앞으로 개인정보 침해사고를 낸 기업의 과징금이 위반행위 관련 매출액의 3%에서 기업 전체 연매출액의 3%로 강화된다. 형벌 위주에서 과징금을 높이는 쪽으로 처벌해 개인정보 보호를 강화하겠다는 취지다.
개인정보보호위원회는 이 같은 내용을 담은 ‘개인정보보호법 2차 개정안’을 오늘 전체회의에서 검토하고 내년 상반기 중 국회에 제출할 계획이라고 23일 밝혔다. 개정안에 따르면 개인정보 침해사고를 냈을 때 온·오프라인 사업자 구분 없이 국내외 전체 매출액의 3% 이하의 과징금을 부과한다. 형사처벌은 ‘자기 또는 제3자의 이익을 목적’으로 하는 위반행위로 제한한다.
개정안은 형벌 중심의 제재가 개인을 과도하게 처벌하는 측면이 있는 점, 국내외 매출의 구분이 모호해지는 업계 환경, 글로벌 매출액의 4%까지 과징금을 부과하는 유럽연합(EU) 등 주요 국가의 사례를 종합적으로 고려했다. 현재는 온라인 사업자에 대해 위반행위와 관련된 매출액의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5,000만원 이하의 벌금이 부과된다. 오프라인 사업자는 5,000만원 이하의 과태료를 부과할 수 있다.
자신의 개인정보를 직접 내려받거나 더 선호하는 사업자 등 제3자에게 전송하도록 요구할 수 있는 ‘개인정보 이동권’(전송 요구권)도 도입된다. 개인이 개인정보 제공과 이용 범위를 스스로 결정할 수 있도록 하기 위한 조치다. 개인정보 이동권은 EU나 미국 등 주요국에서 먼저 도입했다. 국내에서는 금융 분야의 마이데이터 등 일부 분야에서 추진 중인데 개인정보보호법 개정을 통해 일반적 권리로 신설하겠다는 것이다.
명백한 법규가 없었던 이동형 영상기기 관련한 개인정보 보호지침도 마련했다. 현행 개인정보보호법은 폐쇄회로TV(CCTV) 같은 고정형 영상기기만 규정하고 있어 드론, 자율주행차 등을 이용한 촬영은 개인의 사전동의를 일일이 받아야 했다. 개정안은 이를 보완해 공개된 장소에서 업무 목적으로 촬영하면서 그 사실을 최대한 알리면 별도 동의 없어도 촬영이 가능하도록 했다. 다만 정보 주체가 거부의사를 표하는 등 권리행사를 요청하면 이를 수락해야 한다.
최영진 개보위 부위원장은 “개인정보 유출·노출 관련 사고 대부분은 기업이나 대규모 사업자에 의해 경제적 이득 획득을 목적으로 이뤄지므로 침해된 개인정보로 얻은 부당한 수익을 환수하는 것은 당연하다”며 “세계적으로도 개인정보 침해사건에 대한 과징금 액수를 높여가는 추세”라고 말했다.
/이지성기자 engine@sedaily.com