與, ‘고의·과실 없어도 정보 유출땐 배상’ 법안 발의

12일 김용만 의원 대표 발의
당정 “쿠팡·SKT 유출 사고에도 적용 가능”
김용만 의원 “정보 주체의 피해 구제 강화”

더불어민주당 김용만 의원. /뉴시스

작년 쿠팡의 개인 정보 해킹 사고로 3367만명의 고객 정보가 유출된 것으로 확인된 가운데, 더불어민주당이 기업의 고의나 과실이 없어도 개인정보 유출 사고 발생 시 손해배상 책임을 지우는 법안을 12일 발의했다. 이 법안이 국회에서 통과되면 작년에 발생한 쿠팡이나 SK텔레콤의 정보 유출 사고에도 적용될 수 있을 전망이다.

정치권에 따르면, 더불어민주당 김용만 의원은 이런 내용의 개인정보보호법 개정안을 이날 대표 발의했다. 최근 당정은 작년부터 쿠팡이나 SK텔레콤 등 대규모 개인정보 유출 사고가 잇따르고 있는 상황에 대한 대응책을 논의했는데, 이날 발의된 법안은 이런 당정 협의 결과를 담고 있다.

한정애 민주당 정책위의장, 개인정보보호위원회 당정협의 발언. /뉴시스

개정안은 개인정보 유출 사고 시, 개인정보 관리를 맡은 기업 측의 고의나 과실이 없어도 피해자 1인당 300만원 이하의 ‘법정(法定) 손해배상 책임’을 물리는 내용이 핵심이다. 법정 손해배상이란 피해자가 구체적 손해액을 증명하기 어려운 경우, 법원이 일정 범위 안에서 배상액을 인정하는 제도다.

현행법은 기업 측이 과실 없음을 증명하면 책임을 면해주는데, 개정안은 무과실이어도 책임을 지울 수 있다. 다만 기업이 유출을 예방하기 위한 모든 조치를 다했거나, 개인 정보 명의자 본인이 유출에 책임이 있는 등 예외적인 경우에는 면책될 수 있다.

개정안은 또 정보 유출 사고와 관련해 정부에 ‘긴급 보호 조치’를 명령할 수 있는 권한을 신설한다. 이는 유출 사고 발생 시 피해 확산을 막기 위해 다양한 조치를 취할 수 있는 권한을 부여하는 것이다. 이 조치를 따르지 않으면 하루에 ‘일 매출액의 0.3%’의 이행 강제금이 부과될 수 있다.

예를 들어 작년 말 쿠팡이 정부의 공식 발표와 별개로 ‘실제 유출된 정보는 3000명 뿐’이라는 취지로 자체 발표해 논란이 일었는데, 이런 경우에 정부가 ‘공지 글 삭제 명령’을 내리고, 이를 따르지 않을 경우 이행 강제금을 매길 수 있다는 뜻이다. 현재는 강제력이 없는 ‘권고’만 가능하다.

이 밖에 개정안은 유출 사고를 낸 기업이 정부 당국의 ‘자료 보전 명령’에 따르지 않을 경우에도 관련자에게 ‘2년 이하 징역’ 등 형사처벌을 부과하는 내용을 담았다. 또 누구든지 유출된 개인정보임을 알면서 구매·제공·유포하면 ‘5년 이하 징역’에 처해질 수 있다.

김용만 의원은 제안 이유에서 “현행법은 개인정보 유출사고 발생에 대한 법정 손해배상 제도를 두고 있으나, 책임 요건이 엄격하여 손해배상이 실효적으로 이루어지지 못하고 있다”며 “또한 개인정보 유출사고에 대한 조사 비협조 및 자료제출 거부, 시정조치 명령 불이행 등에 대한 실효적인 대응수단이 부족한 실정”이라고 했다.

그러면서 “(개정안은) 개인정보 처리자의 법정 손해배상책임을 강화하는 등 정보주체 피해 구제를 강화하는 한편, 신속하고 실효성 있는 조사 및 처분을 위하여 자료보전 명령, 정기적 개인정보 보호 실태점검, 이행강제금 제도 및 긴급 보호조치 명령을 도입하려는 것”이라고 했다.