개인정보 보호법 위반 시 전체 매출의 ‘3%’ 과징금 부과
과도한 부과 막는 단서 마련돼...기업이 소명하는 위반행위 미관련 매출액 제외
[보안뉴스 박은주 기자] 전면 개정된 개인정보 보호법(이하 보호법)이 9월 15일부터 본격 시행된다. 지난 3월 14일 법안 공포 후 후속 시행령에서는 △정보주체의 권익 보호 △온·오프라인 이중 규제 등 개선 △공공기관 안전성 강화 △글로벌 스탠다드 등으로 다양해 국민의 개인정보 처리 과정에 많은 변화가 예상된다. 이중 국제표준(글로벌 스탠다드)에 맞게 반영된 국내 과징금 제도 변화에 기업의 CPO, CISO, 개인정보보호 담당자들이 주의를 기울이고 있다.
[이미지=gettyimagesbank]
개정된 법안에 따르면 ‘과징금 부과 기준’은 GDPR 등 국제 표준에 맞춰 ‘전체 매출액’의 3%로 산정하는 방식으로 개정됐다. 다만, 책임의 범위를 벗어난 과도한 과징금 산정을 예방하기 위한 목적이라는 단서가 붙었다. 기업이 직접 소명한 자료를 바탕으로 개인정보보호위원회(이하 개인정보위)의 심사를 거친 위반행위와 관련되지 않은 매출액을 전체 매출액에서 제외하는 방안이다.
기존 법안에서는 개인정보위가 직접 산정하는 기준의 ‘위반행위 관련 매출액’으로 산정됐다. 이 과정에서 기업과의 갈등으로 소송에 휘말리는 등 과징금 부과에 어려움이 따랐다. 법안 개정으로 이 부분의 어려움을 해소하게 됐다는 평가다. 만일 기업에서 위반행위와 관련 없는 매출액을 소명하지 않는다면 기업의 전체 매출액의 3%를 부과하게 된다.
개인정보 유출 사고가 발생 시, 위반행위의 중대성에 따라 과징금 액수가 달라진다. 위반행위의 중대성을 판단하는 사항으로 △위반행위의 내용 및 정도 △암호화 등 안전성 확보 조치 이행 노력 △개인정보가 분실·도난·유출·변조·훼손된 경우 위반행위와의 관련성 및 규모 △개인정보처리지가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향 △ 위반행위로 인한 정보주체의 피해 규모가 종합적으로 고려된다.
▲위반행위의 중대성에 따른 과징금 부과금액 표[자료=개인정보위]
과징금 산정의 기준금액은 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액에 위반의 중대성에 따라 구분되는 과징금의 산정비율을 곱해 산출한 금액이다.
▲영업실적을 산정하지 못할 시, 위반행위의 중대성에 따른 과징금 부과금액 표[자료=개인정보위]
한편, 보호법 시행령 제60조의2 제2항에 따라 영업실적을 산정하지 못하는 경우에는 위와 같은 기준으로 과징금이 산정된다.
과징금 조정 과정
과징금은 기준금액 산정기준에 따라 1차 조정, 2차 조정, 부과 과징금 결정을 순차적으로 책정한다.
- 1차 조정 : 위반행위의 기간 및 횟수, 위반행위로 인해 취득한 이익의 규모, 개인정보처리자의 업무 형태 및 규모를 고려해 산정된다. 기준금액의 90% 범위에서 개인정보위가 고시하는 기준에 따라 금액을 높이거나 낮출 수 있다.
- 2차 조정 : 2차 조정에서는 과징금 기준금액 산정 및 1차 조정 단계에서 고려된 사항을 제외하고 △개인정보위와 협조 등 위반행위를 시정하기 위한 조치 여부 △위반행위로 인한 피해의 복구 및 피해 확산 방지 조치의 이행 여부 △개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력 △위반행위의 주도 여부 △위반행위 사실의 자진신고 여부를 종합적으로 고려하게 된다. 이에 따라 1차 조정을 거친 금액의 50% 범위에서 개인정보위가 고시하는 기준에 따라 금액을 더하거나 줄일 수 있다.
- 부과 결정 : 산정된 과징금이 과중하다고 인정되는 경우 해당 금액의 90% 범위에서 줄일 수 있다. 과징금 감경은 위반행위자의 현실적인 부담능력, 경제 위기 등으로 위반행위자가 속한 시장·산업 여건이 현저하게 변동·악화되는 상태에 따라 결정된다. 또한, 보호법 제64조의2 제5항에 따라 과징금을 낼 능력이 없다고 인정되는 경우, 위법행위를 인식하지 못한 정당한 사유가 있는 등의 경우에는 과징금을 부과하지 않을 수 있다.
과징금 부과 및 납부과정
개인정보위는 과징금을 부과할 때 위반행위를 조사 및 확인을 거쳐야 한다. 위반 사실과 부과금액, 이의 제기 방법과 기간 등을 서면으로 명시해 과징금 부과 대상자에게 통지할 의무가 있다. 과징금은 30일 안에 개인정보위가 지정하는 금융기관에 납부해야 하며, 금융기관은 영수증을 발급하고 개인정보위에 통보해야 한다.
한편, 중소·영세사업자의 등 과징금 부담능력을 감안해 과징금 납부기한을 2년 내에서 연기하거나 분할로 납부할 수 있다. 납부 기간은 6개월을 초과할 수 없으며, 분할 횟수는 6회를 넘을 수 없다. 보호법에서 규정한 사항 외에 과징금 납부기한 연기 및 분할 납부 신청 등에 필요한 사항은 개인정보위가 정해 고시한다.
국내외 과징금 납부사례
개인정보위는 지난 2022년 9월 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용한 이유로 구글과 메타에 총 1,000억원의 과징금을 부과했다. 개인정보위가 부과한 역대급 과징금에 구글과 메타는 유감을 표하며 행정소송을 검토하기도 했다.
한편, 유럽연합(EU)의 경우 GDPR(유럽연합의 데이터보호규정)은 규정을 위반할 시 전 세계 연 매출액의 4% 또는 2,000만유로(한화 약263억 2,000만원) 중 높은 금액을 과징금으로 부과하게 된다. 이에 유럽 시장에 진출하는 기업은 ‘적정성 결정’을 받거나, 표준계약(Standard Contractual Clauses)을 체결해야 한다. 다만, 이 과정에서 비용·시간이 많이 드는 데다 지속적인 업데이트가 필요해 기업들이 몸살을 앓고 있다.
일례로, 지난 5월 EU는 페이스북 모기업 메타에 유럽 사용자 정보를 미국으로 무단 유출한다는 이유로 13억 달러(약 1조 7,100억원)의 벌금을 부과했다. 유럽에서 데이터보호규정(GDPR)이 제정된 이래 역대 최대 과징금으로 꼽혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>