호주가 개인정보 유출 기업에 최대 5천만 달러(약 445억원)를 부과하는 강력한 개인정보보호법 개정안을 승인했다.
지난달 28일 호주는 개인정보 보호 위반 시, 더 높은 수준의 제재를 부과하는 개인정보보호법 개정안을 승인했다고 밝혔다.
이번 개정안으로 책정된 새 과징금은 ▲5천만 달러 ▲정보 요용을 통한 얻은 이익의 3배 ▲해당 기간 기업의 조정된 매출액의 30% 중 가장 큰 금액으로 정한다.
기존 최대 과징금은 222만 달러(약 20억원)로, 기업이 개인정보보호 메커니즘을 개선하도록 만들기에는 과징금이 너무 낮은 것으로 여겨졌다.
호주의 새로운 개인정보보호법 개정안은 최근 랜섬웨어 및 네트워크 침해를 포함해 호주 기업에 대한 사이버 공격이 이어지면서 수백만 명의 호주 시민의 데이터가 노출된 데에 대한 대응으로 마련됐다.
지난 10월에는 호주 최대 의료보험사인 메디뱅크(Medibank)가 사이버 공격을 당해 970만 명의 개인 정보가 노출됐으며, 지난 9월에는 호주 2위 통신사인 옵터스(Optus)가 사이버 공격을 당해 1천100만명의 개인 정보가 유출됐다.
마크 드레이퍼스 호주 법무장관은 "앨버니지 노동당 정부는 최근 일어난 데이터 유출에 대응하는 데 시간을 낭비하지 않았다"며 "우리는 불과 한 달여 만에 법안을 발표, 도입했다"고 밝혔다.
이어 "새롭고 더 큰 처벌은 수집한 데이터를 잘 보호해야 한다는 분명한 메시지를 대기업에 보낸다"며 "고객 데이터를 적절하게 관리하지 못하는 회사는 심각한 개인정보 침해에 대한 처벌을 크게 강화하는 이번 법안 통과에 따라 훨씬 더 높은 처벌에 직면하게 될 것"이라고 말했다.
더 높은 벌금을 부과하는 것 외에도 새로운 개정안은 호주 연방 개인정보보호위원회(OAIC)가 개인정보 침해 해결 및 범위 결정 과정에 더 많이 참여할 수 있도록 더 큰 권한을 부여한다. OAIC는 개정안 통과를 환영하며, 개인과 국가 경제를 더 잘 보호하겠다고 약속했다.
안젤린 포크 위원장은 "업데이트된 과징금으로 호주의 개인정보보호법은 유럽의 개인정보보호법(GDPR)의 처벌과 더 밀접하게 일치하게 될 것"이라고 말했다.
관련기사
- '개인정보 보호법' 어떻게 바뀌나…산업계 의견 일부 반영2022.12.01
- 호주, 해커에 몸값 지불 금지법안 만지작2022.11.14
- 개인정보위, 개인정보보호 위반 2개 사업자 제재2022.09.28
- 메타, GDPR 위반 혐의로 유럽서 231억 벌금2022.03.16
유럽 개인정보보호법(GDPR)은 유럽연합(EU)이 제정한 개인정보보호법으로 2018년 5월부터 전격 시행됐다. GDPR은 EU 내에 있는 기업·국가만을 대상으로 하지 않으며, EU 시민 또는 기업에 제품, 서비스를 판매할 때도 적용된다. GDPR을 위반한 경우, 최대 2천만 유로(약 275억원) 혹은 전 세계 연간 매출의 4% 중 더 많은 금액을 부과할 수 있다.
최근 우리나라도 과징금 상한액을 늘리는 방안을 담은 개인정보보호법 2차 개정안이 법안소위를 통과했다. 기존에는 '위반행위와 관련 있는' 매출액의 3%로 책정했지만, 개정안에는 '총매출액'의 3%로 바뀌었다. 단, 위반행위와 관련 없는 매출액은 제외하기로 했다.