개인정보보호법을 위반해 부과된 과징금을 개인정보유출 피해자 구제에 사용하는 방안이 추진된다.
개인정보보호위원회는 11일 정부서울청사에서 브리핑을 열고 '개인정보 안전관리 체계 강화 방안'을 추진한다고 11일 밝혔다. 이번 방안은 지난 4월 발생한 SK텔레콤 고객정보 유출 사고를 계기로 국민 생활에 큰 영향을 미치는 대규모 개인정보유출 사고를 예방하기 위한 종합 대책으로 마련됐다.
최장혁 개인정보위 부위원장은 "지금 개인정보보호법 위반에 따른 과징금이 전액 국고에 귀속돼 실제 피해자의 권리구제를 위해서는 활용할 수 없는 모순적 상황"이라며 "앞으로 과징금을 실제 유출사고 피해자 구제에 활용하는 방안 등 피해구제 강화 방안을 검토·추진할 것"이라고 했다.
개인정보위는 우선 공정거래위원회의 '동의의결제'와 유사한 형태의 제도를 도입해 피해자 구제를 유도한다는 방침이다. 개인정보보호법을 위반한 기업이나 기관이 개인정보위와 사전에 협의해 피해 구제와 관련한 선제적 투자를 하면 과징금을 감경해주는 방식이다.
과징금을 기금으로 구성해 운용하는 방안은 기획재정부와 중장기적 협의를 통해 추진할 계획이다. 그동안 개인정보위가 부과한 과징금 규모는 2021년 82억원, 2022년 1018억원, 2023년 232억원, 지난해 611억원 등이다. 올해는 SK텔레콤에 1300억원대 규모 과징금을 부과됐다.
최 부위원장은 "과징금 기금화의 경우 기재부와 협의 등 복잡한 일이지만, 동의의결제와 같은 방식을 활용해 과징금을 감경하면 개인정보위 내부적으로도 추진이 가능하다"고 설명했다.
개인정보위는 또한 동일한 방식으로 반복적인 해킹을 당하는 곳에는 과징금을 가중하는 등 엄정 제재를 하고, 중장기적으로는 징벌적 과징금 도입도 추진하기로 했다. 개인정보 유출로 중대한 피해가 예상되는 경우 실제 개인정보가 유출된 사람뿐만 아니라 유출 가능성이 있는 모든 사람에 대한 유출 통지 의무도 확대할 방침이다.
이와 함께 시장감시와 권리구제 지원을 위한 '개인정보 옴부즈만' 설치, 전문인력 양성, 신기술·신제품의 개인정보 침해 위협에 대한 선제대응, 개인정보유출 사고에 대응할 수 있는 보험상품 개발을 추진하기로 했다
유사사고 예방을 위한 기술적 관리 수준도 높이기로 했다. '개인정보보호 관리체계(ISMS-P)' 인증 제도도 고도화하고 사고기업 대상으로 사후관리를 강화할 계획이다. 장기적으로는 핵심 공공시스템·이동통신서비스 대상으로 전반적인 인증 품질 향상을 추진한다.
아울러 개인정보보호 분야의 투자 확대를 위한 구체적 기준을 제시하고, 다양한 인센티브 제공도 검토해 제도에 반영할 예정이다. 특히 기업 최고경영자(CEO)에게 개인정보보호 관련 위험관리·내부통제에 관한 최종적인 책임이 있음을 명확히 하고, 개인정보보호책임자(CPO)가 자율성과 책임성을 확보하도록 연 1회 이사회 보고, 직무 여건 보장 등 법적 권한과 역할을 강화하기로 했다.
클라우드 서비스 사업자와 솔루션 공급자 등 법적 사각지대 관리도 강화하고, '개인정보 안심설계 인증제' 도입을 통해 중소사업자 등에게 개인정보 보호 수준이 검증된 제품을 사용토록 권장할 방침이다.
개인정보위는 이번 방안 가운데 법률 개정사항은 연내 개정안을 마련하고 내년 상반기 국회에 제출한다는 계획이다. 최 부위원장은 "이번 방안이 산업 현장에서 실질적으로 적용될 수 있도록 사업자 설명회, 의견수렴을 통해 이행 가능한 합리적 기준을 명확히 설정할 것"이라며 "이를 법령·고시에 반영하거나 관련 예산을 확보하는 등의 후속조치도 차질없이 추진할 예정"이라고 말했다.
