[민후의 기·꼭·법]정보통신망법 일부개정에 따른 기업의 준비사항

이미지: 픽사베이

[법무법인 민후 이혜윤 변호사] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)이 2018년 6월 12일 법률 제15628호로 일부 개정되었다. 개정법은 정보통신 분야의 개인정보의 보호에 관하여 현행법과 「개인정보 보호법」의 적용이 경합하는 경우에 현행법을 우선 적용하도록 명시적으로 규정하고 있으며, 최근 이동통신단말장치를 통한 정보수집이 증가함에 따라, 방송통신위원회에게 정보통신서비스제공자의 이동통신단말장치 접근권한 설정에 관한 실태조사 실시권한을 부여하고 있다.

또한, 기업 내의 담당자가 반드시 확인해야 할 정보통신망법상 개정 내용을 보면, 일정 규모 이상의 정보통신서비스 제공자등에게 손해배상책임을 위한 보험 또는 공제에 가입하거나 준비금을 적립하도록 하고 있으며, 정보보호 최고책임자는 정보보호에 관련된 업무 외에 다른 업무를 겸직할 수 없도록 겸직금지 조항을 신설하였다.

개정법에 따르면 정보통신서비스 제공자등에 해당하는 기업은 향후 손해배상 책임을 위한 기업 내의 준비와, 정보보호 최고책임자의 업무 범위를 조정하여야 할 필요성이 있는바, 이하에서 개정법의 내용을 상세히 살펴보도록 한다.

정보통신망법의 우선 적용 명시(제5조)

개정법은, 제4장의 개인정보의 보호에 관하여 이 법과 「개인정보 보호법」의 적용이 경합하거나 제7장의 통신과금서비스에 관하여 이 법과 「전자금융거래법」 의 적용이 경합하는 때에는 이 법을 우선 적용한다고 개정함으로써 개인정보의 보호에 관하여 현행법과 「개인정보 보호법」의 적용이 경합하는 경우에 정보통신망법을 우선 적용하도록 하는 명시적인 조항을 마련했다.명시적인 법 개정 이전에도 개인정보보호법과 정보통신망법상 상이한 규정이 있는 경우, 개별법우선원칙에 따라 정보통신망법이 먼저 적용되기는 하였으나, 본 개정에서 명시적으로 이를 정하였다는 점에 의의가 있다.

이동통신단말장치 접근권한 설정에 대한 실태조사 조항 신설

기존 정보통신망법 제22조의1에 따르면, 정보통신서비스 제공자는 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”)이 반드시 필요한 경우에는 이용자에게 접근권한이 필요한 정보 및 기능의 항목, 접근권한이 필요한 이유를 알리고 이에 대한 동의를 받아야 한다. 또한 해당 서비스 제공을 위해 반드시 필요한 접근권한이 아닌 경우 위 두 가지 이외에 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실까지 알리고 이에 대한 동의를 받아야 한다.

그러나 최근 대다수의 어플리케이션이나 웹사이트 등에서 이동통신단말장치에 대한 접근권한 동의를 받고 있고, 특히 일괄적으로 동의를 받는 과정에서 정보통신서비스 제공자 등의 서비스 이행에 반드시 필요하지 않다고 판단되는 경우에도 동의하지 않을 권리를 부여하지 않는 경우가 있어, 실질적인 이용자 보호를 위해 개정법은 방송통신위원회로 하여금 정보통신서비스 제공자등의 접근권한의 설정이 관련 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있도록 하는 조항을 신설하고(법 제22조의1 제4항 신설), 그 구체적인 사항은 대통령령으로 정하도록 하였다.

손해배상의 보장을 위한 조항 신설

개정 정보통신망법은 이용자가 정보통신망서비스 제공자등이 개인정보 보호 의무를 위반하여 손해를 입게 되는 경우, 정보통신망서비스 제공자등이 이용자에게 손해배상책임의 이행을 확보하기 위하여 손해배상 보장에 관한 조항을 신설하였다.

이 신설 규정에 따르면, 정보통신서비스 제공자등은 법 제32조 내지 제32조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다(제32조의3 신설 등). 그 구체적인 사항은 대통령령으로 정하도록 하였는바, 일정 규모 이상의 기업은 추후 정보통신망법 시행령 개정을 반드시 확인하고 이에 따른 적절한 준비를 하여야 한다.

정보보호 최고책임자(CISO)의 겸직 금지 조항 신설

정보통신망법은 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하도록 하면서(법 제45조의3 제1항), 특히 위 조항에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정한다)는 정보보호와 관련된 정보보호관리체계의 수립 및 운영 등의 업무 외의 다른 업무를 겸직할 수 없도록 하는 겸직 금지 조항을 신설하였다(제45조의3 제3항 및 제7항 신설).

이에 따라 기업에서는 위 조항이 시행되는 2019. 6. 13. 이전에 정보보호 최고책임자의 업무범위를 법령에 맞게 재정립하고, 현재 겸직하고 있는 업무가 무엇인지 파악하고 이를 변경하여야 한다.

유통 금지 불법정보 추가 및 구매자정보 제공 요청권 신설

개정 정보통신망법은 정보통신망을 이용하여 총포·화약류를 제조할 수 있는 방법이나 설계도 등의 정보 유통을 금지함으로써(제44조의7제1항제6호의3 신설) 유통을 금지하고 있는 불법정보의 종류를 추가하였고, 통신과금서비스를 이용하는 이용자가 이용자 자신의 의사에 따라 통신과금서비스가 제공되었는지 여부를 확인하기 위하여 필요한 경우에는 거래 상대방에게 구매자정보의 제공을 요청할 수 있도록 할 수 있는 권한을 신설하였다(제58조의2 신설 등).

이번 개정에 따라 기업에서는 이동통신단말장치를 통한 접근권한에 관한 이용자 동의를 받는 경우 이를 적절히 이행하고 있는지 다시 한 번 점검하여야 하며, 특히 손해배상 보장을 위한 보험 가입 또는 공제 가입을 미리 준비하여야 한다. 또한 현재 정보보호 최고책임자를 두고 있는 기업에서는 정보보호 최고책임자의 업무 범위를 재설정하고 겸직을 금지하여야 한다.

또한 제32조의3 제1항을 위반하여 보험 또는 공제 가입, 준비금 적립 등 필요한 조치를 하지 아니한 경우 2천만원 이하의 과태료가 부과될 수 있으며, 제58조의2(제59조제2항에 따라 준용되는 경우를 포함한다)를 위반하여 통신과금서비스이용자의 정보 제공 요청에 따르지 아니한 자는 1천만원 이하의 과태료가 부과될 수 있으므로 각별히 주의하여야 할 것이다.

법무법인 민후 이혜윤 변호사