"삼성전자가 개인정보 유출하면 과징금만 4.8조라고?"

[머니S리포트-개인정보가 만만? 이젠 큰 코 다친다①]개인정보보호법 2차 개정안 과징금 규정 두고 정부·업계 '갑론을박'

 
 
기사공유
  • 카카오톡 공유
  • 카카오톡 공유
  • 네이버 블로그
  • 카카오스토리
  • 텔레그램 공유
  • url 공유
편집자주|전화번호부만 펼쳐도 동네 사람들의 주소와 연락처를 다 알 수 있었다. 인터넷상에서 어디든 가입하려면 주민등록번호 입력도 요구받았다. 돌아보면 정보보호와 프라이버시에 대한 인식이 채 여물지 못했던 때다. 그 시절 사방으로 흩어진 우리의 개인정보는 지금도 종종 스팸 문자로 찾아온다. 정보기술(IT)이 세상을 바꿔나갈수록 정보의 가치도 덩달아 올라가고 있다. 개인정보에 대한 보호와 규제도 점점 더 강해진다. 데이터의 보호와 활용 사이에서 정부와 산업계가 길을 모색하는 과정에서 부딪히기도 한다. 개인정보보호를 두고 세계 주요 국가와 기업들의 신경전도 벌어진다. 한때는 공공재처럼 취급받던 우리 개인정보가 귀해진 시대가 왔다.
IT 발전과 함께 개인정보보호 중요성이 지속 증대되면서 개인정보보호법의 영향력도 커져간다. /그래픽=김영찬 기자
IT 발전과 함께 개인정보보호 중요성이 지속 증대되면서 개인정보보호법의 영향력도 커져간다. /그래픽=김영찬 기자

개인정보보호법 2차 개정안을 두고 산업계를 중심으로 목소리가 커진다. 위반에 따른 과징금 관련 조항 때문이다. 위반행위의 심각도에 따라 기업에게 ‘전체 매출의 3%’까지 과징금을 물린다. 아직 개정안이 국회 제출도 안 됐음에도 정부·산업계·학계·시민단체 사이에서 갑론을박이 펼쳐진다.



이루다와 카카오맵… 날로 커지는 개인정보 중요성


IT업계는 연초부터 두 차례나 개인정보 관련 홍역을 치렀다. 먼저 인공지능(AI) 스타트업 ‘스캐터랩’이 출시했던 챗봇 ‘이루다’ 사태가 있었다. 차별·혐오 발언으로 도마 위에 올랐지만 직접적인 서비스 종료 원인은 개인정보 유용·유출이었다. 이어 ‘카카오맵’도 개인정보 관련 논란을 빚었다. 애플리케이션(앱)에서 즐겨찾기 폴더를 생성할 때 기본 설정이 공개로 돼 있어 일부 이용자의 사생활이 노출된다는 지적을 받고서 수정이 이뤄졌다.

자연스러운 대화 능력으로 인기를 끌었으나 개인정보 유용·유출로 20일만에 자취를 감춘 AI 챗봇 '이루다' /사진제공=스캐터랩
자연스러운 대화 능력으로 인기를 끌었으나 개인정보 유용·유출로 20일만에 자취를 감춘 AI 챗봇 '이루다' /사진제공=스캐터랩

이렇듯 개인정보에 대한 국민의 관심과 인식이 날로 높아지는 데 발맞춰 개인정보보호위원회(개인정보위)는 개인정보보호법 2차 개정을 추진한다. 지난해 8월 시행된 개정 데이터3법(개인정보보호법·정보통신망법·신용정보법)을 보완해 국민 권리를 강화하기 위함이다. 지난 1월 공개된 입법예고안은 ▲개인정보 이동권(전송 요구권) 도입 ▲편입된 정보통신서비스 특례를 일반규정으로 일원화 ▲형벌 중심 제재를 경제벌 중심으로 전환 ▲신기술 관련 입법 공백 해소 및 규제 개선 등을 골자로 한다.

이 중 경제벌 중심 제재로 전환은 그동안 산업계에서 지속적으로 요청해온 내용이기도 하다. 개인정보 침해사고는 기업이 경제적 이득을 취하려다 일어나는 경우가 많은데 형벌 중심 제재는 조직 내 개인에 대한 과도한 처벌을 초래할 수 있기 때문이다. 이에 2차 개정안에서는 형벌 요건을 제한하는 대신 해외 주요국 입법례에 따라 과징금을 대폭 강화했다. 그런데 그 수준이 유럽연합(EU)의 일반개인정보보호법(GDPR)에 준하면서 과하다는 지적이 나온다.



“개인정보 다루지 말란 것” vs “얼마나 부과될지 실효성 의문”


2018년부터 시행 중인 EU GDPR은 개인정보보호 관련 선진 법제도로 평가받는다. 이 법에서는 기업이 심각한 위반행위를 저질렀을 시 최대 전 세계 연간 매출의 4% 또는 2000만유로(약 267억원) 중 액수가 더 큰 쪽을 과징금으로 부과하도록 규정한다. 이런 강력한 제재 때문에 시행을 앞두고 미국의 IT공룡들뿐 아니라 유럽 사업을 영위하는 한국기업들도 적잖은 준비를 거쳐야 했다.

한국의 현행 개인정보보호법의 경우 위반행위와 연관된 연 매출의 3%까지 과징금을 부과하고 5년 이하 징역이나 5000만원 이하 벌금형을 내릴 수 있도록 한다. 이번 2차 개정안에서 규정하는 과징금 한도도 최대 3%다. 차이가 있다면 위반행위 ‘연관 매출’이 아니라 GDPR처럼 ‘전체 매출’ 기준이라는 점이다. 이를 적용할 과징금 부과 대상도 기존 정보통신서비스 제공자에서 전체 기업·기관으로 확대한다. 재계와 산업계에서 반발이 나오는 이유다.

지난해 조직개발 전문업체 지속성장연구소가 한국CXO연구소에 의뢰해 분석한 결과 2019년 기준 국내 2000대 상장 기업의 평균 영업이익률은 5.1%로 조사됐다. 연 매출 1조원을 올린 기업의 영업이익이 이런 평균 수준인 510억원이라면 이 기업이 심각한 위반으로 과징금 처분을 최대한도까지 받을 경우 남는 건 210억원이다. 한 해 영업이익의 60% 가까이 내는 셈이다. 2000대 상장사가 2018년 기록한 8.8% 영업이익률로 가정해도 연간 영업이익의 3분의 1이 넘는 액수를 과징금으로 물게 된다.

이경상 대한상공회의소 경제조사본부장은 “환경 관련 문제 등 심각한 징벌 사유에 해당하면 전체 매출 기준으로 삼을 수 있으나 일반적으로 공정거래 관련해선 대부분 연관 매출을 기준으로 한다”며 “전체 매출에 연동시킨다면 사업자로서 리스크가 너무 커진다. 헌법상 과잉금지 및 비례성 원칙에도 어긋난다”고 주장했다.

한국경영자총협회도 지난 2월 개인정보위에 의견서를 제출했다. 2차 개정안 기준으로 국내 최대 매출 기업인 삼성전자의 경우 과징금 한도가 4조8707억원에 달할 것으로 추산했다. 여기에 현행 시행령을 적용하면 고의나 중과실이 없는 ‘일반 위반행위’에 대해서도 전체 매출의 1.5%인 2조4353억원, 최대한 감경받더라도 최소 6088억원을 과징금으로 낼 수도 있다고 예를 들었다. 최근 미국 IT기업들도 주한미국상공회의소(AMCHAM)를 통해 개정안에 우려를 표하는 의견서를 개인정보위에 전달한 것으로 알려졌다.

지난해 11월 정부서울청사에서 송상훈 개인정보보호위원회 조사조정국장이 ‘페이스북 대상 67억원 과징금 부과 및 형사고발 조치’를 발표하는 모습. 페이스북은 2018년까지 6년간 국내 이용자 330만명의 개인정보를 빼돌린 것으로 드러났다. 개인정보위 출범 후 첫 제재이자 해외사업자 대상 첫 고발 사례다. /사진=뉴스1 DB
지난해 11월 정부서울청사에서 송상훈 개인정보보호위원회 조사조정국장이 ‘페이스북 대상 67억원 과징금 부과 및 형사고발 조치’를 발표하는 모습. 페이스북은 2018년까지 6년간 국내 이용자 330만명의 개인정보를 빼돌린 것으로 드러났다. 개인정보위 출범 후 첫 제재이자 해외사업자 대상 첫 고발 사례다. /사진=뉴스1 DB

반면 참여연대와 진보네트워크센터를 비롯한 시민사회단체 측에서는 이번 2차 개정안의 과징금 규정에 대해 찬성하는 입장이다. 이들은 경총의 주장에 반박하는 내용을 담은 의견서를 개인정보위에 제출하기도 했다. GDPR은 형사를 포함한 실효성 있는 제재를 회원국에게 요구하는 것과 달리 이번 2차 개정안은 현행법의 형사처벌 구성요건을 ‘자기 또는 제3자 이익 목적’으로 해 오히려 실효성을 낮췄다는 불만도 제기했다.

오병일 진보네트워크센터 대표는 “형벌 관련이면 사건 진실을 파헤치기 위해 수사기관에서 나설 수 있지만 이제 경제벌로 전환되면 개인정보위가 도맡아야 하므로 한계가 있을 수 있다”며 “전체 매출 3% 기준도 최대한도일 뿐이라 개별 판단까지 들어가면 실제 얼마나 부과될지 미지수라는 점에서 회의적인 시각도 존재한다. 결국 개인정보위 의지에 달렸다”고 지적했다.



개인정보위 “전체 매출 3% 그대로 간다… 합당한 기준 마련할 것”



최근 2차 개정안은 규제개혁위원회 심사를 거쳐 법제처 심사를 앞두고 있다. 정부 입법안 발의로 국회에 제출되기까지 단계를 밟아나가고 있다. 아직 확정·공개되진 않았지만 기존 입법예고안에서 의견 수렴을 통해 몇 가지 변경된 부분도 있다. 개인정보 처리방침 심사제를 평가제로 용어를 바꿨다. 자격을 갖춘 단체에서 이를 청구할 수 있는 조항이 있었으나 삭제하고 개인정보위 직권으로만 이뤄지도록 했다.

하지만 그동안 두 차례 공청회에서도 평행선을 달렸던 ‘전체 매출 3%’는 변경 없이 추진한다. 대신 위반행위와 과징금 사이에 비례성 원칙이 반영되도록 문구를 추가 삽입하기로 했다. 과징금을 부과할 때 고려해야 할 기준도 기존 3가지에서 총 8가지로 늘린다. ▲안전성 확보에 필요한 조치 이행 노력 정도 ▲개인정보 분실·도난·유출·위변조·훼손 정도 ▲안정성 확보 조치 등 의무 위반행위와 인과관계 ▲피해 회복 및 확산 방지 위한 조치 이행 여부 ▲개인정보처리자의 업무 행태 및 규모와 처리하는 개인정보의 민감도 등 5가지 기준이 추가된다.

개인정보보호법 위반에 따른 과징금 부과 시 고려 기준 /그래픽=김영찬 기자
개인정보보호법 위반에 따른 과징금 부과 시 고려 기준 /그래픽=김영찬 기자

개인정보위 관계자는 “GDPR의 과징금이 전체 매출의 최대 4%이고 미국·중국·캐나다도 3~5% 사이로 부과하려고 준비하고 있다. 기업과 데이터가 세계를 넘나드는데 우리만 연관 매출로 하는 것은 형평성에 맞지 않고 갈라파고스화 우려도 있다”며 “이미 개정 시행된 신용정보법의 과징금도 전체 매출 3%까지라 법 조항 간 정합성도 고려돼야 한다”고 설명했다.

그는 “반복적·의도적으로 위반하는 업체들 대상으로 최대한도를 부과할 가능성을 법에 둔 것이며 충분한 고려 없이 적용하진 않는다”며 “심각한 위반행위에 대해선 단호하게 대처할 것”이라고 밝혔다. 이어 “과징금 관련 구체적인 내용은 시행령에 담는다. 향후 시행령 개정 시 산업계에서 추천하는 전문가를 연구반에 참여시켜 이해관계자 간 충분히 합의를 통해 세부적인 기준을 마련할 것”이라고 강조했다.

김승주 고려대 정보보호대학원 교수는 “양측 의견 모두 일리 있다”는 견해를 밝혔다. 그는 “그동안 글로벌 기업이나 국내 기업의 개인정보 침해사고에 국민들이 납득할 만큼의 과징금이 부과되지 않았던 점은 분명 개선돼야 한다”면서도 “국내의 경우 해외 주요국에 비해 관련 보험이나 소송 등 헷지 수단이 미흡한 점이 있어 기업들이 온전히 받아들이기에 부담스러운 측면도 있다”고 덧붙였다. 이어 “이번 개정에서도 생태계 전반을 아우르는 시각이 필요하다”고 주문했다.
 

팽동현
팽동현 dhp@mt.co.kr  | twitter facebook

열심히 하겠습니다. 감사합니다.

이 기자의 다른기사 보기 >
  • 0%
  • 0%
  • 코스피 : 3122.11하락 39.5518:03 05/13
  • 코스닥 : 951.77하락 15.3318:03 05/13
  • 원달러 : 1129.30상승 4.618:03 05/13
  • 두바이유 : 67.05하락 2.2718:03 05/13
  • 금 : 66.56상승 1.0218:03 05/13
  • [머니S포토] 대한상의 최태원 회장 접견하는 송영길 민주당 대표
  • [머니S포토] 대한상의 최태원 회장, 국민의힘 지도부 예방
  • [머니S포토] 최태원 대한상의 회장, 국회 찾아 박병석 의장 예방
  • [머니S포토] 상임고문들 만난 민주당 지도부
  • [머니S포토] 대한상의 최태원 회장 접견하는 송영길 민주당 대표

커버스토리

정기구독신청 독자의견