개인정보 유출 사고 피해를 보장하는 사이버보험인 '개인정보 손해배상 책임 보장제도' 적용이 확대될 상황에서 제도 안착 방안을 두고 정부와 민간 기업 및 보험업계가 고심하고 있다.
개인정보 손해배상 책임 보장제도는 가입한 기업이 개인정보 유출 사고를 겪을 경우 보험사가 정보 주체에게 피해 보상금을 지급하는 제도다. 기업 과실로 개인정보가 유출돼도 정보 주체가 피해 보상을 받으려면 법적 분쟁에 상당한 시간과 노력을 들여야 하는 어려움을 해소하는 것이 취지다. 이에 정부는 해당 제도를 활성화하려 하고 있다.
그러나 보험 의무 가입 기준인 기업의 개인정보 보유량을 파악하는 데 있어 현실적인 어려움이 지속되고 있다는 지적이 나온다. 여기에 개인정보 유출 사고를 야기한 기업에 대한 법적 처분이 약한 것도 보험 가입 확산을 더디게 하는 요인으로 꼽힌다.
■오프라인 사업자도 '사이버보험' 의무 가입 대상 된다
개인정보 손해배상 책임 보장 제도가 시행된 지 만 1년이 되는 작년 말 기준 보험 가입 건수는 1만840건, 지불된 총 보험료는 177억원을 기록했다.
30일 개인정보보호위원회에 따르면 개인정보 손해배상 책임 보장제도 가입 대상을 현 '정보통신서비스 제공자 등'에서 '개인정보처리자'로 변경하는 개인정보보호법 2차 개정안 도입이 추진되고 있다. 작년 정보통신망법 상의 관련 규정이 개인정보보호법으로 이전됨에 따라, 보험 가입 대상도 온라인 외 오프라인 사업자로 확대하는 것이다.
현행법은 개인정보 손해배상 책임 보장제도 의무 가입 대상을 매출액 5천만원 이상, 개인정보 보유량 1천건 이상으로 규정하고 있다. 보험 가입 대상 사업자가 확대됨에 따라 개인정보위는 향후 시행령 개정을 통해 이 기준을 현실적으로 조정, 상향할 방침이다.
■개인정보 보유량 알아야 하는데…사업자·정부·보험업계 '난감'
먼저 제도가 적용된 온라인 사업자들의 경우 보험 가입이 비교적 원만하게 이뤄졌다는 게 보험업계 평가다. 오프라인 사업자에 비해 온라인 사업자는 상대적으로 개인정보 집계 및 관리 업무에 익숙하기 때문에 법규에 따른 보험 가입을 유도하는 과정에서 어려움이 크지 않았다는 설명이다.
반면 향후 법 개정에 따라 오프라인 사업자가 보험 의무 가입 대상에 포함되면 제도 시행에 혼란이 빚어질 가능성이 있다는 관측이 나온다. 의무 가입 대상인지 판별하는 과정이 원활치 못할 것이란 이유다.
개인정보위 관계자는 "매출액은 파악 가능하지만 개인정보 보유량은 기업에서 정보를 제공할 경우에만 파악할 수 있다"며 "시행령 상에서 이런 문제를 어떻게 다룰지 검토하고 있다"고 답했다. 이는 작년 국정감사에서도 지적된 문제다.
손해보험협회 관계자는 "가령 식당 같은 일반 상점도 법 적용 대상으로 포함이 될텐데, 자체적으로 개인정보 보유량을 관리할 역량이 부족한 곳들이 많다"며 "개인정보는 제3자에게 유출이 되면 안 되니 보험사가 보험 가입 의무 대상인지 파악하기 위해 각 사업자의 내부 시스템을 조회해 보유량을 확인하려 해도 제한이 있다"고 말했다.
정부기관과 사업자, 보험사 모두 개인정보 손해배상 책임 제도 의무 가입 대상을 제대로 파악하기 어려운 경우가 적지 않은 것이다.
■솜방망이 손해배상 판결에 보험 가입 유인 적어
보험 가입에 대한 유인이 적은 점도 제도 안착을 어렵게 하는 부분이다. 개인정보 유출 사고 발생 시 판결에 따라 기업이 지불하는 손해배상액 수준이 크지 않아 사업자들이 중대한 경영 리스크로 고려하지 않는다는 지적이다.
현 상황에서 개인정보 손해배상 책임 보장 제도를 확산하기 위해서는 개인정보처리자인 기업이 먼저 보험 가입을 위해 적극적으로 움직일 필요가 있다. 그러나 개인정보 유출 시 기업에 요구되는 법적 책임이 가볍다 보니 보험을 통한 리스크 관리에도 소극적인 모습이다.
개인정보위 관계자는 "개인정보 유출 사고가 꼭 터진다는 보장도 없고, 사고가 발생할 경우 그 때 피해 보상을 하면 되는데 굳이 보험에 가입해야 하는 정서가 있다"며 "개인정보 손해배상 책임 보장제도 가입율을 올려야 한다는 여론이 꾸준하지만 아직 보험금 지급 사례도 없고, 법원 판결도 무겁게 나오지 않는 등 제도 확산에 어려운 부분이 있다"고 말했다.
■법 개정 앞두고 보완 대책 마련 '분주'
개인정보 손해배상 책임 보장제도 확대 시행을 앞두고 예상되는 문제들을 해결하기 위해 정부는 여러 방안을 모색하고 있다.
관련기사
- "근거 없이 주민번호 수집" 개인정보위, 7개사에 과태료 부과2021.07.28
- 해킹 사고 배상 '사이버보험' 의무 가입 대상 확대된다2021.06.09
- "사이버보험, 규제 아닌 혜택으로 기능해야"2021.05.21
- "AI, 개인정보는 이렇게"…'이루다' 재발 막는다2021.05.12
손보협회 관계자는 "목표대로 연내 개인정보보호법 2차 개정안이 통과되면 실제 시행까지 약 1년 정도 시간이 걸릴텐데 정부가 업계 의견을 참고해 대책을 마련하려 하고 있다"며 "보험 의무 가입 비(非)대상 사업자 신고제나 개인정보 손해배상 책임 보장 제도 관련 시스템 마련 등 다양한 방안을 고민하는 것으로 안다"고 말했다.
개인정보위 관계자는 "보험 가입 확산을 위한 방안으로 산업협회 등을 중심으로 한 단체보험 할인을 도입하는 것도 고민하고 있다"며 "이에 대해 금융위원회, 중소기업중앙회, 대한상공회의소와 논의한 바 있다"고 답했다.
