[디지털데일리 이종현기자] 오는 9월15일 개인정보보호법 개정안이 시행된다. 2020년8월 이후 3년 만의 개정으로, 업계에서는 ‘개인정보보호법 2차 개정안’이라고 불리고 있다. 개인정보 전송요구권 근거 삽입, 처벌 규정 강화 등 주목할 만한 내용이 대거 포함돼 있다.

개중에서도 가장 눈길을 끄는 것은 처벌 규정 강화다. 기존 개인정보보호법에서는 법 위반시 관련 매출액의 3% 이내로 과징금을 부과할 수 있도록 했다. 개정법에서는 이를 전체 매출액의 3% 이하로 손봤다. 다만 단서가 붙는다. 기업이 관련 없는 매출액을 입증하면 이를 제외한다는 내용이다.

개인정보보호위원회(이하 개인정보위)는 단서 조항 없이 전체 매출액의 3%를 과징금으로 부과할 수 있도록 추진했으나 산업계에서는 과징금을 지나치게 상향하는 것이 기업 활동에 부정적인 영향을 끼친다고 반대해왔다. 마련된 법안이 1년 이상 통과되지 않고 표류된 배경이다.

개정법은 개인정보위와 산업계 모두 한발 물러선 절충안이다. 실질 효력은 이전과 마찬가지이되 개인정보위는 과징금 산정에 필요한 입증 책임을 기업에 부과함으로써 실효성을 높였고, 산업계는 과도하게 높은 과징금이 부과될 수 있는 상황은 피했다.

개인정보위나 한국인터넷진흥원(KISA)가 법 위반 내용을 조사할 때 이를 거부할 경우 부과할 수 있는 과태료도 최대 1000만원에서 3000만원으로 높였다.

한국인터넷진흥원(KISA) 이정현 개인정보제도팀장은 “조사단이 유출 경위 등을 조사하려 할 때 기업들이 이를 거부하는 경우가 많다. 조사를 거부하면 1000만원 이하의 과태료를 부과하는데, 조사가 이뤄질 경우 관련 매출액의 3%까지, 1000만원 이상의 과징금을 받을 수 있다 보니 차라리 과태료를 받겠다며 거부하는 거다. 그래서 이런 조사 거부시에도 3000만원으로 상향했다”고 말했다.

쟁점은 남는다. 처벌 실효성을 향상시켰다고는 하지만 줄곧 지적돼 온 ‘처벌이 너무 약하다’는 것은 개선되지 않은 탓이다. 유럽연합(EU) 일반개인정보보호법(GDPR) 등에서는 기업의 전체 매출액의 4%까지 과징금을 부과하고 있다. 수천억원 이상의 과징금이 부과될 수 있는 배경이다. 반면 한국에서는 역대 가장 많은 과징금 액수가 44억원이다. 솜방망이 처벌이 유출을 부추긴다는 지적이 줄을 잇고 있다.

한편 처벌 규정 강화와 함께 특히 눈길을 끈 것은 마이데이터를 위한 개인정보 전송요구권 삽입이다. 정부, 금융에 한정돼 있던 마이데이터가 전 분야로 확산될 수 있을 것으로 기대되는 대목이다. 다만 개인정보 전송요구권은 2025년3월 내 시행되도록 하는 등 여유기간을 뒀다. 준비되지 않은 상태에서 시행돼 혼란을 야기하는 것보다는 충분한 논의 끝에 시행하겠다는 취지다.