[이슈분석] 한국의 개인정보 보호법 위반 처벌 강도는 적당할까?

개인정보 보호법 위반에 대한 국내의 벌금 수위는?

개인정보 보호에 대한 국제 사회의 요구 수준이 갈수록 높아지고 있다. 하지만 우리나라의 경우 개인정보 보호법 위반에 대한 처벌 수위가 해외와 비교했을 때 많이 낮은 수준이다.

2021년 8월 개인정보보호위원회는 개인정보 보호법 6개 사항을 위반한 페이스북에 64억 4000만 원(12만 명 유출)의 과징금을 부과했다. 반면 같은 사태에 대해 미국은 약 5조 9000억 원(3200만 명 유출)을 부과했다. 똑같은 수의 정보가 유출된 것으로 계산해도 4배 이상 차이가 난다. 지난 1년간 국내의 개인정보 보호 위반에 대한 벌금 처분 사례를 살펴보면, 수천 건의 개인정보를 유출한 기업·기관에 대한 벌금(과징금+과태료)이 대부분 몇백만 원에서 몇천만 원에 그친 것을 알 수 있다.

이로 인해 최근에는 국내의 개인정보 보호법 위반에 대한 벌금 등 처벌 수위를 높여야 한다는 목소리가 계속해서 나오고 있다.

해외 주요국들의 개인정보 보호법 위반 처벌 수위

한국의 개인정보 보호법 위반 처벌 수위를 가늠하기 위해서는 해외의 개인정보 보호법 위반에 대한 처벌 규정을 살펴볼 필요가 있다.

EU의 GDPR(EU 일반 개인정보 보호법, General Data Protection Regulation)의 경우, 일반 사항 위반 시에는 전 세계 매출액의 2% 혹은 1000만 유로(약 125억 원), 중요 사항 위반 시에는 전 세계 매출액의 4% 혹은 2000만 유로(약 250억 원)를 벌금으로 부과한다.

일례로, 지난 2021년 6월 프랑스의 가정용 공구 기업 Brico Prive는 GDPR과 프랑스 국내법의 5개 사항을 위반했다는 이유로 총 50만 유로(약 6억 7599만 원)의 벌금을 부과 받았다. 위반 사항은 ▲5년이 경과한 고객의 개인정보 임의 보유 ▲개인정보 처리 관련 고지 의무 위반 ▲개인정보 삭제권 지원 위무 위반 ▲개인정보 처리의 보안 의무 위반 ▲정보 주체 동의 없이 마케팅 메시지 전송 등이다.

국내 사례를 보면, 2021년 4월 1일 국내 챗봇 기반 애플리케이션 ‘연애의 과학, 이루다’ 등을 서비스하는 기업 스캐터랩이 8개의 사항을 위반해 총 1억 330만 원의 벌금을 부과 받았다. 앞선 프랑스 사례와 비교했을 때 더 많은 사항을 위반했지만 상대적으로 처벌은 낮았다.

미국의 경우 공공과 민간, 각 주별로 개인정보 보호법이 모두 다르다. 하지만 2020년 1월 캘리포니아주에서 최초로 시행된 ‘CCPA(California Consumer Privacy Act, 캘리포니아 소비자 개인정보 보호법)’의 도입을 시작으로 미 전역에서도 개인정보 보호를 강화하려는 움직임이 나타나고 있다.

CCPA의 과징금 또한 GDPR만큼 강력하다. CCPA는 벌금의 상한선 없이 위반 건당 최대 2500달러(약 324만 원)의 벌금을 부과한다.

일본도 2020년 12월부터 개인정보 보호법을 개정해 처벌 수위를 대폭 높였다. 개인정보 보호법 위반에 대해 최대 1억 엔(약 9억 5450만 원)의 벌금을 부과한다. 이는 개정하기 전의 기준인 50만 엔(약 477만 2500원)에 비해서 약 200배 높아졌다.

중국 또한 2021년 11월부터 개인정보 보호법을 시행했다. 중국의 개인정보 보호법은 미국과 유럽의 규제 흐름을 반영해 GDPR에 준하는 엄격한 처벌 기준을 가지고 있다. 위반 시 벌금은 최대 5000만 위안(약 97억 1350만 원) 이하 혹은 전년도 매출 5% 이하로 규정하고 있다.

처벌 강화는 기본, 피해 수준과 조직 규모에 맞는 강도 갖춰야

이처럼 해외의 주요 국가들은 개인정보 보호법 위반에 대한 벌금의 강도를 전반적으로 높여가고 있는 상황이다. 이에 국내에서도 공공을 중심으로 처벌 수위를 강화하려는 시도가 하나 둘 이뤄지고 있다.

지난 7월 7일 윤종인 개인정보위 위원장은 EU와 함께 개인정보 협력 방안을 논의하는 자리에서 현행법 개정을 통해 EU와 같이 높은 수준으로 개인정보 보호를 강화해 나가겠다고 했다.

개인정보위 조사총괄과 관계자는 “2021년 9월 EU의 GDPR을 따라 과징금을 기존의 관련 매출액 3%에서 전체 매출액의 3%로 변경하는 등 벌금 수위를 높이는 내용이 포함된 개인정보 보호법 2차 개정안이 입법됐다. 또한 위반 행위에 상응하는 비례성과 침해 예방에 대한 효과성을 모두 확보할 수 있는 합리적인 처벌 기준을 마련을 위해서 내부에서도 계속 논의가 이뤄지고 있다”라고 말했다.

KISA 개인정보정책팀 관계자는 “기존의 개인정보 보호법은 개인정보 보호 책임자나 담당자에 대한 징역형에 초점이 맞춰져 있었다. 그래서 조직이 비교적 책임을 덜 지는 등 한계가 있는 게 사실이다. 하지만 많은 개인정보 관련 사고는 대부분 업무상 과실이나 사업 과정에서 발생하기 때문에 기업과 기관, 즉 조직이 더욱 책임감을 가지고 대응해야 하는 게 맞다고 본다. 이를 개선하기 위해서는 개인에 대한 형벌보다는 조직 규모와 피해 정도에 맞게 과징금 액수를 높여 기업·기관이 개인정보 관리에 더욱 경각심을 가질 수 있게 해야 한다”라고 강조했다.

과실에 대한 처벌은 실제로 조직에 타격을 줄 수 있을 정도가 돼야 실효성을 갖는다. 따라서 우리나라도 개인정보 보호법 위반의 처벌 수위를 높이고 있는 국제 추세에 맞춰 실효성 있게 벌금을 높여야 한다. 그래야 기업과 기관들도 앞으로 더욱 책임감을 가지고 개인정보 보호를 위해 노력할 것이다.