[디지털투데이 백연식 기자] 개인정보보호위원회가 과징금 기준을 ‘위반행위 관련 매출액’에서 ‘전체 매출액’(최대 3%)으로 상향하는 내용을 핵심으로 하는 개인정보보호법 2차 개정안 시행령을 준비 중인 가운데, 업계가 과잉금지·평등원칙 위배라며 반발하고 있다. 개인정보보호법 2차 개정안은 작년 9월 국무회의를 통과해 국회로 이송됐지만, 지난해 11월 국회 정무위원회 법안소위에서 1차 심의만 진행됐을 뿐이다.

국회에서 법이 통과되지 않은 상황에서 개인정보위는 시행령을 준비 중에 있는데, 법안의 국회 통과 가능성은 크지 않은 상황이다. 과학기술정보통신부도 보편 요금제 법안을 국회에 이송됐지만 정부가 요금 관련 시장에 직접적으로 개입한다는 이유로 국회에서 제대로 논의조차 못하고 있다. 

2일 관계 당국 및 IT업계에 따르면 개인정보위는 시행령 관련 연구반을 3차까지 진행했다. 1차 회의는 지난해 11월 3일, 2차 회의는 12월 28일, 3차 회의는 2월 10일 열린 것으로 확인됐다. 디지털투데이가 입수한 (산)업계의 ‘개인정보 보호법 과징금 부과기준 의견서’에 따르면 기업들 모두 ▲과징금의 본질 위배 ▲과잉금지 원칙 위배 ▲평등의 원칙 위배 ▲입법목적이 다른 법(공정거래법 등)과 비교하는 것의 부적절성 ▲국내시장에 맞지 않는 해외 입법례 도입 등을 들어 개인정보보호법 2차 개정안(법안 국회 통과 및 시행령)에 대해 반대하고 있다. 

법이 국회에서 통과되지 못할 경우 개인정보보호법 2차 개정안 시행령은 절대 국무회의를 통과하지 못한다. 개인정보 보호법 과징금 부과기준 의견서는 통신사, 인터넷기업, 한국경영자총협회 소속회사, 삼성전자, 외국계기업 등 업계가 ‘한마음 한뜻으로’ 합심해 만든 것이라고 보면 된다. 이들은 전체 매출액 기준은 과징금의 본질, 헌법의 기본원칙에 위배되며 국내 시장 상황과도 부합하지 않으므로, 현재의 ‘관련 매출액’ 기준이 타당하다는 입장이다. 

‘개인정보 보호법 과징금 부과기준 의견서’ 내용을 자세히 살펴보면 업계는 과징금 전체 매출액 기준 상향에 대해 우선 ▲과징금의 본질 위배를 이유로 들었다. 과징금은 법규 ‘위반행위’에 대한 제재이자 ‘위반행위’로 인한 경제적 이익의 부당이득 환수가 목적인데, ‘전체 매출액’ 기준은 과징금의 본질에 위배되므로 과징금 산정의 기초가 되는 매출액은 위반행위와 ‘관련된’ 매출액에 한정할 필요가 있다는 것이다. 전체 매출액 기준은 단순히 사업자의 전체 규모와 경제력에만 대응하는 것이기 때문에 해당 행위와의 관련성을 갖지 못한다는 이유다.

또, 업계는 ▲과잉금지 원칙 위배를 반대의 이유로 내세우고 있다. 과징금은 헌법상 최소침해 원칙에 따라 다른 완화된 수단에 의한 제재가 불가능한 경우 부과하는 것이기 때문에 과징금 부과 시에도 부과 목적을 달성할 수 있는 정도와 비례해 부과돼야 하기 때문에 전체 매출액 기준 과징금을 부과하는 것은 과잉규제라는 것이다. 만약 개정안이 ‘전체 매출액’ 기준을 유지할 경우, 적어도 하위법령상 과징금 산정기준에서 과잉금지 원칙을 고려해 법률의 위헌성을 해소할 필요가 있다고 강조했다. 

개인정보보호법 2차 개정안에 대해 업계는 ▲평등의 원칙 역시 위배한다고 주장한다. 다른 법률에서는 국민의 생명과 안전을 위협하는 위반행위에도 적정규모로 과징금을 설정하고 있기 때문에 전체 매출액 기준 과징금은 평등의 원칙에도 반한다는 것이다. 항공법은 정당한 사유 없이 공항안전운영기준을 위반해 공항안전에 위험을 초래하는 행위 등에 대해 10억원 이하의 과징금을 부과한다. 식품위생법은 위해식품을 판매해 영업허가 취소 처분을 받은 자 등에 대해 ‘그가 판매한 해당 식품등의 판매금액’을 과징금으로 부과한다. 건설산업기본법은 건설사업자가 고의로 건설공사를 부실하게 시공한 경우 5억원 이하의 과징금을 부과한다. 소방시설공사법은 소방시설공사등의 업무수행의무 등을 위반해 다른 자에게 상해를 입히거나 재산피해를 입힌 경우 2억원 이하의 과징금이 부과된다. 

업계는 2차 개정안에 대해 ▲입법목적이 다른 법(공정거래법 등)과 비교하는 것의 부적절성을 들어 반대하고 있다. 개인정보보호법의 목적은 ‘개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함’(제1조)으로 개인적 법익 보호에 한정하는 것이다. 이에 반해, 공정거래법·전기통신사업법·신용정보법은 산업발전 및 시장 질서도 입법목적으로 두고 있어, 법령 및 집행기관의 구성도 개인의 보호 뿐만 아니라 산업적 관점을 고려하고 있다. 원래 공정거래법에서 정률 과징금을 두게 된 것도 기업의 행동을 억지해 시장경제질서를 바르게 형성하기 위한 목적이라는 얘기다. 이에 따라, 입법목적이 다른 법률 근거의 규제 정당화는 맞지 않다는 논리다. 

유럽연합(EU)의 GDPR(General Data Protection Regulation, 개인정보보호 규정)에서는 과징금을 전체 매출액의 4%로 규정하고 있다. 개인정보위도 이를 근거로 개인정보보호법 2차 개정안의 정당성에 대해 주장하고 있다. 이에 대해 업계는 ▲국내 시장에 맞지 않는 해외 입법례 도입이라고 반박하고 있다. 

EU의 GDPR에서 전체 매출액 기준 과징금을 도입한 것은 미국 글로벌 빅테크에 대한 통상제재 목적이라는 것이 일반적 견해이며, 자국 플랫폼으로 견제하는 우리나라의 시장과는 근본적인 차이가 있다는 것이다. GDPR의 과징금 규정은 단기적으로 미국 기업에 대해 고액 과징금을 부과할 수는 있으나, 결국 자국 시장의 자생적 성장을 가로막는다는 점에서 통상 견제방식으로서도 부적절하다는 평가를 받고 있기도 한다고 설명한다. 

반면, 일본은 자국 기업의 보호와 균형을 고려하여 과징금 제도를 두지 않고 있으며, 과태료도 국내에 비해 매우 소액이고, 개정법에서조차 적정한 수준의 벌금 부과 액수를 정하고 있다. 2020년 6월 개정된 개인정보 보호법에서는 데이터베이스 등의 부정 제공과 위원회 명령 위반 법인에 대해 최대 1억엔의 벌금형을 부과(제87조제1항)했다. 따라서, EU GDPR의 과징금 조항을 그대로 도입하기 보다는, 전체 매출액 기준의 과징금 등이 도입취지에 맞게 작용해  효용을 거두고 있는지, 국내 시장을 고려했을 때 도입이 적절한지 등에 대한 실증적 검토부터 선행돼야 한다는 것이다. 

업계는 국내법 체계상 정합성 검토가 필요하다고 재차 강조하고 있다. 개인의 프라이버시권 및 개인정보자기결정권은 개인의 자유권으로서 헌법상 중요한 보호를 받으나, 침해를 거부하는 정도를 넘어 그 자체로 행정청 또는 다른 국민에게 어떠한 행위를 요구할 수 있는 청구권이라 보기는 어렵다는 것이다. 또한 국민의 생명․안전․재산과 같이 법익침해가 객관적 측정 가능한 경우와 달리, 프라이버시권 및 개인정보자기결정권은 무형적이고 감정적이기 때문에 개인의 법익이 어느 정도 침해되었는지 객관적 판단하기 어렵다는 논리다. 즉, 개인정보 보호법 위반에 따른 법익침해가 우리 법체계상 다른 무형적․감정적 법익침해 사례와 비교해 어느 정도 중대한 지 과징금을 통한 제재가 우리 법체계상 다른 제재기준과 형평성을 이루는지 종합적으로 비교해야 한다는 입장이다. 

이와 관련 윤종인 개인정보위 위원장은 최근 열린 기자간담회에서 “법률 개정안에 과징금 부과 시 사업자의 업무 형태 및 규모, 안전성 확보조치 이행 노력 정도 등 다양한 요소를 고려해 ‘위반행위에 상응하는 비례성’과 ‘침해예방에 대한 효과성’을 확보할 것을 명시했다”며 “특히 지난해 개정안이 국회에 제출되는 시점부터 산업계와 시민사회 등에서 추천한 인사로 과징금 부과기준 연구반을 구성해 업무 형태·규모 등 개정안에 명시된 비례성 및 효과성을 실질적으로 확보할 수 있도록, 시행령에 규정될 과징금 산정기준에 대한 합의점을 마련하고 있다”고 말한 바 있다. 

이어 “사업자의 책임 범위에 상응하며 법 위반행위를 효과적으로 억지할 수 있는 합리적인 과징금 산정기준(시행령·고시)을 마련하겠다”며 “이번 개정안은 사업자가 고객의 개인정보 보호를 위한 안전조치 의무를 충실히 한 경우 면책 규정을 담는 등 제재가 아닌, 기업의 개인정보관리 책임을 강화하는 것이 목적”이라고 덧붙였다.