쿠팡의 대규모 개인정보 유출 사태 관련 과징금 발표가 임박한 가운데, 정부가 과징금 제도를 개편한다. 매출이 빠르게 증가한 플랫폼 기업에 기존 기준을 적용하면 제재가 약해지는 구조가 문제로 지적되자 정부는 결국 '더 큰 기업에는 더 무거운 책임' 원칙을 제도에 반영하기로 했다.
개인정보보호위원회는 개인정보 보호법 위반에 대한 과징금 부과처분의 실효성과 적정성을 높이기 위한 '개인정보 보호법 시행령' 일부개정령안과 '개인정보 보호법 위반에 대한 과징금 부과기준'(고시) 일부개정안이 오는 19일 시행된다고 18일 밝혔다.
이번 시행령 및 고시 개정에 대해 개인정보위는 "최근 대규모 개인정보 유출사고가 반복적으로 발생하는 상황에서 과징금 부과의 기준이 되는 매출액 산정기준을 강화하고, 매우 중대한 위반행위에 대해서는 보다 엄정한 제재가 가능하도록 하기 위해 추진됐다"고 설명했다.
과징금 산정 기준이 전면 손질된다. '더 큰 매출'을 기준으로 삼는 방식이다. 기존에는 위반행위가 있던 사업연도 직전 3개년 평균 매출을 기준으로 삼았다. 앞으로는 직전 사업연도 매출과 3개년 평균 매출 중 더 큰 값을 적용한다. 성장 속도가 빠른 기업일수록 과징금이 더 커진다.
이번 개편은 IT·플랫폼 기업을 정조준한 성격이 짙다. 매출이 단기간에 급증한 경우 과거 평균치만으로는 현재 시장 지배력과 경제력을 반영하기 어렵다는 판단이다. 규제 사각지대를 줄이겠다는 취지다.
개정안에는 과징금 감경 제한 규정도 포함됐다. 위반 행위가 매우 중대한 경우에는 조사 협조나 자율보호 활동을 이유로 한 감경을 전부 또는 일부 적용하지 않을 수 있다. 대규모 개인정보 유출처럼 피해가 큰 사건에는 예외를 두지 않겠다는 방향이다.
다만 이번 규정은 시행 이후 발생한 위반행위부터 적용된다. 이미 종료된 사안에는 기존 규정이 그대로 적용된다. 행정기본법상 소급 적용 금지 원칙을 따른 조치다.
개인정보위 관계자는 "기업의 법 위반에 대한 제재의 실효성과 책임성을 높이기 위한 것"이라며 "기업의 현재 경제력과 위반행위 정도에 상응하는 과징금 부과를 통해 중대한 개인정보 침해에 보다 엄정하게 대응하겠다"고 밝혔다.
한편 쿠팡은 3000만건이 넘는 대규모 개인정보 유출 사고로 개인정보보호위원회의 과징금 부과를 앞두고 있다. 쿠팡 Inc의 연간 매출은 최근 가파른 증가세를 이어가고 있다. 2023년 약 244억달러(약 36조6000억원)에서 2024년 약 302억7000만달러(약 45조4000억원)로 크게 확대됐다. 지난해에에는 약 345억3000만달러(51조7000억원)까지 늘어난 것으로 추정된다. 과징금 산정기준을 두고 논란이 일었던 배경이다.
개인정보위는 이르면 상반기 중 쿠팡에 대한 과징금 규모를 발표할 예정이다. 하지만 이번 과징금 산정과정에는 소급 적용 금지 원칙에 따라 새로운 기준을 적용하지 못한다.