美 연방통신위원회, 통신사 개인 정보 이용 규제 강화 VS 페이스북 구글 규제 대상 제외

미국에서 고객 정보를 이용할 때 소비자 동의를 받아야 하는 등 규제 강화에 나섰다.

반면에 이러한 고객정보 규제가 페이스북, 구글 등과 같은 인터넷 기업에는 적용되지 않는다. 그동안 소비자의 웹사이트 방문 기록이나 앱 사용 기록 등은 프라이버시라고 여겨지지 않았다. 이같은 조치는 통신사들이 소비자 데이터를 ‘타깃 광고’ 확대 기회로 삼고 있는데 따른 것이다. 

7일 美 연방통신위원회(FCC)에 따르면 통신사들이 고객 정보를 이용할 때 반드시 고객의 허락을 받도록 하는 등 규제 강화에 나섰다. 인터넷 서비스 제공자가 제3자에게 위치정보와 인터넷 검색 기록 등 개인정보를 명시적인 동의 없이 공유하는 것을 금지하도록 한다. 

나와 관심이 같은 사람이 본 뉴스
 

韓,개인정보 규제체계, 글로벌 스탠더드에 맞게 개선

사물인터넷, 클라우드 컴퓨팅 등 정보통신기술(ICT) 발전에 따라 개인정보를 활용하는 다양한 서비스가 증가하고 있으나, 현행 온라인상의 개인정보 및 위치정보 규제체계는 시장환경의 변화 및 글로벌 트렌드를 제대로 반영하지 못해 개인정보 보호에도 부족하고 이용 활성화도 저해한다는 비판이 있어왔다. 

이에 따라 방송통신위원회(위원장 최성준)는 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있도록 개인정보보호 관련 법체계간 정합성을 맞추고 글로벌 스탠더드(global standard)를 고려하여 개인정보 보호는 강화하면서도 규제를 합리화하기 위해 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하, “정보통신망법”이라 한다), 「위치정보의 보호 및 이용 등에 관한 법률」(이하, “위치정보법”이라 한다) 및 위치정보법 시행령 개정안을 마련하였다고 밝혔다. 

현행법은 이용자가 제3자 제공에 동의만 하면 유상판매도 가능하다는 문제가 있어, 이용자가 유상판매 여부를 인지하여 제3자 제공 동의를 선택할 수 있도록 ‘개인정보 유상 제공 여부’에 대해 이용자에게 고지하도록 규정하였다.

또한 개인정보 수집ㆍ이용 및 제공 등의 ‘동의 철회권’을 ‘처리정지 요구권’으로 확대하여 예외적으로 동의없이 개인정보를 수집・이용・제공하는 경우에도 이용자가 사후에 처리정지를 요구할 수 있도록 개인정보 자기결정권 보장을 강화하였다.

글로벌 비즈니스의 확대로 한번 국외이전된 개인정보가 다시 제3국으로 재이전되는 사례가 늘어남에 따라 재이전될 때에도 개인정보 보호에 문제가 생기지 않도록 원칙적으로 동의를 받고, 기술적·관리적 보호조치를 취하도록 하였으며, 정보통신망법을 위반하여 국외이전 또는 재이전이 이루어져 이용자의 권리가 침해될 우려가 있을 경우 방송통신위원회가 국외이전・재이전 중단 명령을 할 수 있도록 규정하였다.

한편, 다른 개인정보보호 관련 법체계 및 국제적 수준 등을 고려하여 합리적으로 개선 및 보완하기도 하였다.

현행 정보통신망법에서는 개인정보 수집·이용·제공이 이뤄지지 않으면 계약의 체결 및 이행이 불가능한 경우에 대해서도 제한적으로 동의 예외를 규정하고 있어 이를 보완하였으며, 위급한 상황에서 이용자의 생명·재산의 이익을 보호하기 위해 필요한 경우를 사전동의 예외로 추가하였다.

 

또한 국외이전의 경우에도 계약 이행을 위하여 필요한 경우를 사전동의 예외로 규정하고 있는 현행 규정을 보완하여 법률 등에 특별한 규정이 있는 경우, 국외이전받는 자가 방송통신위원회가 지정하는 인증을 받은 경우를 예외사유에 추가하였다.

그동안 동의를 받지 않고 개인정보를 수집한 경우에는 그 수단·방법 등에 관계없이 무조건 정보통신망법에 따라 형벌과 행정제재(과징금·시정명령)의 대상이 되어 과도한 규정이라는 비판이 지속적으로 제기되었다. 이에 부정한 수단·방법으로 개인정보를 수집한 경우에는 지금과 같이 형벌과 행정제재를 병과하되, 이 외의 경우에는 행정제재만 부과할 수 있도록 형벌 적용요건을 강화하였다. 

한편 부정한 방법으로 개인정보가 수집된 사정을 알면서도 영리 또는 부정한 목적으로 제공받는 자에 대한 벌칙을 신설하였다.

글로벌 트렌드 반영 못한 위치정보법..법적 미비사항 보완

05년 제정된 이후 시장환경 변화 및 글로벌 트렌드를 반영하지 못하였던 위치정보법도 개정안을 대폭 마련하였고, 법적 미비사항을 보완하여 정보통신망법과의 정합성을 제고하였다.

먼저 진입규제를 합리화하였다. 택배영업을 위한 드론과 같이 순수하게 사물위치정보*를 수집하는 사업도 개인위치정보 수집의 경우와 동일하게 허가제를 적용해 과도한 진입장벽으로 작용하고 있어, 사물위치정보사업에 대해서는 현행 허가제를 신고제로 완화하였다.

위치정보 개념에서 개인위치정보(다른 정보와 결합하여 특정 개인 위치를 알 수 있는 경우 포함)를 제외한 개념이며, 드론의 위치정보 등이 주요 사례임

또한 소규모 사업자를 위해 신고간주제를 도입하였다. 스타트업 등 영세사업자가 많은 위치기반서비스사업의 경우, 수익성이 불투명한 서비스 준비를 위해서도 사업계획서를 작성해야 하는 등 현행 신고제가 부담이 되어 신규 서비스가 지연되는 문제가 발생하였다. 이에 1인 창조기업 등 소규모 사업자가 상호‧소재지 등 일정 사항을 방통위에 보고하면 신고사업자로 간주하도록 하였다.

불필요한 동의규제도 합리화하였다. 현행법은 사물위치정보에 대해서도 세계적으로 유례가 없이 소유자의 사전동의를 요구하고 있고, 현실적으로 소유자의 동의를 받기 곤란한 경우가 있어서 법규 준수의 어려움이 있었다. 이에 따라 글로벌 스탠더드에 맞게 소유자의 사전동의 없이도 사물위치정보가 처리될 수 있도록 규정하였다.

 

또한 위치정보 보호 강화를 위한 각종 조치도 도입하였다. 먼저 이용자가 사후에 위치정보 처리 여부를 통제할 수 있도록 처리정지 요구권을 도입하여 개인정보 자기결정권을 강화하였으며, 아울러 이동성 있는 물건의 소유자도 처리정지를 요구할 수 있도록 하여 실질적인 관리권을 부여하였다.

이용자의 피해구제를 강화하고 위치정보법 위반행위에 대한 규제의 실효성 강화를 위해 정보통신망법 등에서 도입한 징벌적 손해배상제도 및 법정 손해배상제도를 도입하였으며, 형사처벌 외에 행정제재가 가능하도록 시정조치 및 과징금 규정을 신설하였다.

그간 미비했던 규제체계도 정비하였다. 클라우드 컴퓨팅 확산 등으로 위치정보의 처리위탁 및 국외이전 사례가 늘어나고 있으나, 정보통신망법과 달리 이에 대한 법적 근거가 미비하였다. 이에 위치정보 처리위탁 규정 및 국외이전 규정을 신설하여 관련 규제체계를 명확히 마련하였으며, 아울러 정보통신망법 개정안의 경우와 같이 재이전에 대한 법적 보호장치, 국외이전ㆍ재이전 중단 명령권 등을 도입하였다.

방송통신위원회는 기존 개인정보 규제를 합리화하고 각종 개인정보 보호장치를 도입함에 따라, 우리 국민의 개인정보가 실질적으로 보호되면서도 안전하게 활용될 수 있을 것으로 전망했다. 방송통신위원회는 향후 입법예고 기간동안 충분히 의견을 수렴하여 개인정보의 보호와 활용 간의 균형을 유지하여 안전한 개인정보 보호환경을 구축할 수 있는 개정 법령을 마련하겠다고 밝혔다. 

 

방통위, 개인정보보호 관련 국제공조 강화 논의

방송통신위원회 이기주 상임위원은 개인정보보호 관련 국제적 공조를 확대하고 국제기구 및 캄보디아?싱가포르와의 방송통신 협력을 강화하기 위해 9일 출국한다.

이 상임위원은 오는 11일 캄보디아 프놈펜에서 개최되는 제7회 APT* 사이버 시큐리티 포럼(Cyber Security Forum)과 13일 태국 방콕에서 개최되는 IIC** 방송통신 정책 및 규제주간 2016(Policy & Regulations Week 2016)에 참석, 사물인터넷을 중심으로 한국의 정보통신기술(ICT) 신산업 시장동향 및 정책방향을 소개하고 개인정보보호 분야 등의 국제적 공조를 강조할 계획이다. 

*APT 사이버 시큐리티 포럼 - APT(Asia-Pacific Telecommunity, 아-태 전기통신협의체)에서 주관, ?10년부터 매년 열리는 사이버 보안 관련 국제포럼
**IIC 정책 및 규제주간 - IIC(International Institute of Communications, 방송통신국제기구)에서 주관, 방송통신 관련 정책 현안과 해결 방안을 모색하는 국제행사

이와 함께 캄보디아 우정통신부(Ministry of Posts & Telecommunication), 공보부(Ministry of Information), 민영방송 Apsara TV를 방문하여 캄보디아에 대한 한국교육방송공사(EBS) 교육방송 모델 전수를 지원하고, 싱가포르 정보통신미디어개발청(Infocomm Media Development Authority)과 양국 간 방송 프로그램 교류 활성화 방안 등을 논의할 예정이다. 

아울러 이번 방문기간 동안 IIC의 크리스 채프먼(Chris Chapman) 의장, APEC(Asia-Pacific Economic Cooperation, 아-태 경제협력체)의 앨런 볼라드(Alan Bollard) 사무총장과 면담하여, 인력 교류 등 국제기구와의 협력을 통한 방송통신 분야에서의 국제 역량 강화를 도모한다.

개인정보 많이 보유한 기업일수록 개인정보보호 강화

개인정보를 많이 보유하고 있는 사업자 혹은 기관일수록 보다 강력한 수준의 개인정보 보호장치를 갖춰야 한다.

행정자치부(장관 홍윤식)는 기업 규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고, 보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 「개인정보의 안전성 확보조치 기준」을 9월 1일부터 시행한다. 

그간 개인정보 유출사고 방지나 해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게 동일한 기준이 적용돼 왔다.

이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인 안전조치 사항을 반영하는데 어려움이 있었다. 

행정자치부는 「개인정보의 안전성 확보조치 기준」을 개정하여기업 규모 및 개인정보 보유량에 따라 3가지 유형으로 분류하여 안전조치 의무사항을 차등화 했다. 

개정된 주요 내용은 다음과 같다.

안전조치 의무 차등화

개인정보 보유량이 1만 명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다. 아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치 일부도 면제된다. 

개인정보 보유량이 100만 명 미만 중소기업, 10만 명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을 면제하고, 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다. 

개인정보 보유량이 10만 명 이상 대기업 및 공공기관, 100만 명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.

관리적·기술적 안전조치 강화

개인정보 유출사고 예방을 위해 개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도 신설했다. 

더불어 개인정보처리시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치도 추가했다. 이인재 행정자치부 전자정부국장은 “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며, “안전성 확보조치 기준이 합리적으로 개선되어, 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다.”라고 말했다.

관련기사
저작권자 © 뉴스워커 무단전재 및 재배포 금지