정기국회 마감이 임박한 가운데, 개인정보보호법 2차 개정안이 연내 통과될 수 있을지 주목된다. 개정안은 이달 초 열릴 것으로 예상됐던 정무위원회 전체회의에서 심사 안건으로 상정될 예정이었다. 하지만 이상민 행정안전부 장관 해임건의안과 예산안 처리 등으로 여야가 대립하면서 정무위 전체회의 개최 일정도 불투명해졌다.
최근 산업계는 개인정보보호법 개정안과 관련해 수정 의견을 제출, 이를 반영한 개인정보보호법 2차 개정안이 지난달 22일 정무위원회 법안소위를 통과했다. 개인정보보호위원회가 지난해 9월 국회에 개인정보보호법 2차 개정안을 제출한 지 1년여 만이다. 개인정보보호법 개정안은 향후 정무위 전체회의, 법제사법위원회, 본회의를 거쳐 최종 의결될 예정이다.
개인정보보호법 2차 개정안은 디지털 경제 성장 기반을 마련하고, 국민의 정보주권을 강화하며, 글로벌 규제와의 정합성을 확보하기 위해 마련됐다.
개정안의 주요 내용은 ▲개인정보 전송요구권의 일반법적 근거 마련해 전 분야 마이데이터 확산 ▲국민 정보 주권 강화 위한 동의제도 실질화 ▲과징금 상한을 전체 매출액 3%로 전환 등이다.
국회에 따르면 지난 정무위 법안심사제1소위원회에서는 개인정보 보호법 2차 개정안에 대한 산업계의 의견이 전달돼 반영됐다. 산업계는 특히 과징금과 전송요구권에 대해 수정 의견을 제출했다. 과징금과 관련한 사안은 산업계의 의견이 반영됐으며, 전송요구권과 관련된 사안은 수정안이 받아들여지지 않았다.
■ '위반행위 관련' 매출액 3% → '전체 매출액' 3%, '위반행위 관련 없는 매출액' 제외
정부가 제출한 개인정보보호법 2차 개정안에는 위반행위에 대한 과징금의 상한액을 '전체 매출액'의 3% 이하에 해당하는 금액으로 산정하는 내용이 담겼다. 위반행위에 대한 경제적 제재를 강화하기 위함이다.
기존에는 위반 행위에 대한 과징금의 상한액을 '위반행위와 관련된 매출액'의 3% 이하에 해당하는 금액으로 산정했다.
이에 산업계는 과징금에 대한 기업 부담이 크며 비례성 원칙에 어긋난다는 의견을 제시했다.
개인정보보호위원회는 이를 받아들여 기업의 책임성과 국제적 입법 추세 등을 고려해 '전체 매출액'의 3% 기준은 유지하되, '위반 행위와 관련 없는 매출액'은 제외할 것을 법률에 규정하기로 했다. 구체적인 산정 기준은 시행령에 위임했다.
유럽의 개인정보보호법(GDPR)의 경우, 위반 정도에 따라 위반 기업에 전년도 전 세계 연 매출 4% 또는 2천만 유로 중 더 높은 금액의 과징금을 부과한다.
한국인터넷기업협회 박성호 회장은 "중소기업의 대부분이 영업이익이 3%가 되지 않는 현실에서 전체 매출액으로 과징금이 산정될 경우 기업에 큰 위기로 작용한다"며 "국회 정무위 법안소위에서 일부 수정되었지만, 여전히 우려가 있어 향후 정부의 신중한 법 집행이 고려되어야 할 것"이라고 말했다. 한국인터넷기업협회는 네이버, 카카오, 구글, 메타, 쿠팡 등 200여개의 회원사를 두고 있다.
해당 수정 의견에 대해 지난 달 열린 정무위 법안심사제1소위원회에서는 우려 의견도 나왔다.
더불어민주당 박용진 의원은 "현행 위반 행위 관련 매출액 3%와 전체 매출액 중 위반행위와 관련 없는 매출액을 제외하겠다는 것은 조삼모사가 아니냐"고 질의했다.
이에 개인정보위 최장혁 부위원장은 "처음에 '위반행위 관련 순매출액'을 기준으로 했을 때는 위반 행위의 입증 책임이 개인정보위에 있었지만, '총매출액'으로 하고 위반행위와 관련 없는 매출액을 빼주면 입증 책임이 업체에 있게 된다"며 "업체가 (위반 행위) 입증을 못하거나 자료 제출을 불응할 때는 총매출로 하기 때문에 상당한 차이가 있다"고 설명했다.
즉, '위반행위와 관련 없다는' 입증 책임이 기업에게 넘어가고 이를 입증 못할 시에는 총매출에서 과징금을 산정하기 때문에 법의 실효성이 높아지며 쟁송도 줄어든다는 설명이다.
■ 전송 의무 예외 규정은 삭제…"백도어 열어 놓으면 전송요구권 자체 무의미해져"
정보주체가 개인정보처리자에게 자신의 정보를 본인 혹은 개인정보관리 안전조치 의무를 이행하고 있는 타인 등에게 전송할 것을 요구할 수 있도록 하는 전송요구권도 이번 개정안에 신설됐다. 정보주체의 개인정보에 대한 통제권을 강화하기 위함이다.
이에 산업계에서는 추가 비용이 많이 드는 개인정보처리자의 부담을 고려해 제3자 전송 시 별도 시스템 구축 등이 필요한 경우는 예외로 해달라는 수정 의견을 냈다.
한국인터넷기업협회 박성호 회장은 "개인정보 전송요구권의 경우 민감한 개인정보 이전 문제, 타 업종 간 데이터 불평등 문제 등 여러 논란을 가져올 수 있다"며 "특히 올해 시행된 금융 마이데이터의 이면에 정보만 제공하는 기업들의 헌신이 있었다. 지금도 다른 기업에 데이터를 주기 위해 매년 수십억의 비용이 발생하고 있는 상황에서 그보다 몇 배나 많은 정보를 주기 위해 기업에게 희생을 강요하는 것은 옳지 않으며, 면밀한 검토와 보완이 선행돼야 한다"고 말했다.
그러나 해당 수정 의견은 지난 정무위 법안심사제1소위원회에서 여야 국회의원들의 우려가 있어 받아들여지지 않았다.
더불어민주당 김성주 의원은 정무위 법안심사제1소위원회에서 전송 의무 예외 규정에 대해 "전송할 수 있는 시스템을 갖추고 있지 않다는 이유로 개인정보 전송을 거부하면 개인정보 전송요구권 자체가 무의미해지고, 사문화되는 것 아니냐"고 지적했다.
국민의힘 유의동 의원도 "제3자 정보 전송에 적극적으로 응하지 않았을 때 처벌 조항도 없는데 굳이 예외 규정을 둘 필요가 있느냐"며 "백도어를 이렇게 열어 놓고 가면 어떤 형태로든지 이쪽으로 가려고 하지, 법의 본질에 충실하려고 하는 기업들이 없어질 것 같다"고 우려했다.
따라서 산업계 요구가 반영된 수정안에 있던 '전송을 위해 시스템 구축 등 전송에 필수적인 설비, 인력, 기술 등이 추가로 필요한 경우에는 전송에 응하지 아니할 수 있다'는 단서는 삭제됐다.
정무위 법안소위에서 개인정보위는 개인정보의 범위와 전송 대상 범위 등을 명확히 하고 표준화하는 부분을 준비 중에 있으며, 내년에 전송요구권을 일반화하기 위한 플랫폼을 구축하는 중이라고 밝혔다. 또한 개인정보위 이정렬 개인정보정책국장은 "표준화 관련 필수 장비는 정부에서 일정 부분 제공하는 것을 검토하고 있다"고 말했다.
이번 개정안과 관련해 한국소비자연맹 정지연 사무총장은 "이번 개인정보보호법 개정안은 개인정보 전송요구권의 근거가 담기고 자동화된 의사결정에 대한 거부 대응권을 정보주체한테 준 것으로, 정보 주체 관점에서는 법안 소위를 통과한 것이 반갑고 환영할 일"이라며 "하지만 과징금 관련해서 축소하려는 움직임에 대해서는 굳이 줄여야 하는지 아쉬움이 있다. 위반행위가 명백할 때 부과되는 것이기 때문에 산업계가 지나치게 우려하는 게 아닌가 한다"라고 말했다.
이어 "정보 주체 관점에서 의사결정이 이뤄져야 되고 통제권을 정보 주체가 가져야 되는데, 마이데이터 같은 경우는 동의 기반으로 산업계 위주로 흘러가는 부분이 있다"며 "시행령 단에서 그런 우려 부분을 어떻게 보완할지 잘 담겨야 된다고 본다"고 말했다.
한편, 이번 개인정보보호법 2차 개정안에는 과징금 규정 정비 및 개인정보 전송요구권 외에 ▲이동형 영상정보처리기기 운영 기준 마련 ▲개인정보 국외 이전 및 국외 이전 중지 명령 신설 ▲자동화된 결정에 대한 정보주체 권리 신설 ▲개인정보 관련 분쟁조정제도 개선 등의 내용이 담겼다.