개인정보 침해사고 낸 기업, ‘전체 매출 3%’ 과징금으로 낸다

개인정보보호위원회 로고.ⓒ개인정보보호위원회

개인정보 침해사고를 낸 기업의 과징금이 전체 연 매출액의 3%로 강화된다. 기존에는 침해사고 관련 매출액의 3%를 부과했으나, 이를 국내외 전체 연 매출액을 기준으로 산정해 부과하는 방식으로 강화됐다.

개인정보보호위원회는 23일 이 같은 내용을 골자로 한 개인정보보호법 2차 개정안을 마련해 전체회의에서 검토했다고 밝혔다.

개정안은 형벌 중심이던 개인정보 침해사고 제재를 경제 벌 중심으로 바꿔 과징금을 강화했다.

온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하고, 형사처벌은 ‘자기 또는 제3자의 이익을 목적’으로 하는 위반행위로 제한한다.

이는 국내외 매출의 구분이 모호해지는 업계 환경과 글로벌 매출액의 4%까지 과징금으로 부과하는 유럽연합(EU) GDPR 등 주요국 수준을 고려한 것이다.

현재 온라인 사업자의 경우 위반행위와 관련된 매출액의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5000만원 이하의 벌금형을 내릴 수 있다. 오프라인의 경우 5000만원 이하의 과태료를 부과한다.

개인정보위는 “개인정보 침해는 경제적 이득이 목적인 경우가 많은데 형벌 중심 제재는 개인을 과도하게 처벌하는 측면이 있었다”며 “형벌 요건을 제한하는 대신 EU 등 주요국 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보하려는 것”이라고 설명했다.

온·오프라인 업계로 이원화된 규제는 통합되고 개인정보 전송 요구권을 도입해 자신의 개인정보를 어느 범위까지 이용·제공할 것인지 스스로 결정할 수 있게 된다.

앞서 데이터 3법 개정 과정에서 정보통신망법에 있던 정보통신서비스 제공자 대상 개인정보보호 규정을 개인정보보호법으로 가져오면서 단순히 합쳐만 놓았는데, 이를 정비해 온·오프라인 구분 없이 동일한 위반행위는 동일한 규제를 적용하도록 했다.

국민의 정보주권 측면에서는 ‘개인정보 이동권’(전송 요구권)을 도입해 개인이 자신의 개인정보 제공·이용 범위를 스스로 결정할 수 있도록 했다.

개인정보 이동권은 본인 정보를 본인이나 제3자에게 전송하도록 요구할 수 있는 권리를 말한다.

금융 분야의 마이데이터 등 일부 영역에 국한해 도입된 것을 개인정보보호법 개정을 통해 일반적 권리로 신설하기 위한 취지다.

이밖에 명백한 법 규정이 없던 드론, 자율주행차 등 이동형 영상기기에 대한 개인정보보호 기준을 새로 마련하고, 개인정보보호 수준이 적정한 국가로는 본인 동의 없이도 개인정보를 이전할 수 있도록 개인정보의 국외이전 방식을 다양화했다.

개인정보위는 부처 간 협의를 거쳐 개정안을 입법예고해 각계 의견을 수렴한 뒤 정부안을 확정해 내년 상반기 중 국회에 제출할 계획이다.