EU와 호주에서 데이터 침해 통지법 고찰

전문가 제언

○ 미국과 EU 및 호주에서 추진되고 있는 강제적 데이터 침해 통지법(Mandatory Data Breach Notification Law)은 데이터 침해가 발생하면 이를 감독기관과 해당하는 개인 및 소비자에게 통지하는 것을 의무사항으로 규정한 법률이다. 여기에서의 논쟁은 데이터 침해라고 하는 사건의 범위를 정하는 것과 침해가 일어나더라도 어떤 경우에만 통지할 것인지 판단하는 기준에 대한 합의가 아직 명확하지 않다는 것이다. 데이터를 관리하는 조직은 만약에 데이터 침해가 발생했음에도 불구하고 통지를 하지 않고 있다가 소비자가 손해를 입으면 막대한 손해배상을 해야 하는 위험을 감수해야 한다. 만약 법적으로 통지의무의 범위를 정해 놓으면 손해배상의 책임을 면제 받을 수 있다는 기업보호적인 측면을 갖고 있다.

○ 그러나 한편으로는 통지의무를 축소하면 소비자의 권익을 보호하는 측면은 약화된다고 볼 수 있다. 그렇다고 통지해야 하는 침해 범위를 무분별하게 많게 하여도 소비자들이 통지에 둔감하게 되어 손해 볼 가능성이 오히려 증가하게 된다. 따라서 통지의무를 규정하는 데는 소비자와 기업 모두를 고려하여 균형을 이루는 것이 매우 중요하다.

○ 우리나라에서는 2011년에 개인정보보호법이 제정되어 서구의 데이터 침해 통지법과 유사하게 만약에 개인정보 침해가 발생할 때는 지체 없이 관련기관과 개인에게 통보하도록 규정하고 있다. 법 시행은 얼마 되지 않았지만 개인정보 유출사건은 날로 증가하는 추세이며 이에 따른 소송도 계속 증가하고 있다. 판결의 초점은 개인정보 유출사고가 발생하더라도 관리기관에서 법에 명시된 합당한 조치를 충실히 이행했는지에 맞춰지고 있다.

○ 최근 3,500만 명의 개인정보 유출과 관련된 소송에서 법원은 2,882명의 원고에게 20만원씩 약 5.7억 원을 배상하도록 판결하였다. 문제는 이와 같은 판결에 비추어 유출된 3,500만 명이 모두 소송하여 승소한다면 7조원의 엄청난 손해배상이 발생한다는 것이다. 물론 이번 판결에서 통지의무에 대한 사항은 빠져 있지만, 법에 규정된 의무사항은 개인의 권리보호와 함께 기업의 생존보호도 함께 고려되어야 한다.

저자

Mark Burdon, Bill Lane, Paul von Nessen

자료유형

학술정보

원문언어

영어

기업산업분류

정보통신

연도

2012

권(호)

28

잡지명

Computer Law & Security Review

과학기술
표준분류

정보통신

페이지

296~307

분석자

남*현

분석물

• EU와 호주에서 데이터 침해 통지법 고찰.pdf [360,994 byte]

이미지변환중입니다.