19일 한국인터넷기업협회와 법무법인 세종이 서울 종로구 법무법인 세종 세미나실에서 '개인정보 보호법 개정 동향과 합리적 제도 개선 방안 세미나'를 주최했다.
이날 세미나는 법무법인 세종과 한국인터넷기업협회가 공동으로 주최했다.
권세화 한국인터넷기업협회 실장은 “과징금 상향이라는 중대한 사안이 국회에서 제대로 의견을 받지 못하고 일주일 만에 통과돼 아쉽다”면서 “이에 무과실 책임까지 입법이 될 거란 이야기가 나오면서 우려가 되고 있다”고 말했다.
오는 9월 11일 시행을 앞둔 개인정보보호법은 반복적이거나 중대한 개인정보 보호법 위반, 반복적이거나 중대한 위반 행위에 대해서는 전체 매출액의 최대 10%까지 과징금 부과가 가능해지면서 기업 부담이 커진 상황이다. 여기에 정부와 여당은 기업 손해배상 책임을 강화하는 개인정보보호법 2차 입법을 추진 중이며, 기업 스스로 과실이 없음을 입증하도록 하는 구조로 무과실책임을 도입하자는 제언도 이어지고 있다. 개인정보 유출 사건에서 피해자가 기업 내부 시스템, 로그, 보안정책을 알기 어려워 과실·인과관계를 입증하기 어렵다는 이유에서다.
기업에서는 보안비용·보험료 급등과 함께 사업 위축에 대해 우려하고 있다. 이날 ‘개인정보 관련 기업 무과실책임 도입 논의의 쟁점’을 주제로 발제한 박창준 법무법인 세종 변호사는 무과실책임이 도입된 환경오염·원자력·자동차 등과 달리 외부 행위자(해커)의 존재가 있기 때문에 특성이 다르다는 점을 고려해야 한다고 밝혔다.
박 변호사는 “GDPR에서 사업자에게 ‘가능한’ 안정성 확보 조치를 취하도록 규정하고 있다는 표현에 비춰봤을 때 책임을 지우는 건 법체계상 맞지 않다”고 제언했다. 이어 “정책적 관점에서 무과실 책임 도입보다는 조사 기관의 조사 역량, 권한 강화 방안을 강구해 그걸 토대로 피해자가 손해배상을 청구할 수 있는 구조가 낫다”고 부연했다.
GDPR은 유럽연합의 개인정보보호법으로, 2021년 EU 집행위가 한국에 대해 GDPR 적정성 결정을 채택했다. 경계가 없는 IT 환경 속 GDPR 기준을 함께 고려해야 하는 구조다.
임종철 개인정보보호위원회 서기관은 산학계의 우려에 정보 유출 사고 발생 시 피해자를 고려해야 한다고 반박했다.
임 서기관은 “평균적인 수준의 보호가 이뤄지게 되면, 유출 사고 발생시 가해자가 있지만 피해자인 정보주체 입장에서는 아무도 책임을 지지 않는 상황이 된다”라며 “유출 기업이 안전 조치를 열심히 했고 어쩔 수 없는 해킹에 의해서 발생한 사건이라면 불가피성을 입증하면 되는 부분”이라고 말했다. 이어 “(제도 강화는) 정보 유출 사고가 계속 이어지는 상황에서 선제적 투자와 리스크를 막기 위한 보험이나 기타 수단을 마련해야하는 시점”이라고 강조했다.
개인정보위는 법 개정에 속도를 낼 방침이다. 임 서기관은 “국회와 법안 소위 일정을 논의하고 있는 단계로 지방선거 전에는 소위가 열리지 않을까 기대하고 있다”라고 말했다.
