개인정보 보호법 일부개정법률안

현행법은 개인정보 유출 등 위반행위에 대한 제재 실효성을 확보하기 위해 과징금 부과 기준을 ‘전체 매출액의 100분의 3 이하’로 정하고 있음(제64조의2제1항). 그러나 같은 조 제2항에서 “위반행위와 관련이 없는 매출액은 제외한다”는 예외 규정을 두고 있어, 제도의 취지가 심각하게 훼손되고 있음. 실제로 대규모 개인정보를 처리하는 플랫폼 및 IT 기업들은 이 예외 조항을 근거로 “개인정보와 매출과는 관련이 없다.”는 주장을 내세우고 있으며, 금번 3,370만명의 개인정보가 유출된 쿠팡의 경우도 마찬가지일 것으로 예상됨. 이로 인해 수천만 건의 정보가 유출되어도 기업에 부과되는 과징금은 ‘솜방망이’ 수준에 그쳐, 기업들이 보안 투자보다 과징금 납부를 택하는 도덕적 해이가 만연한 실정임. 반면, 유럽연합(EU)의 일반개인정보보호법(GDPR)은 전 세계 연간 총매출액의 4%를 기준으로 과징금을 부과하며, 매출 관련성 입증 책임을 전적으로 기업에게 지우거나 예외를 거의 인정하지 않고 있음. 이에 과징금 산정 시 ‘위반행위와 관련 없는 매출액’을 제외하도록 한 조항을 삭제하여, 기업의 ‘전체 매출액’을 기준으로 과징금을 부과하도록 함으로써, 글로벌 스탠다드에 부합하는 제재 체계를 마련하고 기업의 개인정보 보호 책임을 강화하려는 것임(안 제64조의2).