개인정보보호법 개정안 주요 내용. 사진/개인정보위
[뉴스토마토 김동현 기자] 개인정보보호법 제정 10년 만에 정부 개정안이 국무회의를 통과해 국회에 제출된다. 산업계와 시민단체 의견이 충돌한 과징금 상향 기준은 '전체 매출 3% 이하'로 정해져 향후 이를 구체화하기 위한 추가적인 의견 수렴 절차를 밟는다. 이외에도 개인정보 전송요구권, 설명 요구권, 개인정보 처리평가제 등을 도입하는 내용이 개정안에 포함됐다.
개인정보보호위원회는 28일 국무회의에서 개인정보보호법 개정안이 의결돼 이달 중 국회에 제출한다고 밝혔다. 이번 개정안은 2011년 개인정보보호법 제정 이후 처음으로 정부가 주도해 마련한 전면 개정안이다. 개정안에는 코로나19로 확산한 비대면·온라인 사회에 맞춰 디지털 분야의 개인정보 보호 내용을 포함했다.
개정안 수렴 과정에서 논란이 됐던 과징금 기준은 상향돼 반영됐다. 현행법은 개인정보 보호책임을 기업보다 담당자 개인에 대한 형벌 중심으로 규율하고 있다. 이를 경제 제재로 변환하며 과징금 상한액을 '관련 매출의 3%'에서 전체 매출의 3%로 상향했다. 개인정보위는 전세계 매출의 4% 또는 2000만유로 중 높은 금액을 기준으로 삼는 유럽연합 일반개인정보보호법(EU GDPR)이나 중국·캐나다 등 글로벌과 동일한 수준으로 과징금 기준을 조정했다고 설명했다.
그러나 업계와 시민단체의 우려는 여전하다. 산업계는 전체 매출 기준이 과도하다고 반발하며 시장 위험성을 키울 것으로 우려하고 있다. 반대로 시민단체는 과징금 감경에 따른 실효성에 의문을 표했다. 한국인터넷기업협회 관계자의 경우 "과징금 기준을 전체 매출의 3%로 상향하는 것의 문제점에 대해 대기업을 비롯해 여러 협단체가 공감하고 있다"며 "시장에서는 위험성이 있다고 판단하고 있다"고 말했다. 반면 오병일 진보네트워크센터 대표는 "그동안 과징금이 있었지만 여러 감경 조항으로 실효적 제재에 대한 의문이 있었다"며 "관련 매출이 아닌 전체 매출로 상향 시 관련 매출에 대한 해석을 문제 삼는 분쟁은 해소할 수 있지만, 적절한 수준의 과징금이 부과될지 지켜봐야 한다"고 강조했다.
윤종인 개인정보보호위원회 위원장. 사진/개인정보위
개인정보위는 이번 과징금 기준을 상향하며 '위반행위에 상응하는 비례성', '침해 예방의 효과성' 등을 명시해 과징금 감경 혹은 면제될 수 있음을 명확히 했다. 개인정보가 유출된 기업이 안전조치를 다한 경우 과징금 부과대상에서 제외될 수도 있다. 다만 과징금 부과의 산정기준을 마련하기 위해 법률전문가·산업계·시민단체 등이 참여한 '과징금 부과기준 연구반'을 구성해 10월부터 운영할 예정이다. 연구반의 운영 결과는 시행령·고시 등에 반영된다. 최영진 개인정보위 부위원장은 "국회에서 법 개정을 논의하는 과정에서 법안의 하위 법령을 어떻게 가져갈지 설명하고 의원 의견 등 반영해야 한다"며 "국회 입법부터 연구반의 논의를 시작할 예정으로, 연구반은 향후 시행령 개정작업까지 함께할 것"이라고 말했다.
이외에도 개인정보 전송요구권이 도입된다. 개인정보 전송요구권은 정보주체인 국민이 기업 등 개인정보처리자가 보유한 개인정보를 자신이나 다른 기업에 전송할 것을 요구하는 권리로, 마이데이터 사업 활성화를 위한 제도적 여건이 마련됐다. 인공지능(AI)의 확산으로 과세대상·복지 수혜자격·신용등급 등이 자동화된 결정으로 이뤄져 영향을 미칠 경우 이를 거부하거나 설명을 요구할 수 있는 권리도 도입된다. 형식적 동의에 의존하는 '동의 만능주의' 관행을 개선하기 위해 개인정보 처리방침의 적정성을 평가하는 개인정보 처리방침 평가제도 개정안에 포함됐다.
윤종인 개인정보위 위원장은 "디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련된 점을 고려해 국회에서 신속한 논의가 이뤄지길 희망한다"며 "이번 개정안에 머무르지 않고, 아동·청소년 등 취약계층 보호, 민감·생체·영상 등 국민생활에 큰 영향을 미치는 개인정보도 지속적으로 개선해 국민의 개인정보 자기결정권이 보다 실질적으로 보장되도록 노력할 것"이라고 밝혔다.
김동현 기자 esc@etomato.com