정보보호법 위반하면 `전체` 매출 3% 과징금…수천억 부과 가능?(종합)

윤종인 개인정보보호위원회 위원장이 23일 오전 서울 종로구에 위치한 정부서울청사 4층 대회의실에서 개최된 제9회 전체회의를 주재하고 있다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] `개인정보 이동권`을 도입해 금융·공공 분야에서 추진하던 마이데이터 사업을 전 분야로 확산하고, 과징금 부과기준을 `위반행위 관련 매출액의 3%`에서 `전체 매출액의 3%`로 강화하는 것을 골자로 개인정보 보호법 2차 개정이 추진된다.

과징금이 대폭 상향될 수 있는 만큼, 개인정보위는 산정기준에 인과관계와 개인정보 유출규모, 위법행위의 성질 등 여러 요소들을 종합적으로 고려해 검토하도록 하되, 구체적인 기준은 시행령에 마련할 방침이다.

그럼에도 관련 매출액이 아닌 전체 매출액의 3%가 적용되면 최대 수천억원에 이르는 과징금도 부과될 수 있어 산업계의 거센 반발이 예상된다.

개인정보 이동권 도입…`제2의 싸이월드` 사태 막는다

개인정보보호위원회는 23일 제9회 전체회의를 열고 개인정보 보호법 2차 개정안을 검토했다. 개인정보위는 개정안 관련 법조문 작업은 완료했고, 내년 상반기 중 정부 입법으로 발의할 계획이다.

이번 개정안에서는 개인정보 이동권을 도입하는 것이 눈에 띈다. 금융·공공 등 일부 분야에서 개인정보 이동권 근거를 마련해 마이데이터 사업을 추진해왔는데, 이를 일반적 권리로 확대하는 것이다.

국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용·제공되도록 할 것인지 스스로 결정할 수 있도록 함으로써 `제2의 싸이월드` 사태를 막겠다는 것이다.

지난 6월 싸이월드 서비스가 종료되면서 다수의 이용자들이 남긴 동영상, 사진 등의 개인데이터가 파기될 상황에 처했다. 개인정보 이동권이 도입되면 소셜네트워크서비스(SNS)에서도 본인이 원하면 언제든 개인데이터를 다른 서비스로 이동시킬 수 있다.

다만 최근 조승래 더불어민주당 의원이 제정을 추진하고 있는 `데이터 기본법`에도 개인정보 이동권과 유사한 전송 요구권이 포함돼 있어 법의 중복이나 충돌이 우려된다.

최영진 개인정보위 부위원장은 “이날 개인정보위 전체회의에서도 향후 국회 입법 과정에서 논의를 거쳐 법의 중복이나 충돌 등이 없는 방향으로 진행해 나가야 한다는 의견이 나왔다”며 “조승래 의원이나 과학기술정보통신부 등 관계부처와 협의를 진행하고 있는 상황이다. 협의의 결과물들이 개인정보보호법 2차 개정안과 데이터 기본법에 일정 부분 반영될 것으로 보인다”고 말했다.

(자료=개인정보보호위원회 제공)

관련 매출액 3%→전체 매출액 3%로…7500만원이 3700억원으로

또 유럽연합(EU) 등 해외 주요국의 입법례에 따라 과징금을 대폭 강화해 부과 대상을 정보통신서비스 제공자에서 전체 기업·기관으로 확대하고, 부과기준도 `위반행위 관련 매출액`에서 `전체 매출액`으로 강화한다. 기준을 전체 매출액으로 변경하면 과징금 액수가 기하급수적으로 오를 수 있다.

최근 개인정보위가 최소 330만명의 개인정보를 유출한 페이스북에 67억원의 과징금을 부과한 것이 역대 개인정보보호법 위반으로 부과됐던 최대 규모인데, 개정안에서는 페이스북의 글로벌 매출 3%를 적용하면 수조원대로 늘어날 수 있다.

또 대리점에서 1만여건 정보를 유출해 과징금 등의 제제를 받은 LG유플러스의 경우에도 위반행위 대상인 `초고속인터넷 서비스 관련` 대리점 매출액의 3%가 적용돼 총 7500만원의 과징금 및 과태료를 부과받았는데, 전체 매출액(지난해 12조3377억원)으로 하면 최대 3700억원이 된다.

다만 2차 개정안이 시행된다 하더라도 이미 과징금을 부과한 페이스북과 LG유플러스 등에는 소급 적용되지 않는다.

산업계 거센 반발 예상…“산정기준 구체화해 시행령에 마련할 것”

개인정보위는 대부분의 개인정보 침해사고는 기업이나 대규모 사업자의 경제적 이득을 목적으로 일어나는 만큼 개인정보 유출로 얻은 부당한 이익을 환수해야 한다는 맥락에서 전체 매출액의 3%로 올렸다는 설명이다. 유럽연합(EU)의 GDPR도 2000만유로(약 270억원) 또는 전세계 총 매출액의 4% 중 높은 금액을 기준으로 부과하고 있다.

이번 개정안을 만드는 과정에서 개인정보 개정연구회 위원장을 맡았던 최경진 가천대 법학과 교수는 “네이버·구글 등 대다수 기업들이 데이터를 모든 사업분야에 활용하고 있는 만큼 특정 시장과 특정 매출을 법 위반행위와 관련시키기가 대단히 어렵다. 이러한 이유로 유럽연합(EU)의 GDPR도 관련 매출액이라는 개념을 쓰고 있지 않다”며 “전체 업무 프로세스에서 보편적으로 적용되는 개인정보에 대해 책임지라는 것인데, 관련 매출액으로 한정하면 사실상 과징금을 부가하지 말라는 얘기”라고 강조했다.

다만 산업계에서 우려하는 만큼 과도한 과징금이 부과되지 않도록 산정기준에 여러 고려요소를 추가해 합리적으로 판단하도록 했다. 최 교수는 “인과관계, 개인정보 유출 규모, 위법한 행위의 성질 등의 고려요소를 다 검토해 과징금을 부과하게 되고, 액수도 단계별로 누적 중복되는 경우 오르는 방식이 될 것”이라며 “상한선인 전체 매출액의 3%는 정말 악의적으로 3~4번 계속 개인정보를 유출하는 경우 아니면 부과되는 일은 거의 없을 것”이라고 말했다.

개인정보위는 과징금 부과기준 관련 산업계나 법제처 등과 논의 과정에서 반발이 나올 것으로 예상되는 만큼 설득과 충분한 의견수렴을 거쳐 정리해 나가겠다는 방침이다.

또, `동의 만능주의`에서 벗어나는 법제 개선이 필요하다는 목소리가 높은 만큼, 데이터 처리 기준사항 등에 대한 개선 방안을 추진할 것으로 알려졌다.