개인정보보호법 시행까지는 수많은 우여 곡절이 있었다. 개인정보보호법안의 필요성은 지난 2004년 처음 제기됐다. 그러나 최초 발의됐던 법안은 17대 국회 임기 만료로 자동 폐기됐다. 당시로선 개인정보의 중요성에 대한 사회 의식이 성숙치 못했던 탓이다.
개인정보보호법이 본격적으로 탄력을 받기 시작한 것은 지난 2008년 이후다. 2008년 GS칼텍스에선 내부 직원의 소행으로 1150만명의 개인정보가, 옥션에서도 1080만명의 개인정보가 유출됐다.
하지만 관련법은 너무나 허술했다. GS칼텍스 사건에 대해 당시 검찰은 불기소 처분했다. GS칼텍스가 개인정보보호 의무가 있는 정보통신망법의 적용 대상이 아니었기 때문이었다. 법의 사각지대였다. 2만8000여명이 GS칼텍스를 상대로 집단 소송을 제기했지만 2심까지 모두 패소했다.
옥션 역시 마찬가지였다. 법원은 1심에서 옥션이 개인정보 유출에 대한 배상책임이 없다고 판결했고, 옥션에 부과한 과태료는 1000만원에 불과했다. 피해를 입은 국민들은 분노했고, 법 개정 필요성에 대한 사회적 공감대가 형성됐다.
현재의 개인정보보호법은 지난 2008년 8월 이혜훈 의원과 변재일 의원(같은해 10월)의 법안 발의에 정부까지 힘을 보태면서 마련됐다. 이후 수차례의 공청회를 거치며 법안이 가다듬어져, 오늘의 모습이 마련됐다.
각종 대형 사건들은 법에 자신들의 흔적을 남기기도 했다. 옥션은 법원에서 인정돼 배상책임을 면제 받았다. 당시 옥션 가입자들의 주민번호는 암호화되지 않은 상태에서 유출됐지만 당시 법은 비밀번호만 암호화하면 됐었다. 현행 개인정보보호법은 파일화된 모든 개인정보를 의무적으로 암호화하도록 하고 있다. 이를 어겨 개인정보가 유출될 경우 형사처벌(2년이하 징역·1000만원 이하 벌금)도 가능하다.
GS칼텍스 사건의 경우 자회사 콜센터 직원이 개인정보가 담긴 CD를 유출했던 사건이다. 현행 개인정보보호법은 개인정보를 외부에 맡겨서 개인정보 유출 사건이 발생하면 개인정보를 넘긴 당사자가 그 책임을 지도록 하고 있다. 외부 기관에 책임을 떠넘기지 못하도록 한 것이다.
<홍석희 기자 @zizek88> hong@heraldcorp.com