개인정보보호의 시작은 사업자의 자발적인 개인정보보호 의지와 법률에서 정한 최소한의 규제 준수라 할 수 있습니다. 그런데 개인정보에 관해 두 가지 대표되는 법률이 있어 어떤 법의 내용을 따라야 하는지 혼란을 겪는 경우가 적지 않습니다.
– 개인정보보호법
– 정보통신망 이용촉진 및 정보보호 등에 관한 법률
‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’의 개인정보보호 조항들과 ‘개인정보보호법’은 개인정보보호라는 동일한 가치를 지향하지만, 그 규정과 규제의 범위에 일부 차이가 있으며 각 법률의 적용을 받는 대상도 다릅니다.
정보통신망법에서 처음으로 ‘개인정보’라는 용어를 사용한 것은 1999년입니다. 그런데 이 때부터 정보통신망법은 ‘정보통신서비스제공자등’에게만 개인정보보호 의무를 부과하고 있습니다. 때문에 (은행이나 공공기관처럼 다른 개별 법에 특별히 개인정보보호의무가 규정되어 있는 경우를 제외하고) ‘정보통신서비스제공자등’이 아닌 다른 사업자들은 법령에 의한 구체적인 개인정보보호 의무가 없었습니다.
이후 개인정보보호가 모든 분야에서 중요하다는 인식이 생기며, 2011년에 ‘공공기관의 개인정보보호에 관한 법률’을 대체하는 일반법으로 ‘개인정보보호법’이 제정되고 모든 개인정보처리자들은 현재와 비슷한 개인정보보호 의무를 부담하게 되었습니다.
1999년, 정보통신망법에 개인정보보호에 관한 단 3개의 조가 추가될 당시, 적용 대상이 되는 사업자는 ‘정보통신서비스제공자’로 한정되었습니다. 아마도 그 이유는 DB화된 대량의 개인정보를 보유하는 ‘정보통신서비스제공자’의 보유정보를 특히 더 잘 관리해야 한다고 보았기 때문일 것 입니다. 개인정보의 건 수나 유통의 용이함 측면에서 정보통신서비스제공자가 처리하는 개인정보의 유출이 다른 사업자의 정보유출에 비해 더 큰 파급력을 가진다는 사실은 지금도 같습니다.
때문에 정보통신서비스제공자는 개인정보보호법 뿐 아니라 더 강력한 규정을 가진 정보통신망법을 우선으로 준수해야 하는 것입니다.
‘정보통신서비스제공자등’에게만 의무를 부과하는 정보통신망법은 개인정보보호법보다 더 강력한 규제들을 포함하고 있습니다.
개인정보 라이프사이클 관리를 위한 정보통신망법 위임 규정인 ‘개인정보의 기술적 관리적 보호조치 기준’(방통위고시) 역시, 개인정보보호법이 위임하는 규정인 ‘개인정보의 안전성 확보조치 기준’(행자부고시)보다 전반적으로 더 강력하고 비용이 많이 드는 규제를 포함하며 모든 사업자에게 예외 없는 동일한 조치를 요구합니다.
반면, 개인정보보호법의 위임 규정인 ‘안전성확보조치’는 개인정보처리자의 유형을 세가지로 분류하고 유형 별로 개인정보의 관리기준을 완화하여 정하고 있습니다.
이 밖에도, 개인정보보호법에 의하면 개인정보처리자는 1만건이상의 정보유출 사고 시에만 정책기관에 신고할 의무가 부과되지만, 정보통신망법의 적용을 받는 정보통신사업자는 단 한 건의 개인정보 유출 만으로도 신고를 하여야 한다는 규정.
개인정보처리 업무 위탁 시 개인정보보호법에서는 정보주체에게 고지만 함으로써 위탁이 가능한 반면, 정보통신망법에서는 정보주체의 동의를 받아야 하는 위탁할 수 있다는 규정 등.
두 개의 법률이 각각 다른 정보보호수준을 요구하는 경우가 많이 있으므로 정보통신서비스 제공자가 개인정보보호법만을 준수하다가 정보통신망법을 위반하여 불이익을 받지 않도록 유의해야 합니다.
1. 전기통신사업자로 신고된 사업자인가?
2. 인터넷 홈페이지를 운영하는 영리사업자인가?
3. 위의 정보통신서비스제공자에 해당하는 자로부터 개인정보를 제공받은 사업자 인가?
(‘정보통신서비스제공자등’에 해당)
위 세가지 질문은 자신의 사업장이 ‘정보통신서비스제공자등’에 해당하는지를 체크하는 질문입니다. 해당한다면 정보통신망법의 적용 대상이 됩니다.
사실, 인터넷 홈페이지를 운영하는 영리사업자의 경우 대부분 ‘정보통신서비스제공자’에 해당하므로 정보통신망법의 적용을 받습니다. 자신의 사업장에 적용되는 특별법이 있는지 확인 후 있다면 아래와 같이 [정보통신망법(특별법)> 개인정보보호법> 개별이용자계약]을 우선순위로 준수하여야 합니다.
1. 공공기관을 포함하여, 모든 ‘개인정보처리자’는 개인정보보호법을 준수해야 합니다.
2. ‘정보통신서비스제공자’와 그로부터 개인정보를 제공받은 자를 의미하는 ‘정보통신서비스제공자’는 정보통신망법을 우선 적용해야 합니다. 그리고 정보통신망법에 규정되어있지 않은 사항은 개인정보보호법을 적용합니다.
3. 다른 법률에 특별한 규정이 있는 개인정보처리의 경우, 해당 특별법을 우선 적용하고 나머지 사항은 일반법인 개인정보보호법을 적용합니다.