방송통신위원회는 20일 전체회의를 열고 개인정보 유출 사고를 일으킨 기업에 대한 처벌을 강화하는 내용을 담은 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’을 일부 개정하는 방안을 보고했다.
현행법은 개인정보 유출 사고가 발생할 경우 기업이 ‘보호조치 의무’를 위반한 정황이 드러날 경우 3000만 원 이하의 과태료를 부과하고 있다. 기업이 해야할 보호조치는 웹사이트 접근기록 저장, 개인정보 입력 시 암호화, 백신프로그램 설치, 방화벽 구축 등이다. 특히 보호조치 의무 위반이 직접적으로 개인정보 유출 사고로 이어질 경우 1억 원 이하의 과징금을 부과할 수 있다.
하지만 이 같은 제재 수준은 개인정보 유출에 따른 사회적 피해에 비해 경미하고, 특히 기업이 보호조치 의무를 위반한 것으로 드러나더라도 이로 인해 해킹이 이뤄졌는지 명확하게 인과관계를 따지기 어려워 처벌 조항이 유명무실하다는 지적이 꾸준히 제기돼 왔다.
따라서 이번 개정안에 포함된 ‘보호조치 위반과 개인정보 누출 등 침해사고와 인과관계 입증 없이 과징금 부과가 가능하다’는 조항은 기존보다 강력한 처벌을 내릴 수 있는 근거가 된다.
방통위는 특히 과징금 처분 수준도 한층 강화한다는 방침이다. ‘1억 원 이하’로 규정된 정액 과징금을 ‘관련 매출액의 1% 이하’의 정률 과징금으로 변경해 기업 규모에 따라 과징금 상한선이 높아진다.
또 이용자의 정보를 유출한 사업자에 업무정지 명령을 내릴 수 있는 조항에 ‘과징금으로 갈음할 수 있다’는 규정도 신설했다. 이는 서비스가 중단돼 이용자가 불편을 겪을 수 있다는 점을 고려한 조치다.
한편 방통위는 이번 법 일부개정안에 대해 관계부처 협의와 입법예고를 거쳐 내년 1월 위원회 전체회의에 상정할 예정이다. 이후 의결되면 국회에 제출할 전망이다.