검색
연구논단

정보통신·전자금융 주요 개정 법률 관련 유의사항

구태언 변호사(테크앤로 법률사무소 대표)

1. 정보통신망법 주요 개정 사항과 유의사항

지난 2012년 '정보통신망 이용촉진 및 정보보호에 관한 법률'(이하 '정보통신망법')에 개인정보보호에 관한 제도가 대폭 도입된 이래, 2014년초 발생한 카드3사 대규모 회원 정보 유출 사고를 계기로 정보통신망법이 다시 한 번 큰 폭으로 개정되었다.
쪾 수집금지 개인정보의 확대 및 최소수집 원칙의 명문화(제23조)
개정 정보통신망법(이하 '개정법')은 수집금지 정보의 범위를 '사상, 신념, 가족 및 친인척관계, 학력(學歷)·병력(病歷), 기타 사회활동 경력 등'으로 확대시켰고(제23조 제1항 본문), 최소수집 원칙(같은 조 제2항)과 필요최소한의 정보 이외의 정보를 제공하지 아니한다는 이유로 서비스의 제공을 거부하여서는 아니 된다는 점(같은 조 제3항)을 명문화 하였다.
2014년 주무부처 정책의 두 축이 ① '최소 수집'과 ② '지체 없는 파기'라는 점과 이는 2015년에도 지속될 것으로 보이는 점에 비추어 볼 때, 위 개정은 매우 중요한 의미를 갖는다. 특히 개인정보 누출등 또는 오남용이 발생했을 때 사업자로서는 사고경위는 물론이고 그 정보가 필요최소한의 정보라는 점에 관하여 소명 할 수 있어야 할 것이다. 그렇지 못한다면 행정제재부터 집단소송에 이르기까지 커다란 어려움에 직면할 가능성이 높다.
쪾 동의 없는 위탁 제공 사유의 제한(제25조 제2항)
구법상 '계약을 이행하기 위하여 필요한 경우'에는 예외적으로 동의 없는 위착 제공이 가능하였기 때문에(제25조 제2항), 종래 사업자들은 동 규정을 근거로 동의 징구 의무를 피하여 왔던 것이 사실이다. 그러나 개정 정보통신망법은 동의 없는 위탁 제공 요건에 '이용자 편의 증진 등을 위하여 필요'할 것을 추가하였다. 사업자는 기존의 위탁 제공이 개정법의 요건을 충족하는지 여부를 재점검하여야 한다.
쪾 영업양수자의 고지 의무 강화(제26조 제2항)
개정법은 공개 또는 통지 사항을 명확하게 정리하면서, 단서를 삭제하여 양수인의 고지 의무를 강화하였다. 회사에 영업양도 등의 이슈가 발생할 경우 재무, 회계 부서나 TFT 외에 CPO 및 개인정보보호부서도 함께 관여를 해야 하고, 특히 금융기관의 경우 금융당국의 승인 절차 등을 꼼꼼히 준비하여야 한다.
쪾 개인정보 유출 통지 및 신고 의무 강화(제27조의3)
개정법 제27조의3은 통지 및 신고 기간을 24시간으로 단축하였다. 실무적으로는 '정당한 사유'를 소명하거나, 기초 사실을 통지·신고하고 추가 통지·신고를 하는 방법이 있을 수 있다. 어느 경우이건 사업자는 신고서 작성과 고객 통지문을 작성할 때 불필요한 오해를 방지하고 향후 제재와 소송에서 불리하게 작용하지 않도록 세심한 주의를 기울여야 한다.
쪾 개인정보 파기 방법 명문화(제29조) 및 미파기죄 신설(73조 1의2호)
개정법상 가장 문제가 많은 조항 중 하나가 바로 '파기'에 관한 제29조라 할 수 있다. 사업자는 개인정보를 파기할 때 복구·재생할 수 없도록 하여야 하고, 미파기시 2년 이하의 징역 또는 2천만원 이하의 벌금이라는 형벌을 규정하고 있다(제73조 1의2호). 미파기죄의 심각성은 동 죄가 '부작위범'이라는 점에 있다. 사업자들은 파기 대상 개인정보 식별, 파기 절차 및 실시·점검 프로세스를 구축하여야 한다.
쪾 법정손해배상제도의 도입(제32조의2)
제32조의2에 따르면 이용자는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있고, 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 사업자는 관련 법령을 철저히 준수하고 이를 입증할 증적을 철저히 관리하여야 한다.
쪾 과징금 부과 요건 추가 및 액수 상향(제64조의3)
개정법은 제64조의3에서 과징금의 상한선을 위반 관련 매출액의 1%에서 3%로 대폭 상향하였다. 또한 위탁자가 관리·감독을 소홀히 하여 수탁자가 제4장 규정을 위반한 경우를 이 과징금 대상에 포함시켰다. 또한 개인정보를 분실·도난·누출·변조 또는 훼손한 경우로서 개인정보 보호조치가 미비한 경우에도 과징금을 부과할 수 있다. 방송통신위원회는 인과관계를 불문한다는 입장인 반면, 유독 이 경우에만 인과관계를 요구하지 않을 법리적·실체적 이유를 찾을 수 없다는 반론도 유력하다. 방카슈랑스 등 수탁자가 법적 지위와 달리 '갑'의 실질을 갖는 경우 위탁자로서는 파기 요청 공문 정기발송 등 관련 법상 관리감독의무를 준수하였다는 증적을 꾸준히 확보하여야 한다.

2. 전자금융거래법 주요 개정 사항과 유의사항

지난 2007년 전자금융거래법이 전세계에서 최초로 시행된 이래, 2013년 해킹 관련 금융회사 또는 전자금융사업자의 책임 명확화에 이어 2014년 10월 전자금융거래법 일부개정법률(법률 제12837호, 이하 '개정법률')이 공포되었다. 2015년 4월 16일부터 시행될 이번 개정 법률은 공인인증서 사용강제 금지, CISO의 겸직금지, 금융회사 및 전자금융업자의 책임 강화 등의 내용을 담고 있다.
쪾 공인인증서 강제 금지(제21조 제2항, 제3항 신설)
해외소비자들이 국내 온라인 쇼핑몰에서 제품을 구매하는 것이 어렵다는 불만이 제기된 이후, 전자상거래 카드결제 시 공인인증서 사용의무가 폐지(전자금융감독규정 시행세칙 제4조 개정)되었다. 이후 감독당국은 간편하고 안전한 "One-Click 결제서비스" 도입을 위해 공인인증서 이외의 대체인증수단을 제공하고, Active-X 없는 전자상거래 도입 등을 골자로 하는 전자상거래 결제 간편화 방안을 발표하였다. 개정법률은 제21조 제2항에서 금융회사, 전자금융업자 및 전자금융보조업자(이하 "금융회사 등")가 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 준수하여야 하는 전자금융감독규정 등의 규정에 '「전자서명법」에 의한 인증서의 사용 등 인증방법'에 관한 기준을 추가하고, 제21조 제3항을 신설하여 금융위원회로 하여금 위 기준을 정할 때 특정 기술 또는 서비스의 사용을 강제하여서는 아니 되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 할 의무를 부여하였다. 개정법률에 따르더라도 '인증방법에 대한 기준'을 정할 권한은 여전히 금융위원회에 있음을 알 수 있다.
개정법률에 따라 금융회사 등은 공인인증서를 대체할 수 있는 전자서명 관련 솔루션을 본인확인을 위한 보안수단으로 선택할 수 있게 됐고, 핀테크산업 육성을 위한 사전 보안성 심의 폐지 검토 등 전자금융 관련규제의 개편과 발맞춰 특정 기술을 사실상 강요하는 기술 장벽을 철폐해 다양한 핀테크 금융상품이 만들어질 수 있는 토대를 제시한 법률개정이다. 이 개정규정은 다른 조항과는 달리 공포 후 1년이 경과한 날부터 시행한다(부칙 제1조).
쪾 정보보호최고책임자의 겸직제한(제21조의2 제3항 신설)
전자금융거래법은 최근 개정된 정보통신망법의 정보보호최고책임자 지정에 한발 더 나아가 최고정보책임자(CIO)가 최고정보보호책임자를 겸직하지 못하도록 하였다. 최고정보책임자는 IT시스템을 업무효율성을 높이기 위해 IT시스템을 구축·운영하고자 하는 목표를 가지고 있는데 반해, 정보보호최고책임자는 CIO의 운영에 대해 보안상 취약점을 점검하여 이를 보완하는 것이 주된 업무이다. CISO는 정보보호기술과 보안정책에 특화된 업무를 수행하고, CPO는 개인정보보호 관련 법령을 얼마나 준수하고 있는지를 검토하게 되는데, 사실상 개인정보보호 관련 법령의 보안대책이 정보 보호 기술을 포함하고 있는 등 법령상 밀접한 관련을 갖고 있어 인력양성을 통한 장기적 겸직이 바람직하다.
쪾 개인신용정보의 유출 및 부당이용 관련 금융회사 및 전자금융업자의 책임 강화(제46조의 제1항 신설 등)
개정법률은 전자금융거래정보를 제공·누설하거나 업무상 목적 외에 사용한 경우에 대한 50억원이하의 과징금을 부과할 수 있도록 하고, 접근권한을 가지지 아니한 자의 데이터 유출 행위 및 전자금융거래업무를 수행함에 있어 알게 된 정보를 타인에게 제공·누설하거나 업무상 목적 외에 사용하는 행위에 대한 벌칙을 10년 이하의 징역 또는 1억원 이하의 벌금으로 강화하였고, 금융회사 등이 전자금융거래의 안전성과 신뢰성을 확보하기 위한 의무를 이행하지 않을 경우 등에 대한 과태료 부과규정을 신설하였다. 이러한 책임 강화 조항은 2014년 7월 23일 신설된 금융기관 검사 및 제재에 관한 규정 시행세칙 <별표3>에서 신설된 위반유형과 제재기준과 연결하여 보아야 한다. 개인신용정보인 전자금융거래정보 등의 부당이용 또는 유출이 있는 경우 부당이용은 500건이상, 유출은 50건이상이라도 업무정지 또는 정직이 가능하도록 변경되었다. 금융감독당국은 핀테크 산업 육성을 위해 보안성 심의 폐지 등의 규제 완화를 추진하면서도, 동시에 개인신용정보의 부당이용이나 유출에 대해서는 금융회사 및 전자금융업자의 책임을 강화하고 있다는 것에 유념하고 관련 법령의 준수에 보다 관심을 기울일 필요가 있다.

리걸에듀