개인정보 유출, 기업 면책 조항 없앤다
조사 비협조 땐 이행 강제금 부과
당·정 개인정보보호법 개정 추진
정부·여당이 개인정보 유출 시 기업의 손해배상 책임은 강화하고 면책 조건은 제한하는 내용의 개인정보보호법 개정을 추진한다. 유출 기업이 조사에 비협조할 경우 이행 강제금도 부과한다. SKT·쿠팡 등 잇달아 발생하는 대규모 개인정보 유출 사태에 대한 제도적 보완 차원으로, 개인정보 유출 기업이 실질적인 손해배상을 하지 않는다는 지적에 따른 것이다.
더불어민주당과 정부는 4일 국회에서 당정 협의를 갖고 이 같은 내용의 개인정보보호법 개정 방침을 밝혔다. 한 민주당 지도부는 국민일보 통화에서 “개인정보보호법 개정 필요성은 이미 소관 상임위에서도 지적된 만큼 큰 이견이 없다”며 “최대한 빠른 시간 내 처리할 것”이라고 밝혔다.
현행 개인정보보호법 39조 2항은 개인정보 유출 시 고의 또는 중대한 과실이 없음을 증명하면 개인정보 처리자의 손해배상 책임을 없애는 면책 조항을 담고 있다. 당정은 이 면책 조항을 삭제해 개인정보 유출 시 1차적으로 기업이 책임지게 하겠다는 계획이다. 한정애 민주당 정책위의장은 “현재는 개인이 정보를 유출한 기업의 과실을 입증하는 게 사실상 불가능에 가깝다”며 “개인정보 유출에 대한 과실 여부와 관계없이 법적 손해배상 책임을 강화해야 한다”고 밝혔다.
다만 손해배상 책임을 물게 될 경우 기업의 존속 자체가 흔들릴 수 있는 중소기업의 현실적 한계를 감안해 제한적으로 면책 요건을 열어뒀다. 양청삼 개인정보보호위원회 사무처장은 “면책 조항을 ‘안전 조치 의무를 다하고, 귀책 사유가 없으면서 유출 사고에 대한 책임이 없음을 모두 입증한 경우’로 제한해 사업자의 책임성을 대폭 강화하겠다”고 설명했다.
유출된 개인 정보임을 알면서 구매·제공·유포하는 행위를 금지하고 위반 시 처벌하는 내용의 형벌 규정도 신설한다. 개인정보 유출 시 기업에 시정 명령을 이행하게 하고, 강제금을 부과하거나 접속 기록을 남기는 증거 보존을 명령하는 방안도 법안에 담길 전망이다. 양 사무처장은 “대규모 개인정보 처리자 등에 대해 정기 실태점검 또한 진행할 예정”이라고 말했다.
한웅희 기자 han@kmib.co.kr
