개인정보보호위원회가 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 징벌적 과징금 특례 도입을 추진한다. 개인정보 유출 피해에 대한 실질적 구제를 강화하기 위해 단체소송 요건에 손해배상 청구도 포함하는 방안도 함께 추진된다.
개인정보보호위원회는 지난 12일 정부세종컨벤션센터에서 열린 대통령 업무보고에서 이 같은 내용을 골자로 한 개인정보 제재 체계 강화 방안을 보고했다.
최근 쿠팡 등 유통업계와 SK텔레콤·KT 등 통신 분야에서 대규모 개인정보 유출 사고가 잇따르는 가운데, 인공지능(AI)과 클라우드 등 신기술 확산으로 개인정보 처리 환경이 급변하고 있다는 판단에서다. 개인정보위는 기존의 사후 제재 중심 규제에서 벗어나 개인정보 보호 체계를 근본적으로 전환하겠다는 방침이다.
우선 반복적·중대한 법 위반에 대해서는 징벌적 과징금 특례를 신설해 억지력을 높인다. 고의 또는 중과실이 있거나 피해 규모가 큰 경우에는 과징금 상한을 현행 매출액의 3%에서 최대 10%까지 상향하는 방안이 핵심이다. 다만 중소기업 등에 과도한 부담이 발생하지 않도록 일반적인 과징금 상한은 기존 3% 수준을 유지한다.
피해 구제 수단도 확대된다. 개인정보 보호법상 단체소송 제도에 손해배상 청구를 포함해, 개인정보 침해로 인한 금전적 피해에 대해서도 집단적 구제가 가능하도록 할 계획이다. 현행법 제51조는 권리 침해 행위의 금지 청구만 허용하고 있어 실질적인 배상이 어렵다는 지적이 이어져 왔다.
개인정보 분쟁조정 제도와 연계해 소비자 단체 등 공익단체가 대표 소송을 수행할 경우, 개별 국민의 소송 비용 부담도 줄어들 것으로 개인정보위는 보고 있다.
아울러 개인정보 보호법 위반으로 부과된 과징금 등을 피해 회복에 활용하기 위한 ‘(가칭) 개인정보 피해회복 지원 기금’ 신설도 추진한다. 다만 기금 조성 여부는 관계 부처와 각계 논의를 거쳐 사회적 공감대를 형성해야 한다는 점을 덧붙였다.
사고를 일으킨 기업이 자발적으로 시정 방안을 제출하고 이를 의결로 확정해 신속한 피해 회복을 도모하는 ‘피해회복형 동의의결 제도’ 도입도 함께 검토한다.
이와 함께 정보보호·개인정보 보호 관리체계(ISMS-P) 인증 제도의 실효성도 강화한다. 예비심사를 도입하고 현장 기술심사를 확대하는 등 사후 관리 체계를 대폭 보완하고, 중대하거나 반복적인 법 위반이 확인될 경우에는 원칙적으로 인증을 취소한다는 방침이다.
기업 규모와 개인정보 처리 위험도에 비례해 책임을 강화하는 한편, 과징금 감경 등 인센티브를 제도화해 개인정보 보호 투자도 유도한다. 대표자(CEO)를 안전한 개인정보 처리·보호의 최종 책임자로 명시하고, 대규모 또는 민감 정보를 처리하는 기관에 대해서는 개인정보보호책임자(CPO) 지정 신고제 도입도 추진할 계획이다.
조유현 더나은미래 기자
