IT 업계, 개인정보보호법 개정안 ‘과징금 기준 변경’ 반대

[아이티데일리] 개인정보보호법 2차 개정안이 최근 데이터 시장에서 뜨거운 이슈가 되고 있다. 특히 IT 기업들은 이번 개정안에 포함된 ‘전체 매출액의 3% 과징금’이 부당하다고 반발하며, 과도한 과징금으로 인해 데이터 시장 발전을 저해할 수 있다고 지적한다. 하지만 데이터 시장 발전을 저해하고 있는 것은 데이터 활용 가이드라인의 부재이지, 과징금 부과 기준이 아니다.

개인정보보보위원회가 지난 1월 6일 입법예고한 개인정보보호법 2차 개정안에 대해 최근 한국인터넷기업협회를 비롯, 벤처기업협회, 중소기업중앙회, 코리아스타트업포럼, 한국게임산업협회, 한국핀테크산업협회 등이 공동입장문을 발표했다.

해당 단체들은 ▲전체 매출액 기준 과징금 상향조정안 철회 ▲분쟁조정위원회에 강제적 조사권 부여 반대 ▲개인정보 전송요구권 도입에 대한 검토 등이 필요하다고 주장하며, 개인정보보호법 2차 개정안의 산업계의 현실과 정보 주체의 권리 강화에도 도움이 되지 않는 조항들을 재검토해야 한다고 지적했다. 이 중 가장 논쟁이 뜨거운 것은 ‘전체 매출액 기준 과징금 상향’이다.

기업 단체들은 전체 매출액으로 과징금 기준을 상향 조정하는 것은 ‘위반행위로 인한 경제적 부당이득의 환수’라는 과징금 기본 원칙을 벗어난 것이라고 지적했다. 또한 과징금 규모를 높이는 것이 개인정보보호 강화에 영향을 미친다는 실증적 연구결과가 없는 상태에서 과징금 기준 상향은 개인정보 보호 강화와 개인정보를 활용한 산업 활성화 어느 쪽에도 도움이 되지 않는다며, ‘전체’ 매출액 기준의 부과기준을 반드시 철회하고 ‘관련’ 매출액 기준을 유지해야 한다고 주장했다.

하지만 이러한 업계의 주장보다 개인정보보호위원회의 주장이 더욱 설득력 있어 보인다. 개인정보보호위원회는 “‘위반행위 관련 매출액’을 산정하기는 현실적인 어려움이 있다”면서, “전체 매출액 기준 과징금은 악의적으로 반복적인 위법행위를 사전에 차단하기 위한 최대 기준으로, 일반적인 경영 행위에서 발생하는 사고에 대해서는 과징금이 경감될 것”이라고 밝힌 바 있다.

실제로 ‘관련 매출액’ 기준으로 인해 문제가 있었던 사례로, 지난해 11월 페이스북코리아에 과징금 67억 원이 부과된 것을 꼽을 수 있다. 페이스북은 2012년부터 2018년까지 6년 동안 최소 330만 명의 개인정보를 당사자의 동의 없이 다른 사업자에게 제공한 것이 적발돼 과징금이 부과됐다. 개인정보보호위원회는 페이스북이 거짓으로 자료를 제출하거나 불완전한 자료를 제출하는 등 조사를 방해했으며, 특히 관련 자료를 모두 제출하지 않아 위반 위반행위 규모 산정이 어려웠다고 발표한 바 있다.

더불어 업계에서 요구하는 데이터 활용 활성화를 위해서는 데이터 및 가명정보 활용을 위한 명확한 가이드라인 마련을 우선해야 한다. 기업들이 데이터 활용을 주저하고 있는 이유는 높은 과징금 기준 때문이라기 보단, 명확한 가이드라인이 없기 때문이다. 실제로 아직까지 의료 가명정보 활용 가이드라인 이외에는 가명정보를 활용할 수 있는 기준이 없는 상황이다. 최근 의료 가명정보 활용 가이드라인에 따라 폐암 환자의 사망동향 및 원인을 파악한 연구 성과가 발표되기도 했다. 이렇듯 가이드라인이 있다면, 데이터 활용은 자연스럽게 활성화될 것이다.

3%의 과징금은 기술적인 문제로 인한 침해를 겪은 기업에 부과하는 것이 아니라, 반복적이고 의도적으로 개인정보 침해를 함으로써 경제적 이득을 취하는 사업자가 대상이다. 일반적인 경영활동을 하는 기업이 이러한 기준에 문제를 삼는 것은, 오히려 개인정보보호에 대한 책임을 회피하려는 것처럼 보일 수 있다. 다만 과징금 기준을 유지하되, 업계에서 요구하는 과징금 부과 기준 및 경감 기준을 명확하게 규정해야 할 것이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지