15일 국회 정무위원회 법안심사제1소위원회에서 강준현 위원장이 의사봉을 두드리고 있다. 임현동 기자

기업이 고의나 중대한 과실로 개인정보를 대규모 유출하면 전체 매출액의 최대 10%를 과징금으로 부과하는 법안이 국회 첫 문턱을 넘었다. 고객 개인정보 3370만건을 유출한 쿠팡 사태가 계기가 됐다.

국회 정무위원회 법안심사1소위원회는 15일 박범계 더불어민주당 의원과 김상훈 국민의힘 의원 등이 발의한 개인정보보호법 개정안을 심사·처리했다.

과징금 기준, 매출액 3%서 3배 이상 확대

서울의 한 쿠팡 차고지에 배송 트럭들이 주차돼 있다. [연합뉴스]

개정안은 반복적이거나 중대한 개인정보 침해가 발생하면 전체 매출액의 최대 10% 또는 50억원까지 과징금을 부과하는 내용이 핵심이다. 현행 개인정보보호법은 위반 행위와 관련된 매출액의 3% 이내 혹은 20억원까지만 과징금을 부과할 수 있다.

다만 개인정보가 유출된 모든 사고에 과징금을 부과하는 것은 아니다. 최근 3년 내 고의·중과실로 위반행위를 반복했거나, 고의·중과실로 1000만명 이상의 정보 주체에게 피해를 입혔거나, 정부의 시정 명령을 이행하지 않아 개인정보가 유출된 경우 등 중대 위반 사항에 한해서만 징벌적 과징금을 부과한다.

중대 위반 사항이 아닌 경우에는 기존과 동일하게 매출액의 3% 이내에서 과징금을 부과한다. 대규모 개인정보를 유출한 쿠팡 사태가 사회적 논란으로 부상하면서 징벌적 손해배상 성격의 과징금 제도를 적용하는 것이다.

SK텔레콤·쿠팡에 소급 적용 안해 

3일 오후 국회 정무위원회에서 ‘쿠팡 개인정보 유출’ 긴급질의가 진행되고 있다. 박대준 전 쿠팡 대표이사가 의원 질의에 답하고 있다. 장진영 기자.

김상훈 의원 등은 법안 제안 설명을 통해 “최근 주요 기업에서 개인정보 유출 사고가 전방위로 발생함에 따라 개인정보 보호에 대한 신뢰가 저하되고 있다”며 “이에 반복적이거나 중대한 개인정보 침해행위에 대해 보다 강력한 과징금 제도를 마련해 현행 제재 수단의 한계를 보완하려는 것”이라고 설명했다.

다만 이번 개정안이 향후 본회의를 최종 통과하더라도 개정안을 시행하기 전에 발생했던 개인정보 유출 사고의 경우 법안을 소급 적용하지 않기로 했다. 개정안 발의의 계기였던 쿠팡과 약 2300만명의 개인정보를 유출한 SK텔레콤은 이번 개정안을 적용받지 않는다.

소위를 통과한 개정안은 앞으로 국회 법제사법위원회를 통과해야 한다. 이에 대해 국회 정무위원회 강준현 의원(더불어민주당·세종을)은 “이번 개정안은 여야가 합의한 사안이라 법제사법위원회에서도 큰 이견이 없을 것”이라고 예상했다.