대규모 유출 사고가 일상이 된 대한민국
윤지환 시민의 사연은 결코 특별한 경우가 아니다. 2025년 한 해에만 주요 통신사, 병원, 금융기관, 쇼핑몰 등에서 수천만 건의 개인정보 유출 사고가 발생했다. 한국인터넷진흥원에 따르면 개인정보 침해 신고 건수는 매년 증가하는 추세이며, 실제 피해는 신고 건수의 수십 배에 달할 것으로 추정된다.
문제는 현행 『개인정보보호법』 체계가 사후 대응 중심이라는 점이다. 유출 사고가 발생한 후 72시간 이내 신고하고, 피해자에게 통지하는 것이 전부다. 기업들은 형식적인 사과문을 발표하고, 일부 과태료를 내면 그만이다. 정작 피해를 입은 시민들은 끊임없는 스팸 전화와 보이스피싱 위협에 시달리지만, 실질적 보상이나 보호는 받지 못하고 있다.
개인정보보호, 누구의 몫인가
윤지환 시민의 요청에 가장 먼저 확인해야 할 것은 ‘서울시의회가 과연 이 문제에 대해 조례를 만들 수 있는가’다. 『지방자치법』 제22조는 지방자치단체가 법령의 범위에서 그 사무에 관해 조례를 제정할 수 있다고 규정한다. 다만, 주민의 권리 제한 또는 의무 부과에 관한 사항이나 벌칙을 정할 때에는 법률의 위임이 있어야 한다.
『개인정보보호법』은 국가의 고유 사무로 분류되며 기업에 대한 감독·처벌 권한은 개인정보보호위원회와 행정안전부에 있다. 따라서 서울시의회가 기업의 개인정보 관리 실태를 직접 감독하거나 유출 시 과징금 부과 및 영업정지를 명하는 조례를 만드는 것은 법령 저촉으로, 위법이다. 그래서 『지방의회법』 제정이 더욱 필요하다.
법적 한계에도 시민 보호해야
지방의회는 아무것도 할 수 없는 걸까. 그렇지 않다. 『개인정보보호법』 제5조는 “국가와 지방자치단체는 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다”고 규정한다. 또한 같은 법 제5조 제5항은 “국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 적용할 때에는 정보주체의 권리가 보장될 수 있도록 개인정보보호 원칙에 맞게 적용하여야 한다”고 명시한다.
서울시의회가 할 수 있는 개인정보보호 방안
『지방자치법』이 정한 조례 제정의 범위와 한계가 분명하지만
실행 가능한 시민 중심의 개인정보보호 대책을 만들 수 있다.
1. 개인정보유출 피해 시민 지원 센터 설치 서울시 차원의 원스톱 지원 센터를 설치해 법률 상담, 신고 대행, 피해 구제 절차 안내를 제공한다. 한국인터넷진흥원 개인정보침해신고센터와 연계해 접근성을 높인다.
2. 개인정보유출 피해자 긴급 생활 지원금
보이스피싱이나 명의 도용으로 금전적 피해를 입은 시민에게 긴급 생활 지원금을 지급하는 조례를 제정한다.
복지 증진 사무로서 법률 위임 없이 가능하다.
3. 서울시 공공기관 개인정보보호 강화 조례 서울시 및 산하 기관, 투자·출연 기관의 개인정보 관리 실태를 정기적으로 점검하고, 유출 방지 시스템 구축을 의무화한다. 공공부문에 대한 감독은 지방의회의 고유 권한이다.
4. 개인정보보호 교육 및 홍보 조례 시민 대상의 개인정보 자기 보호 교육, 청소년·어르신 대상 맞춤형 예방 교육, 피해 발생 시 대응 방법 등을 정기적으로 실시한다.
5. 개인정보유출 대응 협의회 구성 서울시, 경찰청, 금융감독원, 한국인터넷진흥원 등과 협의체를 구성해 신속한 대응 체계를 마련하고, 정기적으로 유출 현황과 대응 방안을 논의한다.
6. 『개인정보보호법』개정 의견서 제출 국회와 정부에 기업에 대한 실질적 처벌 강화, 피해자 배상 의무화, 예방적 감독 체계 구축 등을 담은 법령 개정 의견서를 정기적으로 제출한다.