앞으로 국가기관은 정보화 사업 계약 시 유출되지 않아야 하는 정보를 명시할 수 있도록 가이드라인을 제시해야 한다. 정보를 무단으로 유출한 사업자의 입찰참여 제한 등 처벌 기간은 유출 횟수에 따라 차등 적용된다.
규제개혁위원회는 과도한 규제 논란을 야기한 ‘국가를 당사자로 하는 계약에 관한 법률(이하 국가계약법)’ 시행령 및 시행규칙 개정(안)의 규제 심사를 거쳐 이 같은 내용을 골자로 하는 규제 완화 방안을 마련했다.
규제개혁위원회는 이에 따라 기획재정부가 입법예고한 국가계약법에 ‘정보화 계약담당부서에서 계약체결 시 유출금지정보를 적절히 명시할 수 있도록 유출금지정보에 대한 가이드라인을 제시하도록 권고했다.
이는 국가계약법 개정(안)이 규정하는 ‘정보’가 무엇인지 불분명할 뿐만 아니라 국가기관에 따라 ‘정보’를 판단하는 기준이 달라질 수밖에 없어 혼란을 가중시킬 우려가 잇따라 제기됨에 따라 보호 대상 ‘정보’에 대한 명확한 정의가 필요하다는 판단을 내렸기 때문이다.
규제개혁위원회는 이와 함께 정보화 사업자가 자료유출 방지노력 등 정보 보안사고 예방을 위해 요구되는 ‘종업원 등 사용인에 대한 선임감독상 주의 의무’를 다해 책임을 물을 수 없는 때에는 면책받을 수 있도록 하는 근거를 국가계약법 시행령에 명시하도록 기획재정부에 권고할 방침이다. 특정인의 정보 유출 책임이 사업자로 전가되는 것을 방지하는 동시에 제재 대상을 구체적으로 적시해야 한다는 주문이다.
또 정보를 누출한 부정당 사업자에 일괄적으로 6개월간의 입찰 참가 자격을 제한하도록 한 국가계약법 시행규칙을 개정하도록 요구했다.
규제개혁위원회는 부정당 사업자의 입찰참가 제한기간을 6개월에서 3개월로 낮추는 동시에 1회 유출 시 1개월, 2회 유출 시 3개월의 정보유출 횟수에 따라 처벌기간을 달리 규정하도록 결정했다.
규제개혁위원회의 이 같은 판단은 사유의 경중이나 위법성의 차이 등을 불문하고 동일하게 6개월간의 제재를 부과하도록 하는 게 과도한 규제라고 결론을 냈기 때문이다. 공사와 시공, 설계 등 주요 분야 부정당 사업자의 제재 기간을 사유에 따라 달리하고 있음에도 불구하고 정보화 사업자에만 일률적으로 6개월의 제재를 부과하는 게 형평성에 어긋난다는 관련 업계의 의견을 전폭적으로 수용한 결과다.
규제개혁위원회는 아울러 정보 유출의 심각성, 그로 인한 피해규모, 주계약자와 하도급업체 및 정보를 누출한 개인의 책임정도 등을 고려해 더욱 객관적이고 적절하게 제재수단을 설정할 수 있도록 벌점제 등을 ‘국가정보화 기본법’ 등 정보화관련 법령에 도입하는 방안을 검토해야 한다는 의견도 개진했다.
IT 서비스 및 SW 업계는 이에 대해 “100% 만족할 수 없지만 규제개혁위원회의 규제 완화를 골자로 하는 의사 결정을 환영한다”며 “기획재정부의 국가계약법 개정 작업 추이를 지속적으로 주시할 것”이라고 밝혔다.
김원배·정진욱기자 adolfkim@etnews.co.kr