대규모 개인정보 유출 사고가 잇따르는 가운데, 정부와 더불어민주당이 기업의 과실 여부와 관계없이 개인정보 유출 시 손해배상 책임을 지우는 초강경 입법에 나선다.
사실상 기업이 스스로 책임이 없음을 모두 입증하지 못하면 배상 책임을 지도록 하는 구조로, 개인정보보호 체계가 근본적으로 바뀔 전망이다.
더불어민주당과 개인정보보호위원회는 4일 국회에서 당정협의를 열고 이 같은 내용을 골자로 한 개인정보보호법 전면 개정을 추진하기로 했다.
이번 논의는 최근 SK텔레콤, 쿠팡, LG유플러스, 서울시 공공자전거 ‘따릉이’ 등에서 대규모 개인정보 유출 사고가 연이어 발생하며 국민적 불안이 커진 데 따른 것이다.
현행 개인정보보호법은 유출 피해자가 손해액을 입증하지 못하더라도 법원이 배상액을 정할 수 있도록 하고 있지만, 기업이 고의나 과실이 없음을 입증하면 면책이 가능하다.
당정은 이 조항에서 ‘고의 또는 과실’ 요건 자체를 삭제하기로 했다.
이에 따라 개인정보가 유출될 경우, 기업은 안전조치 의무를 모두 이행했고 귀책 사유가 없다는 점을 전면적으로 입증하지 못하면 손해배상 책임을 지게 된다.
개인정보보호위원회 관계자는 브리핑에서 “개인정보 처리자가 모든 안전조치를 다 했고, 귀책 사유와 책임이 없음을 모두 입증한 경우에만 면책을 허용하는 방향”이라며 “법정 손해배상 제도에서 사업자 책임성을 대폭 강화하는 조치”라고 설명했다.
한정애 민주당 정책위의장은 “대규모 개인정보 유출이 반복되며 국민의 불안이 극에 달했다”며 “과실 유무를 떠나 기업의 법적 책임을 강화할 필요가 있다”고 밝혔다.
또 당정은 해킹 등으로 유출된 개인정보가 다크웹 등에서 거래되며 2차 범죄로 이어지는 현실을 고려해, 유출된 개인정보임을 알면서도 이를 구매·제공·유포하는 행위를 금지하는 형벌 규정을 개인정보보호법에 신설하기로 했다.
박상혁 민주당 정책위 사회수석부의장은 “불법 유통된 개인정보가 보이스피싱, 금융범죄 등으로 재활용되는 고리를 끊기 위한 조치”라고 설명했다.
개인정보 유출 사고 발생 시 정부의 조사 권한도 대폭 강화된다.
당정은 유출 기업이 조사에 비협조하거나 시정명령을 이행하지 않을 경우, 이행강제금을 부과할 수 있는 법적 근거를 마련하기로 했다.
또한 유출 사고가 발생하면 접속기록 등 핵심 증거를 보존하도록 하는 ‘증거보존 명령’ 제도도 새로 도입된다.
대규모 개인정보 처리자에 대해서는 정기 실태 점검도 실시한다.
박 수석부의장은 “그동안 사고가 발생해도 정부가 실질적으로 강제할 수 있는 수단이 부족했다”며 “이행강제금 규모는 시행령 검토를 거쳐 정하게 될 것”이라고 밝혔다.
아울러 정부는 개인정보 유출 피해가 확산되기 전에 즉각 차단할 수 있도록 ‘긴급 보호조치 명령’ 제도를 도입하기로 했다.
유출이 확인되면 서비스 중단, 접근 제한 등 즉각적인 조치를 명령할 수 있도록 해 2차 피해를 사전에 봉쇄하겠다는 취지다.
박 수석부의장은 “정부가 신속한 입법을 요청한 만큼, 당도 관련 법안이 차질 없이 처리되도록 하겠다”고 말했다.김상태기자