강은성의 보안 아키텍트 | 개인정보 유출 사고 시 개인정보보호책임자(CPO) 수사는 없어졌다

개인정보 유출 사고가 터지면, 이 조항을 근거로 수사기관은 1단계로 범인 검거를 위해 수사를 진행하고, 2단계로 기업의 법률 위반 행위가 있는지, 그 위반 행위와 개인정보 사고와 인과관계가 있는지 수사를 하였다. 실제 기소까지 이른 적은 별로 없지만 말이다. (2017년 개인정보 유출 사고가 났던 B사, H사, Y사의 ‘책임자’는 기소돼 벌금형의 유죄 판결을 받았다.)

오랫동안 수사력이 ‘낭비’되고, 사고가 난 기업에서는 CPO를 비롯해 정보보안 및 개인정보 보호 실무진들은 혹시 형사처벌을 받을 수 있지 않을까 하며 우려하는 상황을 겪어 왔다는 것은 정말 안타까운 일이 아닐 수 없다.

개인정보보호법 제73조 제1호 폐기 시행일인 2023년 9월 15일 이후에 일어난 개인정보 사고에 대해서는 CPO가 개인정보의 안전조치 의무를 다하였는지는 수사기관의 수사 대상이 아니다. 기업에서 발생한 개인정보 유출 사고는 기업이 책임져야 한다는 상식적인 시간으로 돌아온 것이다. (CPO가 유출 범죄에 연루되었다면 전혀 다른 이야기다. 당연히 수사 대상이 된다.)