정부가 개인정보 유출 사고가 발생한 기업·기관에 대한 경제적 제재를 확대하는 개인정보보호법 개정을 추진한다.
지금까지 개인정보보호법 위반 행위와 연관된 매출을 기준으로 과징금을 부과해왔지만, 전체 매출액 기준 3%를 과징금으로 부과하도록 개정하겠다는 것이다. 이는 유럽연합(EU) 일반 개인정보보호법(GDPR)에서 전체 매출액 기준 4%를 위반 과징금으로 부과하는 것과 유사한 방식이다.
개인정보보호위원회는 23일 전체회의에서 이같은 내용을 담은 개인정보보호법 2차 개정안을 검토했다고 밝혔다.
개인정보위는 데이터 3법 개정 과정에서 변화하는 데이터 환경에서의 국민의 권리 강화 사항이 차기 입법과제로 유보됐고, 불합리한 규제 개선에 대한 필요성이 잇따라 제기됨에 따라 2차 법 개정을 추진한다고 설명했다. 데이터 3법 시행에 따른 개인정보 통합 거버넌스로의 출범 직후 내부 전담조직(TF)을 구성, 운영하고 '개인정보 톡톡릴레이', 학계‧법조계로 구성된 법 개정 연구위원회 등을 통해 사회적 공감대가 높은 법 개정 수요를 발굴했다.
▲개인정보 유출 관련 경제적 제재 강화 외 ▲온·오프라인에 따라 다른 개인정보 규제 일원화 ▲개인정보 이동권 보장 등 정보 주체 권리 강화 ▲이동형 영상기기에 대한 규제 마련 및 전자상거래 상 정보 국외 이전 합리화 등의 내용이 이번 개정안에 담겼다.
개인정보위는 이번 2차 개정안을 내년 상반기 국회에 제출한다는 계획이다.
■개인정보 유출 시 경제벌 위주로 처벌…담당 직원 억울한 징역살이 없앤다
개인정보위는 형벌 중심의 제재를 경제벌 중심으로 전환, 제재의 실효성을 높이기로 했다. 형벌 중심의 제재가 개인에 대한 과도한 처벌을 초래했다는 판단에서다.
EU 등 해외 주요국의 입법례에 따라, 과징금 부과 대상을 정보통신서비스 제공자에서 전체 기업‧기관으로 확대한다. 부과 기준도 위반 행위 관련 매출액에서 전체 매출액으로 상향하고 3%로 규정, 기업의 사전적 의무 준수와 책임성을 확보하고자 했다.
개인정보보호법은 제74조 양벌규정을 통해 개인정보보호법을 위반한 법인과 담당자를 함께 처벌하고 있다. 과징금이 기업에겐 너무 가볍고, 개인에겐 너무 무겁게 부과되고 있으며, 형사처벌의 경우 해당 직무 기피 현상을 유발하고 있다는 게 보안업계의 꾸준한 지적이었다. 이는 결과적으로 기업의 개인정보 보호 체계를 강화하기보다, 특정 직원의 책임지는 것으로 사고 대응이 종결되는 결과를 불러일으킨다는 지적이었다.
이에 개인정보위는 2차 개정안에서 본인 또는 제3자의 이익을 목적으로 이뤄진 행위에 대해 형사처벌을 부과한다는 내용을 담았다.
■정보통신망법·개인정보보호법 유사 규정 일원화
개인정보위는 데이터 3법 개정 시 단순 편입된 정보통신서비스 특례규정 내용 중 온‧오프라인에 모두 적용이 필요한 특례규정은 모든 분야로 확대하고, 일반규정과 유사한 취지의 특례규정은 일반규정으로 일원화하는 등 규제를 정비했다.
규제 정비 내용을 살펴보면, 민간 온라인 영역에서만 적용되던 노출된 개인정보 삭제 의무를 공공 분야까지 확대했다. 개인정보 유출 통지‧신고 제도 관련 규정은 통합했다.
이같은 내용이 2차 개정으로 도입되면, 온·오프라인 사업을 영위하는 기업이 개인정보보호법 적용에 있어 혼란을 겪지 않아도 된다는 게 정부 설명이다.
■'개인정보 이동권' 도입…주체적 정보 제공 결정 지원
2차 개인정보보호법 개정안에는 디지털 환경의 변화에 따라 약화될 우려가 있는 국민의 정보주권을 강화하는 내용이 담겼다.
이를 위해 개인정보 이동권(전송 요구권)을 도입, 국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용‧제공되도록 할 것인지 스스로 결정할 수 있게 하고자 했다. 국민의 개인정보에 대한 통제권을 강화함과 동시에 금융‧공공 분야에 도입된 이동권을 전 분야로 확산할 수 있게 하는 것이다.
정부는 인공지능의 발전과 함께 자동화된 의사결정이 보편화됨에 따라 이에 대한 설명요구 등 국민의 적극적 대응권을 보장하기 위해 개인정보 이동권을 법제 상에 반영하려 한다고 밝혔다.
■드론·자율주행차 운영기준 수립…해외 거래 시 정보 국외 이전 합리화
현행법은 드론, 자율주행차 등 새로 등장한 이동형 영상기기에 대한 규정이 없어 개인정보 침해 여부를 두고 논쟁이 있어왔다.
이에 개인정보위는 일상화된 이동형 영상기기에 대한 운영 기준을 새로 마련해 입법 공백을 해소하고, 합리적 기준과 절차를 마련한다.
전자상거래 기반 개인정보 국외 이전 관련 해외 '직구'가 일상화돼 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전을 제한하는 한계가 있었다.
이에 개정안에서는 국제표준에 부합하도록 적정한 개인정보 보호 수준이 보장되는 국가로의 안전한 이전을 허용하는 등 국외 이전 방식을 다양화한다.
감염병 위기 상황에서 공공안전 보장을 위한 개인정보 처리 시에도 보호조치와 파기의무 등을 준수하여 개인정보가 제대로 보호될 수 있도록 적용 예외규정을 정비한다.
관련기사
- "데이터 3법은 시작일 뿐"…개선 과제도 산적2020.01.10
- 구글, 프랑스서 642억원 벌금…"개인정보 보호 위반"2019.01.22
- "형식적 '동의' 요구 그만"…정부, 개인정보 수집 관행 고친다2020.11.24
- 개인정보 유출 사고 나면 기업 대신 직원만 속 탄다2019.10.11
개인정보위는 앞으로 시민단체‧산업계‧학계 등 각계의 의견을 수렴하고, 관계부처 협의를 추진해나갈 예정이다.
윤종인 개인정보위 위원장은 “이번 법 개정은 디지털 사회로의 대전환 속에서 확실한 개인정보 보호와 안전한 활용을 지원함으로써 국민이 신뢰하는 데이터 시대를 선도하기 위한 첫 걸음”이라며 “개인정보 보호 분야의 기본법으로서의 위상을 정립하고 글로벌 규제와의 상호운용성을 확보할 수 있는 계기가 마련되기를 바란다”고 밝혔다.