. 이와 같이 개인정보처리자의 웹사이트 운영 유무에 따른 ‘차별적 대우’가 정당한 것인지에 대한 평가없이 도입된 제도로서 차등적 법 적용이 아닌 ‘차별적’ 적용이라는 문제가 있다. 웹사이트를 보유하고 있다는 사실 만으로 그렇지 않은 개인정보처리자보다 보다 높은 비난 가능성을 수용해야 한다는 것은 개인정보처리자 입장에서는 쉽게 이해하기 어려운 지점이라 할 수 있다.

 

유럽연합 일반 개인정보보호법(GDPR)에 따른 개인정보 침해 통지·신고제도

 

GDPR은 Article 33 (Notification of a personal data breach to the supervisory authority) 및 Article 34 (communication of a personal data breach to the data subject)에서 각각 감독당국에 대한 신고 및 정보주체에 대한 통지 의무를 규정하고 있다.

 

개인정보 침해가 “자연인의 권리와 자유에 위험(a risk)을 초래하지 않는 경우를 제외하고” 개인정보 침해가 발생하였다면 컨트롤러는 부당한 지체 없이 그 사실을 안 때로부터 72시간 이내에 감독 당국에 이를 신고해야 한다. 만약 72시간 이내에 감독당국에 신고가 이뤄지지 않는 경우라면, 지연에 대한 사유를 추가하여 신고하여야 한다(Article 33 (1)).

 

또한, 개인정보 침해 사실을 알게 되는 경우 프로세서는 부당한 지체 없이 이를 컨트롤러에게 통지하여야 한다(Article 33(2)). 통지는 최소한 다음의 내용을 포함하여야 한다(Article 33(3)).

 

(a) 개인정보 침해의 성격, (가능한 경우 영향 받는 정보주체의 범주, 대략적 수치 및 개인정보 기록의 대략적 수치 포함)

(b) 개인정보 보호관(Data Protection Officer)의 이름과 연락처 상세, 또는 더 많은 정보를 제공할 수 있는 다른 연락관의 이름과 연락처 상세

(c) 개인정보 침해에 따라 발생 가능한 영향

(d) 컨트롤러가 개인정보 침해에 대응하기 위해 취하였거나 제안한 조치 (적절한 경우, 발생 가능한 부정적 영향을 감소시키기 위한 조치 포함)

 

한편, 부당한 추가적 지연이 없는 경우라면 위의 정보를 가능한 각 단계마다 나누어서 신고하는 것도 가능하다(Article 33(4))다. 아울러, 감독당국이 규정의 준수를 검증할 수 있도록 개인정보 유출 대응 관련 사실을 문서화 하여야 한다(Article 33(5)).

 

개인정보 침해가 “자연인의 권리와 자유에 높은 위험(a high risk)을 초래할 수 있는 경우,” 컨트롤러는 부당한 지연 없이 정보주체에게 개인정보 침해 사실을 알려야 한다(Article 34(1)). 정보주체에게 이와 같은 사실을 알릴 때에는 개인정보 침해의 성격을 명확하고 쉬운 언어로 전달해야 하며, 최소한 Article 33(3)의 (b), (c), (d)에 규정된 사안을 (정보주체 통지문에) 포함해야 한다(Article 34(2)). 한편, 다음의 어느 하나 이상에 해당하는 경우, 정보주체에 대한 통지는 요구되지 않는다(Article 34(3));

 

(a) 컨트롤러가 적절한 기술적, 관리적 보호 조치를 시행하였고, 그러한 조치들이 개인정보 침해로 인해 영향 받은 개인정보에 적용된 경우 (특히, 암호화 등의 조치를 통해 침해된 개인정보에 접근한 사람이 이를 알아보지 못하도록 처리된 경우)

(b) 정보주체의 권리와 자유에 미치는 높은 위험이 더 이상 발생하지 않는 것을 보증하는 후속 조치를 컨트롤러가 수행한 경우

(c) 과도한 노력(disproportionate effort)을 수반하는 경우. (이와 같은 경우, 공지 내지 정보주체가 동일한 효과적 방식으로 정보를 제공받을 수 있는 유사한 조치를 취해야 함)

만약 컨트롤러가 정보주체에게 개인정보 침해 사실을 통지하지 않는 경우, 감독당국은 개인정보 침해가 높은 위험을 야기할 가능성을 고려하여 컨트롤러로 하여금 통지를 진행하도록 요구하거나, Article 34(3)의 통지 예외 사항에 해당하는지 여부에 대한 결정을 내릴 수 있다(Article 34(4)).

 

GDPR은 개인정보 침해를 ‘전송, 저장, 또는 달리 처리되는 개인정보에 발생하는 사고에 의한 또는 불법적인 파괴, 손실, 변경, 승인 받지 않은 공개나 접근’ 등의 결과를 야기하는 보안 침해(a breach of security)라고 정의한다(article 4(12)). 일반적인 보안 사고(security incident)와 개인정보 침해의 차이는 “모든 개인정보 침해는 보안 사고에 해당하지만, 모든 보안 사고가 반드시 개인정보 침해에 해당하지는 않는다.”라는 점이다. 보안 침해로 인해 개인정보 처리와 관련한 원칙의 준수(compliance)를 보장할 수 없을 때 비로소 개인정보 침해에 해당하는 것이며, 여기에서의 개인정보 처리와 관련한 원칙은 (1) 합법성, 공정성 및 투명성, (2) 목적 제한, (3) 개인정보 최소화, (4) 정확성, (5) 저장 제한, (6) 무결성 및 기밀성, (7) 책임성 등 GDPR Article 5(principles relating to processing of persona data)에 규정된 제반 개인정보 처리 원칙을 의미한다.⁽²⁾

 

 

유럽연합 개인정보보호 이사회(European Data Protection Board)의 전신인 Article 29 Data Protection Working Party(이하 “Article29WP”)는 개인정보 침해 신고에 대한 의견서를 통해 개인정보 침해 유형을 ‘보안의 3요소’인 (1) Confidentiality Breach, (2) Integrity Breach, (3) Availability Breach 등으로 구분하고 있다. 특히, 데이터에 대한 가용성이나 접근이 제한되는 ‘가용성 침해’는 우리나라 법에 의하는 경우 ‘개인정보 유출’에 해당하지 않는 것으로 보인다. 다만, GDPR에 의하는 경우라 할지라도 모든 가용성 침해가 신고나 통지의 대상이 되는 것은 아니다. Article 29WP에 의하면 개인정보의 가용성 부족에 따른 결과로 자연인의 권리와 자유에 미치는 영향의 가능성 및 심각성을(likelihood and severity) 컨트롤러가 직접 평가하여 개인정보 유출에 따른 통지나 신고 여부를 결정할 수 있다고 한다.⁽³⁾

 

• 높은 수준의 알고리즘으로 암호화 되어 있고, 암호화 키에 대한 기밀성이 보증 되어 권한 없는 자가 가용한 기술적 수단을 동원한다 하더라도 암호화된 개인정보에 접근할 수 없는 경우라면 이는 ‘알아볼 수 없는(unintelligible)’ 정보로서 이용자 통지 대상이 아님

-단, 적절한 백업이 없어 정보주체에게 부정적 영향을 미치게 되는 경우라면 암호화가 된 경우라
할지라도 정보주체에게 통지를 해야 함

• 권한 없는 당사자의 입장에서 유출된 개인정보가 ‘본질적으로 알아볼 수 없도록’ 가공되었고, 그에 대한 복사본이나 백업이 존재하는 경우라면 적절히 암호화된 개인정보를 포함하는 기밀성 침해는 감독 당국에 신고하지 않아도 무방함
• 암호화가 적용되었고, 암호화키가 적절히 보호되고 있으며 복제본이나 백업이 존재하는 경우라 할지라도, 암호화 알고리즘이 취약하거나 암호화 기법이 적절히 적용되지 않은 경우라면 이는 신고 내지 통지의 대상이 될 수 있음

 

결론적으로, 개인정보 침해의 결과가 정보주체에게 미치는 영향(risk)을 개인정보처리자(controller)가 평가하여, 실질적인 위험이 발생하지 않는 경우 통지·신고를 진행하지 않을 수 있는 것이 GDPR의 개인정보 침해 통지·신고 제도상의 특징 가운데 하나라 할 수 있다. 아울러, 이와 같은 방식의 규제는 개인정보처리자로 하여금 자신이 처리하는 개인정보의 종류, 성격, 양, 처리 환경 등을 종합적으로 분석하여, 필요한 보호조치를 적절히 구현 및 적용하고 이를 정기적으로 개선할 수 있도록 하는 동인을 부여한다는 점에서 우리나라의 개인정보 유출 통지·신고 제도와 큰 차이가 있다 할 것이다.

미국 각 주(state)의 개인정보 유출 통지·신고 제도

 

미국은 각 주(state)마다 data breach notification law(이하, “DBN law”)를 보유하고 있다. 개별 주의 DBN law는 개인정보(personal information) 및 침해(breach)의 개념을 정의하고 있고, 개인에 대한 통지 및 관할 당국에 대한 신고 의무를 구체적으로 정한다.

 

데이터 프라이버시 분야를 전문으로 하는 미국의 한 법무법인이 발간한 보고서에 의하면, 미국 각 주의 DBN law는 다음의 공통적 특징을 가지고 있는 것으로 확인된다.⁽⁴⁾

 

 

첫째, 일부 소수의 예외를 제외한 대다수 주 법률은 암호화 되었거나, 읽을 수 없거나 사용할 수 없는 상태이거나, 삭제(redaction)되어 있어 내용을 식별할 수 없는 상태의 개인정보 유출에 대한 ‘면책 조항(Safe Harbor)’을 규정하고 있다.

둘째, 유출 시 통지·신고의 대상이 되는 개인정보의 정의를 ‘제한적으로 규정’하여 개인정보 유출이 발생한 경우라도 정보주체에 대한 실질적 위험이 발생하지 않는 경우의 통지·신고를 적절히 제한하고 있다.

셋째, ‘개인정보 유출’에 대한 정의를 통해 ‘유출에 해당하지 않는 경우’의 예시를 효과적으로 제시하고 있다.

넷째, 손해발생에 대한 위험을 판단하여, 만약 실질적이고 상당한 손해가 발생한 경우가 아니라면 신고나 통지 의무를 배제하고 있다.

다섯째, 적절한 통지나 신고 의무를 이행하지 않는 경우 ‘기망 또는 불공평한 거래행위(deceptive or unfair trade practice)’에 해당하는 것으로 판단하여 민사벌(civil penalties)을 부과하고 있다.

 

미국에서 가장 거대한 경제 규모를 가지고 있는 California주를 예로 들어 살펴보면, California DBN law는 개인정보 침해나 유출 맥락에서의 통지·신고 대상이 되는 개인정보를 다음과 같이 규정한다.

 

(A) 개인의 이름이나 첫 번째 이니셜 및 그의 성(last name)이 다음 중 어느 하나의 데이터 요소와 결합되어 있는 경우. 단, 이름이나 데이터 요소 둘 다 암호화 되어 있는 경우는 제외한다.

(1)사회보장번호(SSN, Social Security Number)

(2)운전면허번호 또는 캘리포니아 주 식별카드 번호

(3)계좌번호, 신용카드 번호, 직불카드 번호
(개인 계좌에 접근 가능한 보안 코드나 비밀번호와 결합되어 있는 경우에 한함)

(4)의료 정보

(5)건강 보험 정보

(6)자동 차량 번호판 인식 시스템 운영이나 사용을 통해 수집된 정보

(B) 온라인 계정에 대한 접근을 허용하는 비밀번호 또는 보안 질문과 결합한 이용자 명칭 또는 이메일 주소

 

‘침해 또는 유출(breach)’은 “컴퓨터 화된 데이터를 권한 없이 취득한 것으로서, 개인이나 사업체가 보유한 개인정보의 보안성, 기밀성 또는 무결성을 침해(compromise)하는 경우(Unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the person or business)”라고 정의된다. 또한, 객관적 사실관계에 비추어 암호화 되었거나, 읽을 수 없거나, 노출이 제한되도록 처리된 경우 등에 대해서는 면책(Safe Harbor)이 적용될 수 있다. 아울러, 정보주체에 대한 통지는 가능한 이른 시점에 불필요한 지체 없이 진행되면 족하며, 법집행기관과의 커뮤니케이션 과정에서 수사에 방해가 되는 경우 법집행기관이 통지를 지연하도록 결정하는 것도 가능하다. 500명 이상의 캘리포니아 거주민에 대한 개인정보 침해가 발생한 경우, 개인 또는 사업체는 이를 법무장관(Attorney General)에 신고해야 한다.

 

상기 캘리포니아의 예시에서 살펴보듯이, 유출 통지·신고의 대상이 되는 개인정보는 ‘매우 제한적’이며, 유출로 인해 재산적, 신체적 침해나 손해가 직접적으로 발생할 수 있는 개연성 있는 정보에 한정하는 것을 알 수 있다. 신고나 통지의 경우에도 그 내용이나 방식 면에서 우리나라의 제도에 비해 상당한 수준의 유연성을 갖추고 있는 것을 알 수 있다.

 

일본의 개인정보보호 통지·신고

 

일본 개인정보보호법은 개인정보 침해 사건을 관할 당국(개인정보보호위원회)에 신고하거나 정보주체에게 통지하도록 하는 규정을 두고 있지 않는다.

 

안전 관리 조치를 규정하고 있는 일본 개인정보보호법 제20조는 “개인정보 취급사업자는 취급하는 개인정보의 유출, 멸실 또는 훼손의 방지, 기타 개인 데이터의 안전 관리를 위해 필요 적절한 조치를 강구해야 한다.”고 규정하고 있을 뿐, 통지나 신고 의무를 구체적으로 부여하고 있지 않다. 일본 개인정보보호위원회가 발간한 ‘개인정보보호법 가이드라인(통칙편)’은 “개인정보 취급사업자는 취급하는 개인 데이터의 유출, 멸실 또는 훼손(이하 “유출 등”이라 함)의 방지, 기타 개인 데이터의 안전 관리를 위해 필요 적절한 조치를 강구해야 하나, 해당 조치는 개인 데이터가 유출 등을 한 경우에 본인이 입게 되는 권리와 이익의 침해 정도를 고려해 사업의 규모 및 성질, 개인 데이터 취급 상황(취급하는 개인 데이터의 성질 및 양을 포함함), 개인 데이터를 기록한 매체의 성질 등에서 기인하는 리스크에 따라 필요 적절한 내용이어야 한다.”고 설명하고 있다.

 

아울러, 유출 등의 사안 발생 시 대응에 관한 규정을 담은 법 제42조는 제1항에서 개인정보보호위원회의 권고를, 제2항에서 명령을, 제3항에서 긴급명령을 내릴 수 있는 근거를 마련하고 있는데, 개인정보의 유출 등에 관한 법 제20조를 위반하는 경우 개인정보보호위원회는 법 제42조에 의거하여 ‘해당 위반 행위의 중지, 기타 위반을 시정하기 위해 필요한 조치를 취해야 한다는 권고’를 할 수 있고(제1항), 권고를 받은 개인정보 취급사업자 등이 정당한 이유 없이 해당 권고에 관계된 조치를 취하지 않을 경우, ‘해당 권고에 관계된 조치를 취할 것을 명할 수 있으며’(제2항), 위 두 항의 규정과 관계 없이 개인정보 취급사업자가 제20조를 위반한 경우 필요에 따라 ‘해당 위반 행위의 중지, 기타 위반을 시정하기 위해 필요한 조치를 취할 것’을 명할 수 있다(제3항). 다시 말해, 법 제42조에 의하는 경우라 할지라도 개인정보 유출 통지· 신고가 법적 의무에 해당하는 것은 아니라는 점을 확인할 수 있는 것이다.

 

다만, 일본 개인정보보호위원회가 발간한 “개인 데이터 유출 등의 사안 대응 고시 – 개인 데이터 유출 등의 사안이 발생한 경우 등의 대응에 관하여(2017년 개인정보보호위원회 고시 제1호)” 및 “”개인정보보호에 관한 법률 가이드라인” 및 “개인 데이터 유출 등의 사안이 발생한 경우 등의 대응에 관한 Q&A”(’17. 2. 16., 같은 해 5. 30. 갱신)”에 의하는 경우 개인 데이터 유출이 발생한 개인정보 취급사업자 등은 (1) 필요한 조사 및 예방적 조치를 취하고, (2) 침해 사건의 성격을 공표하고, 문제를 해결하기 위한 조치를 취하기 위해 노력하며, (3) 필요한 경우 정보주체에게 침해 사실을 통지하거나 공개할 것이 권고된다.

 

특히, “개인 데이터 유출 등의 사안이 발생한 경우 등의 대응”에 관한 Q&A(개인정보보호위원회, 2017)에서는 다음과 같은 설명을 제공하고 있다.

 

Q. 12-5 유출 등의 사안이 발각된 경우에 강구해야 할 조치의 “(5)영향을 받을 가능성이 있는 본인에 대한 연락 등” 및 “(6)사실 관계 및 재발 방지책 등의 공표”에 “유출 등의 사안의 내용 등에 따라”라고 적혀 있는데, 어떠한 경우에 본인에 대한 연락 등이나 공표를 하지 않아도 됩니까?   A. 12-5 예를 들어 유출 등의 사안과 관계된 개인 데이터 또는 가공 방법 등의 정보를 제3자가 열람하기 전에 신속히 회수한 경우, 고도의 암호화 등으로 은닉되어 있는 경우, 유출 등을 한 사업자 외에는 특정 개인을 식별할 수 없는 경우이면서 본인에게 피해가 발생할 우려가 없는 경우 등, 유출 등의 사안에 따라 본인의 권리 이익이 침해되지 않았으며, 2차 피해 방지의 관점에서도 필요 없다고 인정되는 경우 등에는 본인에 대한 연락 등이나 공표를 생략할 수도 있다고 생각됩니다. 또한, 공표에 대해서는 사이버 공격에 의한 경우 등에서 공표하는 것으로 인해 오히려 피해 확대로 이어질 가능성이 있다고 생각될 경우에는 공표를 하지 않고, 전문 기관 등에 상담할 수 있습니다. 또한, 유출 등의 사안의 영향을 받을 가능성이 있는 본인 모두에게 연락이 닿은 경우에 공표를 생략할 수도 있습니다.

 

다만, 금융 부문에서의 개인정보보호를 위한 개인정보보호위원회 및 재무성 공동 가이드라인은 개인정보 침해가 발생한 경우 개인정보 취급 사업자가 침해 사실을 관련 정보주체에게 즉시 통지해야 한다는 내용을 담고 있다. 또한, 관계당국에 대한 신고에 있어서도 이와 동일하다. 이상의 내용에 비추어, 일본은 금융 정보와 같은 민감성 높은 개인정보에 한하여 실질적 의미에서의 통지 의무를 부과하고 있을 뿐, 개인정보 유출에 대해서는 일반적으로 통지·신고를 의무화 하고 있지 않다고 정리할 수 있다.⁽⁷⁾

 

 

나아가며

 

위에서 살펴본 바와 같이 우리나라의 개인정보 통지·신고 제도는 세계 주요 국가의 관련 법제와 비교하여 매우 경직되어 있고, 불필요한 사회적 갈등을 야기할 소지를 내포하고 있다. 특히, 정보주체의 자유와 권리에 미칠 수 있는 실질적인 위험을 고려하지 않고, 지극히 형식적인 통지·신고 절차만을 규정하고 있다는 점은 매우 큰 문제이다. 이의 개선을 위해, ▲유출 통지·신고의 대상이 되는 개인정보를 민감성이 높은 정보로 한정하고, ▲유출 개인정보 입수자가 통상적인 수단을 동원하는 경우 알아볼 수 없도록 조치된 경우, 개인정보 유출에 대한 통지·신고 의무를 면책해주는 한편, ▲유출과 관련된 범죄수사 등 법이 필요한 것으로 정하는 경우, 통지·신고를 유예할 수 있는 규정을 마련하고, ▲예외적으로 공지의 방식으로 통지· 신고를 갈음하는 경우 개인정보처리자를 특정 조건에 따라 차별적으로 대우하지 않아야 할 것이다.

 

이와 같은 개선을 통해 해외 법제와의 상호 운영성(interoperability)를 향상시킬 수 있고, 개인정보처리자로 하여금 과도한 부담으로 인한 통지·신고 회피를 예방할 수 있으며, 정보주체의 권리와 자유에 실질적 위험이 발생하는 경우에만 통지·신고를 진행하도록 하여 정보주체의 ‘위험 민감도(sensitivity to risks)’를 향상시켜 위험상황에 대한 자기보호 능력을 향상시킬 수도 있을 것이다.