정부가 개인정보보호법 위반 시 과징금 부과 기준을 위법 행위 연관 매출에서 전체 연매출의 최대 3%로 늘리는 법 개정을 추진하는 것에 대해, 과도한 규정이라는 기업 반발이 지속되고 있다.
반발의 주된 근거는 크게 세 가지로 요약된다. ▲전체 사업 규모에 비해 개인정보를 수집하는 형태의 사업 비중이 크지 않은 경우 전체 매출을 기준으로 삼는 것이 부당하다는 점 ▲전기통신사업법, 공정거래법 등 위반 시 과징금을 부과하는 타 국내법의 경우 위법 행위로 발생한 매출을 기준으로 삼고 있다는 점 ▲개인정보 보호 체계 강화 및 피해 보상 효과는 미미하고 정부기관의 징벌적 제재에 가깝다는 점을 들고 있다.
법 개정을 추진하는 개인정보보호위원회는 '전체 매출의 3%'라는 기준이 최대치라는 점을 강조한다. 고의적으로, 반복적인 위법 행위가 발생했을 때 부과할 수 있는 최고 한도 제재로서 명시한 것이고, 해외 법제와 비교해도 과도한 수준이 아니라는 설명이다.
전기통신사업법 상 금지행위, 불공정 행위와 달리 정보 유출 등 개인정보보호법 위반 행위는 연관 매출 산정이 어려워 동일 선상에서 비교하기 어렵다는 설명도 덧붙였다.
아울러 제재 수준을 결정하는 과정에서 이용자 정보 보호 조치 등 다양한 감경 요인도 고려할 계획이라며, 개인정보보호법 개정안에 대한 기업 우려가 현실화되지 않을 것이라고 봤다.
■ '매출 4~5%' 과징금 부과 규정 해외법 다수
개인정보 보호 법제에서 전체 매출액을 기준으로 과징금을 부과하는 것은 다른 국가에서도 흔한 사례로, 과도한 규정이 아니라는 게 개인정보위 설명이다.
연간 전체 매출액을 기준으로 과징금을 부과하는 해외 입법 사례로 대표적인 것은 유럽연합(EU) 일반 개인정보보호법(GDPR)이다. GDPR의 경우 EU 회원국의 개인정보 관련 위반 행위가 적발될 경우 EU 외 해외 사업을 비롯한 전체 매출의 최대 4%까지 과징금을 부과한다.
영국의 경우 EU 탈퇴 이후에도 자국의 개인정보 보호 규정인 '데이터보호법'에 GDPR 조항을 반영, 전체 매출의 최대 4%를 과징금으로 부과할 수 있다고 명시했다.
중국은 작년 10월 개인정보보호법 초안을 발표했다. 초안에서는 법규 위반 시 전체 매출액의 최대 5%를 과징금으로 부과할 수 있게 했다.
캐나다도 소비자개인정보보호법(CPPA)을 위반한 기업에 대해 전체 매출의 최대 5%까지 과징금을 부과하는 조항이 포함돼 있다.
미국의 경우 개인정보보호법은 존재하지 않지만, 연방거래위원회법(FTC Act)을 통해 개인정보 관련 불공정·사기 행위를 제재하고 있다. 과징금 부과 기준으로 전체 매출을 고려하진 않는다. 대신 개인정보 유출 건당 최대 1만 달러의 과징금을 부과할 수 있게 돼 있어 훨씬 강력한 법적 제재가 가능하다.
■ '연관 매출' 산정 난항…"법적 공방서도 걸림돌"
이번 과징금 기준 상향에 대해 규제의 실효성 강화를 위해서도 불가피한 측면이 있다는 주장도 나온다.
개인정보 관련 전문가는 "위법 행위를 저지른 기업들이 연관 매출액 자료를 제출하라고 했을 때 원활히 협조하지 않는 어려움이 있었다"며 "특히 해외 사업자를 대상으로 제재할 때 이런 어려움이 컸고, 국내 기업도 연관 매출액을 축소해서 산정한 뒤 제출하는 경우가 다반수였다"고 말했다.
'연관 매출액'이라는 표현에 발목이 잡혀 규제기관이 기업과의 법정 공방에서 지는 경우도 발생했다. 이 전문가는 "과징금을 부과하더라도 이에 대해 기업이 부당하다며 소송을 제기할 경우, 위법 행위 연관 매출액을 기준으로 적정 수준의 제재를 부과한 것인지 규제기관이 입증할 책임을 져야 했다"며 "(기업이 자료 제출에 협조적이지 않은 상황에서)이를 입증하기가 굉장히 어렵고, 이런 점 때문에 해외 사업자가 국내법 상 제재를 그다지 두려워 하지 않았던 상태"라고 덧붙였다.
■ "제재 시 감경 요소 종합 고려"…연관 사업 규모 등 반영
개인정보위는 매출의 3%가 최대치일 뿐, 실제 규제 수준은 합리적인 수준에서 결정될 것이라고 강조하고 있다. 이에 대해 현행 감경 규정을 고려하면 그렇지 않다는 반박도 나왔다.
한국경영자총협회(경총)는 지난 14일 이번 개인정보보호법 개정안의 과징금 규정에 대한 경영계 의견을 밝히면서, 이번 법안이 도입될 시 삼성전자의 경우 고의나 중과실이 없는 ‘일반 위반행위’에 대해서도 과징금 기준 금액이 전체 매출액의 1.5%에 해당하는 2조 4천353억원에 이르고, 최대한 감경을 받더라도 최소 6천88억원을 부과받는다고 비판했다.
관련기사
- GDPR 닮아진 개인정보보호법에 "방향 좋지만..."2021.02.09
- AI 개인정보 보호수칙 마련…'이루다 재발' 막는다2021.01.26
- 정부, GDPR처럼 개인정보 유출 과징금 확 늘린다2020.12.23
- '네이처리퍼블릭' 등 개인정보보호법 위반 4개 사업자에 과징금 2970만원2021.01.27
개인정보위는 과징금 감경 규정을 포함한 개인정보보호법 개정안 시행령을 준비 중이다. 위법 행위에 연관된 개인정보, 위반 기간 및 횟수 등 세부 내용과 위법 행위에 따른 기업 이익 등 현행법 상 감경 기준 외 ▲안전성 확보 조치 여부 ▲안전성 확보 조치와 위법 행위와의 연관성 ▲소비자 보호 조치 유무 ▲위법 행위 관련 사업의 형태 및 규모 등을 종합적으로 고려한 새 감경 규정을 마련한다는 계획이다.
이병남 과장은 "가령 삼성전자의 경우 제조 기업이고, 데이터 관련 사업 매출액이 작은 점이 고려되고, 유출된 정보의 민감성도 함께 고려해 과징금을 책정하게 될 것"이라며 "법 위반에 따른 제재는 시정명령 등 개선 권고를 내리고, 이를 수행했는지 여부에 따라 누진적, 단계적으로 과징금을 부과할 방침"이라고 강조했다.