개인정보 침해사고 낸 기업 과징금 '전체 매출액의 3%'로 강화(종합)

권수현기자

(서울=연합뉴스) 권수현 기자 = 개인정보 침해사고를 낸 기업의 과징금이 전체 연 매출액의 3%로 강화하는 방안이 추진된다. 기존에는 침해사고와 관련된 매출액의 3%를 부과했으나 이를 국내외 전체 연 매출액을 기준으로 산정해 대폭 올린다.

또 온라인과 오프라인 업계로 이원화된 규제가 통합되고 개인정보 전송 요구권을 도입해 자신의 개인정보를 어느 범위까지 이용·제공할 것인지 스스로 결정할 수 있게 된다.

개인정보보호위원회는 이 같은 내용을 골자로 한 개인정보보호법 2차 개정안을 마련해 23일 전체회의에서 논의했다고 밝혔다.

◇ 개인정보 침해 기업에 '철퇴'…온·오프라인 규제는 일원화

개정안은 우선 형벌 위주이던 개인정보 침해사고 제재를 경제 벌 중심으로 바꿔 과징금을 강화했다.

온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하고, 형사처벌은 '자기 또는 제3자의 이익을 목적'으로 하는 위반행위로 제한한다.

이는 형벌 중심 제재가 개인을 과도하게 처벌하는 측면이 있는 점, 국내외 매출의 구분이 모호해지는 업계 환경, 글로벌 매출액의 4%까지 과징금을 부과하는 유럽연합(EU) 등 주요국 수준 등을 종합적으로 고려한 것이다.

지금은 온라인 사업자에 대해서는 위반행위와 관련된 매출액의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5천만원 이하의 벌금형을 내릴 수 있다. 오프라인의 경우 5천만원 이하의 과태료를 부과하게 돼 있다.

최영진 보호위 부위원장은 "개인정보 유출·노출 관련 사고 대부분은 기업이나 대규모 사업자에 의해 경제적 이득 획득을 목적으로 이뤄지므로 침해된 개인정보로 얻은 부당한 수익을 환수하는 것은 당연하다"며 "세계적으로도 개인정보 침해 과징금 액수를 높여가는 추세"라고 설명했다.

개정안은 온·오프라인 업계에 다르게 적용되던 규제도 통일했다.

앞서 데이터 3법 개정 과정에서 정보통신망법에 있던 정보통신서비스 제공자 대상 개인정보보호 규정을 개인정보보호법으로 가져오면서 단순히 합쳐만 놓았는데 이를 정비해 온·오프라인 구분 없이 동일한 위반행위는 동일한 규제를 적용하도록 했다.

이를 위해 온·오프라인 업계에 모두 있는 유사 규정은 일반규정을 중심으로 합치고, 과도한 규제는 정비한다. 인터넷에 노출된 개인정보 삭제 의무와 해외사업자의 국내 대리인 지정 제도 등 온라인 사업자에만 적용되던 것은 전 분야로 확대하기로 했다.

개정안은 또한 '업무상 알게 된 개인정보를 사적 목적으로 이용 시' 처벌할 수 있도록 근거도 마련했다.

◇ 개인정보 이용범위 스스로 결정…드론촬영 등 '법 사각지대' 보완

개정안은 자기 개인정보를 직접 다운로드받거나 더 선호하는 사업자 등 제3자에게 전송하도록 요구할 수 있는 '개인정보 이동권'(전송 요구권)을 도입해 개인이 개인정보 제공·이용 범위를 스스로 결정하도록 했다.

개인정보 이동권은 EU나 미국 등 주요국에서 먼저 도입했고 우리나라에서는 금융 분야의 마이데이터 등 일부 영역에서 사업이 추진되고 있는데 개인정보보호법 개정을 통해 일반적 권리로 신설하려는 것이다.

최 부위원장은 "이를 통해 국민의 개인정보 통제권을 강화하고 금융·공공분야에 도입된 개인정보 이동권을 전 분야로 확대해 데이터 산업 진흥에도 기여하게 될 것"이라고 말했다.

개정안은 또한 국민의 생명·신체·재산 등에 중대한 영향을 미치는 자동화된 의사결정에 대해 거부·이의제기·설명 요구를 할 수 있는 대응권을 신설했다.

인공지능(AI) 발전으로 자동화된 의사결정이 신용등급·채용 등에까지 광범위하게 활용되고 있는데, 개인 의사에 반하는 방향으로 결정이 내려져 기본권이 침해되는 것을 막기 위한 것이다.

개정안은 명백한 법 규정이 없던 이동형 영상기기 관련 내용도 마련했다.

현 개인정보보호법은 CCTV 같은 고정형 영상기기만 규율하고 있어 드론, 자율주행차 등을 이용한 촬영은 개인의 사전동의를 일일이 받아야 했다.

개정안은 이를 보완해 공개된 장소에서 업무 목적으로 촬영하면서 그 사실을 최대한 알리면 별도 동의 없어도 촬영이 가능하게 했다. 다만 정보 주체가 거부의사를 표하는 등 권리행사를 요청하면 이를 들어줘야 한다.

개인정보의 국외이전 요건은 본인 동의 외에 다른 방식도 가능하도록 다양해진다.

온라인 전자상거래 확대를 고려해 적정한 개인정보보호 수준이 보장되는 국가나 기업으로는 본인 동의 없이도 개인정보를 이전할 수 있게 된다.

가명정보 파기 의무와 가명정보 결합 업무에 대한 비밀유지 의무도 새로 생긴다.

또 감염병 위기 상황에서 공공 안전을 위해 개인정보를 처리하는 경우에도 보호조치 및 파기의무 등 개인정보보호 원칙을 준수하도록 규정을 정비했다.

보호위는 부처 간 협의를 거쳐 개정안을 입법예고하고 각계의 의견을 수렴한 뒤 정부안을 확정해 내년 상반기 중으로 국회에 제출할 계획이다.

최 부위원장은 "이번 개정안은 디지털 환경의 변화와 데이터 시대의 도래를 고려해 개인정보 보호와 활용을 조화해 나가도록 내용을 업데이트한 것"이라며 "개정안 내용이 최대한 반영되도록 노력하겠다"고 말했다.

inishmore@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2020/12/23 16:43 송고