전체 매출액 기준 과징금 부과, 개인정보 이동권 도입 등 유럽 일반 개인정보보호법(GDPR)의 특징을 반영한 개인정보보호법 2차 개정안을 두고 여러 의견이 오갔다. 전반적인 개정 방향에 대해서는 긍정적인 시각이 주를 이뤘으나, 주체별 입장에 따른 수정 요구가 이어졌다.
산업계에서는 특히 법 위반에 따른 과징금 기준이 상향된 것에 대해 반발했다. 현행법에서는 위법 행위 관련 매출액을 기준으로 과징금을 산정하지만, 이번 개정안에서는 위법 행위를 저지른 기업의 전체 매출액의 3%까지 과징금을 부과할 수 있게 하는 내용을 담았다. 이에 대해 부담이 과도하고, 제재의 실효성이 떨어진다고 주장했다.
시민단체에서는 기업이 법망을 피해 개인정보를 악용할 수 있다는 우려가 여전히 존재한다고 봤다. 개인정보 이동권을 이용해 필요치 않은 개인정보를 대량 수집하는 등의 가능성에 대해 안전조치 보완이 필요하다고 강조했다.
8일 개최된 개인정보보호법 2차 개정안 공청회에서는 이같은 의견 공유가 이뤄졌다.
■기업 "과징금·개인정보 이동권 시스템·전담인력 확보 조항 부담"
이날 공청회에서 기업 입장에서 참석한 패널들은 공통적으로 과징금 기준 개정을 요구했다.
이경상 대한상공회의소 본부장은 "전체 매출액 기준의 과징금 부과는 인과관계가 맞지 않는 처벌"이라며 "기업간거래(B2B) 사업 위주 업체가 극히 적은 비중을 차지하는 기업대소비자(B2C) 사업에서 개인정보 유출 사고를 일으킨 상황을 가정해보면 유출된 개인정보 규모에 비해 막대한 과징금이 책정된다"고 지적했다.
과징금 기준이 상향된 것에 대해 김현종 삼성전자 상무는 "GDPR과 마찬가지로 EU에 적용되는 경쟁법을 살펴보면 위법 행위 관련 제품 매출을 기준으로 10%를 과징금으로 부과한다"며 "국내 전기통신사업법이나 공정거래법을 봐도 위법행위 관련 매출을 기준으로 삼고 있는데, 개인정보보호법 개정안 규율의 합리성에 대해 생각을 해봐야 한다"고 말했다.
이에 대해 이병남 개인정보보호위원회 과장은 "개인정보 위반 관련 매출 산정에 대한 기술적 어려움을 겪어왔다"며 "이번 개정안에 포함된 전체 매출액 기준 최대 3% 과징금 부과 조항은 의도적이고 반복적인 위법 행위를 통해 경제적 이득을 취하는 사업자에 대해 최대 과징금을 적용하겠다는 것으로, 일반적인 경영 행위를 하는 기업이 최대 기준으로 과징금을 부과받을 일은 없을 것"이라고 답했다. 과징금 경감 기준도 시행령에 마련하겠다고 덧붙였다.
■"중소기업, 관련 시스템·인력 채용 여력 부족"
경제적 여력이 부족한 중소기업의 상황을 고려한 제도 개선도 제안됐다. 개인정보 보호 관련 전문 인력 채용, 개인정보 이동권을 위한 전문 시스템 구축 등이 과도한 부담으로 작용한다는 것이다.
강형덕 중소기업중앙회 실장은 "중소기업은 개인정보 전담 인력에 대한 인식이 부족할 뿐더러 채용하기도 쉽지 않다"며 "개인정보 이동권을 위한 시스템이나 기술 준비도 부족한 상황인데, 관련 제도 적용 대상과 도입 시기에 대한 재검토를 부탁한다"고 말했다.
이진규 네이버 이사는 EU도 개인정보 이동권에 대해서는 모든 기업이 필수적으로 시스템을 구축하도록 요구하고 있지 않다고 첨언했다. 이진규 이사는 "GDPR에서는 개인정보를 제3자에게로 전송을 요구할 때를 기술적으로 실행이 가능한 경우에 한해 제한적으로 허용하고 있다"며 "개인정보처리자에게 과도한 부담이 되도록 시스템을 구축하게 하지 않고, 개인정보 이동권 행사 요건을 적절히 갖출 필요가 있다"고 제안했다.
개인정보위는 이에 따라 중소기업을 위한 후속 지원도 강화할 계획이다. 이병남 과장은 "맞춤형 지원 센터를 마련하고, 개인정보 이동권 시스템 구축 등에 대한 부담에 대해서는 의무 적용 대상과 정보 주체 기준을 만들고 단계적으로 확대 도입할 방침"이라고 설명했다.
■시민단체 "정보 이동권, 기업 악용 가능성 차단해야"
시민단체는 개인정보 이동권이 도입되는 것에 대해 기업이 대량의 개인정보를 손쉽게 수집할 경로로 악용될 수 있다는 우려를 표시했다.
정지연 한국소비자연맹 사무총장은 "형식화된 현행 개인정보 수집 동의 제도와, 기업과 소비자 간의 정보 비대칭성을 감안하면 대량의 정보를 기업이 합법적으로 수집하고 통합해 활용하는 식으로 악용될 우려가 있어보인다"며 "개인정보 이동권 시스템에서 전송될 정보 내용이나 범위, 활용 목적을 소비자가 인지하게 할 필요가 있다"고 주장했다.
이어 이동형 영상정보에 대해서도 개인정보 보호를 위한 보완책이 필요하다고 지적했다. 개정안에서는 드론, 자율주행차 등 이동형 영상정보처리기기에 대해 업무 목적으로 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 정보 주체의 동의를 얻었거나 촬영 사실을 알렸음에도 거부하지 않은 경우 예외적으로 촬영을 허용한다고 규정하고 있다.
정지연 사무총장은 "동의 여부를 묻고 나면 개인정보를 이용함에 있어 면책이 되는 부분이 있어 보인다"며 "예측이 어려운 정보 주체 권리 침해를 막기 위해 안전장치를 보다 강화할 필요가 있다"고 봤다.
관련기사
- AI 개인정보 보호수칙 마련…'이루다 재발' 막는다2021.01.26
- 개인정보 약관 어려워 '호갱' 되는 상황 없앤다2021.01.26
- "공공 데이터 잘 쓰게 하려면, 방법·절차 명확히 제시해줘야"2021.01.20
- 정부, GDPR처럼 개인정보 유출 과징금 확 늘린다2020.12.23
이병남 과장은 "지난 20대 국회에서 당시 개인정보보호법 주무 부처였던 행정안전부에서 '개인영상정보보호법'이 발의된 바 있다"며 "필요하다면 해당 법안 추진도 논의해볼 생각"이라고 말했다.
오병일 진보네트워크센터 대표는 "이번 개정안에서 개인정보처리자에 대한 책임성 강화 조항이 빠져 있어 아쉽다"며 "가령 공공기관에만 적용되는 개인정보영향평가를 개인정보 침해 위험이 큰 민간 분야에도 확대 적용했으면 더 바람직했을 것"이라고 말했다.