인터넷 이용이 활발해지고 온라인 서비스를 비 롯한 각종 정보통신기술이 사람들의 생활 깊숙이 들어오면서 개인정보 유출사고 역시 급격히 증가 하고 있다. 이에 따라 미국은 California 주를 비롯 한 거의 모든 주에서 개인정보 유출사고 발생 시 정 보주체에게 그 사실을 통지하도록 의무화하는 개 인정보 유출통지법(Security Breach Notification Laws)을 운영하고 있다. 미국의 개인정보 유출통 지법의 내용은 크게 통지대상이 되는 개인정보, 통 지의무자 및 대상, 통지요건, 통지시기, 통지방법, 통지내용, 처벌조항으로 구성된다.
우리나라 또한 2011년 3월 29일 개인정보 보 호법 제정을 통하여 개인정보 유출사고 발생 시 정 보통신서비스제공자가 유출된 정보, 유출시점 및 대처방법 등을 이용자에게 통지하고 안전행정부장 관에게 신고하도록 의무화하는 규정을 추가하였 다. 그러나 위 규정상의 통지시점이 획일적이고 통지방법이 다양하지 못하며 개인정보 유출신고절차 가 이용자 보호에 미흡하다는 문제점이 있다. 뿐만 아니라 과태료 규정은 그 부과기준이 불명확하고 통지의무 준수 여부를 감독할 개인정보 보호위원 회의 독립성과 전문성도 보장되어 있지 않다. 향후 개인정보 보호법 개정을 통하여 위와 같은 입법적 미비는 개선될 필요가 있고, 이러한 점에서 장기간 의 입법적 노력과 선진적인 실무경험이 담겨있는 미국 각 주의 개인정보 유출통지법은 중요한 자료 로 활용될 수 있을 것이다.

Identity theft presents real financial and national security threats that must be met with a broad spectrum of resources. One way to help prevent identity theft is to require businesses who own, license, or process personal information to notify individuals when their data systems have been breached, exposing sensitive personal information. California was the first jurisdiction to enact a Security Breach Notification Law in 2002, and there followed the emergence of numerous state bills modeled after the California law imposing notification requirements on entities that own, license, or process personal information.
Korea also enacted personal information protection law including security breach notification requirements. The reforms of security breach notification were recommended based on the analysis of the United States’legal system and this analysis focuses on the following components: ⑴ the type of information protected; ⑵ the parties subjected to the law; ⑶ breach notification triggers; ⑷ breach notification timelines; ⑸ breach notification methods; ⑹ contents to be noticed; and ⑺ enforcement provisions. The modifications presented in this analysis will increase the legislation effectiveness by: closing loopholes to increase the legislation’s applicability, especially about breach notification timelines and methods; addressing ambiguous provisions about penalties; increasing the legislation’s ability to prevent information security breaches. By making these adjustments, Korea can provide its nation with a more efficient security breach notification system that will better protect its personal information from those who would exploit it.

요약
 I. 서 론
 II. 미국의 개인정보 유출통지법(Security Breach Notification Laws)
  1. 미국의 개인정보 보호법제 개관
  2. 미국 각 주의 개인정보 유출통지법(Security Breach Notification Laws)
 III. 국내 개인정보 보호법 현황 및 개선방안
  1. 국내 인터넷사업의 특성 및 개인정보 유출사고발생 시 사후적 대응의 중요성
  2. 개인정보 보호법상의 개인정보 유출통지규정의입법연혁
  3. 개인정보 보호법상의 개인정보 유출통지규정의내용
  4. 개인정보 유출통지의무 불이행시 통지의무자의책임
  5. 문제점 및 개선방향
 VII. 결 론
 

• 강성영(서울대학교 법과대학원 석사과정, 서울중앙지방법원 판사) | Sung-young Kang