[기고]개인정보보호법 2차 개정, 시대적 요구 반영한 진화과정

정경오 법무법인 린 변호사

우리는 지금 인류사적 대전환기에 서 있다. 코로나19의 도래와 함께 종전의 아날로그식 경제·사회구조 및 법·제도는 급속한 디지털화의 길을 걷고 있다. 디지털화를 주도하는 원동력은 데이터인데, 우리가 사용하는 데이터의 70%가 개인에 의해 생성된 정보라는 점을 감안하면 개인정보야말로 디지털 시대 핵심자원이라고 볼 수 있다.

지난 1월 개인정보보호위원회는 데이터 3법(개인정보보호법·정보통신망법·신용정보법)을 개정·시행한 지 불과 6개월도 되지 않은 시점에서 개인정보보호법 2차 개정안을 입법예고했다. 2차 개정안은 정보주체의 권리보장, 개인정보 규제 및 제재 합리화, 개인정보 보호 거버넌스 강화로 요약할 수 있는데, 눈에 띄는 것이 있다면 개인정보 규제 및 제재 합리화다.

지난 2019년 1월 프랑스 개인정보보호기구인 CNIL은 개인정보 제공 동의 절차에서 투명하고 용이한 접근을 보장해야 한다는 유럽연합(EU) 규정 위반을 이유로 구글에 5000만유로(약 680억원)의 과징금을 부과했다. 동의없이 개인정보를 제3자에게 제공한 경우 우리나라 개인정보보호법에 따르면 구글은 관련 매출액의 3% 이하에 해당하는 과징금을 부과받을 뿐만 아니라 5년 이하의 징역 또는 5000만원 이하의 벌금으로 처벌받을 것을 각오해야 한다.

임직원에 대한 형사처벌은 글로벌 업체가 한국진출을 꺼리는 이유가 되기도 한다. 형벌규정이 지나치게 많은 우리나라 개인정보보호법은 기업 입장에서는 큰 걸림돌이었다. 이번 개정안에서 형벌 규정을 과감히 과징금으로 전환함으로써 기업의 임직원들이 형사처벌의 위험성에서 벗어날 수 있는 계기가 마련된 것으로 평가된다.

현재 대부분의 기업들은 온라인과 오프라인으로 상품이나 서비스를 판매하고 동시에 소비자의 개인정보를 처리하게 된다. 단순하게 접근하면 개인정보를 온라인으로 처리할 경우 정보보통신서비스 제공자로 인정되고, 오프라인으로 처리하면 개인정보처리자로 인정된다.

만약 정보주체의 동의 없이 개인정보를 수집한다면 개인정보처리자는 5000만원 이하 과태료를 부과받고, 정보통신서비스 제공자는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처해진다. 개인정보 처리를 온라인으로 하냐, 오프라인인지 여부에 따라 전혀 다른 제재를 받게 되는 것이다. 이번 개정안은 이런 정보통신서비스 제공자에 대한 특례를 없애고 개인정보처리자로서 일원화함으로써 동일한 규제를 할 수 있게 되는 것이다.

지난해 1월의 개인정보보호법 개정 취지가 통합법령 마련 및 개인정보보호위원회 위상 강화에 역점을 뒀다면, 이번 2차 개정안의 취지는 현실에 적합한 개인정보 보호법 정비에 있다고 할 것이다.

10년이면 강산도 변한다고 했다. 법률도 고정불변이 아닌, 시대 상황에 따라 진화하는 것이 순리다. 이번 개인정보보호법 개정은 이러한 시대적 요구를 반영한 자연스러운 진화의 과정이라고 볼 수 있다.