[여성소비자신문]지난해 데이터 3법이라 불리는 '개인정보보호법, 정보통신망법, 신용정보법'이 개정되어 개인정보 보호와 데이터 활용의 기틀이 마련되었다.

통합 개인정보보호법은 공공과 민간, 온라인과 오프라인을 일관성 있게 관통하는 통합 법률이 마련되었다는 점에서 의의가 크지만, 단순히 정보통신망법을 그대로 가져와 특례규정으로 규정한 물리적 통합에 그쳤기 때문에 부득이 추가 개정이 필요하다는 목소리가 높았다.

정부개정안의  주요내용과 문제점은

이러한 각계각층의 여론을 반영하여 정부(개인정보보호위원회)는 지난 1월 ‘개인정보보호법(이하 보호법)’ 일부 개정법률(안)을 마련하여 입법예고했다. 최근 감염병 확산과 비대면 사회 돌입 등 변화하는 사회 환경에 맞춰 국민의 정보주권을 더 강화하고, 기업에는 이중규제 등 불필요한 혼란과 부담을 줄이는 것이 목적이라고 한다.

개정안에 담겨진 주요내용의 문제점을 살펴본다. 첫째, 개인정보 국외이전과 관련한 내용을 신설(개정안 제29조의8 및 9)한다. 현행법은 국외이전과 관련한 조항은 일반규정과 특례규정으로 나뉘어 있어, 해당 법을 적용받는 개인 및 사업자에게 혼란을 준다는 지적이 있었다.

특히, 해외직구 등이 확대되면서 개인정보 국외이전이 증가하고 있는 상황에서 유럽연합의  ‘일반개인정보보호규정(GDPR)’ 등 해외 법제와의 상호 운용성 확보 및 국외이전 개인정보보호를 강화하기 위해 국제 표준에 부합하도록 이전 방식을 다양화할 필요성이 제기 되었던 것이다.

그런데 개정안에는 인증과 적정성에 한정하여 국외이전 방식을 채택하고 있어 미흡하다. 국제적으로 널리 활용되고 있는 ‘표준계약’의 상호인정 방식 등 좀 더 구체적이고 다양한 방식의 도입이 요구된다.

둘째, 개인정보 전송 요구권이 신설된다(개정안 제35조의2). 데이터 경제 활성화에 따라 개인정보가 대량으로 유통되고 있는 반면, 정보주체인 소비자(국민)는 이러한 유통 과정에 능동적으로 개입하는 데 한계가 있다.

신설된 조항은 정보주체가 기존 개인정보처리자에게 자신의 개인정보를 다른 개인정보처리자 및 관리 전문기관에 전송할 수 있는 권리를 인정하려는 것이다. 가령 A 소셜미디어(SNS)를 사용하는 소비자가 기존 이용 서비스 품질이 마음에 들지 않는다면 B 소셜미디어로 자신의 정보를 옮겨달라고 요구할 수 있는 권리를 인정하자는 것이다.

개정안에는 “개인정보처리자가 처리하는 정보”로만 추상적으로 명시되어 파생정보 또는 생성정보가 포함되는지 여부가 불분명하므로 전송요구권 대상 범위를 좀 더 구체화 필요성이 있다고 본다.

셋째, 개인정보 규제 및 제재 합리화를 위한 과징금제도의 강화 부문이 가장 문제되고 있다. 특히, 개인정보 유출 기업 등에 대한 과징금을 현재 ‘법 위반행위 관련 매출액 3% 이하’에서 ‘총매출액 3% 이하’로 상향하는 내용이 담겨있는데 산업계에서는 크게 반발하고 있는  상황이다.

이 기준이 총매출액의 3%로 바뀐다면 대기업의 경우 수조원에 이를 수도 있어 엄청난 파장이 일어날 것으로 우려되기 때문이다. 물론 유럽연합의 ‘일반개인정보보호규정(GDPR)과 같은 수준의 과징금 제도를 도입하자는 정부의 방침은 이해가 간다.

그러나 국제수준에 맞추어야 한다는 점만을 강조하여  법제와 기업환경이 다른 외국의 제도를 무조건 도입하는 것은 신중히 검토할 필요가 있다. 일본에서도 많은 논의가 있었지만 이 제도를 도입하지 않았다.

과징금제도는 행정법상 의무를 준수하지 않고 얻은 경제적 이득을 박탈하기 위해 만든 제도이다. 즉, 행정처분이며 공권력의 행사라는 측면에서 현행 형사 처벌제도와 함께 헌법 및 행정법적인 기본원칙에 부합되는지를 검토할 필요가 있다고 본다.

우선 동일한 행위에 과도한 과징금을 부과하고 형사처벌도 가하면 이중처벌 금지원칙에 위배될 수 있으며, 위반행위에 비례하지 않게 과도하면 과잉금지의 원칙에 부합되는지의 여부가 문제될 수 있다.

과징금 제도를 합리적으로 규정하려면 좀 더 구체적인 기준이 함께 마련되어야 할 것이다. 예를 들면 유럽연합의 ‘일반개인정보보호규정’에는 위반의 정도에 따라 과징금 상한선이 다르고,  위반행위의 성질, 중대성, 지속된 정도, 피해자 수, 피해의 정도, 고의성, 과실성, 피해경감을 위한 조치 등 11가지의 고려요소들을 상세하게 규정하고 있다.

또한 과징금을 상향 조정하는 경우, 국내 데이터산업의 발전에 미칠 영향도 철저히 조사하여 검토할 필요가 있을 것이다. 정보주체의 권리보장과 함께 산업발전을 위한 정책적인 고려가 필수적이다.

과징금 활용은 정보주체에 혜택 주는 방향으로 개선돼야

이번 개인정보보호법 개정안이 입법화되면 통과되면 위반행위에 대해 과징금이 높은 수준의 액수로 상향될 것으로 보인다. 그러면 이러한 과징금은 어디에 어떻게 쓰여져야 하는가?

현행법상 과징금이 정보주체의 피해를 원인으로 하여 얻어지는 수익이라는 점에도 불구하고, 국고로 귀속되어 피해자의 구제나 개인정보보호와 무관한 곳에 사용되고 있다는 점에서 문제가 된다. 과징금이 개인정보보호법의 근본 취지에 알맞은 용도로 사용되어야 하는 것은 당연하다고 볼 수 있다.

과징금은 위반행위에 대한 제재적 성격도 있지만 부당이득환수의 성격을 갖는다면 그렇게 환수된 자금은 국가가 아니라 피해자인 정보주체를 위하여 활용되거나 법의 취지에 맞게 개인정보보호를 위한 목적으로 사용되어야 할 것이다.

따라서 과징금의 활용제도를 도입하는 내용을 이번 개정안에 포함시켜야 한다고 생각한다. 두 가지 방안을 제안하고자 한다. 첫째, 소비자권익기금 조성재원으로 활용하는 방안을 고려할 수 있다. 정보주체인 소비자의 피해로부터 얻어진 수익금을 기금에 편입하여 소비자권익보호에 사용하도록 하는 방안이다. 이는 기금재원이 목적사업과 긴밀한 연계성을 가질 수 있도록 제도적인 설계가 필요할 것이다.

부과된 과징금을 기금으로 관리·운용·집행할 경우에 우선적으로 고려할 사업은 개인정보보호의 교육, 홍보, 연구지원 분야일 것이다. 나날이 발전하는 해킹기술과 디지털 정보유출 등의 예방과 방지를 위한 각종 사업을 탄력적으로 추진할 수 있다. 이 방안은 과징금의 재원확보와 운용·집행이 불투명하다는 단점이 있다.

둘째, 개인정보보호법에 과징금의 용도를 제한하는 규정을 두는 방안이다. 우선 과징금을 정보주체인 소비자의 피해를 보상하는 손해지원금으로 사용할 수 있다. 피해자들의 피해를 원인으로 징수한 수입인 과징금을 피해자들에게 환원하여 피해구제 용도로 사용하는 것은 적절한 방법일 것이다.

또한 소송지원금으로 피해자들에게 지급하는 것도 의미가 있다. 유출된 개인정보는 계속적으로 피해가 발생하게 되고 가해행위와 손해발생 사이의 인과관계를 입증하기가 대단히 어렵다. 개인정보침해의 위험에 대한 각 종 소송에 소요되는 시간과 비용은 피해자가 부담하기 쉽지 않다. 

다음으로 개인정보 보호의 홍보·교육·연구의 비용으로 사용하도록 하는 것도 바람직하다. 개인정보침해는 되돌릴 수 없는 유형·무형의 피해가 발생하므로 이를 사전에 예방하는 것이 중요하다. 따라서 개인정보의 주체인 소비자와 가해자인 기업들을 대상으로 교육과 홍보를 하는 것이 대단히 중요할 것이다.

아울러 개인정보보호를 위한 연구시스템을 구축하고 후속세대 연구 인력을 양성하며 교육기관을 확충하고 지원하는 것은 필수 불가결한 사업이다. 이번 개정안에 각계각층의 의견을 수렴하여 위와 같은 두 가지 방안 중에 적절한 정책방안을 선택하여 추가로 규정할 것을 제안하고자 한다.

연기영 동국대 법대 명예교수  yeunky1@naver.com

<저작권자 © 여성소비자신문, 무단 전재 및 재배포 금지>