[2022.12.06.]
개인정보보호위원회에서 2021. 9. 처음 제안했던 개인정보보호법 개정안이 2022. 11. 22. 국회 정무위원회 법안심사제1소위를 통과한데 이어 11. 24. 정무위원회 전체회의 심사안건으로 상정되었고, 12. 5. 정무위원회를 통과하였습니다. 이 과정에서 여러 작업을 거친 개정안은 법제사법위원회를 무사히 넘기면 본회의만을 남겨두게 됩니다. 이번 개인정보보호법 개정안은 개인정보 전송요구권 등을 신설할 뿐만 아니라 사업자들이 민감할 수 밖에 없는 과징금과 관련한 규정에 대해서도 변화를 주고 있어 주목할 필요가 있습니다.
1. 배경
2011년 처음 제정된 개인정보보호법은 개인정보의 중요성이 나날이 늘어나면서 법률의 보완에 대한 필요성도 동시에 증대해왔습니다. 이에 대한 응답의 일환으로, 2021. 9. 열렸던 국무회의에서는 정부 내 합의를 거친 개인정보보호법 개정안이 개인정보보호위원회 주도로 의결되었고, 국회로 제출되었습니다. 위 개정안은 개인정보보호법에 대한 대폭적인 개정안으로 평가받았습니다.
그리고 1년 넘게 시간이 흘러, 드디어 2022. 11. 22. 국회 정무위원회 법안심사제1소위가 열려 위 개정안이 통과되었고, 11. 24. 정무위원회 전체회의 심사안건으로 상정되어, 12. 5. 정무위원회에서 의결이 이루어졌습니다. 이제 법제사법위원회와 본회의만을 다음 과정으로 남겨두고 있습니다.
개인정보 전송요구권 등의 내용을 새로 담고, 과징금 산정 시 그 상한액을 위반행위와 관련된 매출액이 아니라 사업자의 전체 매출액 3%로 정하는 등 관련 업계에 큰 변화를 가져올 내용을 품고 있어 위 개정안은 여러모로 화제가 되었고, 그만큼 산업계·학계 등에서도 각종 견해를 표명하였습니다. 이러한 의견을 반영하여 개정안은 수정작업을 거쳤고, 2021. 9. 처음 선보였던 개정안과는 조금 다른 모습이 되었습니다.
2. 주요 내용
2022. 12. 5. 정무위원회를 통과한 개인정보보호법 개정안은 우선 과징금 산정기준에 변화를 가져올 예정입니다. 현행 개인정보보호법은 과징금의 산정을 위법행위와 관련된 매출액의 3%를 상한으로 하고 있는데, 처음 제안되었던 개인정보보호법 개정안은 이를 예외없이 관련 매출액이 아닌 전체 매출액 3%로 하는 것이 골자였습니다. 이는 개인정보보호의 중요성을 감안하여 관련된 위법행위에 대해 경제적 제재를 강화하고자 한 것이었지만, 산업계는 이에 대해 기업의 부담이 너무 커지고, 비례성 원칙에 반할 수 있다는 우려를 표하였습니다. 결국, 개인정보보호위원회는 이런 우려를 받아들여 전체 매출액 3%를 기준으로 하되, 위반 행위와 관련 없는 매출액을 제외시키는 방향으로 수정하기로 하였습니다. 구체적인 산정 기준은 시행령에 위임하였습니다. 따라서, 이번 개정안이 최종 입법된다면, 과징금 상한액은 전체 매출액 3%에서 위반행위와 관련 없는 매출액을 제외한 액수가 됩니다. 이 경우 과징금 산출 시 현행법에서는 특정 매출액이 위반행위와 관련 있다는 것을 개인정보보호위원회에서 입증하여야 하는 것과는 달리, 개정안에서는 위반행위와 관련이 없다는 것을 사업자측에서 입증하도록 전환될 수 있습니다.
그리고 개인정보의 전송요구권이 신설되었습니다. 정보주체가 개인정보처리자에게 자신의 정보를 본인 또는 개인정보관리 안전조치 의무를 이행하고 있는 타인 등에게 전송할 것을 요구할 수 있는 권리로서, 정보주체의 개인정보에 대한 통제권을 강화하기 위함입니다. 이에 대해서도 산업계에서는 추가 비용이 많이 드는 개인정보처리자의 어려움을 참작하여 제3자 전송 시 별도 시스템 구축 등이 요구되면 예외로 하는 규정을 추가해줄 것을 주장하였으나, 법률 조문이 사문화 될 것이라는 의원들의 반대의견에 부딪쳐 이는 반영되지 못하였습니다.
개인정보의 국외 이전과 관련하여 동의 만을 요구하던 방식에서 벗어나 이전 요건을 다양화하고, 관련 위법사항이 발견될 시 개인정보보호위원회가 개인정보처리자에게 국외 이전 중지 명령을 내릴 수 있도록 하는 내용도 추가되었습니다.
또한, 온라인 서비스와 관련된 개인정보 처리 주체는 “정보통신서비스 제공자” 라고 하여 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 이관되었던 특례 규정을 적용하도록 했었는데, 오프라인과 온라인을 가리지 않고 모든 개인정보처리자가 동일 행위에 대해 동일한 규제가 적용될 수 있도록 위 특례 규정을 삭제하고 모든 개인정보처리자에 대한 일반 규정으로 정비하는 내용도 담고 있습니다.
3. 시사점
2020년 신용정보의 이용 및 보호에 관한 법률 개정 후 금융 분야의 마이데이터 서비스가 활성화 되기 시작했고, 금융위원회 발표에 따르면 2022. 4. 기준 관련 서비스 전체 가입자 수가 2,596만 명에 달하고, 데이터 전송 건수는 약 125억 건이라고 합니다. 이러한 마이데이터 산업은 이제 금융분야 등에만 한정되는 것이 아닌, 개인정보를 활용하는 타 분야로의 확장을 노리고 있으며, 이를 위한 전제로 데이터이동권이 필요합니다. 위 개인정보보호법 개정안이 통과되면, 개인정보 전송요구권의 신설로 인하여 관련 산업이 성장할 가능성이 큽니다.
또한, 과징금과 관련된 대응에 산업계의 더 큰 관심이 요구됩니다. 현행법상 위반행위 관련 매출액의 3%가 과징금의 상한액이지만, 위 개정안 통과 시 전체 매출액의 3%가 원칙이 되고, 위반행위와 관련 없는 매출액을 예외적으로 제하는 구조가 됩니다. 이는 과징금 상한액수의 출발점 자체가 달라지는 것으로서 당국에서 관련 사업자가 위법행위를 했다고 판단했을 시 사업자에게는 과징금 액수부터가 큰 부담으로 다가올 것입니다. 그리고 원칙이 전체 매출액의 3%이기 때문에, 특정 매출액이 위반행위와 관련 없다고 입증해야 할 당사자가 사업자가 될 가능성이 있어 당국의 조사가 있을 시 이전보다 더 어려운 난관이 있을 수 있습니다.
이외에도, 국외정보 이전에 대한 규제 등 다른 부분에서도 규정 신설 및 개정이 이루어지기에 관련 사업자들은 입법 과정을 예의주시하고, 개정안이 통과될 시 어떻게 효과적으로 대응할지 대책을 마련해야 할 것입니다. 관련 동향에 대해서는 지속적으로 뉴스레터를 통해 업데이트 해드리도록 하겠습니다.
이광욱 변호사 (kwlee@yoonyang.com)
이근우 변호사 (klee@yoonyang.com)
이수경 변호사 (sgyi@yoonyang.com)
이창우 변호사 (cwlee@yoonyang.com)
정호선 변호사 (junghs@yoonyang.com)
강석준 변호사 (kangsj@yoonyang.com)