개정 개인정보법 과징금 ‘조삼모사’ 논란에…담당부처 답변은?

개인정보보호법 개정안 국무회의 통과
과징금 기준 ‘관련 매출액’→‘전체 매출액’ 3%로
위반행위 무관 매출은 산정 과정서 제외 ‘단서’

고학수 개인정보보호위원회 위원장이 7일 오후 서울 종로구 정부서울청사에서 개정 개인정보보호법의 주요 내용을 설명하고 있다. 개인정보보호위원회 제공

개정 개인정보보호법에 담긴 개인정보 침해 기업 대상 과징금 산정 기준·방식을 두고 평가가 엇갈리고 있다. 개인정보보호위원회는 “개선됐다”고 설명하지만, 정보인권단체는 “조삼모사”라고 비판한다. 지난달 27일 국회를 통과한 개인정보보호법 개정안은 7일 국무회의에서 의결돼 9월 시행을 앞두고 있다.

현행 개인정보보호법에 따르면, 기업이 이용자 정보를 유출하는 등 개인정보 보호 책임을 다하지 못했을 경우, 개인정보위는 법 위반 행위와 직접 관련된 매출액의 3%까지 과징금을 물릴 수 있다. 이날 국무회의에서 의결된 개정안은 이를 전체 매출액의 3%까지로 넓혔다.

진보네트워크센터(진보넷)와 참여연대 등 정보인권·시민단체들은 개정안이 국회를 통과한 뒤인 지난 3일 낸 논평에서 “애초 정부안도 전 세계 연간 매출액의 4%까지 부과할 수 있는 유럽연합 개인정보보호법(GDPR) 수준에 못 미쳤는데 이보다 더 후퇴했다”고 비판했다. 고학수 개인정보보호위원장은 7일 서울 종로구 정부서울청사에서 기자들과 만나 개정 법을 설명하며 “유럽연합 개인정보보호법이 중요하긴 하지만, ‘국제 기준’이라고 보긴 어렵다”고 정보인권단체 쪽 비판을 반박했다.

과징금 산정 과정에서 법 위반 행위와 관련 없는 매출액은 제외할 수 있도록 단서 조항을 둔 데에 대해서도 개인정보위와 정보인권단체 사이 의견이 엇갈린다. 진보넷 등은 “여전히 무엇이 관련 매출액인지에 대한 논란이 불가피하다. 기업들이 이를 빌미로 소송을 제기한다면 처벌이 한없이 유예될 수 있다”고 우려했다. 고 위원장은 “지금은 관련 매출액을 입증할 책임이 개인정보위에 있는 반면, 개정 법은 그 입증 책임을 조사 대상 기업이 지도록 했다. 또 조사 대상 기업이 제대로 협조하지 않을 경우 전체 매출액을 기준으로 과징금을 부과한다는 조항도 있다. ‘조삼모사’라는 비판도 있지만, 이런 조항들을 신설하는 것만으로도 개인정보위 실무자들의 업무 부담이 크게 줄 것”이라고 반박했다.

개정 개인정보보호법에서는 기업들이 서비스 제공에 필요하지 않은 개인정보까지 ‘이용자 동의’를 명분으로 과도하게 수집하지 못하도록 필수 동의 강제 관행도 개선됐다. 이병남 개인정보위 개인정보보호정책과장은 “기존에는 정보통신망법의 특례에 따라 기업들이 서비스와 직접 관련이 없는 광범위한 개인정보까지 ‘필수 동의’ 항목으로 분류하고, 동의하지 않을 경우 서비스 제공을 거부할 수 있었다”며 “앞으로는 필수 동의 규정을 일반 규정으로 통합해, 동의 없는 개인정보 수집·이용에 대한 입증 책임을 기업들이 지도록 해 ‘동의의 형식화’ 문제를 풀 것”이라고 말했다.

개정 법엔 카메라가 달린 자율주행차, 드론, 배달 로봇 등에 대한 규정도 신설됐다. 개인정보위는 “이동형 영상정보처리기기가 일상 생활에서 광범위하게 쓰인 지 오래지만 법에는 명확한 규정이 없어 회색지대가 있었다”며 “이동형 영상정보처리기기를 업무 목적으로 운영할 경우 불빛, 소리, 안내판 등으로 촬영 사실을 명확하게 표시하도록 하는 등 운영 기준을 마련했다”고 설명했다. 고 위원장은 “전에 없던 최소한의 규율 근거를 마련했다는 데에 의의가 있지만, 한 곳에 고정된 기존 폐쇄회로텔레비전(CCTV)와 달리 빠르게 움직이는 이동형 영상정보처리기기의 촬영 사실을 정보주체들에게 알리는 데에 한계가 있는 것도 사실”이라며 “곧바로 후속 논의를 시작해 실효성 있는 고지 방법을 찾겠다”고 설명했다.

정인선 기자 ren@hani.co.kr