[서울이코노미뉴스 박희만 기자] 개인정보보호위원회가 반복적이거나 중대한 개인정보보호법 위반 행위에 대해 매출액의 최대 10%까지 부과할 수 있는 ‘징벌적 과징금 특례’ 도입을 추진한다.
또한 단체소송 요건에 손해배상을 포함해 개인정보 침해 피해자의 실질적 구제 수단도 강화하기로 했다.
개인정보위는 12일 정부세종컨벤션센터에서 이재명 대통령에게 업무보고를 하면서 이 같은 내용을 포함한 개인정보 제재체계 전면 강화 방안을 발표했다.
최근 쿠팡을 비롯한 유통 분야, SK텔레콤·KT 등 통신 분야에서 대규모 개인정보 유출 사고가 잇따르고, AI·클라우드 등 신기술 확산으로 개인정보 보호 환경이 급변한 데 따른 대응이다.
개인정보위는 기존의 사후 제재 중심 규제에서 벗어나 개인정보 보호 구조를 근본적으로 전환하겠다는 방침이다.
특히 반복·중대한 위반에 대해 강력한 억지력을 확보하기 위해 징벌적 과징금 특례를 신설하기로 했다.
고의 또는 중과실 여부, 피해 규모 등 일정 요건을 충족할 경우 기존 매출액 3%였던 과징금 상한을 최대 10%까지 높일 수 있도록 하는 것이 골자다.
다만 중소기업 등의 부담을 고려해 기존 일반 과징금 상한인 매출 3% 기준은 유지한다.
피해 구제 강화를 위해 개인정보보호법상 단체소송 제도에도 변화를 예고했다.
현행법은 권리 침해 행위에 대한 금지 청구만 가능하지만, 앞으로는 손해배상 청구까지 단체소송으로 가능하도록 요건을 확대한다.
개인정보 분쟁조정과 연계해 소비자 단체 등 공익단체가 대표 소송을 맡는 방식으로 일반 국민의 소송비용 부담을 낮출 수 있을 것으로 보인다.
또 과징금 등 제재금 일부를 국민 피해 회복에 활용하기 위한 ‘개인정보 피해회복 지원 기금(가칭)’ 신설도 검토한다.
다만 기금 설치 여부는 관계부처 논의와 사회적 공감대 형성을 거쳐 결정할 계획이다.
이와 함께 기업이 스스로 시정안을 제출하고 위원회 의결을 통해 신속하게 피해 회복을 추진하는 ‘피해회복형 동의의결 제도’도 새로 도입한다.
최근 개선 필요성이 제기되고 있는 정보보호·개인정보 보호 관리체계(ISMS-P) 인증에는 예비심사를 도입하고 현장 기술심사를 강화하는등 사후 관리를 대폭 강화한다.
기업 규모와 처리 위험도에 따라 책임을 차등 부여하고, 과징금 감경 등 인센티브 제도를 공식화해 개인정보 보호 투자를 유도한다는 방침이다.
이와 별도로 기업 대표자(CEO)의 개인정보 보호 관리 의무도 법제화된다. 아울러 대규모·민감정보를 처리하는 주요 기관을 대상으로 개인정보보호책임자(CPO) 지정 신고제도 도입한다.