[논현논단_유주선 칼럼] 핵심적 경영 리스크가 된 개인정보보호법

강남대 법행정세무학부 교수(법학·철학 박사)

반복적·대규모 침해에 징벌적 대응
‘무과실 책임’ 추진, 시장 불안 초래
시행령 통해 세부기준 명확히 해야

올해 2월 12일 국회를 통과한 개인정보보호법 개정안은 3월 10일 공포돼 9월 11일 본격적으로 시행을 앞두고 있다. 개정법은 개인정보 유출에 대한 반복적 대규모 사고에 대응하고, 기업의 책임을 강화하며 내부 관리체계를 명확히 하는 데에 초점을 두고 있다. 이번 개정은 단순히 제재 강화에 머무르지 않고, 기업의 핵심적 경영 리스크로 개인정보 보호를 격상시키고 있다. 특히 ‘과징금 제도 변화’와 기존의 ‘분실 및 도난, 유출’이라는 통지 대상에서 ‘위조·변조·훼손’까지로 확대한 내용이 주목을 끌고 있다.

우선 개인정보 유출 관련 과징금 상한 비율을 대폭 올린 점은 이번 개정에서 가장 큰 변화다. 2023년 3월 14일 개정된 개인정보보호법은 과징금 규정을 통합 정비해 정보기술(IT) 서비스 제공자에 적용되는 과징금을 개인정보 처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액 3%’ 이하로 변경했다.

하지만 최근 발생하고 있는 개인정보 침해 사고에 대한 실효적 억지력 확보와 반복적·대규모 개인정보 피해 예방의 한계와 함께 과징금 제도가 강화돼야 한다는 주장이 제기되었다. 이번 개인정보보호법 개정은 이러한 주장을 근거로 ‘반복적이거나 중대한 개인정보 침해’에 대한 과징금 부과 한도를 대폭 상향 조정했다(같은 법 제64조의 2 제2항).

기존 매출액의 3% 수준이었던 과징금 상한이 ‘과징금을 받은 날부터 3년 이내에 과징금 부과사유에 해당하는 위반행위를 한 경우(고의 또는 중과실의 요건으로 한정함)’, ‘고의 또는 중대한 과실로 과징금 부과사유에 해당하는 위반행위를 하고 정보 주체의 피해 규모가 1000만 명 이상인 경우’, ‘개인정보 침해 행위의 중지 등 시정명령에 따르지 않아 개인정보 유출 등이 발생한 경우’에 개인정보보호위원회(이하 개보위)는 개인정보 처리자의 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있게 된다.

다만 정보 유출과 관련 없는 매출액은 제외되고, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정한 경우에는 50억원 이하로 과징금을 부과할 수 있다. 즉, 고의·중과실 또는 대규모 피해 발생 시 최대 전체 매출액의 10%까지 부과될 수 있도록 상향 조정된 것이다. 이러한 규제 강화는 여타 국가에서 흔히 볼 수 없는 강력한 징벌적 과징금 체계에 해당하는 것으로, 반복 위반이나 시정명령 불이행 시 기업 경영에 치명적인 재무 리스크로 작용할 수 있다.

‘유출 가능성 통지제도 도입 및 통지 항목 확대’ 역시 눈여겨볼 대목이다(개인정보보호법 제34조). 현행법상 통지의무 발생 시점이 ‘유출 등이 된 사실을 알았을 때’에서 ‘유출 등의 가능성이 있음을 알게 된 때’로 그 시점이 선행(先行)되는 동시에 통지 대상 또한 유출 등의 ‘분실·도난·유출’에서 ‘위조·변조·훼손’까지 확장됐다.

랜섬웨어 공격 등으로 데이터가 훼손된 경우에도 이제는 통지의 대상이 된다. 통지 시에는 손해배상·법정손해배상 청구 및 분쟁조정 신청 등 피해구제 방법도 함께 안내해야 한다. 그러나 ‘위조·변조·훼손’ 등 개념의 포괄성이라는 지적, 이로 인해 악의적 해킹, 시스템 업그레이드 중 발생하는 일시적 데이터 오류, 하드웨어 장애, 담당자의 단순 실수 등 통상적인 IT 운영 과정에서 발생하는 비의도적인 장애까지 통지 대상에 포함될 우려와 함께 ‘유출 가능성’만으로 사전 통지의무를 부담하도록 하는 방안은 주관적 판단 기준의 개입 여지와 법적 안정성을 해칠 가능성이 있다.

이와 더불어 심각한 내용은 ‘개인정보 유출 등에 대한 무과실 제도의 도입’ 방안이다(현재 국회 정무위원회 계류 중). 현행법상 개인정보 처리자의 고의 또는 과실로 인해 개인정보 유출 등이 발생한 경우, 정보 주체는 300만원 이하 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있고, 해당 개인정보 처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

즉, 단순히 해킹을 당했다는 사실만으로 자동적으로 책임을 부담하는 것은 아니지만, 기업이 과실이 없다는 사실을 입증함으로써 책임을 면할 수 있는 여지가 있었다.

현재 추진되고 있는 무과실책임 제도는 기업이 고의나 과실이 없더라도 유출 시 손해배상 책임을 지는 완전(혹은 조건부) 무과실책임 방식에 해당한다. 하지만 해킹 등 외부 침입이 많은 환경에서 과도한 책임 방식이라는 점, 유럽연합(입증책임의 전환방식), 미국(과실에 기초한 법리를 통한 해결방식) 싱가포르(과징금 산정 시 비례적·실효적 등을 고려한 조정 방식) 등의 비교법적 관점에서도 국제적 정합성에 동떨어진 면이 지적된다.

시장의 불안과 불명확성을 해소하기 위하여 시행령 등 하위법령을 통한 구체적·세부적 내용이 명확하게 제시돼야 할 것이다.