정부가 개인정보 관리를 소홀히 한 기업·기관에 대해 유럽 수준의 강력한 경제적 제재를 가한다. 지금껏 개인정보보호법 위반 행위와 '연관된 매출' 기준으로 과징금을 부과했으나 앞으로는 '전체 매출' 기준의 3%를 부과하도록 관련법을 개정할 방침이다.
우리나라에서 활동하는 구글이나 페이스북 등 외국 기업이 고객 데이터를 제대로 관리하지 못하면 글로벌 매출의 3%를 과징금으로 물어야 한다. 이는 유럽연합(EU)이 2018년에 시행한 개인정보보호규정(GDPR)에서 이전 회계연도 기준 매출의 4%를 위반 과징금으로 부과하는 것과 유사한 수준이다.
23일 개인정보보호위원회는 이 같은 내용을 담은 개인정보보호법 2차 개정안을 마련해 전체회의에서 검토했다고 밝혔다.
우선 개정안에선 형벌 중심이던 개인정보 침해사고 제재를 경제 제재 중심으로 바꿔 과징금 규모를 강화했다. 온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과키로 했다.
형사처벌은 '자기 또는 제3자의 이익을 목적'으로 하는 위반행위로 제한했다. 이는 국내외 매출의 구분이 모호해지는 업계 환경과 글로벌 매출액의 4%까지 과징금으로 부과하는 유럽연합(EU) GDPR 등 주요국 수준을 고려한 것이다.
현재는 온라인 사업자의 경우 위반행위와 관련한 매출의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5000만원 이하의 벌금형을 내릴 수 있다. 오프라인의 경우 5000만원 이하의 과태료를 부과한다.
개인정보보호위는 "개인정보 침해사고는 기업의 경제적 이득을 목적으로 하는 경우가 많은 반면 형벌 중심의 제재는 개인에 대한 과도한 처벌을 초래했다"며 "형벌 요건을 제한하는 대신 EU 등 해외 주요국의 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보하려는 것"이라고 설명했다.
개인정보보호법 개정으로 우리나라에서 활동하는 구글이나 페이스북 등 해외 사업자에 대한 실요성 있는 규제안이 마련될 전망이다.
개인정보보호위 관계자는 "유럽에서 개인정보 관리를 소홀히 한 글로벌 플랫폼 사업자에 대해 어마어마한 과징금을 부과하듯이 대단한 금액의 과징금을 물릴 수 있게 된다"고 의미를 설명했다.
이용자가 자신의 정보를 제3자에게 전송 요구할 수 있는 이른바 '개인정보 이동권'도 도입된다. 정보주체(개인)가 정보처리자(기관)에게 제공한 자신의 개인정보를 다시 되돌려 받을 수 있는 권리다. 특정 기관이 보유한 개인정보를 정보주체가 원할 경우 다른 기관에 이동시켜달라고 요구할 수도 있으며 삭제, 열람 요구 등도 포함된다.
올 6월 싸이월드가 서비스 종료를 선언함에 따라 동영상이나 사진 등 이용자들이 남긴 개인데이터가 파기될 상황에 놓인 바 있다. 이에 따라 이용자가 원하면 언제든지 원하는 곳으로 자신의 데이터의 이동을 보장해야 할 필요성이 제기됐다.
개인정보위는 앞으로 시민단체‧산업계‧학계 등 각계의 의견을 수렴하고, 관계부처 협의를 추진해 나갈 예정이다.
윤종인 개인정보위 위원장은 "이번 법 개정은 디지털 사회로의 대전환 속에서 확실한 개인정보 보호와 안전한 활용을 지원함으로써 국민이 신뢰하는 데이터 시대를 선도하기 위한 첫 걸음"이라며 "개인정보 보호 분야의 기본법으로서의 위상을 정립하고 글로벌 규제와의 상호운용성을 확보할 수 있는 계기가 마련되기를 바란다"고 밝혔다.
