"개인정보 대형 유출 시 매출 10% 과징금"…국회 정무위, 기업 책임 대폭 강화

개인정보 대형 유출 사고를 둘러싼 책임 공방과 규제 공백 논란이 다시 떠올랐다. 국회 정무위원회가 기업에 최대 매출액 10% 과징금을 물리는 법안을 처리하면서다. 그러나 최근 대규모 개인정보 유출 사태를 일으킨 쿠팡에는 소급 적용되지 않아 형평성 논란도 예고되고 있다.

국회 정무위원회는 17일 서울 여의도 국회에서 전체회의를 열고 중대한 개인정보 유출에 대한 과징금을 대폭 강화하는 개인정보보호법 개정안을 의결했다. 개정안은 법제사법위원회와 본회의 심사를 남겨두고 있다.

개정안에 따르면 기업이 대규모 개인정보 유출을 일으킨 경우 부과할 수 있는 과징금 상한이 기존 전체 매출액의 3%에서 최대 10%로 높아진다. 정무위원회는 고의 또는 중대한 과실이 있는 대형 사고에 대해 강력한 경제적 제재를 통해 관리 책임을 강화하겠다는 취지라고 설명했다는 전언이다.

과징금 상향 적용 요건도 구체적으로 규정했다. 고의 또는 중대한 과실로 3년 이내 반복적인 법 위반이 있는 경우, 고의 또는 중대한 과실로 1천만명 이상 대규모 피해가 발생한 경우, 개인정보보호위원회의 시정조치 명령에 따르지 않아 유출이 발생한 행위를 대상으로 10% 범위에서 과징금을 부과할 수 있도록 했다.

매출액 산정이 어려운 기업에 대한 과징금 상한도 높였다. 현행법은 매출액이 없거나 산정이 곤란한 경우 과징금을 20억원 이내에서 부과하도록 하고 있으나, 개정안은 이 상한을 50억원으로 상향했다. 온라인 플랫폼, 스타트업 등 매출 구조가 복잡하거나 국내 매출 산정이 어려운 사업자도 강화된 제재를 받도록 한 셈이다.

신고 의무 규정도 손질됐다. 개인정보 처리자가 1천명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 되면 72시간 안에 개인정보보호위원회에 신고하도록 한 현행 시행령 구조를 바꿔, 신고 기준을 법률에서 원칙만 정하고 구체적 내용은 대통령령에 위임하는 방식으로 개정했다. 정무위원회는 일부 기업이 이른바 인지 후 72시간 규정을 방패로 삼아 유출 사실을 알고도 지연 신고를 하는 관행을 차단하겠다는 의도라고 설명했다.

다만 개정안은 시행 이전에 발생한 사고에는 적용되지 않도록 규정했다. 이에 따라 법안이 국회 본회의를 통과해도 최근 대규모 개인정보 유출로 여론의 비판을 받은 쿠팡 사태에는 새 과징금 기준이 적용되지 않는다. 재계와 정치권 일각에서는 법적 안정성을 이유로 소급 입법을 피한 것이라는 평가와 함께, 국민 피해 감정과의 괴리를 지적하는 목소리도 동시에 제기되고 있다.

정무위원회는 개인정보보호법 개정안과 함께 금융·가상자산 분야 소비자 보호 관련 법안도 처리했다. 전기통신금융 사기 피해의 방지와 피해금 환급 책임을 지는 금융회사 범위에 가상자산거래소를 포함하는 전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법 일부개정법률안이 가결됐다. 이에 따라 보이스피싱 등 전기통신금융 사기에서 가상자산이 활용되는 경우, 가상자산거래소도 금융회사와 유사한 수준의 피해 방지 및 구제 의무를 부담하게 될 전망이다.

아울러 자산총액 2천억원 이상 신용협동조합에 상임감사를 두도록 한 현행 신용협동조합법의 기준을 자산총액 3천억원 이상으로 상향하는 개정안도 함께 통과됐다. 신협 업계에서는 중소 조합의 인력·비용 부담을 줄이되, 일정 규모 이상 조합에 대해서는 내부 견제 장치를 유지하려는 절충안으로 받아들이는 분위기다.

정무위원회를 통과한 개인정보보호법과 관련 금융법 개정안들은 향후 법제사법위원회 심사를 거쳐 국회 본회의에 상정될 예정이다. 국회는 전기통신금융 사기와 대형 개인정보 유출에 대한 국민적 불신이 커지고 있는 만큼, 남은 절차에서 쟁점 조항을 조율하며 입법을 마무리한다는 계획이다.