이르면 내년부터 개인정보 관리를 소홀히 한 기업에 대해 유럽 수준의 강력한 과징금이 부과된다. 지금껏 개인정보보호법 위반 행위와 '연관된 매출' 기준으로 과징금을 부과했으나 앞으로는 '전체 매출'을 기준으로 부과하도록 관련법이 바뀐다.
정보보호 부담을 강화하는 한편 산업의 디지털 전환에 발맞춘 규정도 대폭 늘렸다. 금융분야에 한정돼 있었던 '마이데이터' 사업은 전 산업분야로 확대될 수 있도록 기반을 마련한다.
온·오프라인 사업자에 다르게 적용됐던 개인정보보호 규정도 일원화해 사업자들의 혼란이 줄어들 것으로 예상된다.
과징금 상한선 올리고, 하한선 없앤다
28일 개인정보보호위원회는 개인정보보호법 2차 개정안을 국무회의 의결 안건으로 제출한다고 밝혔다. 국무회의를 통과해 이달 안으로 국회에 제출한 뒤 연내 연구반을 가동해 시행령을 마련할 계획이다. 시행령 적용 기간은 최대 2년 이내로 예상된다.
이번 개정안이 통과되면 기업들이 개인정보보호법 위반 시 물어야할 과징금은 크게 늘어나게 된다. 과징금 상한선이 현행 '위반 행위 관련 매출의 3%' 이하에서 '(해당 기업) 전체 매출의 3%' 이하로 변경되기 때문이다. 이로 인해 개정안을 마련하는 단계부터 산업계의 반발이 강한 것으로 알려졌다.
정부는 해외 법안과 비교할 때 현행 과징금 기준이 모호하다는 점을 법 개정 이유로 꼽았다. 유럽연합(EU)의 경우 개인정보 침해 시 '2000만유로 또는 세계 총 매출액의 4%' 중 높은 금액을 기준으로 과징금을 부과하고 있다. 반면 국내 법은 경제 제재보다는 개인에 대한 형벌 중심으로 처벌이 이뤄지고 있다.
최영진 개인정보보호위원회 부위원장은 "(법 위반 행위) 관련 매출액은 도대체 어디까지가 관련 매출인지 판단하는 게 쉽지 않다"며 "그렇기 때문에 해외 법안도 전체 매출액을 과징금 기준으로 잡고 있는 것"이라고 말했다.
현행 법에는 없는 과징금 면제 규정을 추가해 실질적인 부담을 더는 방안도 마련했다는 방침이다. 그는 "현행 법은 과징금 하한이 정해져 있고 하한 이하는 전제할 수 없단 문제도 있다"며 "개정안이 통과되면 상한 이하로 얼마든지 내려갈 수 있고 기업의 노력에 따라 부과되지 않을 가능성도 있다"고 덧붙였다.
스타트업 '마이데이터' 사업 물꼬 튼다
개정안이 통과되면 마이데이터 사업은 전 산업분야로 물꼬를 틀 전망이다. 마이데이터란 '소비자 개인의 정보를 통합 관리해주는 서비스'로 데이터 주권을 개인이 갖는 것이 핵심이다. 금융분야에서는 마이데이터 사업자가 개인의 신용정보를 포함한 금융정보를 통합 관리해 맞춤 재무컨설팅을 제공하는 쪽으로 사업이 구축됐다.
정부는 개인정보보호법 개정안 내 마이데이터 사업의 법적 근거를 마련했다. 본인의 개인정보를 본인 또는 제3자에게 전송 요구할 수 있는 일반적 권리로서 '개인정보 전송요구권(이동권)'을 신설하는 것이다. 이는 지난 8월 금융소비자법 내에만 신설돼 금융분야 마이데이터 사업이 활발해질 수 있는 배경이 됐다.
최 부위원장은 "유통, 교육 등 금융 외 산업분야에서 별도의 법적 근거를 마련하거나, 제도를 갖추지 않더라도 마이데이터 사업을 할 수 있게된다"며 "기업의 창의성이 필요한 부분으로 스타트업 등이 새로운 비즈니스 모델을 만들어주길 기대하고 있다"고 말했다.
정보 주체의 데이터 주권을 강화하는 것은 이번 개정안의 핵심 내용이다. 개인정보 전송요구권 외에도 '개인정보 수집·활용 사전동의제'에 과도하게 의존하는 관행을 시정하기 위한 다양한 방안을 마련할 방침이다. 최근 논란이 되고 있는 빅테크 플랫폼의 정보 독점 현상도 이를 통해 완화할 수 있다고 위원회 측은 보고 있다.
온·오프라인 사업자에게 적용되는 개인정보보호 규정은 일원화된다. 온라인 사업자에게만 한정된 특례규정이 폐지되기 때문이다. 온·오프라인 사업을 모두 영위하는 사업자가 이중규제 부담을 지는 등 과도한 혼란이 발생할 수 있다는 점에서 착안했다.
예컨대 그간 동의없이 개인정보를 수집하는 위반 행위를 한 경우, 오프라인 사업자에는 일반규정에 따라 '5000만원 이하의 과징금'을, 온라인 사업자에는 특례규정에 따라 '관련 매출액의 3% 이하 과징금'이 부과됐다. 앞으로는 일반규정만 적용돼 온라인 사업자도 5000만원 이하 과징금을 물어야 한다.
드론과 자율주행차 등 이동형 영상기기에 대한 특례규정도 추가된다. 현행법은 CCTV와 같은 고정형 영상기기의 개인정보 수집‧이용만 규제하고 있어 그간 입법 공백으로 지적돼왔다. 촬영 사실을 알 수 있었음에도 개인이 거부의사를 밝히지 않았다면 개인정보 수집‧이용이 허용되는 등 유연한 대처가 가능해질 전망이다.
한편 정부 주도로 개인정보보호법이 개정되는 것은 이번이 최초다. 최 부위원장은 "개인정보보호법은 각계에 영향을 많이 끼치는 법안이기 때문에 2011년 제정 이후 의원 입법으로 개정돼왔다"며 "이번 개정안은 정부 주도로 다양한 이해관계자의 의견을 반영해 마련한 것으로 입법 과정에서 최대한의 노력을 기울이겠다"고 말했다.
