[기고] 개인정보보호법 제2차 개정안의 문제점과 과제
[기고] 개인정보보호법 제2차 개정안의 문제점과 과제
  • 신아일보
  • 승인 2022.01.24 14:01
  • 댓글 0
이 기사를 공유합니다

연기영 동국대 법학과 명예교수
 

지난 2020년 8월부터 데이터 3법이라 불리는 '개인정보보호법, 정보통신망법, 신용정보법'이 개정, 시행되면서 개인정보 보호와 데이터 활용의 기틀이 마련됐지만, 개인정보보호법 2차 개정 추진에 속도를 낼 필요는 여전히 크다.  

현재의 개인정보보호법은 공공과 민간, 온라인과 오프라인을 일관성 있게 관통하는 통합 법률을 마련했다는 점에서 큰 의미가 있다. 하지만, 단순히 정보통신망법을 그대로 가져와 특례규정으로 규정한 물리적 통합에 그쳤기 때문에, 부득이 추가 개정이 필요하다. 

정부(개인정보보호위원회)가  일부 개정법률(안)을 마련하여 입법예고한 것도 이런 문제 의식 때문이라고 생각된다. 

하지만 숙고 끝에 마련된 개정안임에도 적지 않은 문제점이 발견된다. 

첫째, 개정안은 개인정보 국외이전과 관련한 내용을 신설(개정안 제29조의8 및 9)한다. 해외직구 등이 확대되면서 개인정보 국외이전이 증가하고 있는 상황에서 유럽연합의 '일반개인정보보호규정(GDPR)' 등 해외 법제와의 상호 운용성 확보 및 국외이전 개인정보보호를 강화하기 위해서다.

그런데 개정안에는 인증과 적정성에 한정하여 국외이전 방식을 채택하고 있어 미흡하다. 국제적으로 널리 활용되고 있는 '표준계약'의 상호인정 방식 등 좀 더 구체적이고 다양한 방식의 도입이 요구된다.

둘째, 개인정보 전송 요구권이 신설(개정안 제35조의2)된다고는 하지만, 데이터 경제 활성화에 따라 개인정보가 대량으로 유통되고 있는 반면, 정보주체인 소비자(국민)는 이러한 유통 과정에 능동적으로 개입하는 데 한계가 있다는 점을 해결해야 한다.

셋째, 개인정보 규제 및 제재 합리화를 위한 과징금제도의 강화 부문이 가장 문제되고 있다. 특히, 개인정보 유출 기업 등에 대한 과징금을 현재 '법 위반행위 관련 매출액 3% 이하'에서 '총매출액 3% 이하'로 바꾸는 내용이 담겨 있는데, 산업계의 반발이 나오고 있다.

이 기준이 총매출액의 3%로 바뀐다면 대기업의 경우 수조원에 이를 수도 있어 엄청난 파장이 일어날 것으로 우려된다. 물론 유럽연합의 GDPR과 같은 수준의 과징금 제도를 도입하자는 정부의 방침은 이해가 간다. 그러나 국제수준에 맞추어야 한다는 점만을 강조해  법제와 기업환경이 다른 외국의 제도를 무조건 도입하는 것은 신중히 검토할 필요가 있다. 일본에서도 많은 논의가 있었지만 이 제도를 도입하지 않았음을 떠올려 보자.

아울러, 그렇게 부과될 많은 과징금의 용도에 대한 고민도 당부하고자 한다. 위반행위에 대한 제재적 성격도 있지만 부당이득환수의 성격을 갖는다면 그렇게 환수된 자금은 국가가 아니라 피해자인 정보주체를 위하여 활용되거나 법의 취지에 맞게 개인정보보호를 위한 목적으로 사용되어야 할 것이다.

따라서 과징금의 활용제도를 도입하는 내용을 이번 개정안에 포함시켜야 한다고 생각한다. 두 가지 방안을 제안하고자 한다. 첫째, 소비자권익기금 조성재원으로 활용하는 방안을 고려할 수 있다. 

둘째, 개인정보보호법에 과징금의 용도를 제한하는 규정을 두는 방안이다. 우선 과징금을 정보주체인 소비자의 피해를 보상하는 손해지원금으로 사용할 수 있다. 

아직 법안 처리가 안 된 상황이니만큼, 수정에 시간적 여유가 있다. 국회에 계류 중인 이번 개정안에 각계각층의 의견을 수렴하여 적절한 정책방안을 선택하여 추가로 규정할 것을 제안하고자 한다.
 

/ 연기영 동국대 법학과 명예교수

※ 외부 기고는 본지 편집방향과 다를 수 있습니다.

[신아일보]

master@shinailbo.co.kr