박종민 기자개인정보보호위원회가 반복적으로 또 중대한 정보 유출 사고를 일으킨 사업자에 대해 징벌적 과징금을 물릴 수 있는 방안을 마련한다.
개인정보위원회는 4일 현행 개인정보보호법상 과징금 제도와 손해배상 제도 보완이 필요하다며 중대·반복적 사고를 일으킨 개인정보처리자에 대한 징벌적 과징금과 정보주체에 대한 실질적 피해구제가 가능한 실효적 손해배상에 대해 제도개선책을 신속히 마련하겠다고 밝혔다.
3천만명이 넘는 이용자 정보가 유출된 쿠팡 사례에서 보듯이 중대한 정보유출 사고를 일으켜도 과징금이 최대 매출의 3%에 불과해 사고가 반복되고 있다는 지적에 따른 것이다.
개인정보위에 따르면 현행 개인정보보호법 상 과징금과 손해배상은 별개 제도로 상호 결합될 수 없다.
과징금은 행정기관인 개인정보위가 개인정보를 유출하거나 침해한 개인정보처리자(사업자 등)에 대해 전체 매출 3% 내에서 부과하는 행정처분이다.
전체 매출액은 위반행위가 있었던 사업연도 직전 3개 사업연도 해당 개인정보처리의 연평균 매출액을 기준으로 삼는다.
개인정보위는 개인정보처리자에게 전체 매출액 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
다만, 매출액이 없거나 매출액 산정이 곤란한 경우로서 대통령령으로 정하는 경우 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
손해배상은 민사소송 일종으로, 법원이 개인정보 유출 등으로 피해를 입은 정보주체(개인)에게 손해액 5배를 넘지 않는 범위에서 배상을 결정하는 판결이다.
개인정보처리자 고의 또는 중대한 과실로 인해 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다.