개인정보 유출 사고와 관련해 CEO(최고경영자)의 책임을 강화하고 징벌적 과징금 부과가 가능하도록 하는 내용의 개인정보보호법 시행을 앞둔 가운데 산업계와 정부의 이해관계가 엇갈리고 있다.
권세화 한국인터넷기업협회 정책실장은 19일 서울 종로구 법무법인 세종 세미나실에서 열린 '개인정보보호법 개정 동향과 합리적 제도 개선 방안 세미나'에서 "사고의 근본적 원인인 해커 등 범죄자에 대한 제재보다는 기업에 대한 사후적·징벌적 제재에만 과도하게 초점이 맞춰져 있다"고 지적했다.
권 실장은 "대규모 개인정보 유출 사고가 빈발함에 따라 정보 주체를 두텁게 보호해야 한다는 사회적 요구에 깊이 공감한다"면서도 "기업 역시 고도화되는 사이버 범죄의 피해자라는 점을 간과한 채 감내하기 어려운 수준의 과징금과 무과실책임까지 지우려는 일련의 흐름에 대해 산업계는 심각한 우려를 가지고 있다"고 말했다.
그는 "개정법은 반복적이거나 대규모 피해를 유발한 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다"며 "이토록 강력한 규제가 충분한 의견 수렴 과정도 없이 국회를 통과해 국내 데이터 산업 생태계 전반에 악영향을 미칠까 심히 우려된다"고 했다.
특히 무과실책임 도입은 국내 데이터 산업 및 AI 산업에 대한 사망선고와 다름없는 잘못된 방향이라는 입장이다. 무과실책임이란 손해를 발생시킨 특정인에게 고의나 과실 여부와 상관없이 법률상 손해배상 책임을 부과하는 것을 말한다. 권 실장은 "사고 발생 시 기업이 아무리 합리적인 보안 조치를 다 했더라도 과실 유무를 묻지 않고 무조건 손해배상 책임을 지우는 것은 선량한 기업조차 잠재적 범죄 집단으로 취급해 절대적 책임을 강제하는 가혹한 처사"라고 했다.
이에 대해 임종철 개인정보보호위원회 서기관은 "그동안 개인정보 유출 사고가 발생한 기업에 대해 피해자라는 인식이 강해 지나치게 온정적으로 대했던 부분이 있다"며 "피해자이기 때문에 과징금이나 손해배상 제도에서 계속 장벽을 둬왔다"고 말했다.
이어 "지금은 양면성이 있다. 해커에 대한 피해자지만 국민에 대해선 안전조치나 책임을 다하지 않은 가해자의 위치에 있게 될 수도 있다"며 "그동안 제도로 보면 대규모 유출사고가 발생해도 과징금이 2000만~4000만원밖에 안 나온다. 기업 입장에선 완전 땡큐다. 법정 손해배상은 있지도 않았다"고 밝혔다.
임 서기관은 "이제 유출사고를 낸 기업이 가해자로서 어떻게 정당하게 책임질 수 있을지 논의를 시작해야 할 때"라며 "투자나 보험 가입 등 수단을 고민해야 한다. 무과실책임에 있어서도 피해자인 국민은 정보가 없어 소 제기 자체가 어려운 만큼 균형을 맞추자는 측면에서 도입이 필요하다"고 강조했다.