[서울이코노미뉴스 박희만 기자] 대규모 개인정보 유출사태를 일으킨 쿠팡에 대해 개인정보보호위원회가 ‘엄정 처분’ 기조를 분명히 했다.
이에, 개인정보위의 조사·심의를 앞둔 주요 기업들이 바짝 긴장하고 있다.
5일 업계에 따르면 개인정보위는 최근 잇따르고 있는 대형 해킹 및 개인정보 유출사건을 계기로, 과징금 강화와 징벌적 손해배상 실효화 등 제재 강화방안을 적극 검토하고 있다.
개인정보위는 전날 설명자료를 통해 “현행 개인정보보호법상 과징금 제도와 손해배상 제도에는 보완이 필요하다”며 “중대하거나 반복적인 사고를 일으킨 개인정보처리자에 대해 징벌적 과징금을 도입하고, 피해자가 실질적으로 구제될 수 있는 손해배상제도 개선책을 신속히 마련하겠다”고 밝혔다.
송경희 개인정보보호위원장도 지난 3일 국회 정무위원회 현안보고에서 “쿠팡의 개인정보보호법상 안전조치 의무 위반여부를 철저히 조사해 엄정하게 처분하겠다”며 “과징금 강화를 비롯해 징벌적 손해배상제도의 실효성을 높이는 방안을 마련하겠다”고 강조했다.
현행 개인정보보호법은 개인정보 유출시 기업 매출액의 최대 3%까지 과징금을 부과할 수 있도록 규정하고 있다. 이 경우, 쿠팡에 대해 1조원 이상의 과징금 부과도 가능하다.
그러나 이는 이론상 상한일 뿐, 실제 부과액이 이 수준에 근접한 사례는 드문 것이 현실이다.
지난해 역대 최고 과징금을 부과받은 SK텔레콤의 경우, 무선통신사업 매출 12조8000억원을 기준으로 최대 3000억원대 중반까지 과징금이 가능할 것으로 예상됐다. 하지만, 실제 부과액은 1347억9000만원에 그쳤다.
또한 법원에서 손해액의 최대 5배까지 인정할 수 있는 징벌적 손해배상제도 역시 존재하지만, “개인정보처리자가 고의 또는 중과실이 없음을 증명하면 적용하지 않는다”는 단서조항 때문에 지난 2015년 도입이후 단 한차례도 적용된 적이 없다.
이처럼 제재의 실효성에 대한 지적이 이어지는 가운데 정부가 제도 강화를 예고하면서, 개인정보위 조사·심의를 앞둔 기업들의 부담도 더욱 커졌다는 분석이 제기된다.
현재 개인정보위는 ▲GS리테일, ▲예스24, ▲KT, ▲SK쉴더스, ▲롯데카드 등 최근 발생한 주요 개인정보 유출사건을 조사 중이다.
이 사건들은 쿠팡 건과 별도로 심의되지만, 개인정보위가 ‘엄정 처분’ 기조를 밝힌 만큼 향후 과징금 산정 과정에서 감경요건이 기존보다 더 엄격하게 적용될 것으로 보인다.
앞서 정무위 질의 과정에서 허영 더불어민주당 의원이 “쿠팡 과징금 부과시 ISMS-P 인증을 이유로 50% 감면할 것이냐”고 묻자, 송경희 위원장은 “감경은 재량 영역이지만 사안의 엄중성에 따라 엄격하게 판단하겠다”고 답한 바 있다.
국회에서도 제재강화 입법이 추진되고 있다.
김승원 더불어민주당 의원은 최근 개인정보보호법 일부개정안을 대표 발의하며, 매출액 산정이 어려운 기업에 적용되는 정액과징금 상한을 30억원으로 상향하고, 전체 매출액 기준 과징금 상한을 현행 최대 3%에서 4%로 높이는 방안을 제시했다.