컨텐츠 바로가기

개인정보위, `전체 매출액 3%` 과징금 확정…산업계 우려 여전

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다

개인정보보호법 2차 개정안 국무회의 의결…"9월 중 국회 제출"

과징금 면제 조항 신설했지만…`전체 매출액` 대전제 바꿔야

연구반 운영해 시행령에 반영…구체적 요율·부과방법 등 마련

개인정보 전송요구권 도입…“마이데이터 전 분야로 확산 기대”

이데일리

윤종인 개인정보보호위원회 위원장이 지난 8일 서울 정부청사에서 개최된 `제15회 개인정보보호위원회 전체회의`에서 모두발언을 하고 있다. 이날 회의에서 실수로 개인정보를 유출하거나 피해가 경미한 법 위반행위에 대해서는 과징금을 면제해 주는 기준을 마련했다.(사진=개인정보보호위원회 제공)


[이데일리 이후섭 기자] 개인정보 전송요구권 도입, `전체 매출액의 3%`까지 과징금 부과기준을 상향하는 등의 내용을 담은 개인정보 보호법 2차 개정안이 28일 국무회의에서 의결됐다. 개인정보보호위원회가 9월 중 국회에 개정안을 제출할 계획인 가운데 산업계에서는 `전체 매출액` 기준으로 인해 과징금 부담이 커질 것으로 우려하고 있다.

개인정보위는 기업의 안전조치 노력에 따라 과징금을 면제받을 수 있는 조항을 신설했고, 법률전문가와 산업계, 시민단체 등이 참여하는 `과징금 부과기준 연구반`을 운영해 합리적인 기준을 시행령·고시 개정안에 반영하겠다는 입장이다.

과징금 면제 조항 신설했지만…`전체 매출액` 대전제 바꿔야

개인정보위는 지난 1월 이번 개정안을 입법예고해 산업계와 시민단체의 의견을 수렴하고 정부 부처 내 합의를 거치는 등 오랜 시간을 들여 마련했지만, 여전히 이해관계자의 조율이 필요한 부분이 있다. 대표적인 게 과징금 부과기준을 `관련 매출액의 3%`에서 `전체 매출액의 3%`까지 부과할 수 있도록 바꾼 것이다.

개인정보위는 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임을 강화하는 방향으로 전환하면서 유럽연합(EU)의 일반개인정보보호법(GDPR) 등 글로벌 수준에 맞춰 상한액을 높였다고 설명했다. EU의 GDPR은 `전체 매출액의 4%` 또는 `2000만유로(약 276억원) 중 높은 금액까지 부과할 수 있도록 하고 있다.

하지만 산업계에서는 바뀐 기준에 의해 삼성전자의 경우 최대 7조2000억원의 과징금이 산출될 수 있다고 주장하며 거세게 반발해왔다. `관련 매출액`을 산정하는 기준을 우선적으로 마련하거나 `관련 매출액`의 3%에서 5%로 높이는 등 다른 방안을 모색할 수 있다는 의견을 냈다.

이데일리

(자료=개인정보보호위원회 제공)




연구반 운영해 시행령에 반영…구체적 요율·부과방법 등 마련

그럼에도 개인정보위는 전체 매출액을 강행하는 대신에 개인정보가 유출된 경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외될 수 있는 조항을 신설했다. 사소한 실수거나 개인정보 유출 규모가 100건 미만인 경우, 최종 과징금 산정금액이 300만원 이하인 경우에는 과징금은 시정조치 명령으로 갈음하고 과태료만 부과할 수 있도록 했다.

최영진 개인정보위 부위원장은 “법에 안전성 확보조치를 위한 부분이 들어가 있는데, 이를 충실히 이행하면 개인정보 유출 책임을 면할 수 있다”며 “기존에는 기업이 노력을 다해도 경감 사유에 그쳤는데, 이번에는 경감이 아닌 면제까지 받을 수 있도록 명시한 것”이라고 설명했다.

하지만 산업계에서는 여전히 `전체 매출액`이라는 대전제를 바꿔야 한다고 목소리를 높이고 있다. 전체 매출액 중 개인정보 처리와 관련 없는 부분도 있을 수 있고, 전체 매출액 기반이라는 자체를 정확하게 판단할 기준도 없다는 지적이다.

이에 개인정보위는 과징금 부과의 합리적 산정기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 연구반을 구성해 오는 10월부터 연구반 운영 결과를 시행령, 고시 등 하위규정에 반영해 나갈 계획이다.

개인정보위 관계자는 “법에는 과징금 부과할 수 있는 기준만 있고, 구체적인 요율이나 부과 방법은 하위규정에 위임하게 돼있다”며 “산업계의 우려를 감안해 과징금이 과도하게 부과되지 않도록 `위반행위에 상응하는 비례성`과 `침해 예방에 대한 효과성`을 확보한다는 내용을 법 조문에 명시했다”고 말했다.

개인정보 전송요구권 도입…“마이데이터 전 분야로 확산 기대”

개정안에는 본인정보를 본인 또는 제3자에게 전송 요구할 수 있는 개인정보 전송요구권을 신설했다. 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융, 공공 등 일부 분야에서만 추진 주인 마이데이터 사업이 전 분야로 확산될 것으로 기대된다.

최 부위원장은 “일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것”이라며 “의료, 교육, 통신, 유통 등 분야에서 스타트업들이 창의적인 아이디어를 가지고 새로운 비즈니스 모델을 만들어주길 기대한다”고 말했다.

또 인공지능(AI)을 이용한 과세대상, 복지 수혜자격 결정, 신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리를 도입한다. 드론, 자율주행차 등 이동형 영상기기에 대해 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위를 신설했다.

아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 했다.

최 부위원장은 “영국처럼 아동의 연령별 수준에 맞춘 개인정보 보호 체계가 필요해 보인다”며 “초등학생도 여러 온라인 서비스에 가입하는데, 이들이 이해하기 어려운 단어들이 아니가 아니라 쉽게 쓰여진 개인정보 처리방침을 마련해야 한다”고 말했다.


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.