갑자기 출입명부 작성하게 된 사장님들이 오는 9월 27일에 '꼭' 해야 하는 일
갑자기 출입명부 작성하게 된 사장님들이 오는 9월 27일에 '꼭' 해야 하는 일
사회적 거리두기 2.5단계⋯수도권 소규모 식당, 카페도 출입 명부 '의무화'
변호사들 "수기로 명부 관리할 방침이라면, 반드시 지켜야 하는 점 '두 가지' 있다"
지난 30일 수도권에 '사회적 거리두기 2.5단계'가 발동된 이후 작은 식당이나 카페에 들어설 때도 작성하게 된 출입명부. 그런데 이 정보를 잘못 보관했다간 민⋅형사상 책임을 떠안을 수 있어 주의가 필요하다. /연합뉴스
작은 식당이나 카페에 들어설 때도 '출입 명부'를 작성해야 한다. 지난 30일 수도권에 '사회적 거리두기 2.5단계'가 발동된 이후 달라진 풍경이다. 기존에는 클럽이나 헬스장 등에만 적용됐던 조치가 대폭 확대됐다.
업주들은 하루아침에 손님들 이름과 핸드폰 번호를 수집하고 관리해야 하는 업무를 떠안았다. 법적으로 '개인정보 처리자'가 된 셈인데, 의무가 만만치 않고 이를 어겼을 땐 형사처벌까지 이뤄진다. 우리 법이 개인정보 처리자에 의무와 책임을 엄격하게 묻고 있기 때문이다.
이런 사정에서 변호사들은 "특히 수기로 개인 정보를 받고 있는 사장님들이 정말 조심하셔야 한다"고 당부했다. 암호화되지 않은 날 것의 정보를 받았다가 제대로 관리하지 못하면 3000만원 이하의 과태료뿐 아니라, 민⋅형사상 책임까지 떠안게 될 수 있기 때문이다.
대형 가게에서는 QR코드를 통한 '전자출입' 명부를 활용하고 있다. 비교적 보안에 더 강하기 때문에 혹시 모를 사고를 방지하고, 문제가 생기더라도 업주들은 "안전 조치를 다 했다"고 말할 근거가 된다.
하지만 종이에 펜으로 개인 정보를 받고 있는 소규모 업장이 훨씬 더 많다. 이런 곳에서는 자칫 잘못했다가 큰 사고로 이어질 개연성이 높다고 했다. 우선 변호사들은 "수도권 자영업자들은 '9월 27일'을 꼭 기억하라"고 했다.
법률 자문
①4주 지나도 파기 안 하면? 3000만원 이하 과태료
먼저 "4주 뒤 반드시 손님들의 이름과 핸드폰 번호 등 개인정보를 파기해야 한다"고 했다. 우리 법(개인정보보호법 제21조 1항)이 "해당 개인정보가 불필요하게 되었을 때는 지체 없이 그 개인정보를 파기해야 한다"고 규정하고 있기 때문이다. 여기에 대한 기준이 현재 '4주(잠복기 14일의 2배)'다.
만약 4주 뒤에도 파기하지 않는다면 "3000만원 이하의 과태료가 부과될 수 있다"고 변호사들은 말했다. 법률사무소 더엘의 김학영 변호사는 "행정벌로 과태료가 부과되는 사안"이라고 했고, 법률사무소 퍼플의 이정은 변호사도 "업주가 '4주'가 지난 뒤에도 개인정보를 파기하지 않으면 과태료 처분을 받을 수 있다"고 했다.
법무법인 승운의 정석원 변호사도 같은 의견이었다. 게다가 "업주가 보관하는 정보는 해당 장소에 방문했다는 '개인위치정보' 또한 포함하는 것"이라며 "(개인정보보호법 뿐 아니라) 위치정보보호법에 따라서도 업주는 해당 정보를 파기해야 할 의무를 가진다"고 밝혔다.
지난 30일부터 개인정보를 받기 시작한 가게라면, 4주 뒤가 되는 오는 27일에 반드시 자료를 파기해야 한다. 개인정보보호위원회 관계자 역시 2일 로톡뉴스와 통화에서 "법률 해석상 해당 개인정보는 27일까지 파기해야 하는 게 맞는다"고 말했다.
②안전한 보관 조치 안 하면? 2년 이하의 징역 또는 2000만원 이하 벌금
"과태료에서 그치지 않고, 형사 책임까지 발생할 수 있다"고 변호사들은 말했다. 업주가 안정성 확보에 필요한 기술적⋅관리적 및 물리적 조치를 하지 않았고, 그 결과 개인정보가 분실⋅도난⋅유출⋅위조되는 경우다. 이렇게 되면 개인정보보호법 29조 위반으로 업주가 형사 처벌될 수 있다.
이정은 변호사는 "지금과 같은 수기 방식의 출입명부라면 누구나 손쉽게 휴대폰 등으로 사진을 찍어 개인정보를 무단 이용, 보이스피싱 등의 범죄에 악용할 수 있는 소지가 있다"며 "이때 만약 업주가 별도의 안전한 보관 시설을 마련하지 않는 등 필요한 조치를 취하지 않았다면 형사 책임까지 질 수 있다"고 우려했다.
실제 처벌은 2년 이하의 징역 또는 2000만원 이하의 벌금이다.
김학영 변호사도 비슷한 의견이었다. "만약 업주가 이러한 조치를 모두 취했다면 책임을 면할 수 있겠지만, 사실상 소규모 업주가 그렇게 할 수 있을지 의문스럽다"며 "코로나 사태로 영업이익과 무관하게 갑자기 개인정보처리자가 된 업주들에게 이러한 의무와 책임을 어느 정도까지 인정할 것인지 고민이 필요해 보인다"고 했다.
이 때문에 우선은 "개인이 위기의식을 가져야 한다"고 당부했다. 법적으로 요구되는 '필요한 조치'의 수준이 "사실상 수기 명부를 금고에 보관하라는 이야기이기 때문"이라고 설명했다.
변호사들의 당부는 여기서 그치지 않았다. 업주의 이러한 개인정보보호법 위반으로 실제 피해자에게 손해가 발생한 경우. "위자료 등 민사상 배상 책임까지 발생한다는 점 역시 유의해야 한다"고 했다.
김학영 변호사는 "일반적인 손해배상 사건은 피해자가 상대방에게 고의 또는 과실이 '있다'는 점을 입증해야 하지만, 개인정보보호법은 그 예외로 개인정보처리자(업주)가 자신에게 고의 또는 과실이 '없다'는 점을 입증해야 한다"며 이 때문에 "실제 유출 사고가 발생하면 업주가 민사상 책임을 면하기 어려울 수 있다"고 내다봤다.
위자료의 금액 자체도 "개개인에 대해서는 크지 않겠지만, 그 특성상 피해자 수가 매우 많을 것이 예상된다"며 "결과적으로 배상해야 하는 금액의 합계는 적지 않을 것"이라고 내다봤다.
정석원 변호사도 "만약 피해자가 자신의 실제 손해액을 입증할 수 없는 경우라도, 법원이 직권으로 300만원 이하의 금액을 손해액으로 인정해 책임을 물을 수 있는 제도(개인정보보호법 제39조의2) 또한 마련되어 있다"고 설명했다.
이정은 변호사도 "이렇게 되면 업주가 책임에서 자유로울 수 있는 경우는 많지는 않을 것 같다"며 "업주가 손해배상 책임을 져야 할 수 있다"고 했다.
