개인정보 침해방지 위한 효과적 제도 모색할 때[기고/송지희]

송지희 서울시립대 경영학부 교수

바야흐로 데이터 경제 시대다. 개인정보가 고부가가치 창출의 원천이다. 이렇듯 개인정보의 자산적 가치가 날로 높아지다 보니 개인정보 유출이라는 부작용도 끊임없이 발생하고 있다.

개인정보보호위원회 자료에 따르면 2021년 기준 141건이었던 개인정보 유출 신고 민간기업 수가 2023년에는 1월에만 51건인 것으로 확인된다. 개인정보 유출 등에 대한 규제가 강화되고 있는데 왜 개인정보 유출 사건이 반복되는 것일까? 개인정보 유출 행위의 지능화, 다양화, 그리고 정보통신기술(ICT) 환경을 원인으로 꼽을 수 있다.

신기술의 진화, 새로운 서비스가 등장하는 디지털 대전환의 이면에는 보안 위협이 항상 도사리고 있다. 그나마 개인정보보호위원회가 앞장서 데이터 활용과 보호 간의 균형점을 찾기 위해 노력하고 있으며, 기업들도 개인정보 보호를 위한 투자 규모를 확대하고 있어 다행이다.

개인정보 보호조치 의무 수행은 안전한 데이터 활용 기반 조성을 위해 기업들이 수행해야 할 사회적 책임이며, 고객 신뢰를 기반으로 한 기업의 경쟁력 강화를 위한 필수 전략으로 이해되고 있다.

기업이 개인정보 보호를 위해 기본적인 조치를 하지 않아 개인정보가 유출되는 사건이 발생한 경우 해당 기업에 그 책임을 묻는 것은 당연하다. 특히, 안전조치 의무 소홀로 고객의 개인정보가 유출되고 그로 인해 사회적, 금전적 피해가 발생한 경우라면 더욱 그러하다.

그러나 정보보안 사고에 대응하는 정책적 목표가 개인정보 유출에 책임이 있는 당사자를 단순 처벌하는 데 그치는 것이 아니라, 재발 위험을 방지하는 데 있다는 점도 중요하게 고려되어야 한다. 올 3월 개정된 개인정보보호법에서는 개인정보 유출에 대한 과징금 부과 시 위반 행위에 상응하는 비례성뿐만 아니라 침해 예방에 대한 효과성 확보를 명시함으로써, 형벌 중심의 제재를 경제 제재 중심으로 전환하였다.

기업의 데이터 활용 역량을 강화할 수 있는 제도적 기반을 선도적으로 조성해 미래 국가 경쟁력을 강화하고 글로벌 시장을 선점하기 위해서는, 정부의 정책 결정은 침해 예방이라는 행정의 목적에 맞게 이루어져야 한다. 동시에 개인정보 유출 사건에 대한 기업의 책임 범위를 명확히 하는 노력도 필요하다. 개인정보보호법 위반 수준이나 개인정보 유출 사고로 인한 피해 규모뿐만 아니라 안전성 확보와 위반 행위 시정 등 기업의 노력 등을 함께 고려해 제재 수준을 정하는 것이다.

이러한 검토 없이 과도한 수준의 제재를 부과할 경우 고객의 개인정보 보호를 위한 기업들의 투자 여력의 저하로 국가적 차원에서 손해일 수 있다. 개인정보 보호를 위한 원천 기술 확보와 정보보안 산업 규모 확대라는 국가의 거시적 정책 달성을 위해서는 민간 부문의 노력이 국가 정책의 효과적 달성을 위해 필수이기 때문이다. 기업들이 개인정보 보호 의무를 다하면서 동시에 개인정보 보호에 대한 새로운 투자를 통해 사회적 가치를 창출할 수 있도록 정부가 실효성 있는 제도적 기반을 조성하는 것이 필요한 시점이다.


송지희 서울시립대 경영학부 교수