SBS Biz

오는 9월부터 중대 개인정보 유출 기업에 징벌적 과징금을 물리는 개인정보보호법 개정안이 시행되는 가운데 정부가 매출 기준을 최고 수준으로 올려잡기로 했습니다. 유출 수준에 대한 기업의 책임에 걸맞은 제재 수준을 확보하기 위한 조처란 설명입니다.



오늘(16일) 개인정보보호위원회에 따르면 개인정보위는 이 같은 내용의 '개인정보 보호법 시행령' 일부 개정안을 입법예고합니다.

우선 과징금을 부과할 때 기업의 매출액 산정 기준을 더 많이 부과할 수 있도록 바꿉니다. 기존에는 직전 3개 사업연도 연평균 매출액이었는데, 이를 위반행위가 있었던 사업연도의 직전 사업연도 매출액과 비교해 더 많은 금액을 기준으로 삼기로 한 것입니다.

개인정보 유출이 발생한 시점에 맞춰 책임을 부과하고, 제재 수준도 높인다는 취지로 풀이됩니다.

또 매우 중대한 위반행위에 대해선 과징금을 감경해주지 않기로 했습니다. 현재 과징금을 부과할 때는 1차 조정과 2차 조정 절차를 거쳐 과징금 감경 기준을 적용해 왔는데, 중대 위반에선 이를 적용하지 않는다는 것입니다. 개정 개인정보보호법에 담긴 기업의 개인정보 보호 투자에 대한 감경 기준도 적용되지 않습니다.



개인정보위는 "위반 책임에 걸맞은 제재 수준을 확보하기 위한 개정"이라고 설명했습니다.

'12년 방치' 한국연구재단에 과징금 감경 기준 배제 
최근 개인정보위는 과징금 감경 기준 적용 경계를 높이고 있습니다. 기업의 책임과 위반 수준 등을 좀 더 고려해 과징금 감경을 적용하고 있는 것입니다.

실제 개인정보위는 지난 1월 주민등록번호를 포함한 개인정보 12만 건을 유출한 한국연구재단에 과징금 감경없이 위반에 대한 최대 과징금인 7억 300만 원을 부과한 바 있습니다. 

당시 위원회 안은 10% 감경된 6억 4천400만 원의 과징금 처분이었는데, 이를 적용하지 않은 것입니다. 전체회의에서 이와 관련 활발한 논의가 이뤄졌고, 결국 '기본적인 취약점이 유지관리가 제대로 안돼 12년 이상 장기간 유출로 방치된 점이 문제가 크다'는데 의견을 통일했습니다.

이에 따라 앞으로 한국연구재단 사례와 비슷한 규모의 유출 사고가 발생하면 과징금 감경 적용이 배제될 것으로 보입니다.

한편 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 기업 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 한 개정 개인정보보호법은 오는 9월 11일부터 적용됩니다. 강화된 제재는 최근 3년 동안 고의 또는 중대한 과실로 법 위반을 반복한 경우, 1천만 명 이상 피해가 발생한 경우, 시정명령을 이행하지 않아 개인정보 유출 사고가 발생한 경우 등에 적용됩니다.