"개인정보유출 공표기준 자의적
국민 알권리 보장 위해 개선 필요"
[정보통신신문=박광하기자]
공공기관과 민간사업자를 가리치 않고 주민번호와 성명, 아이디와 비밀번호, 주소 등 민감한 개인정보 유출이 반복되고 있는 상황이지만, 공표기준이 자의적이라 국민의 알 권리를 침해한다는 지적이 나온다.
국회 정무위원회 소속 강병원 의원(더불어민주당, 서울 은평구을)이 개인정보보호위원회에서 받은 자료에 따르면, 최근 3년간(2019~2022년 6월) 공공기관별 개인정보 유출 신고 기관수는 54건, 총 신고 건수는 약 38만건이다.
민간사업자·정보통신서비스제공자의 신고 기관수는 509건, 총 유출 규모는 3828만건으로 드러났다.
수원시청 등 공공기관과 쏘스뮤직, 샤넬, 야놀자 등 국민에 익숙한 기업도 다수 포함돼 있다.
공공기관의 과태료 합계는 7620만원이고, 민간사업자·정보통신서비스제공자의 과징금 합계는 약 17억원, 과태료는 약 3억원에 달한다.
유출된 개인정보 내용에는 성명, 연락처, 주소, 이메일, 직업, 성별, 주민등록번호, 출신학교, 아이디, 비밀번호 등 민감한 정보가 다수 포함돼 있는 것으로 확인됐다.
또한, 강병원 의원은 현재 개인정보위가 개인정보 유출지, 회수 현황 취합에 관한 명확한 기준을 두고 있지 않다며, 이 때문에 매우 민감한 개인정보가 유출되고 있음에도 개인정보위가 사후관리를 방기하고 있다는 지적이 나온다고 짚었다.
강병원 의원은 "각 공공기관이 '개인정보보호 시행계획'을 수립하고 있음에도 불구하고 개인정보가 줄줄 새는 것은, 현 제도에 중대한 허점이 있다는 것"이라며 "개인정보위는 유출 방지 대책의 단순 배포를 넘어서, 시행 여부의 정기적 검토 등 실효적 기능을 할 수 있도록 공공·민간기관과의 협약체결 등을 추진해야 한다"고 제시했다.
그는 이어 "더 큰 문제는 개인정보위의 처분 결과 공표요건이 자의적이라는 사실"이라며 "현행 요건에 따르면 피해자 수가 10만명 이상일 때에만 공표할 수 있고 9만9999명이면 공표할 수 없다는 것인데, 이는 국민 상식에도 어긋나고 알권리를 침해하는 것"이라고 밝혔다.
이와 관련, 개인정보위의 처분결과 공표기준 가운데 제2조에서 정한 공표요건 8가지 중 1개 이상에 해당할 경우 공표가 이뤄지게 된다는 점이 개인정보보호 분야 전문가에 의해 제시됐다. 공표요건이 개인정보위의 자의적 해석에 따라 이뤄진다고 보기 어렵다는 이야기다.
그는 통화에서 피해자 수가 10만명보다 적더라도 △자료제출 요구 및 검사를 거부하거나 증거인멸, 조작, 허위 정보제공 등의 방법으로 조사를 방해한 경우 △1000명 이상 정보주체의 주민등록번호 등 고유식별정보 또는 민감정보를 분실·도난·유출·위조·변조·훼손한 경우 △개인정보보호법 제75조제1항 각 호에 해당하는 위반행위를 한 경우 △개인정보보호법 제75조제2항 각 호에 해당하는 위반행위를 2개 이상 한 경우 △위반행위 시점을 기준으로 위반상태가 6개월 이상 지속된 경우 △최근 3년 내 시정조치 명령, 과태료, 과징금 부과 처분을 2회 이상 받은 경우 △개인정보 유출 및 침해사고로 재산상 손실 등 2차 피해가 발생했거나 불법적 매매를 한 경우 등의 공표요건에 해당할 경우 공표가 이뤄진다고 설명했다.