대표전화
개인정보보호법 위반과 과징금 규모는?
◇ 이승우 변호사(이하 이승우)> 안녕하세요. 이승우입니다. 각종 사건 사고에서 여러분을 구해드리겠습니다. 사건파일 오늘의 주제는 ‘개인정보보호법’ 관련 내용입니다. 오늘은 앞으로 달라지는 개인정보보호법과 그 영향에 대해 얘기해보겠습니다. IT 컴플라이언스, 데이터 컴플라이언스의 핵심적인 내용이 개인정보보호법 위반을 사전예방하고, 이와 관련된 행정제재와 손해배상을 차단하는 것이라고 설명하고 있습니다. 개정정보보호법 개정 방향에 대해서 법무법인 법승의 이조양 변호사와 함께 알아보도록 하겠습니다. 변호사님, 안녕하세요?
◆ 이조양 변호사(이하 이조양)> 네, 안녕하세요.
◇ 이승우> 저도 최근에 상담을 진행해 봤던 개인정보보호법 위반 사건 보니까 과징금 규모가 회사의 규모에 비해서 정말 크던데요. 이 과징금이 더 확대되는 겁니까?
◆ 이조양> 네, 맞습니다. 개인정보 보호의 측면에서 개인정보가 일단 유출이 된 이상 이 부분을 다시 되돌리거나 주워담을 수 없다라는 문제의식이 항상 저변에 깔려 있습니다. 그러다 보니 개인정보보호법 개정 방향 역시 개인정보 처리 유출에 따른 과징금의 규모가 더 확대되는 것이 지금 개정 방향의 취지인 것 같습니다.
◇ 이승우> 최근 개인정보보호법 개정안이 발표됐는데, 주로 어떤 내용이 바뀌게 되는 건지 짚어주시죠.
◆ 이조양> 개인정보보호법이라는 거는 우선은 개인정보에 대해서 다루고 있는 법입니다. 그래서 사업주들이 개인정보를 처리할 때, 처리라는 거는 개인정보의 주인인 정보 주체에서 어떻게 이것을 수집하고, 처리하고, 다 쓰고 나면 이거를 또 어떻게 폐기할지에 대해서 정하고 있습니다.지금까지 개인정보보호법은 개인정보의 보호의 측면에 좀 더 초점을 맞추고 있었는데요. 이번 개정법의 내용은 과거와는 조금 다른 양상을 좀 보여주는 것 같습니다. 사업주의 개인정보 처리에 있어서의 자율성을 조금 더 확보를 해주는 반면에 이에 따른 책임을 좀 더 강하게 요구하고 있고요. 개인정보의 유출에 따른 책임을 강하게 물고 있다는 것이 요지가 될 것 같은데요. 구체적인 내용으로는 정보 주체가 자기의 개인정보에 대해서 전송을 요구할 수 있다는 권리가 법률에 정해졌고요. 두 번째로는 사업주가 개인정보를 수집하는 방법이 원칙적으로 동의밖에 없었는데, 그 이외의 방법으로 개인정보를 수집할 수 있어서 자율성이 조금 더 많아졌다.
◇ 이승우> 이런 건 어떤 경우라고 볼 수 있을까요?
◆ 이조양> 예컨대 사업주가 이전에는 내 서비스를 이용하기 위해서 개인정보를 받을 때 필수 동의라는 거를 받았는데요. 그 필수 동의가 이제는 사라지게 될 겁니다. 내가 사업을 위해서 반드시 필요한 개인정보의 경우에는 필수 동의를 받지 않고 당연히 필요한 것이니 이 부분은 수집하겠다.
◇ 이승우> 서비스를 사용할 때 이것은 반드시 개념적으로 포함되어 있는 정보니까 그때는 별도의 동의 절차는 필요 없다. 이렇게 볼 수 있겠군요.
◆ 이조양> 네, 맞습니다. 이 부분에 대해서도 앞으로 인터넷으로 가입하거나 이럴 때도 변화가 좀 생길 거고요. 그리고 마지막으로는 개인정보 과징금이 전체 매출액의 3%로 조정된다는 것을 주된 내용으로 하고 있습니다.
◇ 이승우> 아직 이게 효력이 발생된 것은 아니죠?
◆ 이조양> 네, 맞습니다.
◇ 이승우> 언제 효력이 발생되나요?
◆ 이조양> 조항마다 일부 다른데요. 올해 9월부터 시행되는 조항도 있습니다.
◇ 이승우> 주요한 내용들을 설명해 주셨는데, 이 조항들이 적용되게 되면 구체적으로 관련 거래계 또는 분야에서 어떤 변화가 생길 것 같으신지 설명을 해주세요.
◆ 이조양> 지금 산업계에서는 개인정보 전송요구권에 대해서 많이 집중을 하고 있습니다. 개인정보전송요구권이라는 것은 앞서 말씀드린 것처럼 개인정보를 처리하는 주체에 대해서 이것을 다른 기관에 넘겨줘라라고 내가 요구할 수 있는 권리라는 건데요. 이전에 은행 어플을 사용하신 분들은 겪어보실 수 있는 서비스인데요. 은행 어플에서 다른 은행이라든지 다른 증권사에 있는 내 예금, 내 대출 정보를 한눈에 확인할 수 있는 서비스가 이전에 시행된 적이 있습니다. 그래서 이걸 통해서 다른 은행, 다른 증권사에 있는 내 개인정보와 신용정보를 한 번에 가져오는 서비스였는데요. 이번 개인정보보호법 개정으로 금융 분야뿐만 아니라 다른 분야에서도 이와 같은 방식의 서비스가 열릴 수 있을 것으로 보입니다. 그러다 보니까 어떤 영역에서도 내 개인정보를 활용할 수 있다는 점에서는 다양한 사업군으로 활용될 수 있을 겁니다.
◇ 이승우> 개인 사업자들이나 또 큰 규모의 사업자가 아닌 형태라면 개인정보요구권을 받게 되면 그걸 처리하는 담당 부서가 있어야 될 정도로 좀 복잡한 문제가 될 수도 있겠네요?
◆ 이조양> 네, 맞습니다.
◇ 이승우> 새로운 인력 채용이나 이런 것들을 고려하거나 시스템을 개발해야 되는 또 부담은 좀 생기겠군요.
◆ 이조양> 네, 맞습니다. 이와 관련해서는 가이드라인을 지금 많이 배포를 해서 교육을 하고 있는데 아직은 산업계도 마찬가지고 종사자들도 마찬가지고, 이에 대해서는 제도적이나 절차적으로 좀 미비한 부분은 있습니다.
◇ 이승우> 개인정보보호법 위반 과징금을 전체 매출액의 3%로 조정한다. 전체 매출이라는 건 연 매출을 얘기하는 건가요?
◆ 이조양> 네, 맞습니다. 이거 관련해서는 궁금해하시는 분들이 있으실 것 같은데요. 과거에는 관련 매출액을 기준으로 과징금이 부과가 되었습니다. 엔터 사업을 하나의 예로 제가 설명을 드리자면요. 엔터 사업의 경우 방송 출연, 공연, 음반 판매, 굿즈 판매 등의 사업에서 매출액이 발생을 할 겁니다. 그래서 과거의 개인정보 유출이 굿즈 판매 사이트에서 발생을 했다면 과거에는 전체 사업의 매출액 중에서 굿즈 판매와 관련된 매출액의 3%를 최대 과징금으로 부과할 수 있도록 돼 있었는데요. 이번에 개정법의 적용을 받게 된다면 이에 대한 입증 책임을 사업주가 지도록 돼 있습니다. 그렇기 때문에 원칙적으로는 엔터 사업 굿즈 판매에 대해서 개인정보 유출이 발생했다 하더라도 방송 출연, 공연, 음반 판매, 티켓 판매의 모든 매출액을 합한 매출액의 3%에 대해서 최대 과징금을 부과할 수 있도록 되었고요. 다만 이에 대해서 사업주가 ‘내가 유출된 개인정보가 굿즈 판매와 관련된 개인정보이다’라는 것을 입증을 하게 될 경우에는 굿즈 판매 부문 사업 매출액의 3%를 기준으로 과징금이 부과되는 거죠.
◇ 이승우> 개인정보보호법 관련돼서는 과징금 문제도 중요한데, 과징금은 행정적인 불이익 처분이잖아요? 그런데 형사처벌 조항들도 또 여러 개 붙어 있지 않습니까? 이 개인정보보호법 위반 행위에 대해서 처벌 조항 중에 주요한 것들, 처벌 법정형 관련돼서 간단하게 설명을 좀 해주시죠.
◆ 이조양> 실제로 한 마케팅 업체에서 고객들의 개인정보를 수집한 후에 보험회사에 이를 유상으로 판매한 사례가 있었습니다. 이 사례에서 각 마케팅 업체의 대표는 징역형에 집행유예가 선고된 사례가 있었습니다. 개인정보보호법에서는 개인정보의 수집, 제공 그리고 처리 등에 관한 원칙을 정해놓고 이에 대한 위반에 대해서 벌칙 규정을 각각 두고 있는데요. 개인정보를 처리하시는 분들께서 주의하셔야 할 부분은 정보 주체의 동의 없이 또는 불충분한 동의 하에 개인정보를 내가 수집한 적이 없는지, 혹은 이를 누군가에게 내가 제공하지는 않았는지, 또는 내가 처리하고 있는 개인정보에 주민등록번호 등이 있지는 않은지 확인해보실 필요가 있습니다. 방금 드린 세 가지 사례가 가장 많이 발생하는 사례인데요. 모두 5년 이하 또는 5천만 원 이하의 벌금형에 처하도록 정해져 있는 행위들입니다.
◇ 이승우> 오늘 개인정보보호법 시행령 개정안에 대해서 이야기를 나눠봤는데, 과징금 부분 관련돼서 주목이 되는 것 같고요. 전체 매출액이 되기 때문에 관련해서 개인정보보호법 위반으로 과징금 받게 되면 행정심판 또는 행정소송으로 다투게 되는 거죠?
◆ 이조양> 네, 맞습니다.
◇ 이승우> 네, 오늘 말씀 고맙습니다. 지금까지 이조양 변호사와 함께 했습니다.
◆ 이조양> 감사합니다.
◇ 이승우> 생활 속 법률 히어로 이승우 변호사였습니다. 사건 파일에서 여러분의 제보를 받고 있습니다. 내일도 사건에서 여러분들을 구해드릴 사건 파일, 함께 열겠습니다!