개인정보보호법 2차 개정 추진
온·오프라인 서비스 대상 동일행위-동일규제 원칙 적용

데이터3법 개정 후 불합리한 규제 개선에 대한 필요성이 잇따라 제기되자, 정부가 2차 법 개정에 나선다. 개정안에는 개인정보 이동권(전송요구권) 도입과 온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하는 내용을 포함한다.

최영진 개인정보보호위원회 부위원장 / 이브리핑 갈무리
최영진 개인정보보호위원회 부위원장 / 이브리핑 갈무리
개인정보보호위원회는 23일 제9회 전체회의에서 ‘개인정보 보호법’ 2차 개정안을 검토했다고 밝혔다.

2차 개정안의 주요 내용은 개인정보 이동권을 도입해 국민이 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용·제공되도록 할 것인지 스스로 결정할 수 있도록 하는 것이다. 금융·공공 등 일부 분야에서 개인정보 이동권 근거를 마련해 마이데이터 사업을 추진해왔는데, 이를 일반적 권리로 확대한다.

이를 통해 국민의 개인정보에 대한 통제권을 강화하는 한편, 금융·공공분야에 도입한 이동권을 전 분야에 확산할 수 있을 것으로 기대된다. 인공지능(AI)의 발전과 함께 자동화된 의사결정이 보편화됨에 따라 이에 대한 설명요구 등 국민의 적극적 대응권을 보장한다.

데이터 3법 개정 시 단순 편입된 정보통신서비스 특례(제6장)를 일반규정으로 일원화한다. 기업 등의 혼란과 이중부담을 해소하기 위해서다.

비대면 온라인 서비스로의 전환에 따라 온‧오프라인에 모두 적용이 필요한 특례규정은 모든 분야로 확대한다. 예를 들어 기존 민간 온라인 영역에서만 적용되던 노출된 개인정보 삭제 의무를 공공분야까지 확대(제39조의10 삭제 후 제34조의3 신설)한다. 일반규정과 유사한 취지의 특례규정(개인정보 유출 통지‧신고제도 일원화)은 일반규정으로 일원화해, 온‧오프라인의 상이한 규제를 통일하고 불합리한 규제를 정비한다.

형벌 중심의 제재를 경제벌 중심으로 전환해 제재의 실효성을 높이는 내용도 담고 담는다. 개인정보 침해사고는 기업의 경제적 이득을 목적으로 하는 경우가 많은 반면, 형벌 중심의 제재는 개인에 대한 과도한 처벌을 초래했다. 형벌 요건을 제한하는 대신 EU 등 해외 주요국의 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보한다.

과징금 부과 대상을 정보통신서비스 제공자에서 전체 기업‧기관으로 확대하고, 부과기준을 위반행위 관련 매출액에서 전체 매출액으로 상향한다.

신기술 변화에 선제적으로 대응할 수 있도록 규제를 합리적으로 개선하고, 입법상의 미비점도 정비한다. 현행법은 드론, 자율주행차 등 이동형 영상기기에 대한 규정이 없어 사전 동의 없이는 운영이 곤란한 입법공백이 있었다. 이에 일상화된 이동형 영상기기에 대한 운영 기준을 새롭게 마련하여 입법 공백을 해소하고, 합리적 기준과 절차를 마련한다.

또 해외 직접구매, 전자상거래 등의 일상화로 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전을 제한하는 한계가 있었다. 이에 국제표준에 부합하도록 적정한 개인정보 보호 수준이 보장되는 국가로의 안전한 이전을 허용하는 등 국외이전 방식을 다양화한다.

감염병 위기 상황에서 공공안전 보장을 위한 개인정보 처리 시에도 보호조치와 파기의무 등을 준수해 개인정보가 제대로 보호될 수 있도록 적용 예외규정(제58조)을 정비한다.

과징금 규제도 강화한다. 개인정보 침해사고를 낸 기업은 전체 연 매출액의 3%의 과징금을 내야한다. 온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하고, 형사처벌은 '자기 또는 제3자의 이익을 목적'으로 하는 위반행위로 제한한다.

기존에는 침해사고 관련 매출액의 3%를 부과했지만, 국내외 전체 연 매출액을 기준으로 산정해 대폭 상향한다.

최영진 개인정보위 부위원장은 이날 브리핑에서 "EU '디지털서비스법'에서는 과징금이 전체 매출액의 10%로 윤곽이 드러난 상황이고, ‘GDPR’에서는 과징금을 전체 매출액의 3%로 규정했다"며 "개인정보 유출과 노출로 인해 부당하게 얻은 경제적 이익을 환수해야 한다는 요구는 전 세계적으로 진행되고 있고, 과징금 액수도 높아지는 추세다"고 설명했다.

이어 "형벌 요건을 제한하는 대신 EU 등 주요국 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보하려는 것이다"며 "업계, 법제처와 관계부처 등의 논의 과정에서 충분한 의견수렴을 거치겠다"고 말했다.

개인정보 보호법 개정안은 관계부처 협의와 입법예고, 각계 의견 수렴을 거쳐 2021년 상반기 중 국회에 제출할 계획이다.

류은주 기자 riswell@chosunbiz.com