개인정보보호배상책임보험 / 의무 보험

▶최근 빅데이터·IoT·인공지능 등 4차 산업혁명 시대의 신기술 확산으로 개인정보의 중요성이 높아지는 한편, 사이버 공격의 대상과 규모가 증가하는 등 개인정보 유출로 인한 이용자 피해 사례가 증가하고 있다.

- 기업의 배상능력이 부족한 경우 이용자가 손해배상을 청구해도 피해구제가 어려워 이용자 피해구제 제도의 실효성 제고 필요

▶기업으로 하여금 손해배상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화 (정보통신망법 제32조의3)하였다.

 

- 법률에서 위임한 보험 등 가입 대상 사업자의 범위 및 보험 등에 가입할 때 최저가입금액의 기준 등 마련 (동법 시행령 제18조의2)

 

※ 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」개정(’18.6.12. 공포, ’19.6.13. 시행), 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」개정 (’19.6.13. 시행)

 

1. 적용 대상

다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자등
1) 직전 사업연도의 매출액이 5천만원 이상일 것 

2) 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자수가 일일평

균 1천명 이상일 것 (시행령 제18조의2제1항)

◈ 정보통신서비스 제공자 및 그로부터 개인정보를 제공받는 자 (이하 ‘정보통신서비스 제공자등’)

(정보통신서비스 제공자)

①전기통신사업자(전기통신사업법 제2조제8호)
②영리를 목적으로 전기통신사업자의 전기통신역무(유선·무선·광선·그밖의 전자적 방식으로 부호·문언·음향·영상을 송신·수신)를이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
⇒ 업종에 관계없이 인터넷·모바일 상에 영리목적으로 웹사이트·앱·블로그 등을 운영하며 이용자(고객)정보를 보유한 사업자 등이 해당됨 (정보통신서비스 제공자로부터 개인정보를 제공받는 자)

정보통신서비스 제공자가 관리감독 책임을 부담하는 것이 아니라 제공받는 자가 자기 책임 하에 제공받은 목적 범위 내에서 개인정보를 이용하는 경우에 해당

 

◈ 직전 사업연도의 매출액이 5천만 원 이상
-. 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 직전 사업연도의 매출액이 5천만원 이상이어야 함
-. (매출액) 법 제32조의3제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 직전 사업연도의 매출액을 말함
-. 매출액의 범위는 정보통신서비스 부문에 한정되지 않으며, 법인(기업)의총 매출액을 의미함
  (직전 사업연도 매출액) 손익계산서 상 매출액을 기준으로 함
※ 다만, 직전년도 재무제표가 확정되지 않은 경우, 부가가치세과세표준증명서 상수입금액 또는 세무조정계산서의 손익계산서 상 매출액을 기준으로 하는 것도 가능

◈ 개인정보가 저장·관리되고 있는 이용자수가 일일평균 1천명 이상
-. 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 1천명 이상인 경우
-. 개인정보가 저장·관리되고 있는 이용자 수
- '이용자수’는 사업자가 개인정보를 ”저장·보관”하는 이용자수를 기준으로 산정함
   일일 방문자수를 의미하지 않으며, 페이지뷰(PV:page view), 순방문 자수(UV:unique visitor)와는 무관함
-. 일일평균 1천명 이상
- 이용자수 일일평균 = 10월, 11월, 12월 전체 일일 이용자수의 총합÷92(일)

 

◈  면제 대상
-. 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 1천명 미만인경우 적용대상에서 제외됨
※ 보유하고 있는 이용자 개인정보의 양이 적은 사업자의 경우, 개인정보 유출 등사고 발생 시 피해 및 배상액 규모 등이 상대적으로 크지 않아, 손해배상책임의 이행을 보장하는 조치를 의무화할 필요성이 낮은 점을 고려함
-. 매출액이 5천만원 미만인 경우 적용대상에서 제외됨
※ 신생기업 등과 같이 매출액이 거의 없거나 미미한 경우에는 사실상 규제 준수가 어려운 점을 고려함

 

2. 보험 최저가입금액(준비금 최소적립금액) 기준

보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액 (준비금을 적립하는 경우 최소적립금액)은 이용자수와 매출액 규모 구간 별로 차등 설정 : 최저 5천만원 ~ 최고 10억원 (시행령 제18조의2제2항, 별표 1의2)

 

◈ 보험 최저가입금액 (준비금 최소적립금액)
-. 적용 대상 사업자가 보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액(최소적립금액) 기준 : 별표 1의2
-. 보험 또는 공제 가입과 준비금 적립을 병행하는 경우 : 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의2에서 정한 최저가입금액의 기준 이상이어야 함

개인정보보호배상책임보험 - 최저가입금액 기준

◈ 준비금 적립 방법
-. 임의적립금(자본계정)으로 적립하고 주주총회 결의 등을 통해 해당 임의적립금이 정보통신망법 제32조의3의 의무 이행을 위한 것임을 명확히 하여야 함

 

3. 다른 법률에 따른 의무보험과의 관계
-. 다른 법률에 따라 가입한 보험(공제 또는 적립한 준비금)이 정보통신 망법에 따른 손해배상책임의 이행을 보장(손해배상책임의 범위· 내용을 포함·충족)하는 경우,
- 정보통신망법에 따른 손해배상 보장 조치를 이행한 것으로 인정 (시행령 제18조의2제3항)

 

4. 과태료
-. 보험(공제) 가입이나 준비금 적립 등 손해배상책임 이행을 위하여 필요한 조치를 하지 않은 경우 : 과태료 2천만원
※ 과태료 부과금액은 위반행위 횟수와 무관하게 동일
(시행령 별표9 제2호처목)

 

5. 시행일
- 손해배상책임 보장 제도(보험 가입 등)는 2019년 6월 13일부터 시행
(부칙 제1조) - 다만, 2019년도 말까지 계도기간을 운영하여 과태료 부과가 유예되도록 하였음

 

6. 기본담보
-. 보상하는 손해 • 대한민국 내에서의 업무수행 과정이나 그러한 목적으로 소유, 사용, 관리하는 개인정보의 우연한 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손으로 인하여 피보험자가 부담하는 법률상의 손해배상금 및 소송비용, 변호사비용 등을 보상
-. 주요 보상하지 않는 손해

• 기명피보험자나 기명피보험자의 임원 또는 임원이었던 사람의 고의 또는 범죄행위. (단, 법정손해배상금 및 배액배상금에 한해 피보험자가 파산하여 개인정보주체에 대한 미지급액이 있을 경우에 한하여, 회사는 고의로 인한 손해에 대하여도 미지급액과 보상한도액 중 작은 액수를 한도로 보상)

• 기명피보험자의 직원이나 직원이었던 사람의 고의 또는 범죄행위에 기인하여 해당 직원이나 직원이었던 사람을 상대로 제기된 손해배상청구

• 신용카드번호, 계좌번호, 비밀번호, 인증번호 등(이에 한정되지 않습니다.) 기타 일체의 신용정보가 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손됨으로 인하여, 그러한 정보가 부정하게 사용된 것에 의해 피보험자 이외의 사람에게 경제적 손해가 생긴 것에 기인하는 손해배상청구 (단,「신용정보 유출 등의 손해보장」특약 가입 시 보장)

• 초년도 계약의 보험개시일 이전에 발견된 개인정보의 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손으로 인한 사고 및 손해

 

7. 확장담보
-. 위기관리컨설팅비용 특별약관
• 개인정보의 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손의 발견 초기에 해당 위기의 영향을 관리 및 최소화하고 회사의 명성 및 브랜드가치하락, 주가하락 및 집단소송 등을 사전에 예방하기 위하여 피보험자가 부담하는 컨설팅비용
-. 위기관리실행비용 특별약관

• 개인정보의 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손의 발견 시 해당 위기관리를 목적으로 하는 아래 비용
✓ 변호사 상담비용 / 위기(사고)의 원인 조사비용
✓ 전화회선의 증설, 통화료 또는 콜센터 위탁비용
✓ 사과문 작성 및 송부비용 / 사죄회견 및 사죄광고 비용 / 위로금 · 위문품 비용
✓ 개인정보의 유출 · 분실 · 도난 · 위조 · 변조 또는 훼손의 통지를 위한 비용

 

***** Q & A ******

 

Q. 이용자 수는 어떻게 산정하나요?
A. 이용자 수는 지난 해 10월, 11월, 12월 3개월 동안 업체가 개인정보를 저장, 관리하고 있는 일일 이용자 수를 합한 뒤 92로 나눈 평균값으로 산정하시면 됩니다.
★ 일반적으로 사업자가 개인정보를 관리하고 있는 이용자가 1000명이 넘을 경우 보험 가입 대상
★ 방문자 수 (X) → 데이터베이스 등에 개인정보를 보관한 “이용자 수” 기준임을 유의

Q. 기존 개인정보보호배상책임보험 가입자 중 의무보험 대상자는 가입조건 변경이 필요한가요?
A. 기존에 가입한 개인정보보호배상책임보험은 의무보험 요건에 맞추어 가입조건 변경이 필요하나, 현재 정보통신망법에 따른 의무보험이 상품 출시 준비 중에 있어 가입조건 변경 방법 및 시점에 대해서는 논의 진행 중