개보법 강화된다...위반 과징금 세져·개인정보전송권 도입

[이미지출처=연합뉴스]

[아시아경제 구채은 기자] 개인정보 침해사고를 낸 기업의 과징금이 전체 연 매출액의 3%로 강화된다. 기존에는 침해사고 관련 매출액의 3%를 부과했으나 이를 국내외 전체 연 매출액을 기준으로 산정해 대폭 올린다.

또 온라인과 오프라인 업계로 이원화된 규제가 통합되고 개인정보 전송 요구권을 도입해 자신의 개인정보를 어느 범위까지 이용·제공할 것인지 스스로 결정할 수 있게 된다.

23일 개인정보보호위원회는 이 같은 내용을 담은 개인정보보호법 2차 개정안을 마련해 전체회의에서 검토했다고 밝혔다. 개정안은 우선 형벌 중심이던 개인정보 침해사고 제재를 경제 벌 중심으로 바꿔 과징금을 강화했다.

우선 온·오프라인 사업자 구분 없이 법 위반 사항에 대해 해당 기업의 국내외 전체 매출액의 3% 이하로 과징금을 부과하고, 형사처벌은 '자기 또는 제3자의 이익을 목적'으로 하는 위반행위로 제한한다. 이는 국내외 매출의 구분이 모호해지는 업계 환경과 글로벌 매출액의 4%까지 과징금으로 부과하는 유럽연합(EU) GDPR 등 주요국 수준을 고려한 것이다.

현재는 온라인 사업자의 경우 위반행위와 관련된 매출액의 3% 이하까지 과징금을 부과하고 5년 이하 징역 또는 5000만원 이하의 벌금형을 내릴 수 있다. 오프라인의 경우 5천만원 이하의 과태료를 부과한다. 보호위는 "개인정보 침해는 경제적 이득이 목적인 경우가 많은데 형벌 중심 제재는 개인을 과도하게 처벌하는 측면이 있었다"며 "형벌 요건을 제한하는 대신 EU 등 주요국 입법례에 따라 과징금을 대폭 강화해 기업의 사전적 의무준수와 책임성을 확보하려는 것"이라고 설명했다.

개정안은 온·오프라인 업계에 다르게 적용되던 규제도 통일했다. 앞서 데이터 3법 개정 과정에서 정보통신망법에 있던 정보통신서비스 제공자 대상 개인정보보호 규정을 개인정보보호법으로 가져오면서 단순히 합쳐만 놓았는데 이를 정비해 온·오프라인 구분 없이 동일한 위반행위는 동일한 규제를 적용하도록 했다.

개정안은 이밖에 명백한 법 규정이 없던 드론, 자율주행차 등 이동형 영상기기에 대한 개인정보보호 기준을 새로 마련하고, 개인정보보호 수준이 적정한 국가로는 본인 동의 없이도 개인정보를 이전할 수 있도록 개인정보의 국외이전 방식을 다양화했다. 보호위는 부처 간 협의를 거쳐 개정안을 입법예고해 각계 의견을 수렴한 뒤 정부안을 확정해 내년 상반기 중으로 국회에 제출할 계획이다.

구채은 기자 faktum@asiae.co.kr