"과징금 면제도 가능" 업계 반발에 확 달라진 개보법 개정안

[머니투데이 차현아 기자]

(서울=뉴스1) 송원영 기자 = 윤종인 개인정보보호위원회 위원장이 8일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 전체회의에서 모두 발언을 하고 있다. 2021.9.8/뉴스1

개인정보 유출 피해가 발생한 기업에 전체 매출액의 최대 3%까지 과징금을 부과할 수 있도록 했던 개인정보보호법 개정안 조항이 추진 과정에서 다소 완화됐다. 피해를 막기 위해 기업이 안전조치 의무를 다했다면 아예 과징금을 면제받을 수 있게 된다. 과징금 부과 기준이 과도하다는 업계 목소리를 대폭 반영한 결과다.

개인정보보호위원회는 28일 국무회의에서 정부 합의를 거친 개인정보보호법 개정안이 의결돼 이달 중 국회에 제출된다고 밝혔다. 이번 개정안은 코로나19(COVID-19) 이후 빨라진 디지털 전환 움직임에 맞춰 개인정보는 보호하고 개선이 필요한 규제는 대폭 정비하기 위해 마련했다는 설명이다. 지난 1월 첫 입법예고됐던 개정안은 재입법예고와 업계 의견수렴, 법제처 심사 등을 거쳐 수정된 뒤, 국무회의를 거쳐 국회 논의를 앞두고 있다.

개인정보위에 따르면 이번 개정안에는 개인정보 유출 등이 발생하면 과징금을 기업 전체 매출액의 3%까지 부과할 수 있다는 조항이 유지됐다. 이는 지난 1월 공개된 첫 개정안에도 포함됐던 내용으로, 산업계 반발이 가장 컸던 부분이다.

다만 개인정보위는 정상참작을 통해 과징금 자체를 면제할 수 있다는 내용을 이번 개정안에 추가했다. 최영진 개인정보위 부위원장은 "다른 과징금 제도는 대부분 경감사유만 있지만, 이번 개정안엔 아예 면제조항을 넣은 것이 특징"이라며 "과도하게 부과되지 않도록 검토 과정에서 위반행위에 상응하는 비례성을 반드시 고려해야 한다는 조항도 포함했다"고 강조했다.

개인정보위는 또 과징금 부과의 세부 기준을 마련하기 위한 연구반을 운영한다. 내달부터 운영하는 연구반에는 법률 전문가와 산업계·시민단체 등 이해관계자가 참여한다. 연구반 운영을 통해 나온 업계 의견을 시행령과 고시 제정작업에 충분히 반영해 반발을 최소화한다는 취지다.

/사진=개인정보보호위원회

앞서 업계에서는 전체 매출액 기준 자체를 없애야 한다고 목소리를 높였다. 현행 법은 과징금을 위반행위와 관련된 사업 분야의 매출액 기준으로 산정하도록 했으나, 개정안은 이를 기업의 전체 매출액으로 변경했다. 그만큼 기업이 내게 될 과징금이 확 늘어나는 셈이다. 개인정보와 직접 관련 없는 사업분야의 매출이 기준에 포함되는 것이 적절하지 않다는 의견도 나왔다.

개인정보위는 전체 매출액 기준을 최종안에서도 유지한 이유로 "유럽연합(EU) 등 타 국가에서도 과징금 부과 기준으로 통용하기 때문"이라고 설명했다. 실제로 EU의 개인정보보호법(GDPR)은 한 기업의 전 세계 매출액의 4%까지 과징금을 부과할 수 있다는 내용을 담고 있는데 이는 해외 구글 , 페이스북 등 해외플랫폼에대한 견제책이라는 비판도 적지않았다. 이에대해 개인정보위는 "3% 기준은 상한선일 뿐, 기업의 피해구제 노력 등을 감안해 그 이하로 부과할 수도 있다"고 덧붙였다.

업계 의견이 대폭 반영되면서 오히려 기업의 개인정보 유출 책임을 덜어주는 결과가 될 수 있다는 지적도 나온다. 이에 최 부위원장은 "심각한 개인정보 유출사고는 기업이 충분히 대비하지 않아 발생한 경우가 대부분"이라며 "법에 정해진 대로 사전조치 의무를 다했다면 과징금 부담을 덜어주자는 취지"라고 말했다.

━
개정 추진 배경 "디지털 뉴딜 일환...마이데이터 사업 키운다"
━
개인정보보호법 개정안은 지난해 12월 이후 약 11개월 만에 국회 통과를 앞두게 됐다. 이번 개정안이 마이데이터 등 디지털 뉴딜 핵심사업을 뒷받침할 주요 정책과제로 꼽히는 만큼 개인정보위도 업계 의견 수렴에 고심한 모양새다. 최 부위원장은 "이번 개정안은 2011년 개인정보보호법 제정 이후 최초로 정부가 주도해 산업계와 시민단체, 관계부처 등의 다양한 의견을 반영해 마련한 전면 개정안"이라고 평가했다.

이번 개정안에는 마이데이터의 근거조항인 개인정보 전송 요구권을 신설하는 내용이 담겨있다. 현재 마이데이터 사업은 전자정부법과 신용정보법 등에 따라 공공과 금융 분야에서만 제한적으로 운용할 수 있었다. 개인정보법 개정안이 통과되면 개인정보 전송 요구권에 근거해 다른 산업군에서도 마이데이터 사업을 추진할 수 있게 된다. 이외에 개정안에는 인공지능(AI)에 따른 자동화된 결정을 거부하거나 설명을 요구할 권리도 도입했다. 신용등급이나 과세대상 등을 산정할 때 AI 기반 자동분석을 활용하는 사례가 늘어남에 따라, 결정 대상자의 권리를 보장하기 위해서다.

윤종인 개인정보위 위원장은 "이번 개정안은 디지털 대전환 시대에 선제 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련된만큼, 국회에서 신속히 논의가 진행되길 바란다"고 말했다.

차현아 기자 chacha@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>