개인정보 손해배상책임 보장제도 시행...미이행 시 과태료
최소 월 5만원 책임보험 가입하거나 5천만원 준비금 적립해야
정부가 개인정보 유출에 의한 피해구제를 목적으로, 개인정보를 취급하는 사업장의 손해배상책임보험 가입 또는 준비금 적립을 의무화했다.
작년 한해 매출액 규모가 5000만원 이상이면서, 2018년 10∼12월 3개월간 평균 1000명 이상의 환자 개인정보를 보유한 의료기관은 의무가입 대상에 해당, 연내 보험가입이나 준비금 적립 등의 조치를 이행해야 하는 상황이다.
20일 방송통신위원회에 따르면 이 같은 내용을 골자로 하는 '개인정보보호 손해배상 보장제도'가 지난 13일자로 본격 시행됐다.
이 제도는 개인정보 유출로 인한 이용자 피해구제를 규정한 '정보통신망법 이용촉진 및 정보보호 등에 관한 법률(시행령 포함)' 개정안에 근거한 것이다.
개정 법률은 정보통신서비스 제공자 등으로 하여금 손해배상책임의 이행을 위한 보험·공제의 가입 또는 준비금 적립 등의 조치를 의무화하고, 이를 위반한 경우 2000만원 이하의 과태료를 부과할 수 있게 했다.
의무가입 대상자에는 개인정보를 활용해 영리활동을 하는 사업장은 물론, 병원 등 비영리법인도 포함했다.
방통위가 정한 의무가입 대상 기준은 ▲직전 사업연도 매출액이 5000만원 이상 ▲전년도 말 기준 직전 3개월간 개인정보가 저장· 관리되고 있는 일일평균 이용자수(개인정보 보유량, 데이터베이스 기준)가 1000명 이상인 정보통신서비스 제공자 등이다.
주로 영리목적 사업장이 대상이 되나, 병원 등 비영리법인도 개인정보 활용 용도에 따라 의무가입 대상자가 될 수 있다는 것이 방통위의 설명이다.
방통위는 "정보통신서비스 제공자란 업종에 관계없이 영리목적으로 이용자정보를 보유한 사업자"라며 "병원과 학교 등 비영리단체의 경우도 이용자와 정보통신서비스 이용관계를 맺고 있고, 그 서비스가 영리를 목적으로 한다면 법 적용 대상이 된다"고 설명했다.
"정보통신법상 영리목적 여부는 법인의 종류와 관계없이 이익발생 활동 여부로 판단한다"고 밝힌 방통위 관계자는 "비영리법인이라도 부수·보조적으로 수익사업을 하고 있다면 영리활동을 영위하므로, (책임보험가입 대상자인)정보통신서비스 제공자에 해당한다고 볼 수 있다"고 말했다.
방통위는 개인정보를 활용한 병원 홍보는 물론, 진료예약 안내 문자 서비스도 이익 발생 활동의 일환으로 볼 수 있다고 설명했다. 진료예약 문자 서비스는 소규모 의료기관까지 활용하고 있어 적잖은 의료기관이 의무가입 대상으로 분류될 것으로 보인다.
방통위 관계자는 "개인정보를 가지고 홍보 등을 진행하는 것은 물론, 진료예약 등 안내문자를 발송하는 것도 의료기관 이익발생과 연관이 있는 일"이라며 "이 같은 활동을 한다면 비영리법인인 병원도 책임가입 대상자로 봐야 한다"고 말했다.
최저 보험 가입금액도 법령으로 정했다. 개인정보 보유량과 매출액에 따라 최저 5000만원에서 최고 10억원으로 차등 적용했다.
개인정보 보유량이 1000명 이상~10만명 미만이면서 직전연도 연매출액이 5000만원 이상~50억원 이하인 경우 최소 5000만원 이상 보장이 가능한 보험에 가입하거나 그에 상응하는 준비금을 적립해야 한다. 방통위는 사업자가 5000만원 보장 보험 가입 시 월 5만원 가량의 보험료 부담이 발생할 것으로 예상했다.
의무가입 대상자에 해당하면서도 책임보험에 가입하지 않았거나 준비금 적립 등의 조치를 취하지 않은 사업장은 법률에 따라 1회 2000만원(2회 2000만원, 3회 이상 2000만원)의 과태료를 부과한다. 다만 다른 법률에 따라 가입한 보험이 정보통신망법에 따른 손해배상 책임 이행을 보장하는 경우에는 중복가입하지 않아도 된다.
개인정보 손해배상 책임보장제도는 지난 6월 13일부터 시행에 들어갔으나, 방통위는 "제도 준비기간으로서 금년도 말까지 계도기간을 운영해 과태료 부과를 유예할 계획"이라고 밝혔다.