제안이유 및 주요내용
최근 대규모 개인정보 유출 사고가 계속하여 발생함에 따라 정보주체의 피해를 실질적으로 구제할 수 있는 법적 장치의 강화가 요구되고 있음.
현행법은 정당한 사유가 있을 경우 개인정보 유출 시 정보주체에게 개별적으로 통지할 사항을 홈페이지 게시로 갈음할 수 있도록 하고 있는데 최근의 대규모 개인정보 유출 사례 등에서 개인정보처리자가 유출 사고에도 불구하고 법정 사항에 대한 개별적 통지 없이 홈페이지에 간략한 안내만을 게시한 바 있음. 이는 정보주체가 본인의 개인정보 유출 여부를 신속히 파악하기 어렵게 하고, 적절한 대응조치를 취할 기회를 놓치게 만들어 2차 피해나 금융사기 등의 추가적인 위험에 무방비로 노출될 우려가 큰 상황임.
한편, 개인정보 유출로 인한 피해는 유출 직후 즉시 피해로 이어지기보다는 일정 시간이 경과한 후 스미싱, 금융사기, 명의도용 등 다양한 형태로 나타나고, 유출된 개인정보가 다수의 경로를 통해 이동ㆍ가공ㆍ재판매되기 때문에 피해자가 그 유출과 손해 사이의 인과관계를 직접 입증하는 데 현실적인 어려움이 존재함.
이에 대통령령으로 정하는 규모 이상의 정보주체에 관한 개인정보가 유출이 된 경우로서 유출이 된 개인정보의 항목을 확인할 수 없어 유출이 된 개인정보의 정보주체를 특정할 수 없을 때에는 유출의 가능성이 있는 모든 정보주체에게 법정 통지사항을 개별적으로 통지할 것을 의무함(안 제34조제2항 등).