제안이유 및 주요내용
현행법은 개인정보 유출 시 개인정보처리자가 유출된 항목, 시점, 대응 조치 등 법정사항을 정보주체에게 개별적으로 알리도록 정하면서 예외적인 경우 통지를 미룰 수 있도록 하고 있음.
그런데 대규모 개인정보 유출 사례 등에서 개인정보처리자가 유출 사고에도 불구하고 예외적인 사유를 이유로 법정 사항에 대한 개별적 통지를 하지 않는 일이 반복되고 있음.
한편, 개인정보 유출로 인한 손해를 배상하기 위해 개인정보처리자에게 보험ㆍ공제 가입이나 준비금 적립 등의 손해배상책임 보장을 위한 조치를 취하도록 하고 있으나, 공공기관은 원칙적으로 그 의무 대상에서 제외되어 있음.
그러나 공공기관의 개인정보 유출사고는 사회적 파장이 막대함에도 불구하고 예산 확보의 어려움 등을 이유로 손해배상책임 보장제도의 적용 대상에서 제외되어 있어 피해자 대응이 지연되거나 형식적 보상에 그치는 사례가 발생하고 있음.
이에 대통령령으로 정하는 규모 이상의 정보주체에 관한 개인정보가 유출이 된 경우로서 유출이 된 개인정보의 항목을 확인할 수 없어 개인정보의 정보주체를 특정할 수 없을 때에는 유출의 가능성이 있는 모든 정보주체에게 법정 통지사항을 즉시 개별적으로 통지하도록 의무화하고, 공공기관을 손해배상책임 보장제도의 적용 대상에 원칙적으로 포함하되, 개인정보의 보유 규모 등을 고려하여 기준에 미치지 못하는 공공기관은 제외하도록 하여 개인정보 보호를 강화하려는 것임(안 제34조제2항 신설, 제39조의7제2항제1호 등).