"개인정보 보호 투자한 기업은 과장금 줄여준다"...개인정보보호법 시행령 개정안 입법예고

6월1일부터 7월13일까지 입법예고...업계·관계부처 의견 듣고 개정 마무리

과징금 산정 흐름도

개인정보 유출 사고에 대한 제재 수위가 강화되는 가운데 정부가 기업들의 사전 보안 투자 실적을 과징금 산정에 반영하기로 했다. 사고 발생 이후 처벌에만 초점을 맞추기보다 평소 개인정보 보호를 위해 투자한 기업에는 인센티브를 제공하겠다는 취지다.

개인정보보호위원회(개인정보위)는 개인정보보호법 시행령 개정안을 마련해 다음 달 13일까지 입법예고한다고 1일 밝혔다.

개정안의 핵심은 개인정보 보호를 위한 투자와 관리 수준에 따라 과징금을 최대 40%까지 감경할 수 있는 기준을 마련한 점이다.

평가 대상에는 개인정보 보호 관련 예산과 인력 투자 규모, 보안 설비 구축 수준, 최고경영자와 개인정보보호책임자(CPO)의 역할, 조직 운영 체계, 추가적인 안전조치 노력 등이 포함된다.

반면 고의 또는 중대한 과실이 확인된 경우에는 감경 혜택을 받을 수 없다.

이번 시행령 개정은 오는 9월 시행되는 개정 개인정보 보호법의 후속 조치다. 앞서 국회는 반복적이거나 중대한 개인정보 침해 사고에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 법을 개정했다.

이에 따라 고의 또는 중대한 과실로 같은 위반행위를 반복하거나 1000만명 이상 대규모 개인정보 유출 사고가 발생한 경우, 또는 시정명령을 이행하지 않은 상태에서 추가 유출이 발생한 경우에는 과징금이 가중될 수 있다.

개인정보위는 위반 행위의 정도와 발생 경위, 피해 규모 등을 종합적으로 고려해 과징금을 산정하도록 세부 기준을 마련했다.

업계에서는 이번 개정이 기업들의 개인정보 보호 투자 확대를 유도하는 계기가 될 수 있다는 평가가 나온다. 그동안 개인정보 보호 관련 투자는 비용으로 인식되는 경우가 많았지만, 향후 과징금 산정 과정에서 투자 실적이 반영될 수 있기 때문이다.

개인정보위는 이와 함께 영세·중소기업이 경미한 위반 사항을 시정한 경우 과징금을 면제할 수 있는 기준도 정비했다.

개인정보위는 입법예고 기간 동안 업계와 관계부처 의견을 수렴한 뒤 법제처 심사 등을 거쳐 오는 9월 법 시행 시기에 맞춰 개정을 마무리할 계획이다.

한 IT업계 관계자는 "기존에는 보안에 투자를 해도 사고가 안 나면 투자 효과를 증명하기 어려웠는데, 이제는 투자를 안 하면 과징금을 더 낼 수 있는 구조가 되면 경영진도 보안 투자에 긍정적인 태도로 협조할 것으로 보인다"고 말했다.

이인애 머니투데이방송 MTN 기자