• 검색

개인정보 보호 안하면 '매출 3%' 과징금

  • 2023.03.07(화) 18:15

개인정보보호법 개정안 국무회의 의결…9월 시행

고학수 개인정보보호위원장은 지난달 27일 국회를 통과한 '개인정보보호법' 개정안이 7일 국무회의에서 의결됐다고 밝혔다.

개인정보를 침해한 기업에 전체 매출액의 3%까지 괴징금을 부과할 수 있는 개인정보보호법 개정안이 9월부터 시행된다. 단 법 위반 행위와 관련 없는 매출액은 제외하도록 했는데, 과징금 산정 과정에서 기업이 입증 책임을 지도록 했다. 

개인정보 '필수 동의' 없어진다

고학수 개인정보보호위원회 위원장은 7일 정부서울청사에서 열린 브리핑에서 지난달 27일 국회를 통과한 '개인정보보호법' 개정안이 이날 국무회의에서 의결됐다고 밝혔다. 또한 이번 개정안이 2011년 법 제정 이후 처음으로 정부가 학계, 법조계, 산업계, 시민단체 등과 협의 과정을 거쳐 마련한 전면 개정이라는 점에서 의미가 크다고 설명했다. 개정된 개인정보보호법은 9월 14일에 시행한다.

개정안에는 마이데이터 서비스가 의료, 유통을 비롯한 전 영역에서 이뤄질 수 있는 기반이 마련됐다. 자신의 개인정보를 요구하거나 제3자에게 이전하도록 요구할 수 있는 '개인정보 전송요구권'의 일반법적 근거를 신설했다.

마이데이터는 데이터를 스스로 관리하고 통제해 개인 생활에 활용할 수 있는 과정을 의미한다. 그간 ‘개인정보 전송요구권’은 신용정보의 이용 및 보호에 관한 법률을 비롯해 일부 법률안에서만 허용돼 금융·공공 등에서 제한적으로 사용할 수 있었다. 

온라인 서비스 이용 시 무조건 개인정보를 동의하도록 하던 관행에서도 벗어난다. 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하다. 단 서비스와 관련 없는 정보에 대해서만 '선택 동의'를 통해 수집할 수 있다. 

이병남 개인정보정책과장은 "지금은 서비스를 꼭 이용해야 되는데 필수 동의를 체크할 수밖에 없다. 실질적으로 지금은 선택권이 보장된 형태가 아니었다"면서 "지금 운영되고 있는 필수 동의와 선택 동의 체계가 바뀌게 될 것"이라고 부연했다.

과징금 산정 기준 '조삼모사'? "실무적으로 달라"

개인정보위는 글로벌 기준에 부합할 수 있도록 과징금 제도 또한 정비했다고 설명했다. 법을 위반할 경우 과징금 상한액을 위반 행위 관련 매출액의 3%에서 전체 매출액의 3% 이하로 조정했다. 단 산정 시 위반 행위와 관련 없는 매출액은 제외하도록 했다.

EU 개인정보보호법에서 정한 과징금 상한액이 최대 4%인데 지나치게 적다는 지적도 나왔다. 개인정보위는 어디까지나 EU의 법일 뿐 글로벌 스탠다드가 아니며, 과징금 규모가 적다고 말하기도 어렵다고 반박했다. 

또한 법안 심사 과정에서 위반 행위와 관련된 매출액만을 산정하면, 결국 개정 전과 같은 결과가 아니냐면서 '조삼모사'라는 비판이 나오기도 했다. 고 위원장은 "조삼모사라는 말에 동의하지 않는다"면서 "심사 대상자가 법 위반과 관련 없는 매출액을 밝혀야 하고, 기업이 입증을 하지 못하게 되면 전체 매출액을 기준으로 부과하므로 실무적으로 많이 다르다"라고 설명했다.

구글과 메타가 최근 개인정보위를 상대로 행정소송을 제기한 것에 대해서는 "적극 대응을 할 것이고 굉장히 많은 고민과 논의를 하고 있다"면서도 "구체적인 기일이 잡히거나 이런 본격적인 진행이 된 상황은 아니다"라고 말했다. 개인정보위는 지난해 9월 맞춤형 광고 관련 개인정보보호법 위반 혐의로 구글과 메타에 과징금과 시정명령을 제기한 바 있다.

naver daum
SNS 로그인
naver
facebook
google