쿠팡의 대규모 개인정보 유출 사고와 관련해 기업의 개인정보 보호 조치 위반에 대한 형사처벌이 과거보다 어려워졌다는 지적이 나온다. 정부가 2년 전 개인정보보호법을 개정할 때 글로벌 스탠더드 등의 이유로 형사적 책임보다 과징금 등 행정처분 위주로 처벌 방향을 전환했기 때문이다.
3일 개인정보보호위원회에 따르면 기존에는 개인정보 처리자가 개인정보를 분실하거나 유출하는 것 자체만으로 형사처벌이 가능했다. 하지만 2023년 3월 개인정보보호법이 전면 개정되면서 이번 쿠팡 사태 같은 개인정보 유출의 경우 과징금을 물리고 부과 기준을 높이는 쪽으로 바뀌었다.
법 개정으로 형사처벌이 삭제된 내용에는 개인정보 처리자가 안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우, 정보통신 서비스 제공자가 이용자의 동의를 받지 않고 개인정보를 수집한 경우 등이 포함됐다. 개인정보보호위 관계자는 “안전성 보호 조치 관련 형사처벌 조항의 경우 기업들이 담당자들에게 책임을 전가하는 용도로 사용했다”며 “개개인의 부담이 과중되는 형태로 가니 직원들이 개인정보 보호 업무를 기피하게 되면서 악순환으로 이어졌다”고 설명했다. 그러면서 “기업에 실질적으로 타격이 될 수 있는 것은 매출이기 때문에 경제벌이 실효성이 크다고 판단했다”고 말했다. 다만 개인정보보호법 관련 형사처벌이 전면 삭제된 것은 아니며 자료 은닉·폐기 등 특정 위반 행위에 대해서는 여전히 형사책임이 적용된다.
개인정보 보호 조치에 대한 형사처벌 규정이 사라지면서 기업들이 개인정보 보호를 소홀히 할 수 있다는 우려도 나온다. 황석진 동국대 국제정보보호대학원 교수는 “형사적인 조항이 있다면 개인정보를 취급하는 기업 쪽에서 개인정보를 보호하는 데 심혈을 기울일 수 있지만 그게 빠지면서 돈만 내면 된다고 생각할 수 있다”고 말했다. 이어 “다만 형사처벌이 기업을 위축시킬 수 있다는 우려도 있고, 자진 신고를 기피하게 될 가능성도 있어 법이 그렇게 개정된 면도 있다”고 덧붙였다.
차민주 김이현 기자 lali@kmib.co.kr