최근 기업 또는 기관의 실수로 인한 개인정보 유출 사례가 연이어 발생했다. 개인정보 오남용을 감시하고 처벌하는 개인정보보호위원회 조차 직원의 실수로 개인정보를 유출해 망신을 샀다. 행정기관 스스로를 처벌하는 셀프 처분도 가능하지만, 유출 규모가 작은 만큼 경미한 처분에 그칠 가능성이 높다. 정부는 그동안 피해규모가 적고 직원의 실수로 인한 유출이 있을 때 과징금 처분을 내리지 않았다..
분쟁조정위원회는 4일 피신청인(페이스북)과 신청인에게 조정안을 전달했는데, 이 과정에 사무기구 직원의 실수가 있었다. 피신청인에 보내야 할 신청인 명단을 신청인 중 일부에게도 잘못 보냈다. 개인정보위에 따르면, 신청인 181명의 명단(성명, 생년월일, 주소 등 정보가 포함된 자료)이 신청인 중 일부인 19명에게 잘못 송부됐다.
분쟁조정위는 9일 신청인의 제보로 이 사실을 인지했고, 해당 메일을 수신한 신청인 19명에게 연락해 첨부된 신청인 명단 삭제를 요청했다. 추가적인 피해 방지에 나서는 가운데 신청인들에게 해당 사실을 통지하고 사과했다.
개인정보위 측은 직원 과실이 발생한 구체적인 경위 등을 엄정 조사하고, 필요한 조치를 취하겠다는 입장이다. 개인정보보호법에 따르면 개인정보위 역시 처분 대상이 될 수 있다. 정부가 셀프 행정 처분을 내릴 수 있는 셈이다.
하지만 개인정보위 내부에서 발생한 사고를 내부 관계자가 셀프 조사하는 것은 문제가 있다. 같은 회사에 근무하는 직원이 과실을 파악하는 만큼 사견이 들어갈 수 있다.
개인정보위 관계자는 "일각에서 공정성에 대한 의구심을 제기하는 목소리가 있는 것으로 알고 있다"며 "그런 우려가 없도록 철저히 조사하고, 그 결과를 공개하는 자리도 가질 예정이다"고 말했다.
최근 개인정보위는 대기업이 실수로 고객의 정보를 유출한 사고를 ‘사소한 실수'로 판단해 과태료 처분만 내린 사례가 있다. 개인정보위는 10일 개인정보 안전조치에 필요한 의무를 다하지 않아 이용자의 개인정보가 유출된 7개 기업에 과태료를 부과했다. 7개 기업에 부과한 과태료 규모는 적게는 300만원대에서 많게는 700만원이다.
윤정태 개인정보위 조사2과장은 10일 7개 기업에 과태료를 부과하기로 결정했다고 발표하는 자리에서 "KT알파와 GS리테일의 경우 유출 건수 자체는 많지만, 사소한 실수라고 보고 오히려 경고의 의미가 더 효과적이겠다고 판단해 과징금은 부과하지 않고 과태료만 부과했다"고 설명했다.
개인정보 유출 사고 대부분은 ‘해킹' 또는 ‘직원의 실수'로 발생한다. 전문가들은 단순 피해 규모를 기준으로 처분을 결정해서는 안된다고 조언한다.
김승주 고려대 교수(정보보호대학원)는 "과학적 근거가 없는 ‘실수' 여부를 처분의 근거로 하는 것은 생각을 해봐야 한다"며 "피해 규모와 개인정보보호법 준수 등 여부에 따라 과태료나 과징금을 매기는 것이 일반적이다"고 말했다.
류은주 기자 riswell@chosunbiz.com