"개인정보유출 책임, 담당자 개인→기업 법인 책임으로 바꾸자"

[이데일리 이재운 기자] 개인정보 유출 사고가 발생했을 때 개인정보담당자 형사처벌 대신 법인에 과징금을 부과, 기업의 책임을 강화하는 개인정보보호법 개정안이 발의됐다.

16일 국회 행정안전위원회 김병관 의원(더불어민주당·성남분당갑)은 “개인정보의 안전성 확보 조치를 했음에도 불구하고 해킹 등에 의해 개인정보가 유출되었을 경우 개인정보 담당자인 종업에게까지 부과하는 형사처벌 조항은 삭제하고, 법인에게 높은 수준의 과징금을 부과하여 개인정보 보호책임자와 실무자에 대한 법적 보호조치를 마련하고 기업의 책임을 강화하기 위해 개정안을 대표 발의했다”고 밝혔다.

이 개정안은 김병관 의원 외에도 강훈식, 김관영, 김영진, 김진표, 김현권, 안호영, 윤영일, 이원욱, 전현희, 정성호 의원이 공동발의했다.

현행 개인정보보호법과 정보통신망법에서는 고의성 없는 개인정보 유출의 경우의 실무자에 대한 형사처벌을 규정하고 있다. 지난 2008년 옥션 등 당시 대형 개인정보 유출 사고가 사회적 문제로 불거지면서 담당자들의 경각심 환기를 위해 마련됐다. 하지만 정보통신 기술의 발달로 보안기술 수준이 향상되는 반면, 해커에 의한 사이버 공격 또한 치밀해 지고 그 수도 급격하게 증가하고 있는 상황에서 담당자 개인에게 책임을 지워 우수한 정보보호인력이 개인정보보호 업무를 회피하는 결과가 초래되고 있다는 것이 현장의 지적이다.

국회 입법조사처에서도 이달 내놓은 ‘유럽의 개인정보 안전성 확보 강화’ 보고서를 통해 “고의성이 없는 단순한 기술적·관리적 조치 의무 위반의 경우, 그로 인해 개인정보 유출이 있었더라도 담당자 형사처벌보다 기업에 과징금을 부과하되 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과하는 방안에 대해서도 참고할 필요가 있다”고 지적했다.

김 의원은 “대부분의 기업과 정보호호 담당자들은 개인정보보호를 위해 기술적 안전성 조치를 취하고 있지만 날로 발전하는 해킹에 의한 유출사고는 일어날 수밖에 없다”며 “기술적 안전조치라는 것이 어느 수준이어야 하는지는 모호한 상황에서 개인정보가 유출되었을 때 개인정보 담당자에게 형사처벌까지 하는 것은 과도한 처벌”이라고 주장했다.

이어 “고의적인 침해행위에 대해서는 형사처벌을 비롯해서 엄중하게 처벌해야 하지만 고의성이 없는 단순한 기술적 안전성 확보 조치 위반의 경우에는 담당직원의 책임보다 기업 차원에서의 철저한 대비가 필요한 부분”이라며 “이로 인한 유출시에는 기업에게 책임을 물게 하는 것이 합리적이고 마땅하다”고 강조했다.

김병관 국회의원