국내 기업들의 개인정보 보호에 대한 이해도를 고려할 때, 선우밥 팀이 유별난 사례는 아니다.
한국인터넷진흥원(KISA)가 발간한 ‘2021 국가정보보호백서’에 따르면 ‘개인정보 보호가 중요하다’라고 응답한 사업체는 92.4%로 조사됐지만 정작 공식 문서로 개인정보 보호 정책을 수립한 기업은 22.5%에 불과했다. 예산과 전문인력 부족 등이 원인으로 꼽힌다. 개인정보 보호의 중요성에 대해선 그나마 인식하고 있지만, 현실이 따라 주지 않는다는 것.
이에 정부와 국회에서는 개인정보 처리자가 고의 또는 과실로 정보주체의 권리를 침해할 경우 금전적 제재를 해야 한다는 공감대가 형성됐다. 개인정보위는 개인정보 보호법 2차 개정안을 통해, 국회 또한 개인정보위와 유사한 법률안을 발의하며 적극 호응에 나섰다. 국회는 개인정보 보호법 일부개정법률안을 통해 과징금 기준 상향을 명시했다. 현재 발의된 3개 개정안 모두 개인정보 처리자에게 ‘전체 매출액의 3%’를 과징금으로 물리는 내용을 골자로 하고 있다.
과징금에 대해 산업계는 반발한다. 2월 8일 개인정보 보호법 2차 개정안에 대한 의견을 수렴하기 위해 개최된 온라인 공청회에 참석한 김현종 삼성전자 상무는 “삼성전자의 2020년 기준 전체 매출이 237조 원이고 한국 본사 기준으로 하면 166조 원”이라며 “3%를 적용하면 전 세계 매출 적용 시 7.2조 원의 과징금이 산출된다. 한국 기준으로 해도 5조 원 이상”이라고 토로했다.
지난 10일 산업계는 ‘개인정보 보호법 개정안에 대한 입장’이라는 성명을 발표하며 ‘전체’ 매출액 기준의 부과기준을 반드시 철회해야 한다고 주장했다. 해당 성명에는 벤처기업협회, 중소기업중앙회, 코리아스타트업포럼, 한국게임산업협회, 한국여성벤처협회, 한국인터넷기업협회 등이 함께했다.
시민단체는 산업계에 맞불을 놨다. 진보네트워크센터와 참여연대 공익법센터, 건강과대안, 경제정의실천시민연합, 무상의료운동본부, 민주사회를위한변호사모임 디지털정보위원회, 서울YMCA 시청자시민운동본부, 전국민주노동조합총연맹, 전국사무금융노동조합연맹 등 9개 시민사회단체는 성명을 통해 “(전체 매출액 기준은) 기업들이 오랫동안 요구해 온 것”이라며 “형사처벌도 싫고 과징금 규모를 높이는 것도 싫다면, 개인정보 침해에 대해 제대로 책임을 지지 않겠다는 것 아닌가”라고 지적했다.
산업계와 시민단체의 엇갈린 주장에 대해 개인정보위는 시민단체의 손을 들어줬다. 다만 시행령에 8가지 항목을 둬 과징금을 낮출 수 있다는 단서 조항을 달았다.
개인정보위가 태도를 고수한 데에는 ‘입증 책임’이 주효했다.
윤종인 개인정보위 위원장은 “내부적으로 토론이 있었지만 ‘위반행위 관련 매출액’에서 ‘전체 매출액’으로 올리기로 결정했다. 가장 큰 이유는 입증 책임”이라며 “위반행위 관련 매출액이라고 하면 그 입증 책임을 위원회에서 져야하는데, 해당 기업에서 자료를 주지 않으면 관련 매출액을 계산해낼 방법이 없다”라고 설명했다.
특히 페이스북의 개인정보 유출 조사 과정이 영향을 미쳤다. 개인정보위는 페이스북이 2012년부터 약 6년간 국내 이용자 약 330만 명의 개인정보를 유출한 건에 대해 67억 원의 과징금을 부과한 바 있다. 하지만 해당 조사 과정에서 페이스북의 거짓 자료, 불안전한 자료 제출로 애를 먹었고, 조사 개시부터 처분까지 2년 반이 넘는 시간이 소요됐다.
개인정보위 관계자는 “의도적이고 반복적인 개인정보 침해에 대해 과징금을 매기는 것으로, 업계에서 우려하는 상황이 발생할 가능성은 거의 0%”라며 “시행령을 촘촘하게 짜는 과정에서 업계의 우려를 적극적으로 반영할 것”이라고 말했다.