'징벌적 과징금 10%' 개인정보보호법, 본회의만 남았다

기업의 개인정보 보호 책임을 대폭 강화하는 개인정보보호법 개정안이 국회 법제사법위원회를 통과했다. 정부가 추진 중인 '정보보호 종합대책'의 핵심 법안으로, 여야 간 이견이 없는 민생법안인 만큼 본회의 처리도 가시권에 들어왔다.

11일 국회에 따르면 법사위는 이날 오후 전체회의를 열고 '개인정보보호법 일부개정법률안(대안)'을 통과시켰다.

해당 법안은 정무위원회가 지난해 12월 17일 법사위로 넘겨졌다. 특정 정치 현안 관련 특별검사 임명 법안 등에 밀려 논의가 늦어지다 이날 처리되면서 12일 본회의 상정·처리가 가능하게 됐다. 여야는 본회의 당일 상정 법안을 최종 확정할 계획이라고 전해졌다.

개정안은 고의 또는 중대한 과실로 개인정보를 침해한 경우 과징금을 대폭 상향한다. 부과 상한은 기존 전체 매출액의 최대 3%에서 10%로 높였다. 3년 이내 반복 위반이나 1000만명 이상 피해가 발생한 경우에 적용된다. 매출액 산정이 어려울 경우 최대 50억원까지 과징금을 부과할 수 있도록 했다.

동시에 기업 투자 유도 차원에서 개인정보 보호 관련 예산·인력 사전 투자가 이뤄졌다면 과징금을 감경할 수 있는 조항을 뒀다.

대표자 책임도 명문화했다. 사업주 또는 대표자를 개인정보 처리와 보호에 관한 최종 책임자로 규정했다. 또 개인정보 보호책임자의 인력·예산 확보와 독립성 보장을 법에 명시했다.

정보주체 보호 장치도 강화했다. 기존의 분실·도난·유출뿐 아니라 위조·변조·훼손까지 통지 대상에 포함했다. 유출 가능성이 있는 경우에도 정보주체에게 알리도록 통지 범위를 넓혔다. 피해자가 손해배상이나 분쟁조정을 받을 수 있도록 관련 정보 제공 의무도 추가했다.

시행일은 법안 공포 이후 6개월 뒤다. 현재 개인정보보호위원회가 조사 중인 KT, 쿠팡 침해 사고에 소급 적용은 불가하다.

홍준호 성신여대 교수는 “개인정보 유출에 대한 징벌적 제재 강화와 함께 기업의 자발적 보안 투자를 유도할 수 있는 인센티브 제도가 병행되어야 한다”며 “과징금을 피해자의 실질적 구제를 위해 사용할 수 있도록 기금도 만들어야 할 것”이라고 말했다.