개인정보 유출 제재 강화…과징금 산정기준 강화

                                                                              ▲ AI 생성 이미지

[한의신문] 개인정보 유출 등 개인정보 보호법 위반에 대한 제재 수준이 한층 강화된다.

정부가 기업의 실제 경제력과 위반행위의 중대성을 보다 충실히 반영할 수 있도록 과징금 산정기준을 손질하고, 매우 중대한 위반행위에 대해서는 감경 적용을 엄격히 제한하기로 했다.

개인정보보호위원회는 개인정보 보호법 위반에 대한 과징금 부과처분의 실효성과 적정성을 높이기 위한 ‘개인정보 보호법 시행령’ 일부개정령안과 ‘개인정보 보호법 위반에 대한 과징금 부과기준’ 일부개정안을 19일부터 시행한다고 최근 밝혔다.

이번 개정은 최근 대규모 개인정보 유출사고가 반복적으로 발생하는 상황에서 과징금 산정의 기준이 되는 매출액 기준을 현실화하고, 매우 중대한 법 위반에 대해서는 보다 엄정한 제재를 가능하게 하기 위해 추진됐다.

가장 큰 변화는 과징금 산정기준 강화다.

현행 제도는 ‘위반행위가 있었던 사업연도 직전 3개 사업연도의 연평균 매출액’을 기준으로 과징금을 산정해 왔다.

그러나 빠르게 성장하는 정보기술(IT)·플랫폼 기업의 경우 실제 경제 규모에 비해 과징금 기준이 낮게 책정될 수 있다는 지적이 꾸준히 제기돼 왔다.

이에 따라 개정 시행령은 ‘직전 사업연도 매출액’과 ‘직전 3개 사업연도 연평균 매출액’ 중 더 큰 금액을 기준으로 과징금을 산정하도록 했다. 매출이 급증한 기업은 직전 사업연도 매출액을 적용받게 돼 기존보다 높은 수준의 과징금이 부과될 가능성이 커졌다.

또한 매우 중대한 위반행위에 대한 감경 적용도 엄격해진다. 지금까지는 조사 협조나 자율보호 활동 등의 사유가 있으면 일정 부분 과징금 감경이 가능했지만, 위반 정도와 피해 규모가 심각한 사안까지 일률적으로 감경 기준을 적용하는 것은 제재 효과를 떨어뜨린다는 지적이 있었다.

개정안은 위반행위의 중대성이 매우 높은 경우 감경의 전부 또는 일부를 적용하지 않을 수 있도록 규정해, 대규모 개인정보 침해나 중대한 법 위반에 대해 보다 강력한 책임을 묻는 근거를 마련했다.

다만 개정 규정은 시행 이후 발생한 위반행위부터 적용된다. 시행 이전에 종료된 위반행위에는 종전 규정이 적용되며, 이는 「행정기본법」상 제재처분 기준에 따른 것이다.

개인정보위는 “이번 시행령 및 고시 개정은 기업의 법 위반에 대한 제재의 실효성과 책임성을 높이기 위한 것”이라며 “기업의 현재 경제력과 위반행위 정도에 상응하는 과징금 부과를 통해 중대한 개인정보 침해에 대해서는 보다 엄정하게 대응해 나가겠다”고 밝혔다.