법제도/정책

“권리에는 책임이 따른다”··· 개인정보 오·남용시 처벌 대폭 강화

이종현
[디지털데일리 이종현기자] 개인정보보호법(이하 개보법)의 개정이 재추진된다. 내용 전반이 수정되는 전면 개정안으로, 디지털 경제 시대에 부합하도록 법을 재정비한다는 취지다.

28일 개인정보보호위원회(이하 개인정보위)는 국무회의에서 개보법 개정안이 의결됐다고 밝혔다. 9월 중 국회에 제출, 입법 절차를 밟을 예정이다.

개인정보위의 개보법 개정안은 정보주체의 권리 강화와 불합리한 규제 완화를 함께 담았다. 산업계와 시민단체, 정부부처 등 다양한 의견을 반영한 결과물이다.

여러 내용 중 개정안에서 특히 주목받는 것은 개인정보 전송요구권 도입법 위반 기업에 대한 경제적 책임 강화, 동의제도 개선 등이다.

◆곳곳에 흩어진 데이터를 개인이 관리··· ‘마이데이터법’

개인정보 전송요구권은 ‘마이데이터’ 사업을 위한 제도적 기반이다. 마이데이터는 정보주체가 기업·기관에게 자신의 개인정보를 타 기업·기관에 전송토록 요구할 수 있도록 하는 사업이다.

가령 은행이 보유하고 있는 자신의 데이터를 타 은행 또는 통신사 등 다른 사업자에게 전달할 수 있도록 하는 것을 뜻한다. 복수 기관별로 서류를 제출하는 등의 불편함을 더는 동시에 보다 질 좋은 데이터를 통한 개인화된 서비스를 누릴 수 있게 된다. 은행, 보험, 증권 등의 데이터를 하나의 애플리케이션(앱)으로 볼 수 있는 ‘뱅크샐러드’ 등이 대표적이다.

금융 분야의 법제인 신용정보법에는 개인정보 전송요구권이 포함돼 있어 금융 마이데이터 사업이 진행 중이다. 다만 타 분야의 경우 법적 근거 조항이 없는 상태라 본격적인 사업 확산은 지연되는 상태다.

산업계에서는 개보법 개정이 전 분야 마이데이터 사업의 물꼬를 트는 계기가 되리라 기대한다. 일반법인 개보법의 개정을 시작으로 의료법 등 특별법에도 마이데이터 내용을 포함하는 법 개정 절차가 본격화될 전망이다.

◆“권리에는 책임이 따른다”··· 법 위반시 과징금 대폭 상향

개정안에서는 법 위반시 형벌 중심의 규율을 경제벌 중심으로 교체하는 내용이 담겼다. 개인정보 오·남용이나 유·노출시 그 책임을 기업이 아닌 개인정보를 취급하는 담당자가 지는 것이 타당하지 않다는 판단에서다.

개인에 대한 처벌은 완화하는 대신 기업에 대한 책임은 대폭 커진다. 과징금을 관련 매출액의 3%에서 전체 매출액의 3%로 확대하는 것으로, 이를 적용할 경우 기업은 법 위반시 천문학적인 과징금을 부과받을 수 있다.

산업계에서는 전체 매출액의 3%라는 과징금이 지나치다는 주장이다. 가령 국내 최대 기업인 삼성전자의 경우 3개 연도의 평균 매출액(별도 기준)이 163조8219억원인데, 개보법 위반시 부과될 수 있는 최대 과징금은 4조9146억원으로, 과징금 규모가 현실적인 범주를 벗어났다는 입장이다.

이에 대해 개인정보위는 3%는 ‘최대치’임을 분명히 했다. 기업이 개인정보보호를 위한 조치를 충실히 수행했을 경우 개인정보 유·노출 사고가 발생하더라도 과징금이 부과되지 않도록 하고, 또 위반 행위에 적정한 수준의 과징금이 부과될 수 있도록 한다는 설명이다.

또 과징금 부과의 합리적 산정기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 ‘과징금 부과기준 연구반’을 구성한다. 10월부터 법률전문가 및 산업계·시민단체 등 대표성 있는 이해관계자가 참여하는 연구반 운영 결과를 시행령·고시 등 하위규정 개정안에 반영하겠다는 계획이다.

개인정보위는 법 실효성 및 해외 기업에 대한 형평성 확보를 위해 전체 매출액 기준으로의 전환은 불가피하다 판단이다.

개인정보위는 작년 11월 페이스북을 대상으로 67억원의 과징금을 부과했다. 페이스북이 최소 330만명 이상의 개인정보를 제3자에게 동의 없이 제공한 데 따른 조치다. 당시 페이스북은 관련 자료를 거짓으로 제출하는 등 조사를 방해한 바 있다.

페이스북의 사례처럼, 법 위반 사실이 드러났음에도 기업이 비협조적일 경우 ‘관련 매출액’을 산정하기란 불가능에 가깝다. 큰 개인정보 관련 사고에도 불구하고 기업에 대한 과징금이 국민 눈높이를 충족하지 못하는 핵심 이유 중 하나다.

3%라는 수치도 과하지 않다는 것이 개인정보위의 주장이다. 유럽연합(EU) 일반개인정보보호법(GDPR)은 전체 매출액의 4% 또는 2000만유로 중 더 높은 금액을 과징금으로 부과한다.
지난 16일 개최된 개인정보 정책 토크 콘서트 당시 윤종인 개인정보위 위원장
지난 16일 개최된 개인정보 정책 토크 콘서트 당시 윤종인 개인정보위 위원장

◆‘동의 만능주의’ 탈피하겠다지만··· 더 많은 고민이 필요할 듯

개인정보 수집·이용 동의제도 개선도 개정안의 주요 내용 중 하나다.

현행 개보법에서는 특례를 통해 국민이 필수적으로 동의해야만 서비스를 이용 가능하도록 제도화하고 있다. 개인정보위는 이와 같은 제도가 형식적인 동의 및 동의 만능주의 관행의 원인이라며 이를 개선하겠다는 취지의 내용을 개정안에 담았다.

핵심은 개인정보 처리방침 평가제의 도입이다. 개인정보 처리방침의 적정성을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우 개선을 권고한다는 것이 골자다. 처리방침 작성지침을 준수하는지, 정보주체가 이해하기 쉽게 작성했는지, 이를 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 등을 살핀다.

다만 개인정보 처리방침 평가제만으로 현재의 형식화된 동의제도를 개선하는 것은 어려울 것으로 관측된다. 기업은 최대한 많은 데이터를 확보하기 위해 각종 서비스를 제공하며 개인정보를 수집하는 중이다. 사용자는 서비스 이용을 위해 원치 않더라도 개인정보를 제공할 수밖에 없다. 개정안 이후로도 동의제도 개선에 대한 지속적인 논의가 필요하다는 목소리가 나오는 이유다.

한편 개정안에서는 오프라인 규제와 온라인 규제로 이원화돼 있는 기존 법의 불합리성 해소 등의 내용도 담겼다. 동일행위-동일규제 원칙을 바탕으로 법 적용의 혼선 및 이중 부담을 완화하고, 개인정보 국외이전 방식을 다양화함으로써 기업의 부담을 더는 동시에 글로벌 규제와의 정합성을 확보할 예정이다.

윤종인 개인정보위 위원장은 “이번 개정안은 디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련됐다”며 “국회에서 신속한 논의가 이뤄지기를 희망한다”고 말했다.

이어서 그는 “이번 개정안에 머무르지 않고 아동·청소년 등 취약계층 보호, 민감정보·생체정보·영상정보 등 국민생활에 큰 영향을 미치는 개인정보에 대해 지속적으로 개선, 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력하겠다”고 부연했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널