개인정보 보호 위원회가 작년 12월 23일, 개인정보보호법의 2차 개정안 추진 계획을 발표했다. 그러나 2021년 상반기 내 개정안 통과를 목표로 했던 개정안은 2021년 10월 현재에도 여전히 국회에 머물러 있다. 개정안을 둘러싼 진통은 곳곳에서 나타났지만 개인정보 침해사고와 관련한 과징금을 둘러싼 이슈는 특히 업계와 개인정보보호위원회 측의 의견이 수차례 팽팽히 맞섰다. 어떤 점이 이슈였을까.
개인정보보호위원회(이하 개인정보위)가 과징금 부과 조건에 칼을 빼 든 것에는 다양한 계기가 있겠지만, 페이스북 개인정보 유출 사건을 빼놓을 수 없다. 2020년 11월, 개인정보위는 페이스북에 사용자 개인정보 유출 및 실태조사 비협조를 이유로 67억 6천 600만 원의 과징금을 부과했다. 이는 개인정보 유출에 따른 과징금 규모로선 국내 역대 최대 규모였다. 그러나 현재까지도 페이스북은 과징금을 내기는커녕 경찰 조사와 개인정보 분쟁조정 절차에 무대응으로 일관하고 있다. 개인정보 유출 사고에 대한 과징금 부과의 실효성에 대한 의문이 들 수밖에 없다.
현재 개인정보 유출에 대한 과징금은 정보통신 서비스 제공자에 한하며, 위반행위 관련 매출액의 3% 이하로 규정되어 있다. 그러나 페이스북 사례와 같이 위반행위 관련 매출을 증빙하기 어려워 과징금 규모 산정에 어려움이 있고, 특정인을 대상으로 하는 형벌중심의 제재에 대한 업계의 불만 및 집행력의 문제 또한 지속적으로 제기되어 왔다. 따라서 개정안에서는 과징금 부과 대상을 정보통신 서비스 제공자에서 전체 기업 및 기관으로 확대해 집행력을 높이고, 온‧오프라인 사업자에 대한 구분 없이 법 위반 사항에 대하여 전체 매출액의 3% 이하의 과징금을 부과하는 것으로 변경하였다. 특히, 과징금 부과에 관한 특례 항에 다섯 가지 호를 신설, 과징금 산정에 더욱 다양한 기준을 고려하고자 하였다.
개인정보 보호법 제39조의15(과징금의 부과 등에 대한 특례) 제3항에 다섯가지 호 신설(4~8)
③ 보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
4. 암호화 등 안전성 확보에 필요한 조치 이행 노력 정도
5. 개인정보가 분실‧도난‧유출‧위조‧변조 또는 훼손된 정도 및 안전성 확보 조치 등 의무 위반행위와의 인과관계
6. 피해의 회복 및 확산 방지를 위한 조치 이행 여부
7. 개인정보처리자의 업무 형태 및 규모
8. 처리하는 개인정보의 민감도
그러나 국내 관련 업계의 반발은 거셌다. 한국경영자총협회는 21년 2월 14일, 의견서 제출을 통해 관련 사항에 대한 문제점을 지적했으며, 뒤이어 9개 시민, 사회단체 또한 의견서를 제출했다. 의견서 내용의 골자는 위반행위에 비해 과도한 과징금이 부과되는 것이 우려되며 이로 인해 기업 부담이 증가하고, 관련 산업의 발전이 저해된다는 것이다. 구체적으로, 과징금의 기준을 ‘위반행위’로 규정하는 것이 행정별 비례 원칙에 부합하다는 점, 개정안의 기준이 되는 EU GDPR과 국내 사정이 같지 않다는 점, 과징금 규모를 높이는 것이 개인정보보호 강화에 영향을 미친다는 실증적 연구결과가 없다는 점 등을 들어 개정안의 불합리함을 주장하였다.
그러나 개인정보위는 1) 형사처벌을 완화하고 경제적 제재로 전환해 달라는 업계의 요구가 반영되었음에도 불구하고 이마저 과징금 기준을 낮추라는 요구는 과하다는 점, 2) 위반행위를 기준으로 할 경우 관련 매출액의 입증 책임을 위원회가 지기 때문에 산출이 어렵다는 점과 3) 사전에 보호조치를 충분히 이행하였다면 과징금 대상에서 제외하겠다는 점 등을 들어 개정안의 취지를 명확히 하고, 이를 추진하겠다는 의지를 밝혔다.
이렇듯 양측의 주장이 팽팽한 가운데 개인정보위가 수정사항을 반영한 개정안을 지난 9월 28일, 국회에 제출했다. 수정된 개정안에서는 ‘안전성 확보 조치’를 다하였으면 과징금을 부과하지 않는다는 내용과 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 8가지 사항을 고려하겠다는 내용이 포함되었다.
개정안 제64조의2(과징금의 부과) 제1항 제9호의 개정
9. 개인정보가 분실·도난·유출·위조·변조·훼손된 경우. 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 제29조에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
11. ③ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
4. 암호화 등 안전성 확보 조치 이행 노력 정도
5. 개인정보가 분실‧도난‧유출‧위조‧변조‧훼손된 경우 위반행위와의 인과관계 및 분실‧도난‧유출‧위조‧변조‧훼손의 정도
6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
7. 개인정보처리자의 업무 형태 및 규모
8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향의 정도
또한, 개인정보위는 과징금 부과의 합리적 산정 기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 ‘과징금 부과기준 연구반’을 구성하고, 10월부터 법률전문가와 산업계·시민단체 등 대표성 있는 이해관계자가 참여하는 연구반 운영 결과를 하위규정(시행령·고시) 개정안에 반영하겠다는 계획을 밝혔다. 과징금 부과 기준에 대한 세부적인 사항을 조율함으로써 업계의 반발을 최소화하고 실효성 있는 부과기준을 마련하겠다는 것이다.
개정안의 발의된 지 10개월여가 지났지만, 과징금 관련 이슈는 아직도 원활한 합의점에 도달하지 못한 것으로 보인다. 규제나 징벌에 대해 업계가 환영할 수 없는 것은 어쩌면 당연한 사실이다. 그러나 데이터 기반 사회에서 수집되는 개인정보의 유형 및 정보량, 활용 사례가 점점 더 다양해지는 가운데, 개인정보 유출 사고로 인한 잠재적 위협요소는 앞으로도 점점 더 커질 것이다. 이런 상황에서 개인정보 유출 사고에 대한 경각심을 더욱 높이고, 이를 대비하기 위한 조치를 강제하고자 하는 개정안의 취지는 매우 환영할 만한 처사다.
다만, 개정되는 법안의 실효성을 높이기 위해서는 업계가 납득할 수 있는 수준의 요구사항을 제시해야 한다. 예를 들어, 개인정보위가 제시한 과징금을 부과하지 않는 기준, 즉 사전에 유출을 방지하기 위한 충분한 노력을 기울였는지를 판단하기 위한 요구사항이 업계차원에서도 받아들일 수 있는 조치의 수준이어야 한다. 또한 과징금 산정시 고려되어야 할 사항이 충분히 반영되어 있는지 여부도 중요할 것이다. 따라서 이 모든 사항을 고려하고 결정할 과징금 부과기준 연구반의 활동에 시선이 주목된다. 연구반의 결과가 얼마나 현실을 반영하고, 명확한 기준을 제시하였는지 여부에 따라 개정안의 실효성과 실행력이 결정될 것이기 때문이다.
One comment