[디지털데일리 이종현기자] 데이터 활용과 활용에 따른 책임 강화를 골자로 하는 개인정보보호법 개정안에 대해 산업계가 반발하고 나섰다. 산업계 현실을 반영하지 못하는 데다 개인정보보호 강화에도 도움이 되지 않는다는 비판이다.
지난 10일 한국인터넷기업협회는 개인정보보호위원회(이하 개인정보위)가 지난 1월6일 입법예고한 개인정보보호법 개정안에 대해 반대 입장을 표명했다. 한국인터넷기업협회(이하 협회)는 네이버, 카카오, NHN, 넥슨, 엔씨소프트, 쿠팡, 이베이코리아, 토스 등 다수 정보통신기술(ICT) 기업이 회원사로 참여하고 있는 조직이다.
산업계가 크게 반발하는 것은 개정법에서 강화한 과징금 상향 조정안이다. 개정법에서 과징금 규정을 기업의 ‘전체 매출액’으로 조정한 것에 대한 반발이다.
기존에는 개인정보보호법을 위반할 경우, 개인정보를 통해 얻은 매출액을 기준으로 과징금이 부과됐다. ‘위반행위와 관련한 매출액의 100분의 3 이하’에서 ‘전체 매출액의 100분의 3 이하’로 변경된 것이다.
현행법에서는 전체 매출 100억원대 기업이 개인정보를 통해 활용한 서비스로 1억원의 매출을 거뒀을 경우, 과징금은 1억원의 3% 한도에서 부과되는 형태였다. 하지만 개정법에서는 100억원의 3%로, 과징금 규모가 급격하게 늘어나게 된다. 개정법을 국내 최대 기업인 삼성전자에 대입할 경우, 3개 연도 평균 매출액(별도 기준)인 163조8219억원의 3%로 최대 4조9146억원의 과징금이 부과될 수 있다.
협회는 “개정법은 위반행위로 인한 경제적 부당이득의 환수라는 과징금의 기본 원칙을 벗어난 것”이라며 “과징금 규모를 높이는 것이 개인정보보호 강화에 영향을 미친다는 실증적 연구결과가 없는 상태에서 무조건적 과징금 부과기준 상향은 개인정보보호 강화와 활용을 통한 산업 활성화, 어느 쪽에도 도움이 되지 않는다”고 주장했다.
또 중소·벤처기업의 경우 매출액 대비 영업이익률이 2~3%에 그치는 상황에서 과징금 강화는 중소·벤처기업에게 심각한 타격이 될 것이라는 부정 의견도 피력했다. 개인정보 활용 산업 전반에 대한 진입장벽으로 작용할 것이라는 지적이다.
정보보호기업 최고경영자(CEO) 출신인 이영 의원(국민의힘)도 산업계의 손을 들어줬다.
이영 의원은 “개인정보위가 입법예고한 개인정보보호법 2차 개정안은 매우 엄격한 징벌주의 일변도라고 해도 과언이 아니다. 합리적인 근거에 따라 과징금의 원칙과 범위를 명확히 규정하지 않는다면 경영환경의 불확실성, 산업계의 사기 저하가 이어질 수 있다”며 “산업이 발전하기도 전에 과징금 몽둥이를 들이민다면 스타트업과 중소기업이 데이터 시장에 뛰어 들 수 없을 것”이라고 꼬집었다.
이와 같은 산업계 반발에도 불구하고 개인정보위는 전체 매출액을 기준으로 한 과징금 부과를 고수하고 있다. 산업계에서 요구하는 ‘위반행위 관련 매출액’을 산정하기 어렵다는 현실적인 어려움 때문이다.
그동안 한국에서는 개인정보 유출 등 사고가 발생하더라도 큰 액수의 과징금이 부과되지는 않았다. 작년 11월 페이스북코리아에 부과된 과징금 67억원이 역대 최고 액수다. 페이스북은 2012년~2018년, 6년 동안 당사자의 동의 없이 다른 사업자에게 이용자 개인정보를 제공했다. 최소 330만명으로, 훨씬 더 많은 개인정보가 유출된 것으로 확인됐다.
개인정보위에 따르면 페이스북의 경우 동의 없는 개인정보 제공이 확인됐음에도 개인정보위에 명확한 정보를 제공하지 않았다. 증빙자료를 거짓으로 제출하거나 조사에 착수한지 20여개월이 지난 뒤에야 관련 자료를 제출했다. 또 위반행위 규모 산정을 어렵게 하기도 했다는 것이 개인정보위의 설명이다. 개인정보위는 페이스북에 67억원의 과징금과 함께 시정조치를 명령, 수사기관에 고발한 상태다.
한편 협회는 개인정보보호법 개정안에서 과징금 상향 외에 개인정보 전송요구권에 대한 우려도 나타냈다. 정보주체 권리를 다양화하는 개정안 취지에는 공감하지만 개정법에 도입된 개인정보 전송요구권은 기업의 재산권과 영업의 자유를 제한하고 설치·비용 투입으로 인해 중소·벤처기업에 부담으로 작용할 수 있다는 것이 협회 측 주장이다.
협회는 “개인정보보호법 2차 개정안에는 산업계 현실을 반영하지 못하면서 정보주체의 권리 강화에도 도움이 되지 않는 조항들이 있다”며 “개인정보보호법이 개인정보의 안전한 보호와 효과적 활용을 위한 법률로 작용하기 위해 주요 조항들의 재검토가 필요하다”고 입장을 밝혔다.