더불어민주당과 개인정보보호위원회는 4일 ‘개인정보 유출 대응 강화를 위한 당정협의회’를 열고 개인정보보호법 2차 입법 과제를 논의했다. 1차 입법에는 개인정보 유출 시 최대 과징금을 매출의 3%에서 10%로 늘리는 내용이 담겼는데, 이 법안은 지난해 12월 국회 정무위원회를 통과했고 법제사법위원회에 계류 중이다. 이날 당정은 손해배상 책임 강화, 개인정보 불법 유통 처벌 신설, 조사 실효성 강화, 긴급 보호조치 명령 도입 등에 공감대를 모았다.2차 개정안의 핵심은 법정 손해배상 요건에서 ‘고의 또는 과실’을 삭제하는 것이다. 현행법은 정보 처리자가 고의나 과실이 없음을 입증하면 손해배상 책임을 지지 않도록 규정하고 있다. 하지만 이 요건이 삭제되면 개인정보 유출 사고 발생 사실만으로도 기업 등 정보 처리자는 법정 손해배상 책임을 진다. 이재명 대통령이 작년 12월 “기업이 개인정보 유출 자체만으로도 배상 책임을 지도록 해야 한다”고 지적하면서 당정은 관련 논의를 본격적으로 시작했다. 다만 개인정보 안전조치 의무를 충실히 이행했거나 정보 주체에게 귀책사유가 있는 경우에만 면책받을 수 있다는 예외 조항을 두기로 했다.
개정안에는 개인정보 불법 유통에 대한 처벌 근거도 새로 담긴다. 유출된 개인정보임을 알면서 이를 구매·제공·유포하면 5년 이하 징역 또는 5000만원 이하 벌금에 처하도록 하는 조항이 신설될 예정이다. 지금까지는 내부자 유출에만 처벌 규정이 적용됐다. 조사 실효성을 높이기 위한 제재 수단도 강화된다. 조사 비협조나 시정명령 미이행 시 하루 매출의 0.3%를 이행강제금으로 부과하고, 침해 사고 발생 시 접속기록 등 자료 보전을 명령할 수 있도록 했다. 이를 위반하면 형사 처벌도 가능해진다. 또 2차 피해 방지를 위해 대규모 개인정보 처리자를 대상으로 정기 점검을 하는 게 정부의 계획이다.
다만 규제 강화가 중소·영세 사업자에게 과도한 부담으로 작용할 수 있다는 우려도 나온다. 정보기술(IT)업계 관계자는 “고의 유출과 단순 보안 사고를 동일선상에서 처벌하면 오히려 보안 투자 의지를 꺾을 수 있다”고 말했다. 이에 대해 양청삼 개인정보보호위 사무처장은 “중소기업이 보안 체계를 강화할 수 있도록 정부 예산 지원 프로그램을 확대하고, 예산당국과 상의해 내년도에는 관련 예산을 대폭 늘릴 계획”이라고 밝혔다.
최해련/최지희 기자 haeryon@hankyung.com