개인정보위가 개인정보보호법 위반 시 전체 매출액의 3% 이하를 과징금으로 부과하는 2차 개정안의 방향을 지속 추진키로 했다.
개인정보위는 12일 오전 제8차 전체회의를 개최, 개인정보보호법 2차 개정안의 추진 현황을 점검했다. 이날 개인정보위는 과징금 부과 기준을 상향한 2차 개정안에 대해 점검ㆍ논의했다.
현행 개인정보보호법 위반 시 개인정보위는 ‘위반행위 관련 매출액’의 3% 이하를 과징금으로 부과하고 있다.
지난 1월 6일 입법 예고된 개인정보보호법 2차 개정안에는 ‘위반행위 관련 매출액’이 아닌 ‘전체 매출액’의 3%로 기준을 상향하는 내용이 담겼다.
당시 산업계는 과징금이 과도하게 부과될 것이라며 강력하게 반발한 바 있다.
지난 2월 8일 2차 개정안에 대한 의견을 수렴하기 위해 개최된 온라인 공청회에 참석한 김현종 삼성전자 상무는 개정안의 가장 우려되는 부분으로 과징금 부과 기준 변경을 꼽기도 했다.
김 상무는 당시 “삼성전자의 2020년 기준 전체 매출이 237조 원이고 한국 본사 기준으로 하면 166조 원”이라며 “3%를 적용하면 전 세계 매출 적용 시 7.2조 원의 과징금이 산출된다. 한국 기준으로 해도 5조 원 이상”이라고 토로했다.
이진규 네이버 이사 또한 “과징금 수준을 상향해 어떤 효과를 기대할 수 있는지 입증된 바가 없다”라며 “EU GDPR에서는 벌금 부과에 앞서 경고나 재발 방지 명령 등의 수단이 있다. 여타 수단과의 조화가 필요하다”라고 입을 모았다.
이후 개인정보위는 2월 16일까지 관계부처의 의견을 수렴하고 3월 10일 제4차 전체회의를 통해 개정안 추진에 대해 보고한 바 있다.
개인정보 침해를 억제할 수 있는 수단으로 과징금이 작동하면서도, 산업계 반발을 잠재워야 하는 두 가지 과제를 안고 있었다.
개인정보위는 이로부터 약 두 달 후인 오늘, ‘전체 매출액의 3%’라는 개정안 방향을 유지하는 것으로 가닥을 잡았다. 다만 시행령에 8가지 항목을 둬 과징금을 낮출 수 있다는 단서 조항을 달았다.
이날 윤종인 개인정보위 위원장은 “내부적으로 토론이 있었지만 ‘위반행위 관련 매출액’에서 ‘전체 매출액’으로 올리는 가장 큰 이유는 입증 책임”이라며 “위반행위 관련 매출액이라고 하면 그 입증책임을 위원회에서 져야 하고, 해당 기업에서 자료를 주지 않으면 (기업 내의 개인정보보호법 위반 행위) 관련 매출액을 계산해낼 방법이 없다”라고 설명했다.
기업의 전체 매출액의 경우 공시를 통해 확인할 수 있고, 개인정보와 관련된 사업인지 여부를 기업에서 입증해야 해 개인정보위의 부담을 덜 수 있다는 구상이다.
실제 지난해 11월 개인정보위는 페이스북의 개인정보 유출 조사 과정에서 거짓 자료, 불완전한 자료 제출로 애를 먹기도 했다. 당시 개인정보위의 페이스북 조사 개시부터 처분까지 2년 반이 넘는 시간이 소요됐다.
이정렬 개인정보위 개인정보정책국장은 “전체 매출액이라는 부과 기준은 실링(천장)이고 여기에 비례해 얼마를 부과할지 8가지 항목들이 참고사항이 될 것”이라며 “기업이 (개인정보 침해) 피해 보상을 위해 노력한 정도 등을 고려해야 할 것으로 보인다”라고 설명했다.
다만 과징금 추징 기준으로 제시한 ‘비례성’의 기준을 세우는 것이 과제로 남았다.
개인정보위는 개인정보 침해 행위에 상응하는 비례성을 고려해 과징금을 산정하겠다고 전체회의에서 보고했다. 이에 회의에 참석한 위원이 비례성이나 관련성을 갈음하기 어렵지 않겠냐는 질의를 하기도 했다.
개인정보위는 관련 내용이 시행령에서 다뤄질 만큼, 시행령 정비 과정에서 산업계 등의 의견을 수렴하겠다는 입장이다. 더불어 될 수 있으면 5월 말에서 6월 초 내 관련 내용을 정리해 2차 개정안을 추진하는 것을 목표로 삼고 있다.