과징금 기준 상향, 정보 주체가 개인정보를 원하는 곳에 한 데 모아 사용할 수 있는 '마이데이터' 도입 등을 골자로 하는 개인정보보호법 정부개정안이 국회 논의를 앞둔 가운데, 세부 규정에 대한 손질이 필요하다는 학계·법조계 주장이 제기됐다.
개정안은 위법 행위에 따른 과징금 산정 기준을 관련 매출액에서 전체 매출액으로 바꾸고, 최대 3%까지 과징금을 부과할 수 있도록 했다. 이에 대해 산업계는 자칫 심각도가 낮은 위법 행위에 대해서도 상당한 과징금이 부과될 수 있다며 우려하고 있다.
이에 대응해 개정안에 과징금 부과 시 ‘위반행위에 상응하는 비례성’을 확보하게 한다는 내용이 추가됐으나, 우려가 여전한 상태다. 상황별 과징금 부과 액수를 사전 예측 가능한 수준으로 구체화해 이런 우려를 종식하자는 제안이 나왔다.
마이데이터의 경우 법적 근거인 개인정보 이동권이 일반법인 개인정보보호법 개정안에 포함됨에 따라, 먼저 법 개정을 마친 금융 외 전 분야로 사업이 확산될 전망이다. 대상 사업자나 정보 범위, 보안 조치 등 세부 규정을 사업 개시 전 확정해 혼란을 줄이는 것이 바람직하다는 의견이 등장했다.
개인정보 보호 수준을 높이기 위해 개인정보 담당자의 실무 역량을 법적으로 보장하자는 의견이 나왔다. 조직 이해관계로 개인정보 보호 조치가 뒷전으로 밀려나는 상황을 예방하기 위해 법적 지원이 필요하다는 주장이다.
22일 국회도서관에서 개최된 '개인정보보호법 통합대안 마련을 위한 바람직한 개정방안 대토론회'에서는 이같은 주장들이 이어졌다.
■말 많은 개인정보 과징금..."예측 가능성 높이자"
이날 발제자로 나선 홍대식 서강대 교수는 개인정보보호법 개정안 제재 규정의 문제점을 지적하고 개선방안을 제시했다.
과징금 규정에 대한 논란을 해소하기 위해 홍대식 교수는 적정한 산정 기준을 정립하고, 이를 적용한 과징금 부과 경험을 축적하면서 해당 기준을 합리화하는 과정이 필요하다고 봤다.
과징금 부과 시에는 사전에 산정 근거를 제공하고, 과징금 산정 후 충분한 이유를 제시함으로써 개인정보처리자의 방어권을 보장하는 것이 바람직하다고 지적했다.
과징금 산정을 합리화한 뒤에는 형사벌 규정을 축소하는 방안도 고려해야 한다고 지적했다. 홍 교수는 "개인정보보호법 상 제재 규정은 과징금을 비롯한 행정적 집행 수단을 중심으로 개편될 필요가 있다"며 "위반 행위의 억제 목적을 넘어서고, 사회적·윤리적 비난 가능성이 담보되지 않는 행위에 대한 형벌 규정은 축소해 행정법 상 의무 위반 행위는 '비범죄화'를 추구하는 것이 바람직하다"고 설명했다.
덧붙여 정보 주체의 피해 회복을 지원하기 위한 후속적 손해배상 절차도 활성화할 필요가 있다고 강조했다.
■마이데이터 확산 눈앞…"전송 범위·의무 사업자·보안 조치 구체화 필요"
이강혜 법무법인 태평양 변호사는 '개인정보 이동권 통합 개정안 마련 방안'에 대해 발표하면서 마이데이터 사업에 대한 세부 규정들을 제안했다.
마이데이터가 본격화되면 정보 주체가 자신의 개인정보 조회를 요구하거나, 제3자에게 개인정보를 전송하도록 요구할 수 있게 된다. 이에 대해 이강혜 변호사는 "제3자 전송 요구의 경우 개인정보를 제공받는 사업자가 자신의 서비스에 정보를 그대로 구현할 수 있도록 하는 단계까지 구현돼야 하므로 기술적 난이도에 있어서 차이가 있다"며 "시행령 등 하위 법령에서 구체적인 적용 범위 등을 규정할 필요가 있다"고 지적했다.
마이데이터 의무 대상 사업자 기준은 사업자가 자체적으로 판단 가능하도록 매출 기준 또는 이용자 수 등을 하위 법령에서 규정해야 한다고 봤다.
국회에 제출된 정부개정안은 정보 주체 요구에 따라 개인정보를 전송할 의무를 갖는 사업자 범위에 대해 개정안은 "매출액, 개인정보의 규모, 개인정보 처리 능력, 산업별 특성 등을 고려해 대통령령으로 정하는 기준에 해당"해야 하도록 제한하고 있다.
이 변호사는 "소상공인, 중소기업, 스타트업 등에게도 일률적으로 정보 전송을 요구하는 것은 무리한 측면이 있다"며 "전송 요구를 감당할 수 있는 개인정보처리자에 한해 전송 요구의 대상이 되도록 한 점에서 개정안 내용이 바람직하다"고 평가했다.
개인정보 유통 과정에서 안전을 확보하기 위해 마이데이터 사업자에 대한 보안 조치도 구체화해야 한다고 지적했다. 정보보호관리체계(ISMS), 개인정보보호법 제29조의 안전성 확보조치 기준 등을 활용하는 방안을 예시로 들었다.
■"개인정보 담당자' 실질 권한 법적 보장하자"
이희정 고려대 법학전문대학원 교수는 개인정보보호책임자(CPO) 제도의 실효성을 높이는 방안들을 제시했다.
현행 CPO는 유럽 일반 개인정보보호법(GDPR)의 개인정보보호관리자(DPO) 제도와 달리, 현장에서의 역할 수행에 한계를 안고 있다는 것이다. CPO에 전문성을 요구하고, 독립적으로 개인정보 처리 업무를 수행할 수 있게 법으로 보장해 이런 한계를 극복해야 한다고 주장했다.
이를 위해 일정 기준 이상의 기관의 CPO에 대해서는 개인정보 보호 관련 경력을 요구하는 자격 요건을 신설하는 것을 제안했다.
관련기사
- 온라인 플랫폼, 정보유출 책임소재 명확해진다2021.11.12
- '개인정보' 과징금 연구반 출범2021.11.03
- 진정한 맞춤형 서비스 시대 온다…"마이데이터 정책 지원 시동"2021.10.07
- [일문일답] "개인정보법 '마이데이터' 의무 전송 최대 2년 유예"2021.09.28
CPO가 조직의 이해와 관계 없이 개인정보 보호 업무를 충실히 수행하도록, CPO가 기업 내부 이익과 반대되는 의견을 제시하더라도 해임, 처벌 등 불이익을 받지 않게 하고, CPO가 개인정보처리자의 장에게 직접 보고할 수 있는 환경을 조성하게 하는 규정도 도입돼야 한다고 봤다.
CPO 협의회의 필요성도 강조했다. 정부의 제도·규제 위주 접근만으로는 800만 이상 사업자에 대한 개인정보 처리 관리·감독 업무를 제대로 수행하기 어렵다는 이유에서다. 이희정 교수는 "기업에서 개인정보 법제 관련 이해가 부족하고 개인정보 보호를 고려하지 않은 서비스를 개발함에 따라 사고가 다수 발생, 개인정보 보호 이슈가 기업의 존폐 결정하는 요소로 작용하고 있다"며 "CPO 네트워크를 구축해 조직의 개인정보 보호 수준을 높이고, 자율 보호 문화 확산의 소통 창구 역할을 수행하는 것이 바람직하다"고 설명했다.
