[디지털투데이 백연식 기자] 개인정보보호위원회가 정부 입법으로 추진했던 개인정보보호법 2차 개정안 중 과징금 관련 내용을 수정한 것으로 확인됐다. 처음에는 2차 개정안을 통해 과징금 부과기준을 위반행위 관련 매출액에서 전체 매출액 3%까지 상향하는 방향을 추진했지만, 산업계 등 반발에 부딪히자 전체 매출액에서 위반행위와 관련 없는 매출액은 제외해 산정하는 대신 매출액 산정자료 제출을 거부하거나 거짓으로 제출할 경우에 전체매출액 기준으로 산정하기로 한 것으로 파악됐다.
이번 수정안은 산업계와 사전에 협의한 것으로 알려져 논란이 적지만 개정안 다른 핵심 사항인 개인정보 전송요구권에 대해 산업계의 우려의 목소리가 여전히 나오고 있다.
14일 국회 정무위원회에 따르면 개인정보위는 과징금 관련 전체매출액에서 위반행위와 관련 없는 매출액은 제외해 산정하는 대신 매출액 산정자료 제출을 거부하거나 거짓으로 제출할 경우에 전체매출액 기준으로 산정하는 것으로 정부 개정안을 수정했다. 오는 15일 정무위 법안소위에서 개인정보법 2차 개정안이 논의될 예정이다. 개인정보위는 위원회 출범을 기준으로 지난 2020년 2월 4일 국회를 통과해 그해 8월 5일 시행에 들어간 개인정보보호법 개정을 ‘1차 법개정’, 현재 진행 중인 추가 법 개정을 ‘2차 법개정’으로 지칭한다.
해외 사례를 보면 과징금이 자본력이 강한 글로벌 기업에 대해서도 충분한 제재 및 억지 효과를 발휘하도록 유럽연합(EU)·중국 등도 전체 매출액 기준으로 과징금의 상한을 정하고 있다. 유럽연합 개인정보보호법인 EU GDPR은 위반시 전체 매출의 4%, 중국은 개인정보법 위반시 전체 매출 5%를 상한선으로 과징금을 부과하고 있으며, 캐나다 등도 전체 매출을 대상으로 과징금 부과를 추진 중이다.
개인정보위는 2차법 개정 관련 시행령에서 위반행위별 내용과 정도, 이익의 취득 여부, 안전성 확보조치, 피해확산 방지 노력, 업무형태·규모 등을 종합적으로 고려해 사안별 합리적 부과비율과 금액을 산정하도록 규정할 계획이라고 설명한 바 있다. 현행법(1차 개정안)은 객관적인 관련 매출액의 산정이 어렵지만 이번(2차) 개정안은 과징금의 상한을 정한 것에 불과하기 때문에 글로벌 수준에 부합하는 기준 마련이 필요하다는 점이 무엇보다 중요하다는 입장이었다.
하지만 업계가 과징금 기준을 ‘위반행위 관련 매출액’에서 ‘전체 매출액’(최대 3%)으로 상향하는 내용을 핵심으로 하는 개인정보보호법 2차 개정안을 과잉금지·평등원칙 위배라며 강하게 반대했기 때문에 전체매출액에서 위반행위와 관련 없는 매출액은 제외해 산정하는 대신 매출액 산정자료 제출을 거부하거나 거짓으로 제출할 경우에 전체 매출액 기준으로 산정하는 방식으로 수정한 것으로 보인다. (관련기사/[단독] 개인정보보호 과징금 확대 논란..."과잉금지·평등원칙 위배")
하지만 2차 개정안의 국회 통과를 장담하기는 이르다. 2차 개정안의 경우 과징금 상향과 별도로 개인정보 전송요구권(이동권)이 도입될 예정인데, 이와 관련 산업계의 우려의 목소리가 나오기 시작했기 때문이다. 올해 초 시행된 금융 마이데이터조차 실효성이 검증되지 않고, 오히려 설비투자로 수십억이 들어가는 상황에서 또다시 기업에게 막대한 비용을 감당해라는 것에 대해 반발이 일어나고 있는 상황이다.
한편, 개인정보보호법 2차 개정안의 경우 과징금 상한 및 개인정보 전송요구권 외에도 인공지능(AI)의 발전과 함께 자동화된 의사결정이 보편화됨에 따라 이에 대한 설명요구 등 국민의 적극적 대응권을 보장하는 내용을 담고 있다.
데이터 3법 개정 시 단순 편입된 정보통신서비스 특례(제6장)를 일반규정으로 일원화해 기업 등의 혼란과 이중부담을 해소화하는 내용도 있다. 비대면 온라인 서비스로의 전환에 따라 온·오프라인에 모두 적용이 필요한 특례규정은 모든 분야로 확대하고, 일반규정과 유사한 취지의 특례규정은 일반규정으로 일원화해, 온·오프라인의 상이한 규제를 통일하고 불합리한 규제를 정비할 계획이다.
현행법의 경우 드론, 자율주행차 등 이동형 영상기기에 대한 규정이 없어 사전 동의 없이는 운영이 곤란한 입법공백이 있었다. 이에 2차 개정안을 통해 일상화된 이동형 영상기기에 대한 운영 기준을 새롭게 마련해 입법 공백을 해소하고, 합리적 기준과 절차를 마련한다. 또한 해외 직접구매, 전자상거래 등의 일상화로 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전을 제한하는 한계가 있었다. 이에 개정안을 통해 국제표준에 부합하도록 적정한 개인정보 보호 수준이 보장되는 국가로의 안전한 이전을 허용하는 등 국외이전 방식을 다양화한다.
개인정보위는 2차 개정안을 통해 감염병 위기 상황에서 공공안전 보장을 위한 개인정보 처리 시에도 보호조치와 파기의무 등을 준수해 개인정보가 제대로 보호될 수 있도록 적용 예외규정(제58조)을 정비할 방침이다.
개인정보보호법 일부개정법률안이 지난 22일 열린 정무위원회 법안심사제1소위원회를 통과한 데 이어 24일 정무위 전체회의 심사 안건으로 상정됐다.
14차 정무위 회의자료에 따르면, 이날 정무위 전체회의에 상정된 법안은 120개로 후순위에 오른 개인정보보호법 개정안 심사는 이날 이뤄지지 않았으나 수정대안이 마련돼 이전에 발의된 정부안과 의원안들과 함께 안건에 올랐다.
개인정보보호법 2차 개정안 국회 심사가 급물살을 타고 있는 것으로 보인다. 개인정보보호법 개정안이 정무위 법안소위를 통과한 것은 지난해 9월 개인정보보호위원회가 국회에 개정안을 제출한 이후 1년 2개월만으로, 개정안이 연내 최종 통과될 수 있을지 주목된다.
정무위에 상정된 개인정보보호법 개정안은 수정 대안을 비롯해 정부안, 의원안 총 22개다. 수정 대안이 마련된 것은 개인정보보호위원회가 당초 제출한 개정안 초안에 담긴 ‘전체 매출액’의 3% 이하 과징금 상한 조항이 과도하다는 산업계의 반발과 우려를 국회가 반영한 결과다.
개인정보보호법 2차 개정안의 핵심은 정보주체의 권리 강화를 위한 개인정보 전송요구권(이동권)과 자동화된 결정 거부 대응권 등의 신설, 법 위반시 과징금 적용 범위와 상한액 규모 확대, 온라인·오프라인 분야 기업에 대한 규제 일원화 등이다.
개인정보 전송요구권은 정보주체인 국민이 기업 등 개인정보처리자가 보유한 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있는 권리다. 일반법인 개인정보보호법에 전송요구권이 도입되면 금융·공공 등 일부 분야에서만 추진 중인 마이데이터 사업이 전국민, 전분야로 확산될 것이란 전망이 나온다. 또 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 스타트업 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것이란 기대도 있다.
과징금 부과 규정의 경우 상한액을 정부 초안에 담긴 전체 매출액 기준을 유지하되 실제 산정기준은 위반행위와 관련 없는 매출액은 기준에서 제외하는 내용을 담아 수정한 것으로 알려졌다. 국회에 제출된 정부안 원안에는 과징금 상한액을 ‘전체 매출액’의 3% 이하 기준으로 조정하는 방안이 담겼었다. 현행 형벌 중심의 제재를 경제적 책임을 강화하는 방향으로 전환해 제재 실효성을 높이겠다는 개인정보위의 의지와 방침에 따른 개정안이었다.
그러나 이번에도 과징금 산정시 위반행위 관련 없는 매출액을 제외 내용이 추가돼 수정된 안이 최종 통과된다면, 결과적으로 현행 개인정보보호법의 내용(‘위반행위 관련 매출액’의 3% 이하)과 같게 된다. 다만 정보통신서비스 제공자에게만 적용되던 형벌규정을 삭제, 개인정보처리자로 변경한 내용이 이번 개정안에 포함돼 있긴 하다.
정무위는 “법안소위에서 의결된 법률안은 정무위원회와 법제사법위원회의 체계·자구 심사를 거쳐 국회본회의에서 최종 의결될 예정이다”고 밝혔다.
글.
바이라인네트워크
<이유지 기자>
개인정보 유출시의 조치방안
인쇄체크 개인정보의 유출
개인정보의 유출이란?
개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 어느 하나에 해당하는 경우를 말합니다[(「표준 개인정보 보호지침」(개인정보보호위원회 고시 제2020-1호, 2020. 8. 11. 발령·시행) 제25조)].
개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
기타 권한이 없는 자에게 개인정보가 전달된 경우
※ “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말합니다(「개인정보 보호법」 제2조제1호).
※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
인쇄체크 개인정보 유출 통지와 피해구제
개인정보 유출 통지
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 서면 등의 방법으로 해당 정보주체에게 개인정보 유출에 관한 다음의 사실을 알려야 합니다(「개인정보 보호법」 제34조제1항·제4항 및 「개인정보 보호법 시행령」 제40조제1항 본문).
유출된 개인정보의 항목
유출된 시점과 그 경위
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있습니다(「개인정보 보호법」 제34조제1항 및 「개인정보 보호법 시행령」 제40조제1항 단서).
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때나 유출 사실을 알고 긴급한 조치를 한 후에도 유출된 개인정보의 항목 및 유출된 시점과 그 경위의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(「개인정보 보호법」 제34조제1항 및 「개인정보 보호법 시행령」 제40조제2항).
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 개인정보 유출에 관한 위의 사실을 7일 이상 게재해야 합니다. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면 등의 방법과 함께 사업장등의 보기 쉬운 장소에 7일 이상 게시해야 합니다(「개인정보 보호법」 제34조제4항 및 「개인정보 보호법 시행령」제40조제3항).
이를 위반하여 정보주체에게 위의 각 사실을 알리지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제8호).
피해구제를 위한 조치
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다(「개인정보 보호법」 제34조제2항).
개인정보 유출에 대한 신고
개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 피해 최소화를 위한 조치 결과를 지체 없이 개인정보보호위원회(이하 "보호위원회"라고 함) 또는 한국인터넷진흥원에 신고해야 합니다(「개인정보 보호법」 제34조제3항 전단 및 「개인정보 보호법 시행령」 제39조).
이를 위반하여 조치 결과를 신고하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제9호).
※ 개인정보 침해사고 신고 방법
구분 | 정보시스템 운영 기업·기관(개인정보처리자) | 일반이용자(정보주체) | |
개인정보 유출 신고 | 침해사고 신고 | 개인정보 침해 신고 | |
근거법령 | 「개인정보 보호법」 제34조 | 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조의3 | 「개인정보 보호법」 제62조 |
신고대상 | 공공기관 및 민간기업 (정보통신서비스 제공자 제외) | 정보통신서비스 제공자, 집적정보통신시설 사업자 | 정보통신서비스이용자(정보주체) |
신고기관 | 행정안전부 및 한국인터넷진흥원(KISA) | 과학기술정보통신부 및 한국인터넷진흥원(KISA) | 한국인터넷진흥원(KISA) 개인정보침해신고센터 |
신고기한 | 지체없이(5일 이내) | 즉시 | |
신고기준 | 1천명 이상 정보주체의 개인정보 유출 시 | 개인정보에 대한 권리 또는 이익 침해 시 | |
과태료 | 3천만원 이하 | 1천만원 이하 |
인쇄체크 과징금의 부과 등
과징금의 부과
보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 다음 사항을 고려하여 산정하되, 위반정도에 따른 산정기준액과 안전성 확보에 필요한 조치의 이행 노력 정도 등에 따른 조정, 위반행위의 기간 및 횟수에 따른 조정을 거쳐 개인정보처리자의 현실적 부담능력이나 그 위반행위가 미치는 효과, 위반행위로 인해 취득한 이익의 규모 등을 고려하여 5억원 이하의 과징금을 부과·징수할 수 있습니다(「개인정보 보호법」 제34조의2제1항 본문·제2항, 「개인정보 보호법 시행령」 제40조의2제1항 및 별표 1의3).
안전성 확보에 필요한 조치 이행 노력 정도
분실·도난·유출·위조·변조 또는 훼손된 주민등록번호의 정도
피해확산 방지를 위한 후속조치 이행 여부
다만, 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그렇지 않습니다(「개인정보 보호법」 제34조의2제1항 단서).
과징금의 납부
과징금 부과대상자는 그 통지를 받은 날부터 30일 이내에 보호위원회가 정하는 수납기관에 과징금을 납부해야 합니다. 다만, 천재지변이나 그 밖에 부득이한 사유로 인해 그 기간 내에 과징금을 납부할 수 없는 경우에는 그 사유가 없어진 날로부터 7일 이내에 과징금을 납부해야 합니다(「개인정보 보호법」 제34조의2제5항 및 「개인정보 보호법 시행령」 제40조의2제3항).
가산금 징수
보호위원회는 과징금을 내야 할 자가 납부기한까지 내지 않으면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 매 1개월이 지날 때마다 내지 않은 과징금의 1천분의 5에 상당하는 금액을 가산한 금액을 징수합니다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못합니다(「개인정보 보호법」 제34조의2제3항 및 「개인정보 보호법 시행령」 제40조의2제4항).
독촉 등
보호위원회는 과징금을 내야 할 자가 납부기한까지 내지 않으면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 가산금을 내지 않으면 국세 체납처분의 예에 따라 징수합니다(「개인정보 보호법」 제34조의2제4항).
과태료에 관한 특례