개인정보보호법 개정안이 우려되는 이유

개인정보보호위원회(이하 개인정보위)에서 지난 1월6일 개인정보 보호법 개정안을 입법예고했다. 본 개정안 중 이슈가 되는 부분은 개인정보 규제 및 제재 합리화 부문이다.

특히 개인정보 유출 기업 등에 대한 과징금을 현재 ‘법 위반행위 관련 매출액 3% 이하’에서 ‘총매출액 3% 이하’로 상향하는 내용이 담겨있는데 산업계에서는 비판이 거센 상황이다. 이 기준이 총매출액의 3%로 바뀐다면 대기업의 경우 수조원에 이를 수도 있어 폭탄 수준의 과징금이 우려되기 때문이다.

지난 4일 체감규제포럼이 해당 개정안과 관련한 정책 세미나를 개최했다. 해당 세미나는 김현경 교수(서울과기대)가 진행하고, 김민호 교수(성균관대), 이상직 변호사(법무법인 태평양), 이인호 교수(중앙대), 홍대식 교수(서강대)까지 법률가들이 참석했다.

논란이 되는 과징금 상향 부문에 초점을 맞춰 개정안과 관련한 전문가들의 허심탄회 한 이야기를 들어보기 위함이다.

세미나에서 법률가들의 목소리에서 들리는 공통된 키워드는 ‘우려’였다. 세부 조항의 타당성에 대한 우려를 포함해 궁극적으로 해당 법안이 미치게 될 부정적 영향에 대해서 걱정의 목소리가 쏟아졌다.

디지털 트렌스포메이션을 거스를 수 없는 시대며, 개인에 의해 생성되는 데이터가 산업의 자원이며 또 바탕이 되는 시대다. 산업은 이 자원의 활용이 시급하며 국가 역시 디지털 뉴딜을 부르짖는 만큼, 이 같은 환경을 조속히 만들어야 한다는 의견이 팽배하다.

개인정보 보호법 개정안은 규제개혁위원회 및 법제처 심사, 국무회의 의결 등을 거쳐 이르면 상반기 국회에 제출된다. 법학 전문가들의 진짜 목소리가 개정안에 반영돼야 한다는 목소리가 커지고 있다.

[다음은 세미나 전문]

김현경 교수(서울과기대): 과징금은 법령을 위반해 불법하게 얻은 경제적 이익을 환수하는 것인데, 행정법적 관점에서 과징금 제도의 정확한 의미와 본질은 무엇일까요?

김민호 교수(성균관대): 과징금은 행정법상 법규를 준수하고 의무를 이행하도록 하는 제재, 즉 벌에 해당됩니다. 행정법상 의무를 준수하지 않고 얻은 경제적 이득을 박탈하기 위해 만든 제도입니다. 따라서 과징금의 가장 중요한 원칙은 법을 위반했다는 사실과 경제적 이득 사이에 반드시 관련성과 인과관계가 존재해야 한다는 것이며 이는 누구도 부인할 수 없는 대원칙이라고 생각됩니다.

김현경 교수: 과징금 부과는 행정처분이자 침익적 공권력 행사인데, 이때 반드시 적용돼야 하는 헌법원칙이 있다면요?

이인호 교수(중앙대): 첫째는 동일한 행위에 과도한 과징금을 부과하고 형사처벌도 가하면 이중처벌 금지원칙에 위배될 수 있으며, 둘째로 위반행위에 비례하지 않게 과도하면 과잉금지원칙 관점에서 문제가 발생할 수 있습니다. 마지막으로 적법절차의 원칙을 고려해 과징금 부과를 위한 준사법적 절차를 마련해야 할 필요가 있습니다.

김현경 교수: 최근 개인정보위가 과징금 부과를 전체 매출액을 기준으로 상향하는 개정안을 입법예고했습니다. 이것이 적용될 경우 삼성전자 등 제조업체도 큰 타격을 받지 않을까 싶은데요. 이번 개정 방향이 바람직한지 혹은 타당한지 의견들 부탁드립니다.

홍대식 교수(서강대): EU의 GDPR이 전체 매출액을 기준으로 과징금을 부과하는 것은 맞지만 이는 법적 최대치를 의미합니다. 법적 상한과 실제 산정방식은 달라야한다고 생각됩니다. 또, 공정거래위원회도 처음에는 전체 매출액 기준으로 과징금을 부과했으나, 집행과정에서 피해 추산을 위한 합리적 기준을 설정할 수 없어 관련 매출액으로 변경했습니다. 특히, 과징금 산정방식 중 가장 비합리적인 것이 전체 매출액 기준 산정이며, 전체 매출액을 관련 매출액으로 바꾼다고 해서 과징금이 꼭 낮아지는 것도 아닙니다. 관련 매출액 기준으로 과징금을 부과하되, 관련 매출액을 적용하는 것이 어려울 경우 정액으로 부과하는 것이 적절할 것으로 보입니다.

이상직 변호사(법무법인 태평양): 대기환경보전법이나 식품위생법과 같이 국민의 생명과 안전에 더 밀접한 법도 관련 매출액 기준이어서 법령상 정합성의 문제도 발생할 수 있을 것으로 보이고요. 또, 관계없는 것을 부당하게 연결해서 행정행위를 하면 안 된다는 부당결부금지원칙에 위배될 수도 있을 것 같습니다. 개인정보 관련 사업 매출이 그 기업의 10%이고, 다른 사업 관련 매출이 90%인데 개인정보 보호법을 위반했을 경우 전체 사업매출 100% 기준으로 과징금 부과하는 것은 우리나라 법체계상 옳지 않아 보입니다.

김현경 교수: 이번 개정안에 찬성하는 근거로 많이 회자되는 것이 EU의 GDPR(일반 개인정보보호법)입니다. GDPR에서 과징금을 어떻게 규정하고 있나요?

이인호 교수: EU의 GDPR은 중대한 위반인가 덜 중대한 위반인가에 따라 상한이 다르며 위반행위의 성질, 중대성, 지속된 정도, 피해자 수, 피해의 정도, 고의성, 과실성, 피해경감을 위한 조치 등 11가지의 상세한 고려요소들을 설정하고 있습니다. 다만, GDPR에서 과징금을 부과하게 된 것은 형사처벌 조항이 없기 때문이며, GDPR은 동일한 행위에 대해 과징금과 형사처벌을 이중으로 부과할 수 없도록 하고 있어 이를 충분히 고려해야 될 것으로 보입니다. 또, GDPR의 과징금 상한액이 매우 높은 이유는 결국 미국의 거대 IT 기업을 겨냥한 것입니다.

김현경 교수: 과징금 규정 관련 해외 동향은 어떻습니까?

홍대식 교수: 일본은 과징금 제도를 도입하지 않았고요. 미국은 연방거래위원회(FTC)가 연방거래위원회법 제5조에서 금지되는 기만적 행위 또는 불공정한 행위 규정을 프라이버시 침해에 적용해 왔는데, 과징금 부과 시 실질적으로 관련 매출액 계산과 비슷한 산정방식을 적용합니다. EU의 GDPR 같은 경우, 과징금을 각 회원국이 집행해 나라마다 다른 기준을 갖고 있어 전체 매출액 기준도 시행착오를 겪다 보면 조정되지 않을까 싶습니다.

이인호 교수: 일본은 작년 6월 개인정보보호법 개정 시 과징금 제도를 논의했으나 결국 집행당국 스스로 도입하지 않았습니다. 이는 나라마다 배경과 과징금 집행체계가 달라 반드시 EU의 법제를 따를 필요는 없다고 판단했기 때문이겠죠. 그럼에도 일본은 EU의 적정성 평가를 받은 최초의 나라며, 과징금 제도가 없다고 적정성 평가를 받지 못하는 것이 아닙니다.

김현경 교수: 전체 매출액 기준의 과징금 조항이 통과될 경우 우리나라 경제에 미칠 영향은 어떻게 보십니까? 또한 과징금 부과를 위해 해외 빅테크에 대한 조사가 어떻게 이뤄질지 궁금하긴 합니다.

이상직 변호사: 기업의 데이터 사업은 당연히 위축될 것이고요. 기업 쪼개기 등의 부작용 역시 발생할 것으로 보입니다. 기업 내 데이터 사업과 비데이터 사업 간 시너지 활용에 어려움 발생하는 것도 우려됩니다. 또 스타트업·중소기업의 경우 과징금 한번으로 시장 재기 기회를 잃어버릴 수도 있습니다. 해외기업의 경우 국내 대리인 제도가 있다고 해도 해외에서 실제 조사하기 어려울 것이고요. 결국 국내기업만 디테일한 조사를 받을 수도 있습니다. 무엇보다 디지털 뉴딜 정책 하에서 전체 매출액 기준 과징금이 우리나라 산업 성장에 도움이 될지, 정보주체의 권리보장 강화에 효과가 있을지 의문이 듭니다.