[보안칼럼]개인정보보호법 과징금 개선안에 대해

송도영 법무법인 비트 변호사
송도영 법무법인 비트 변호사

개인정보보호위원회가 지난 1월 6일 '개인정보 보호법 일부개정법률(안)'을 입법예고 했다. 개정안은 4차 산업혁명 시대를 맞아 개인정보의 보호와 활용 간 균형 있는 규율을 통해 신뢰에 기반을 준 데이터 경제 육성이라는 새로운 지향점을 제시한다. 개정안 내용 가운데 특히 이슈가 되는 부분은 '제재 체계의 정비와 전환'이다. 최근 개인정보전문가협회(KAPP)가 김앤장 법률사무소와 함께 실시한 설문조사에서도 총 188명 가운데 31.4%가 형사 처벌 축소 및 행정 제재 확대, 27.1%가 과징금 부과 기준 강화에 각각 주목하고 있다고 답했다.

현행 개인정보 보호법은 세세한 의무규정과 강력한 형사처벌로 구성됐다. 이로 인해 기업이 부담해야 할 책임을 임직원 개인에게 전가(轉嫁)시키고, 기업의 개인정보보호 투자를 촉진하지 못한다는 한계가 지적됐다. 개정안이 이러한 문제를 해결하기 위해 구성 요건에 '자기 또는 제3자의 이익을 목적'이라는 문구를 추가하고 개인정보처리자에 대한 경제적 제재를 강화한 것은 바람직한 개정 방향이다.

다만 과징금을 '전체 매출액의 3% 이하'로 개정하는 것에 대해서는 현행법상 개인정보 침해 등에 대한 제재와 처벌이 솜방망이 수준에 그쳤기 때문에 타당한 개정이라는 의견과 급격한 제재 강화로 사업자에 큰 부담이 되기 때문에 폐기돼야 한다는 주장이 대립한다. 한국경영자총협회는 삼성전자 사례를 들어 '일반 위반 행위'에 대해서도 과징금 기준 금액이 2조4353억원(전체 매출액의 1.5%)에 이르고 최대한 감경을 받더라도 6088억원이 부과될 수 있다며 반대 의사를 밝힌 바 있다.

그러나 이는 개정법률안에 따른 하위 법령과 구체적인 부과(감경) 기준이 마련되지도 않은 상황에서 현행 기준을 단순 적용해 도출시킨 것이어서 합리적 반론이라 보기 어렵다. 현재도 '개인정보 보호법 시행령'이나 '개인정보보호 법규 위반에 대한 과징금 부과기준'에서는 고의·중과실, 중대성, 필수적·추가적 가중·감경 등을 통해 과징금이 지나치게 과중하지 않도록 하는 장치를 마련하고 있다.

개인정보보호위원회는 개정법률안이 국회를 통과할 경우 후속 조치로 합리적인 과징금 부과 기준을 마련하겠다는 입장을 밝힌 바 있다. 아직까지 징벌적·법정 손해배상제도가 자리 잡지 못한 상황에서 형사처벌 범위를 축소하고, 동시에 과징금 기준을 유지하거나 완화해야 한다는 주장은 받아들이기 어렵다.

제조업 등과 달리 '개인정보'는 그 자체가 판매 대상이라기보다 신제품·서비스 개발이나 제공 등을 위해 전사적으로 이용되기 때문에 현실적으로 '관련 매출액' 산정이 어려운 점도 고려해야 한다.

마지막으로 현행법에서 이미 '가명정보' 처리에 대해서는 '전체 매출액의 3% 이하'를 기준으로 규정하고 있을 뿐만 아니라 유럽연합(EU)의 GDPR(전체 매출의 4% 이하) 등 주요국 입법례에 비춰 보더라도 이번 개정안이 과도한 규정이라고 보기 어렵다.

오랜 논의를 바탕으로 우리나라 개인정보보호 법제를 획기적으로 전환하기 위한 개정안이 발표됐다. 형사처벌 중심 제재를 경제벌 중심으로 전환하는 것은 학계와 산업계에서 장기간 논의돼 온 사항이다.

극단적인 사례를 근거로 과징금 개정안에 반대하기보다 현행 '개인정보의 안전성 확보조치 기준'처럼 개인정보처리자 유형을 구분하고 각 유형에 적합한 감경사유, 감경기준 등을 마련하는 등 제재 체계 전환에 따른 보완책 마련을 위한 합리적인 토론이 필요한 시점이다.

제재 체계 전환에 관한 논의는 현재진행형이다. 향후 국회 차원에서 각계 의견을 취합하고, 시행령과 고시를 마련하는 과정에서 합리적인 기준이 마련되길 기대한다.

송도영 법무법인 비트 변호사 doyoung.song@veat.kr