개인정보보호 위반 처벌 세진다…과징금 '매출 3%이하' 상향

윤종인 개인정보보호위원회 위원장이 23일 오전 서울 종로구 정부서울청사 4층 대회의실에서 개최된 제9회 전체회의를 주재하고 있다. /사진=개인정보보호위원회

정부가 지난 8월 데이터 3법(개인정보보호법·신용정보법·정보통신망법) 시행 이후 처음으로 개인정보보호법 개정을 추진한다. 정부 개정안이 국회를 통과하면 기업의 개인정보 보호 위반에 대한 처벌 수위가 높아진다. 또 개인이 법인 등에 위탁했던 개인 데이터를 다른 서비스로 자유롭게 옮길 수 있게 된다.

개인정보보호위원회는 23일 이같은 내용의 개인정보보호법 개정안을 이날 오전 서울 종로구 정부서울청사에서 열린 전체회의에서 검토했다고 밝혔다.

━

개인정보 보호 위반 처벌 수위 높아진다…'전체 매출액' 3%

━

정부는 이번 개정안을 통해 기업의 개인정보 보호 의무 위반에 따른 과징금을 '기업 전체 매출액의 3% 이하'로 확대하겠다는 방침이다.

현행법에서는 기업에 대한 경제 제재가 가능한 수준이 '위반행위' 관련 매출액의 3% 이하인 데다 그 대상도 인터넷 포털 기업 등 정보통신서비스제공자에 한정돼 있다. 이를 모든 '개인정보처리자'의 전체 매출액에 비례해 과징금을 매기도록 수위를 높인 것이다.

지난달 페이스북이 당사자 동의 없이 개인정보를 제3자에게 무단 제공한 혐의로 과징금 67억원을 부여받을 때도 '관련 매출액'이 기준이 됐다. 이에 약 6조원의 벌금을 부과한 유럽에 비해 국내 처벌 수위가 낮다는 지적이 나왔다.

개인정보 업무 담당자 등 개인의 개인정보 보호법 위반 사항에 대해서는 '자기 또는 제3자의 이익을 목적'으로 한 행위에만 형사처벌하기로 했다.

대신 개인정보 취급자가 업무상 알게 된 개인정보를 사적으로 이용할 때 처벌할 근거를 마련했다. 개인정보 침해 사고에 대해 조사 거부하는 행위에 대한 과태료도 상향키로 했다. 그동안 제재 대상이 아니었던 개인정보처리 수탁자도 과태료·과징금·형벌 등 제재 대상에 포함된다.

━

개인 정보주권 강화…개인데이터 이동권·AI 대응권 신설

━

개정안에서는 '개인정보 이동권(전송 요구권)' 개념이 도입된다. 국민이 스스로 자기 개인정보의 이용·제공 범위와 기간 등을 결정할 수 있도록 해 국민의 정보 주권을 강화하기 위한 개념이다.

개인정보 이동권이 도입되면 개인이 특정 서비스에 제공했던 자신의 개인 정보와 서비스를 이용하며 생성한 개인 데이터를 비슷한 다른 서비스에 통째로 이전하도록 할 수 있다. 일례로 싸이월드의 서비스 종료로 동영상과 사진 등 개인 데이터가 파기될 수 있다는 우려를 접한 싸이월드 이용자가 자기 데이터를 네이버 블로그, 카카오 티스토리 등 다른 서비스로 옮기도록 결정할 수 있다.

현재 금융·공공 분야에서 '마이데이터' 사업이 시행되면서 개인정보의 이동이 자유로워졌다. 그만큼 정보주체가 개인정보를 자기주도적으로 유통·활용할 수 있도록 통제권을 강화해야 한다는 필요성 때문에 이 개념이 고안됐다는 설명이다.

AI(인공지능) 등이 개인 정보를 토대로 개인에 대한 판단이나 의사 결정을 내릴 때 그 결과에 정보 주체인 개인이 적극적으로 대응할 권리도 법에 신설된다. AI가 개인의 신용등급이나 인사 채용 등 법적 효과나 이에 준하는 영향을 미칠 경우 개인이 이에 거부하거나 이의 제기, 설명 요구를 할 수 있는 권리다.

개정안은 개인정보 권리가 침해됐을 때 소송에 앞서 진행되는 개인정보 분쟁조정위원회에 사실 조사권을 부여하는 방안도 담았다. 현행 제도에서 조정위에 조사권이 없어 분쟁 당사자를 조정하는 데에 한계가 있었기 때문이다. 분쟁 조정 요청에 의무적으로 응해야 하는 대상도 현행 '공공기관'에서 '모든 개인정보 처리자'로 확대된다.

━

드론·자율주행차로 개인 촬영 제한…온·오프라인 규정 통합

━

이번 개정안에는 기술 발전 등으로 달라진 개인정보 처리 환경에 맞게 개편되는 조항들도 포함됐다.

대표적인 것이 드론이나 자율주행차 같은 '이동형 영상기기'로 개인 영상정보를 촬영하는 행위를 원칙적으로 제한하는 내용이다. 현행법은 폐쇄회로(CC)TV 등 고정형 영상기기만 규율하고 있다. 개정안은 드론 등 이동형 영상 기기로 촬영되고 있다는 사실을 표시한 뒤에도 거부 의사를 밝히지 않은 경우 등에 대해 예외적으로 허용하는 조항도 포함하고 있다.

온라인 전자상거래의 국경이 허물어진 현실에 맞춰 개인정보 국외 이전 동의를 간편화하는 방안도 개정안에 포함됐다. 지금은 국내 쇼핑몰에서 해외 직구 상품을 구매할 때 쇼핑몰 사업자가 해외 판매자에게 배송과 주문정보 등 개인정보를 이전해야 할 때마다 개인 동의를 얻어야 한다.

개정안이 통과되면 EU(유럽연합) 등 개인정보 보호가 보장된다고 개인정보위가 인정하는 국가나 해외기업에는 사업자가 고객 개인정보를 개인 동의 없이 국외 이전할 수 있게 된다. 대신 개인정보 국외 이전에서 법 위반이 발생하거나 보호가 미흡하다고 판단되면 바로 개인정보위가 중지를 명령할 수 있도록 하는 조항이 더불어 신설된다.

개정안은 온·오프라인 서비스의 경계가 모호해진 만큼 이원화돼 있는 온·오프라인 규제도 일원화해 모든 개인정보처리자에게 동일한 규범을 적용하도록 했다.

아울러 코로나19와 같은 감염병 위기 상황을 개인정보보호법 적용 예외로 두는 현행 규정도 정비된다. 개인정보가 제대로 보호되도록 현행법의 예외 규정도 정비된다.