정부가 개인정보보호법 위반 시 전체 매출액의 3% 이하를 과징금으로 부과하는 2차 개정안을 밀어붙이기로 했다.
개인정보위는 12일 제8차 전체회의를 열고 개인정보보호법 2차 개정안의 추진 현황을 점검하며 과징금 부과 기준을 상향키로 결정했다. 현행 개인정보보호법 위반 시 개인정보위는 ‘위반행위 관련 매출액’의 3% 이하를 과징금으로 부과하고 있다. 지난 1월 6일 입법 예고된 개인정보보호법 2차 개정안에는 ‘위반행위 관련 매출액’이 아닌 ‘전체 매출액’의 3%로 기준을 상향하는 내용이 담겨 있다.
이날 윤종인 개인정보위 위원장은 “내부적으로 토론이 있었지만 ‘위반행위 관련 매출액’에서 ‘전체 매출액’으로 올리기로 결정했다. 가장 큰 이유는 입증 책임”이라며 “위반행위 관련 매출액이라고 하면 그 입증 책임을 위원회에서 져야하는데, 해당 기업에서 자료를 주지 않으면 (기업 내의 개인정보보호법 위반 행위) 관련 매출액을 계산해낼 방법이 없다”라고 설명했다.
다만 과징금 기준을 전체 매출액으로 상향하는 대신, 시행령에 8가지 항목을 둬 과징금을 낮출 수 있다는 단서를 달았다. 기업들이 개인정보 침해 시 피해 보상을 위해 노력한 정도 등을 감안하겠다는 구상이다.
개인정보위가 과징금 기준을 상향한 2차 개정안을 지속 추진하는 이유로 개인정보 침해 억제력이 꼽힌다. 기존 ‘위반행위 관련 매출액의 3%’ 기준은 충분한 징벌적 수단이 되지 못한다는 판단 때문이다. 기업의 전체 업무 중 개인정보 유출 행위와 관련된 업무가 적어 실질적인 개인정보 보호 수단이 되지 못한다는 것이다.
페이스북의 개인정보 유출 조사 과정도 영향을 미쳤다. 개인정보위는 페이스북이 2012년부터 약 6년간 국내 이용자 약 330만 명의 개인정보를 유출한 건에 대해 67억 원의 과징금을 부과한 바 있다. 해당 조사 과정에서 페이스북의 거짓 자료, 불안전한 자료 제출로 애를 먹었고, 조사 개시부터 처분까지 2년 반이 넘는 시간이 소요됐다.
입증 부담을 덜기 위함도 있다. 현행법에서는 위반행위와 관련된 업무라는 점에 대해 개인정보위가 관련 내용을 파악하고 해당 기업에서 자료를 제출받아야 했다. 전체 매출액 기준으로 상향 시 공시를 통해 매출액을 확인할 수 있고, 기업이 관련 사업인지를 직접 입증해야 한다는 것이다.
과징금 상향 규정 추진에 산업계는 이해할 수 없다는 입장이다.
통신업계 관계자는 “개인정보위는 늘 연관성 있는 매출 또는 관련 매출로 했을 때 구획하기 어렵다고 주장한다”라며 “연관성이든 과징금 베이스가 되는 기준 잡기는 모두가 힘든데 왜 유독 개인정보위만 힘들다고 하는지 모르겠다”라고 밝혔다.
해외 사업자와 국내 사업자의 형평성 문제를 지적하기도 했다.
포털 업계 관계자는 “개인정보위에서 협조를 얻기 어렵다고 하는 사례들은 대부분 해외 사업자”라며 “기존의 법이 잘못 만들어진 게 아니라 규제를 집행할 수 있는 집행력을 확보하지 못한 것인데, 해외에 대한 규제 강화하기 위해 국내도 혼나야 한다는 이상한 논리를 펴고 있다”라고 지적했다.
최문석 경총 미래혁신팀장은 “전체 매출액을 기준으로 과징금을 부과하는 것은 법 위반행위와 무관한 기업의 다른 사업 분야 매출까지 모두 과징금 산정 기준에 포함된다는 점에서 비합리적이다. 또한, 전체 매출의 일정 비율로 과징금이 산정되어 막대한 금액이 부과되므로 개인정보 활용 관련 산업 발전도 위축시킬 것으로 우려된다”고 말했다.
개인정보위는 시행령 정비 과정에서 산업계 등의 의견을 수렴하겠다는 입장이다. 개인정보 보호법에 전체 매출액을 기준으로 과징금을 부과한 후, 시행령에 경감 조항을 달 구상인 만큼 해당 과정에서 우려를 반영하겠다는 것이다. 개인정보위는 가급적 5월 말에서 6월 초 내 개정안의 세부적인 내용을 정리, 차관·국무회의를 거쳐 국회에 제출할 예정이다.
국회 기류는 개인정보위 쪽으로 기울고 있다. 현재 국회에 제출된 개인정보 보호법 일부 개정 법률안 중 과징금을 다루고 있는 법안은 김병욱ㆍ윤영찬 의원의 법안 두 건이다. 모두 개인정보위의 개정안과 동일하게 ‘전체 매출액의 3%’를 기준으로 하고 있다. 큰 이변이 없으면 개인정보위의 개정안이 반영될 것으로 전망된다.