정부기관과 통신사의 네트워크에 대한 해킹이 일상화되고 있다. 이로 인해 과징금 부과가 잦아질 전망이다. 기업에 과도한 부담을 지우지 않으면서도 제재의 실효성을 거둘 수 있는 합리적인 과징금 기준을 모색해야 할 시점이다.

1980년 법률 제3320호로 제정된 공정거래법 제6조는 시장지배적 사업자가 경제기획원장관의 가격인하 명령을 이행하지 않을 경우 인상분 차액에 해당하는 금액을 국고에 납부하도록 규정하였는데 과징금의 기원으로 평가된다. 이후 과징금은 부당이득 환수 기능과 제재(억지) 기능이 결합된 형태로 일반화됐다. 실제 운용 중심축은 점차 제재 기능 쪽으로 이동하고 있다.

문제는 이 논리가 개인정보보호법 영역에 거의 가공 없이 이식되면서 안전성 확보조치의무 위반에도 공정거래법의 ‘관련매출액 × 기준율’ 프레임이 관성적으로 적용되고 있다는 점이다. 보안조치 미비가 사업자에게 직접적·가시적 형태의 부당이득을 발생시키는 경우는 구조적으로 드물다.

안전성 확보조치 의무 위반과 관련된 과징금의 실질은 ‘순수한 제재’로 이해하는 편이 합리적이다. 그럼에도 불구하고 현행 체계는 여전히 관련매출액을 과징금 산정의 대리변수로 사용한다. 이는 매출액 규모가 위반행위로부터 직·간접적으로 영향을 받거나, 위반행위를 통해 경제적 이익이 창출·보전되었다는 전제를 함축하고 있어 과징금에 부당이득 환수 성격이 기본적으로 내재한다는 해석을 뒷받침한다.

합리적인 과징금 기준 모색해야 할 시점

따라서 부당이득 환수 구조가 약한 안전성 확보조치의무 위반은 관련매출액을 대리변수로 삼는 방식이 아니라 ‘정액+책임·위험 가중’ 구조로 재설계해야 한다. 현행 법제는 ‘관련매출액 연동형 과징금’과 ‘정액 과징금’을 구분하고 있다. 안전성 확보조치 의무 위반이 실질적으로 제재·억지 목적만을 담고 있고, 명백한 부당이득 귀속 구조가 약하다면 이를 ‘매출액 산정이 곤란한 경우’로 해석해 정액 과징금을 적용하는 것이 법리적으로 타당하다. 여기서 ‘매출액 산정이 곤란’한 경우란 위반행위로 인한 부당이득을 객관적으로 특정하거나 존재 자체를 확인하기 어려운 경우를 포함한다고 해석할 수 있다.

또한 막대한 규모의 과징금은 법적 효과 측면에서 사실상 형벌에 준하는 중대한 재산상 불이익을 초래할 수 있다. 그럼에도 행정제재라는 이유로 위반 인정 요건의 증명강도를 과도하게 낮게 둘 경우, 책임주의 원칙에 대한 잠식이 우려된다. 기술·관리적 통제에 본질적 한계가 있는 개인정보보호 영역에서는 ‘위반’ 인정 단계에서 단순한 ‘추정’에 그치지 않고 과학적·기술적 분석에 근거한 고도의 개연성을 확보하는 방향으로 증명 기준을 정교화할 필요가 있다.

입법정책적 관점에서 책임주의의 재확인은 중요하다. 과징금은 전통적으로 객관적 위반사실만으로 부과가 가능하다고 봐 왔지만 각 분야 법령은 점차 고의·과실, 위반기간, 예방조치 수준 등을 가중·감경 요소로 명문화하는 추세다.

안전성확보 위반, 정액과징금 적용해야

안전성 확보조치 위반에 대한 과징금 체계는 부당이득 환수 기능이 미약하거나 부재한 경우 정액 과징금 또는 기본액+조정계수 모델을 우선 적용하는 것이 좋다. 또 제재·억지 기능은 책임주의(고의·과실)와 위험관리 수준을 정교하게 반영해야 한다. 증명 강도는 과징금 규모가 중대할수록 형벌적 효과를 고려해 상향(고도의 개연성) 조정하는 방향으로 재설계될 필요가 있다.

김태오 국립창원대 법학과 교수