이해민 의원
이번 개정안은 최근 쿠팡에서 발생한 대규모 개인정보 유출 사고를 비롯해 통신사, 플랫폼 기업, 공공기관 등에서 잇따르는 해킹 사고에 대응하기 위해 마련됐다.
현재 개인정보보호법은 개인정보 유출 사고에 한해 입증책임 전환과 최대 5배의 징벌적 손해배상을 도입하고 있으나, 개인정보 유출이 없는 서비스 중단 등의 피해는 보호 대상에서 제외되는 한계가 있었다.
올해 발생한 예스 24 사고처럼 개인정보 유출이 없더라도 유료 서비스를 사용하지 못하거나, SGI 서울보증 사고처럼 이용자들의 정상적인 경제활동이 중단되는 경우가 대표적인 예다 .
이에 개정안은 더 넓은 범위의 해킹 사고를 보호 대상으로 삼아 정보통신망법에 입증 책임 전환 및 징벌적 손해배상 제도를 도입하는 것이 골자다.
우선, 침해사고로 인한 손해배상 청구 시 사업자가 스스로 ‘고의 또는 과실 없음’을 입증해야 책임을 면하도록 했다.
또한 사업자의 고의 또는 중대한 과실이 인정될 경우, 손해액의 최대 3배까지 손해배상을 청구할 수 있도록 했다.
아울러 개정안은 사고 조사 비용 부담을 사업자에게 전환하는 내용도 담고 있다. 과학기술정보통신부 장관은 민관합동조사단의 조사 결과, 기업에 귀책사유로 인해 침해사고가 발생한 것으로 인정되는 경우 해당 사업자에게 조사단 운영에 소요된 비용 전액을 부담하게 할 수 있다.
이해민 의원은 “해킹사고의 원인이 기업에 있다면 원인 규명이든 비용이든 기업이 책임지는 것이 상식”이라며 “이번 개정안은 전문 지식이 부족한 일반 이용자의 피해 구제 빈틈을 메우는 법이며, 사업자에게는 경각심을 주어 정보보호 투자를 확대하도록 유도하는 계기가 될 것”이라고 말했다.
