개인정보 유출 사고 나면 기업 대신 직원만 속 탄다

개인정보 유출 사고가 발생했을 때 개인정보처리자를 형사처벌하는 법제를 수정해야 한다는 주장이 지속적으로 힘을 얻고 있다.

개인정보 보호 책임 강화 차원에서 이런 제도가 마련됐으나 유출 사고 이후 보안 체제를 강화하는 데 실질적으로 기여하는 바가 없다는 분석이 나온다. 인재들의 정보보호 업계 진입을 저해하는 역효과도 발생한다는 설명이다.

11일 보안업계에 따르면 개인정보처리자 개인에 대한 처벌 부담을 줄이고 기업이 지불해야 하는 과징금 규모를 키워야 한다는 주장을 지지하는 목소리가 높다.

■수천만원 벌금 낼까 두려워 개인정보 처리 업무 기피하기도

개인정보보호법은 제74조 양벌규정을 통해 개인정보보호법을 위반한 법인과 담당자를 함께 처벌하고 있다.

수천만원 수준의 과징금이 기업에게는 상대적으로 가벼운 반면, 개인정보 처리 업무를 맡은 직원에게는 과도한 부담을 지운다는 지적이다.

이민수 한국정보보호산업협회(KISIA) 협회장은 "개인정보 유출 사고를 일으킨 기업에 대한 벌금 수준이 해외에 비해 낮은 편"이라며 "개인정보처리자에 대한 형사처벌은 보안 체계를 제대로 고치려는 노력을 유도하기보다 담당 임원에게 책임을 지우고 끝내버리는 결과를 초래할 수 있다"고 주장했다.

이같은 형사처벌 규정을 도입하게 된 것은 개인정보보호법이 제안된 지난 2008년 당시 대형 개인정보 유출 사고가 이슈화되면서 사회의 경각심이 높아졌기 때문이다.

그러나 현행법 상 개인정보 개념이 모호하다는 문제와 결합되면서 법안의 부작용이 크게 나타났다. 고환경 법무법인 광장 변호사는 "형사처벌 조항은 (정보 주체의) 사전동의 기반 규제인데, 개인정보의 법적 개념은 불명확하다"며 "기업은 개인정보를 활용한 소프트웨어 개발이나 빅데이터 분석을 할 때마다 이를 다 따져봐야 하지만 기준이 명확치 않다"고 지적했다.

이어 "문제가 생길 경우 개인정보처리 인력들이 검·경찰 조사를 받게 된다"며 "인력들이 관련 직무를 기피하게 되는 부작용이 크다"고 덧붙였다.

■"직원 형사처벌 대신 기업 과징금 키워야"

개인정보처리자에 대한 형사처벌 조항에 문제가 있다는 지적에 더해 개선책들도 제시되고 있다.

신용우 국회 입법조사처 입법조사관은 지난 2일 발행된 '유럽의 개인정보 안전성 확보 강화' 보고서를 통해 국제적 기준이 되고 있는 유럽 일반개인정보보호법(EU GDPR)의 조항을 참고할 것을 제안했다.

보고서에 따르면 유럽 주요국과 GDPR은 개인정보 해킹, 유출 방지 등을 위한 의무 규정과 함께 위반 시 거액의 과징금을 부과하고 있다. 조사 대상국 중 프랑스만 보안 조치를 취하지 않은 경우에 한해 개인정보처리자에게 5년 이하의 징역 또는 30만 유로(약 3억9천만원)의 벌금을 부과하도록 하고 있다.

신용우 조사관은 "향후 관련 법안 개정 논의 시 고의성이 없는 단순한 기술적·관리적 조치 의무 위반의 경우, 그로 인해 개인정보 유출이 있었더라도 담당자 형사처벌보다 기업에 과징금을 부과하되 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과하는 방안에 대해서도 참고할 필요가 있다"고 언급했다.