개인정보위, `전체 매출액 3%` 과징금 확정…산업계 우려 여전

by이후섭 기자
2021.09.28 10:00:00

윤종인 개인정보보호위원회 위원장이 지난 8일 서울 정부청사에서 개최된 `제15회 개인정보보호위원회 전체회의`에서 모두발언을 하고 있다. 이날 회의에서 실수로 개인정보를 유출하거나 피해가 경미한 법 위반행위에 대해서는 과징금을 면제해 주는 기준을 마련했다.(사진=개인정보보호위원회 제공)

[이데일리 이후섭 기자] 개인정보 전송요구권 도입, `전체 매출액의 3%`까지 과징금 부과기준을 상향하는 등의 내용을 담은 개인정보 보호법 2차 개정안이 28일 국무회의에서 의결됐다. 개인정보보호위원회가 9월 중 국회에 개정안을 제출할 계획인 가운데 산업계에서는 `전체 매출액` 기준으로 인해 과징금 부담이 커질 것으로 우려하고 있다.

개인정보위는 기업의 안전조치 노력에 따라 과징금을 면제받을 수 있는 조항을 신설했고, 법률전문가와 산업계, 시민단체 등이 참여하는 `과징금 부과기준 연구반`을 운영해 합리적인 기준을 시행령·고시 개정안에 반영하겠다는 입장이다.

과징금 면제 조항 신설했지만…`전체 매출액` 대전제 바꿔야

개인정보위는 지난 1월 이번 개정안을 입법예고해 산업계와 시민단체의 의견을 수렴하고 정부 부처 내 합의를 거치는 등 오랜 시간을 들여 마련했지만, 여전히 이해관계자의 조율이 필요한 부분이 있다. 대표적인 게 과징금 부과기준을 `관련 매출액의 3%`에서 `전체 매출액의 3%`까지 부과할 수 있도록 바꾼 것이다.

개인정보위는 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임을 강화하는 방향으로 전환하면서 유럽연합(EU)의 일반개인정보보호법(GDPR) 등 글로벌 수준에 맞춰 상한액을 높였다고 설명했다. EU의 GDPR은 `전체 매출액의 4%` 또는 `2000만유로(약 276억원) 중 높은 금액까지 부과할 수 있도록 하고 있다.

하지만 산업계에서는 바뀐 기준에 의해 삼성전자의 경우 최대 7조2000억원의 과징금이 산출될 수 있다고 주장하며 거세게 반발해왔다. `관련 매출액`을 산정하는 기준을 우선적으로 마련하거나 `관련 매출액`의 3%에서 5%로 높이는 등 다른 방안을 모색할 수 있다는 의견을 냈다.

(자료=개인정보보호위원회 제공)

연구반 운영해 시행령에 반영…구체적 요율·부과방법 등 마련

그럼에도 개인정보위는 전체 매출액을 강행하는 대신에 개인정보가 유출된 경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외될 수 있는 조항을 신설했다. 사소한 실수거나 개인정보 유출 규모가 100건 미만인 경우, 최종 과징금 산정금액이 300만원 이하인 경우에는 과징금은 시정조치 명령으로 갈음하고 과태료만 부과할 수 있도록 했다.



최영진 개인정보위 부위원장은 “법에 안전성 확보조치를 위한 부분이 들어가 있는데, 이를 충실히 이행하면 개인정보 유출 책임을 면할 수 있다”며 “기존에는 기업이 노력을 다해도 경감 사유에 그쳤는데, 이번에는 경감이 아닌 면제까지 받을 수 있도록 명시한 것”이라고 설명했다.

하지만 산업계에서는 여전히 `전체 매출액`이라는 대전제를 바꿔야 한다고 목소리를 높이고 있다. 전체 매출액 중 개인정보 처리와 관련 없는 부분도 있을 수 있고, 전체 매출액 기반이라는 자체를 정확하게 판단할 기준도 없다는 지적이다.

이에 개인정보위는 과징금 부과의 합리적 산정기준을 마련하기 위해 홍대식 서강대 교수를 반장으로 하는 연구반을 구성해 오는 10월부터 연구반 운영 결과를 시행령, 고시 등 하위규정에 반영해 나갈 계획이다.

개인정보위 관계자는 “법에는 과징금 부과할 수 있는 기준만 있고, 구체적인 요율이나 부과 방법은 하위규정에 위임하게 돼있다”며 “산업계의 우려를 감안해 과징금이 과도하게 부과되지 않도록 `위반행위에 상응하는 비례성`과 `침해 예방에 대한 효과성`을 확보한다는 내용을 법 조문에 명시했다”고 말했다.

개인정보 전송요구권 도입…“마이데이터 전 분야로 확산 기대”

개정안에는 본인정보를 본인 또는 제3자에게 전송 요구할 수 있는 개인정보 전송요구권을 신설했다. 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융, 공공 등 일부 분야에서만 추진 주인 마이데이터 사업이 전 분야로 확산될 것으로 기대된다.

최 부위원장은 “일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것”이라며 “의료, 교육, 통신, 유통 등 분야에서 스타트업들이 창의적인 아이디어를 가지고 새로운 비즈니스 모델을 만들어주길 기대한다”고 말했다.

또 인공지능(AI)을 이용한 과세대상, 복지 수혜자격 결정, 신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리를 도입한다. 드론, 자율주행차 등 이동형 영상기기에 대해 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위를 신설했다.

아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 했다.

최 부위원장은 “영국처럼 아동의 연령별 수준에 맞춘 개인정보 보호 체계가 필요해 보인다”며 “초등학생도 여러 온라인 서비스에 가입하는데, 이들이 이해하기 어려운 단어들이 아니가 아니라 쉽게 쓰여진 개인정보 처리방침을 마련해야 한다”고 말했다.