개인정보보호위원회가 반복적이거나 중대한 개인정보 보호법 위반에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 징벌적 과징금 제도 도입을 추진하고, 단체소송에 손해배상 청구를 포함하는 등 제재와 피해 구제를 대폭 강화한다.
개인정보보호위원회는 12일 정부세종컨벤션센터에서 열린 대통령 업무보고에서 이 같은 내용을 담은 개인정보 보호 제재 체계 강화 방안을 발표했다. 최근 유통·통신 등 국민 생활과 밀접한 분야에서 대규모 개인정보 유출 사고가 잇따른 데 따른 조치다.
개인정보위는 고의 또는 중과실이 있거나 피해 규모가 큰 경우 과징금 상한을 현행 매출액의 3%에서 최대 10%까지 높이는 징벌적 과징금 특례를 신설할 계획이다. 이를 통해 기업의 법 위반에 대한 억지력을 강화한다는 구상이다.
또 개인정보 피해에 대한 실질적인 구제를 위해 개인정보보호법상 단체소송 요건에 손해배상 청구를 포함하기로 했다. 현재는 권리 침해 행위에 대한 금지 청구만 가능해 금전적 보상에는 한계가 있다는 판단에서다. 소비자단체 등 공익단체가 대표로 소송을 진행할 경우 일반 국민의 소송 비용 부담도 완화될 것으로 보고 있다.
송경희 개인정보위 위원장은 쿠팡 등 현재 조사 중인 사건에 징벌적 과징금 적용이 가능한지를 묻는 질문에 “법이 개정되더라도 과거에 발생한 사건에 소급 적용하기는 어려울 것으로 보인다”고 밝혔다. 다만 단체소송과 관련해서는 “적용 가능성이 있는 부분이 있다고 판단해 입법 과정에서 보다 명확히 할 계획”이라고 말했다.
과징금 산정 기준과 관련해서는 전년도 매출액을 기준으로 할지, 3개년 평균 매출을 적용할지 등 세부 쟁점에 대해 추가 검토가 필요하다는 입장이다. 송 위원장은 “국민 이익을 보호하고 제도의 취지를 살릴 수 있는 가장 합리적인 방안을 검토해 필요하다면 개정을 추진하겠다”고 설명했다.
이와 함께 개인정보 보호법 위반으로 부과된 과징금 등을 국민 피해 회복에 활용하는 ‘(가칭) 개인정보 피해회복 지원 기금’ 신설도 추진한다. 다만 기금 도입 여부는 관계 부처와 사회적 논의를 거쳐 공감대를 형성해야 한다고 덧붙였다.
사고 기업이 자발적으로 시정 방안을 제시하면 이를 의결로 확정해 신속한 피해 회복을 유도하는 ‘피해회복형 동의의결 제도’도 도입할 방침이다. 정보보호·개인정보 보호 관리체계(ISMS-P) 인증에 대해서는 예비심사와 현장 기술심사를 강화하고, 중대하거나 반복적인 법 위반이 확인될 경우 원칙적으로 인증을 취소한다.
아울러 기업 규모와 개인정보 처리 위험도에 비례해 책임을 강화하고, 개인정보 보호 투자에 대한 인센티브도 제도화한다. 대표자(CEO)를 개인정보 처리·보호에 대한 최종 책임자로 명확히 규정하고, 대규모·민감정보를 처리하는 주요 기관에는 개인정보보호책임자(CPO) 지정 신고제 도입도 추진할 계획이다.