[디지털투데이 백연식 기자] 개인정보보호법을 위반할 경우 전체 매출액의 3%까지 과징금 부과기준을 올리고 개인정보 전송요구권 도입을 핵심 사항으로 하는 개인정보보호법 2차 개정안이 국무회의에서 의결됐다. 개인정보보호위원회가 9월 중 국회에 개정안을 제출할 계획인 가운데 전체 매출액 상향 기준으로 인해 과징금 부담이 커질 전망이다. 이와 관련 개인정보위는 기업의 안전조치 노력에 따라 과징금을 면제받을 수 있는 조항을 신설했고, 법률전문가와 산업계, 시민단체 등이 참여하는 ‘과징금 부과기준 연구반’을 운영해 합리적인 기준을 시행령·고시 개정안에 반영하겠다는 입장이다.
개인정보위는 개인정보 보호법 2차 개정안이 28일 국무회의에서 의결됐다고 이날 밝혔다. 지난 1월 이번 개정안을 입법예고해 산업계와 시민단체의 의견을 수렴하고 정부 부처 내 합의를 거치는 등 정부 입법 절차를 거쳐 절차적 정당성이 확보됐다. 다만, 과징금 부과기준을 ‘관련 매출액의 3%’에서 ‘전체 매출액의 3%’까지 부과할 수 있도록 바꿨기 때문에 우려하는 목소리가 있는 것이 사실이다. 유럽연합(EU)의 개인정보보호법인 GDPR은 ‘전체 매출액의 4%’ 또는 ‘2000만 유로’(한화 약 276억원) 중 높은 금액까지 부과할 수 있도록 하고 있다.
이와 관련 개인정보위는 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임을 강화하는 방향으로 전환하면서 EU의 일반개인정보보호법(GDPR) 등 글로벌 수준에 맞춰 상한액을 높였다고 설명했다.
하지만 삼성전자의 경우 최대 7조2000억원의 과징금이 산출될 수 있다는 것이 기업들의 주장이었다. 관련 매출액을 산정하는 기준을 우선적으로 마련하거나 관련 매출액의 3%에서 5%로 높이는 등 다른 방안도 있다는 것이 기업들의 주장이다.
이를 반영해 개인정보위는 전체 매출액을 강행하는 대신에 개인정보가 유출된 경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외될 수 있는 조항을 신설했다. 사소한 실수거나 개인정보 유출 규모가 100건 미만인 경우, 최종 과징금 산정금액이 300만원 이하인 경우에는 과징금은 시정조치 명령으로 갈음하고 과태료만 부과할 수 있다. 또한 개인정보위는 과징금 부과의 합리적 산정기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 연구반을 구성해 오는 10월부터 연구반 운영 결과를 시행령, 고시 등 하위규정에 반영해 나갈 계획이다.
최영진 개인정보위 부위원장(차관)은 “개인정보보호에 대한 책임을 기업보다는 개인정보 담당자에게 집중하고 있는 형벌 위주 대신, 기업에 대한 경제적 책임을 강화하는 방식으로 전환했다”며 “글로벌 수준에 맞는 전체 매출액 기준으로 하되 과징금이 책임의 범위를 벗어나지 않도록 위반 행위에 비례하도록 하겠다. 개인정보가 유출될 때 기업이 안전조치를 다한 경우 과징금 대상에서 벗어나도록 했다”고 설명했다.
이어 “(현행법의) 과징금 체계를 보면 관련 매출액의 3% 이하라고 돼 있지만, 면제 규정이 없다. 오히려 하한이 정해져 있어서 한 번 위반되면 무조건 과징금이 부과되는 기술적 문제가 있다”며 “(개정안은) 과징금의 상한일 뿐이지 그 이하로 내려갈 가능성이 얼마든지 있어 기업의 노력 정도나 안전조치 정도에 따라 과징금이 발생하지 않을 수 있다”고 부연했다.
또한 개정안에는 본인정보를 본인 또는 제3자에게 전송 요구할 수 있는 개인정보 전송요구권을 신설했다. 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융, 공공 등 일부 분야에서만 추진 주인 마이데이터 사업이 전 분야로 확산될 전망이다.
최 부위원장은 “디지털 전환과 데이터 경제에 맞춰 정보 주체인 국민의 권리를 강화하고 AI 등 신기술 발전에 대비해 데이터 이동을 지원하기 위해 전송요구권 등을 담았다”며 “개인정보 전송요구권을 도입하면서 금융 등 일부에서만 도입된 내용을 전 산업에 도입할 수 있는 근거 규정을 마련하게 된다. 일부 플랫폼의 데이터 독점을 완화할 수 있으리라 기대한다”고 말했다.
이어 “특히 디지털 시대 아동의 권리 강화를 위해, 이해하기 쉬운 양식 사용 의무 등 온라인 사업자에서 오프라인 사업자 전체로 범위를 넓히겠다”고 덧붙였다.
또 인공지능(AI)을 이용한 과세대상, 복지 수혜자격 결정, 신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리를 도입한다. 드론, 자율주행차 등 이동형 영상기기에 대해 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위를 신설했다.
아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 했다.
최 부위원장은 “아동의 개인정보보호에 대한 필요성은 높아지고 있는데 현재는 아동의 개인정보를 보호해야 한다는 원론적인 내용을 규정하고 있다. 영국의 경우 7세 이하, 12세 이하 등 연령대별로 나눈다. 아동의 수준별, 단계별로 개인정보를 어떻게 보호해야 한다는 연령 적합 규정 같은 것이 있다”며 “우리에게도 아동발달 수준에 맞춘 개인정보 보호 체계가 필요하다고 생각하는데 우리 개인정보보호 법제는 연령에 따른 개인정보를 상정하고 있지 않다. 개인정보보호법 현재 개정안에서는 시책 마련을 규정하고 있어서, 시책을 마련하는 과정에서 이런 부분을 반영을 해 나가고자 한다”고 강조했다.
개인정보위 측은 아동의 수준에 맞춘, 개인정보처리방침이 마련돼야 한다고 설명했다. 최 부위원장은 “연령에 적합한 규약 등을 우선적으로 생각하고 있고 아동뿐 아니라 디지털 취약계층이라 부르는 노인들에게도 맞는 수준에 걸 맞는 정책이 필요하다고 생각한다”고 말했다.
최 부위원장은 개인정보보호법 2차 개정안에 대해 “이번 개인정보보호법 개정안은 올해 1월 입법예고 이후, 시민단체나 산업계 간담회, 관계부처 협의 등을 거쳐서 마련됐다. 실질적으로는 전면 개정에 가깝다”며 “개인정보보호법은 2011년 개정 이후 대부분 의원 입법을 통해 개정돼 왔다. 그러나 이번 개정안은 관계부처와 시민단체, 산업계 등의 의견을 수렴해 마련한 것이다. 어렵게 개정된 정부 안인 만큼 국회 입법 과정에서 최선의 노력을 다해 입법이 이뤄지도록 힘쓰겠다”고 강조했다.