개인정보 침해사고 제재 확 세진다…'총매출'의 3% 과징금 부과

개인정보 침해사고를 낸 기업에 대한 과징금이 '연간 총매출액'의 3%로 강화된다. 수천억원 이상 과징금이 부과되는 사례가 속출할 것으로 보인다. 업계는 "너무 급격한 제재 강화"라고 반발하고 있다.

개인정보보호위원회는 이런 내용이 담긴 개인정보보호법 개정 방향을 23일 발표했다.

정부는 개인정보 침해 예방을 위해 법 위반에 대한 제재 규정을 대폭 손보기로 했다. 지금은 온라인 사업자의 경우 위반 행위와 관련된 매출액의 최대 3%를 과징금으로 부과하고 있다. 이를 '총매출액의 3% 이하'로 강화한다. 국내외 매출을 합친 전세계 총매출이 기준이다.

지난달 고객 개인정보를 본인 동의 없이 제3자에게 제공한 혐의 등이 적발된 페이스북은 과징금을 67억원 부과 받았다. 범법 행위로 거둔 매출액만 따져서 과징금이 많지 않았다. 하지만 페이스북이 유사한 범법을 저지르면 수조원의 과징금을 받을 가능성이 높다. 페이스북의 작년 전세계 매출은 약 800억달러(약 78조원)에 이르는데, 이 금액의 최대 3%에 과징금을 매기기 때문이다.

개인정보위는 바뀐 과징금 규정을 온·오프라인 사업자 구분 없이 모두 적용키로 했다. 현재 오프라인 사업자는 과징금 제재가 없다. 온라인 사업을 하지 않는 유통업체 등이 새로 규제 대상이 된다.

대신 형사처벌은 완화한다. '자기 또는 제3자의 이익을 목적'으로 한 위반 행위만 형사처벌로 다스린다. 현재 본인 동의 없이 제3자에게 제공한 행위에 대한 형사처벌은 '5년 이하 또는 5000만원 이하 벌금'인데, 사익편취 목적이 없는 단순 과실범은 처벌을 면제한다는 얘기다. 실수로 정보유출을 한 사람까지 징역 등 형벌을 적용해 부담이 크다는 업계 의견을 받아들인 것이다.

인터넷기업협회 관계자는 "개인에 대한 형사처벌은 줄이고 법인에 대한 경제제재를 강화하는 방향은 바람직하다"면서도 "과징금 제재가 너무 급격히 강화된 건 부담스럽다"고 말했다. 이어 "전세계 매출액의 3%면 과징금이 수천억, 수조원 규모에 이를텐데 가혹하다"며 "신종 코로나바이러스 감염증(코로나19) 사태로 인한 어려움을 감안해서라도 단계적으로 제재를 강화해야 한다"고 했다.

다른 업계 관계자는 "이렇게 큰 제도 변화를 추진하면서 업계의 의견을 제대로 수렴하지도 않았다"고 비판했다.

개인정보위 관계자는 "유럽연합(EU)도 개인정보호법 위반 기업에 전세계 매출액의 4%를 과징금으로 부과하고 있다"며 "위반 관련 행위로 인한 매출을 산정하기 어렵다는 점도 감안했다"고 설명했다.

정부는 온라인 해외 상품 구매 시 개인정보 제공 동의 요건을 완화하는 방안도 추진한다. 쿠팡 등 국내 쇼핑몰에서 고객이 해외 상품을 구매하면, 쿠팡이 해외 판매자에게 고객 개인정보를 이전할 때마다 동의를 받아야 하는 불편이 있었다. 앞으로는 정부가 개인정보 보호 수준이 적정하다고 판단한 국가 또는 기업으로의 거래 때는 본인 동의 없이도 개인정보 이전을 허용하기로 했다.

국민의 정보주권 측면에서는' 개인정보 이동권'(전송 요구권)을 도입해 개인이 자신의 개인정보 제공·이용 범위를 스스로 결정할 수 있게 했다. 개인정보 이동권은 본인 정보를 본인이나 제3자에게 전송하도록 요구할 수 있는 권리를 뜻한다.

개인정보위 관계자는 "관계 부처와 이해관계자 의견 수렴을 거쳐 개인정보보호법 개정안을 입법예고하겠다"고 밝혔다.

서민준 기자 morandol@hankyung.com