개인정보 유출 기업에 전체 매출액의 최대 10%까지 과징금을 매길 수 있게 한 개인정보보호법 개정안이 국회 본회의를 통과했다.

기존 과징금 상한(3%)은 유지하되 피해규모, 과실의 반복·경중에 따라 과징금을 대폭 올리는 조항이 추가됐다.

19일 국회 의안정보시스템에 따르면 국회는 이달 12일 본회의에서 이 같은 내용을 담은 개인정보보호법 개정안을 의결했다.

이 법안은 국무회의 의결을 거쳐 공포되면 6개월 후부터 적용된다.

개정안 제64조에는 △고의 또는 중대한 과실로 과징금 처분을 받은 지 3년이 지나기 전에 법 위반을 한 경우 △고의 또는 중대한 과실로 위반행위를 해 1000만명 이상 대규모 피해가 발생한 경우 △시정조치 명령에 따르지 않아 유출이 발생한 행위에 대해 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있도록 하는 조항이 추가됐다.

개인정보 보호를 위해 예산·인력·설비·장치 등을 투자하고 운영하는 등 사유가 있는 경우에는 과징금을 감경하되 고의 또는 중대한 과실로 인한 위반행위에는 적용치 않도록 했다.

‘유출 가능성 통지제’도 도입됐다.

현행법은 ‘유출 등이 됐음을 알았을 때’ 통지하도록 규정해 통지가 지연되는 문제가 있었으나, 앞으로는 유출 가능성이 있는 단계에서도 정보주체에게 통지토록 했다.

또 개인정보보호책임자(CPO)의 지정·변경·해제 시 이사회 의결을 의무화하고 이를 당국에 신고하도록 하는 신고제가 도입된다.

공공·민간 주요 개인정보처리자에 대해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 등 내부 관리 책임도 강화됐다.

다만 쿠팡 개인정보 유출사태로 만들어진 이 법이 쿠팡에 적용되기는 쉽지 않으리라는 전망이 나온다. 소급적용을 원칙적으로 금지하는 법체계 때문이다. 소급적용은 사건이 현재까지 진행 중인 경우, 피고인에게 득이 되는 경우, 공익적 목적이 압도적으로 큰 경우에 한해서만 예외적으로 허용되곤 한다.

쿠팡은 기존 법대로 전체 매출액의 최대 3% 범위 내에서 과징금 처분을 받을 것으로 보인다. 40조원을 웃도는 매출규모를 고려하면 기존 법에 따라도 1조원 이상의 역대급 과징금이 예상된다.

기존 과징금 부과 방식과 마찬가지로 유출 사안과 관련 없는 매출은 산정 기준에서 제외될 수 있다.

이재걸 기자 claritas@naeil.com