[천지일보=손지아 기자] 개인정보보호법(개보법)의 개정이 재추진된다. 내용 전반이 수정되는 전면 개정안으로 디지털 경제 시대에 부합하도록 법을 재정비한다는 취지다. 개인정보가 안전하게 잘 관리될 수 있도록 제도가 개선됐으며 위법 행위에 대한 처벌이 대폭 강화됐다.
28일 개인정보보호위원회(개인정보위)는 국무회의에서 개보법 개정안이 의결됐다고 밝혔다. 9월 중 국회에 제출해 입법 절차를 밟을 예정이다.
◆법 위반시 과징금, 전체 매출의 3% 부과
개정안에서는 법 위반 시 형벌 중심의 규율을 경제벌 중심으로 교체하는 내용이 담겼다. 개인정보 오·남용이나 유·노출 시 그 책임을 기업이 아닌 개인정보를 취급하는 담당자가 지는 것이 타당하지 않다는 판단에서다.
개인에 대한 처벌은 완화하는 대신 기업에 대한 책임은 대폭 커진다. 과징금을 관련 매출액의 3%에서 전체 매출액의 3%로 확대하는 것이다. 이를 적용할 경우 기업은 법 위반시 천문학적인 과징금을 부과받을 수 있다.
산업계는 전체 매출액의 3%라는 과징금이 지나치다는 주장을 편 바 있다. 이에 대해 개인정보위는 3%는 ‘최대치’임을 분명히 했다. 기업이 개인정보보호를 위한 조치를 충실히 수행했을 경우 개인정보 유·노출 사고가 발생하더라도 과징금이 부과되지 않도록 하고 또 위반 행위에 적정한 수준의 과징금이 부과될 수 있도록 한다는 설명이다.
또 과징금 부과의 합리적 산정기준을 마련하기 위해 홍대식 서강대학교 교수를 반장으로 하는 ‘과징금 부과기준 연구반’을 구성한다. 오는 10월부터 법률전문가 및 산업계·시민단체 등 대표성 있는 이해관계자가 참여하는 연구반 운영 결과를 시행령·고시 등 하위규정 개정안에 반영하겠다는 계획이다.
개인정보위는 법 실효성 및 해외 기업에 대한 형평성 확보를 위해 전체 매출액 기준으로의 전환은 불가피하다고 판단했다.
개인정보위는 지난해 11월 페이스북을 대상으로 67억원의 과징금을 부과했다. 페이스북이 최소 330만명 이상의 개인정보를 제3자에게 동의 없이 제공한 데 따른 조치다. 당시 페이스북은 관련 자료를 거짓으로 제출하는 등 조사를 방해한 바 있다.
페이스북의 사례처럼 법 위반 사실이 드러났음에도 기업이 비협조적일 경우 ‘관련 매출액’을 산정하기란 불가능에 가깝다. 큰 개인정보 관련 사고에도 불구하고 기업에 대한 과징금이 국민 눈높이를 충족하지 못하는 핵심 이유 중 하나다.
3%라는 수치도 과하지 않다는 것이 개인정보위의 주장이다. 유럽연합(EU) 일반개인정보보호법(GDPR)은 전체 매출액의 4% 또는 2000만 유로 중 더 높은 금액을 과징금으로 부과한다.
◆정보를 개인이 관리하는 ‘마이데이터법’ 추진
개인정보 전송요구권은 ‘마이데이터’ 사업을 위한 제도적 기반이다. 마이데이터는 정보주체가 기업·기관에게 자신의 개인정보를 타 기업·기관에 전송토록 요구할 수 있도록 하는 사업이다.
가령 은행이 보유하고 있는 자신의 데이터를 타 은행 또는 통신사 등 다른 사업자에게 전달할 수 있도록 하는 것을 뜻한다. 복수 기관별로 서류를 제출하는 등의 불편함을 더는 동시에 더욱 질 좋은 데이터를 통한 개인화된 서비스를 누릴 수 있게 된다. 은행, 보험, 증권 등의 데이터를 하나의 애플리케이션(앱)으로 볼 수 있는 ‘뱅크샐러드’ 등이 대표적이다.
금융 분야의 법제인 신용정보법에는 개인정보 전송요구권이 포함돼 있어 금융 마이데이터 사업이 진행 중이다. 다만 타 분야의 경우 법적 근거 조항이 없는 상태라 본격적인 사업 확산은 지연되는 상태다.
일반법인 개보법의 개정을 시작으로 의료법 등 특별법에도 마이데이터 내용을 포함하는 법 개정 절차가 본격화될 전망이다.
◆개인정보 수집 동의제도 개선… 기존 법 불합리성 해소
현행 개보법에서는 특례를 통해 국민이 필수적으로 동의해야만 서비스를 이용 가능하도록 제도화하고 있다. 개인정보위는 이와 같은 제도가 형식적인 동의 및 동의 만능주의 관행의 원인이라며 이를 개선하겠다는 취지의 내용을 개정안에 담았다.
핵심은 개인정보 처리방침 평가제의 도입이다. 개인정보 처리방침의 적정성을 평가하고 평가 결과 개선이 필요하다고 인정하는 경우 개선을 권고한다는 것이 골자다. 처리방침 작성지침을 준수하는지, 정보주체가 이해하기 쉽게 작성했는지, 이를 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 등을 살핀다.
개정안에서는 오프라인 규제와 온라인 규제로 이원화돼 있는 기존 법의 불합리성 해소 등의 내용도 담겼다. 동일행위-동일규제 원칙을 바탕으로 법 적용의 혼선 및 이중 부담을 완화하고 개인정보 국외이전 방식을 다양화함으로써 기업의 부담을 더는 동시에 글로벌 규제와의 정합성을 확보할 예정이다.
윤종인 개인정보위 위원장은 “이번 개정안은 디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련됐다”며 “국회에서 신속한 논의가 이뤄지기를 희망한다”고 말했다.
또한 “이번 개정안에 머무르지 않고 아동·청소년 등 취약계층 보호, 민감정보·생체정보·영상정보 등 국민생활에 큰 영향을 미치는 개인정보에 대해 지속적으로 개선, 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력하겠다”고 전했다.
- 개인정보법 위반 19개 공공기관 총 9360만원 과태료
- 개인정보위, 가벼운 위반행위 대상 제재 기준 마련
- 개인정보위 내년 예산 497억원 편성… 전년比 34.8%↑
- 개인정보위 ‘2021 개인정보 보호 연차보고서’ 발간
- 아마존 클라우드 이용 4개 사업자 제재… 개인정보 938만건 유출
- 휴대전화 통화내역 열람 기한, 1년으로 확대된다
- 마이데이터 사업자, 3만원 초과 경품 제공 못 한다
- 경총·인기협·스타트업 “개보법 개정, 전체 매출 3% 과징금은 과해”
- 개인정보위, 결합전문기관 지정 준비 안내서 발간
- 개인정보위, 개인정보 보호·활용 기술 연구개발 청사진 제시