개인정보 유출 과징금 독해진다...중대 유출에는 감경 제한

과징금 산정 때 직전 사업연도-최근 3년 평균 매출 중 큰 금액 기준
오는 9월부터는 매출액 10% 과징금 부과
쿠팡·KT 등 기존 조사 사건에는 개정 규정 적용 안돼

[파이낸셜뉴스] 기업들의 대규모 개인정보 유출 사고가 잇따르고 있는 가운데, 중대한 개인정보보호법 위반행위가 발생한 경우 과징금 감경이 제한되고, 과징금의 기준이 되는 매출액도 3년 평균과 직전 연도 매출액 중 더 많은 매출을 기준으로 삼는 등 과징금 부과 기준이 강화된다.

법 위반 정도가 심각하거나, 피해가 심한 개인정보 유출 사고까지 과징금을 감경해 주도록 한 탓에 솜방망이 처벌이라는 지적을 받아왔는데 개인정보보호위원회가 제재 실효성을 높일 수 있는 제도를 마련한 것이다.

오는 9월 11일 부터는 고의·중과실로 인한 대규모 개인정보 유출 사고가 발생할 경우 전체 매출액의 최대 10%까지 과징금을 부과하는 등 개인정보 유출에 대한 제재 수위가 큰 폭으로 높아진다.

현재는 매출액의 3%가 과징금 상한이다.

개인정보보호위는 과징금 부과 처분의 실효성과 적정성을 높이기 위해 '개인정보 보호법 시행령' 일부개정령과 '개인정보 보호법 위반에 대한 과징금 부과 기준' 고시가 일부개정돼 오는 19일부터 시행된다고 18일 밝혔다.

우선 매우 중대한 위반행위에는 과징금 감경 적용이 엄격해진다. 기존 과징금 부과 기준은 조사 협조나 자율보호 활동 등이 있는 경우 과징금을 깎아주도록 명시하고 있다. 그러나 위반 정도나 피해 규모가 심각한 경우까지 일률적으로 감경기준을 적용해 제재 효과가 떨어지고, 기업의 사고 예방 노력을 유인하는데 한계가 있다는 지적이 제기돼 왔다.

이에따라 위반행위의 중대성이 '매우 중대한 위반행위'에 해당하는 경우 과징금 감경조항을 전부 또는 일부 적용하지 않도록 고시를 개정했다.

과징금 산정 기준도 독해진다.

개정 시행령은 과징금을 계산할 때 '직전 사업연도 매출액'과 '직전 3개 사업연도 연평균 매출액' 가운데 더 큰 금액을 기준으로 과징금을 산정하도록 했다. 기존에는 위반행위가 있었던 사업연도의 직전 3개 사업연도 연평균 매출액을 기준으로 과징금을 산정하고 있다. 이 때문에 정보기술(IT)·플랫폼 기업처럼 매출이 빠르게 증가하는 기업의 경우 실제 경제력에 비해 과징금 산정 기준이 낮아질 수 있다는 비판이 제기됐었다.

다만 이번에 개정된 시행령과 고시는 개정안 시행 이후 발생한 위반행위부터 적용된다.

현재 조사 중인 쿠팡이나 KT 개인정보 유출 사건에는 개정 규정이 적용되지 않는 것이다. 개인정보보호위는 지난해 발생한 쿠팡에 대한 제재를 오는 6월 결론 낼 계획이다.

개인정보위는 "기업의 현재 경제력과 위반행위 정도에 상응하는 과징금을 부과해 중대한 개인정보 침해에 보다 엄정하게 대응하겠다"고 밝혔다.

cafe9@fnnews.com 이구순 기자