기업 등 유출 사고 시 입법으로 신속 조사…시정명령 불이행시 강제금 부과
'개인정보 불법유통 금지' 규정도 신설…개인정보보호법 개정 추진

당정은 4일 개인정보보호법을 개정해 기업 등의 개인정보 유출 사고에 대한 기업의 과실 여부와 관계 없이 법정 손해배상 책임을 강화하기로 했다.

유출 기업이 조사에 비협조하는 경우 이행강제금을 부과하기로 했다.

더불어민주당과 개인정보보호위원회는 이날 오전 국회에서 당정협의를 통해 이같이 논의했다고 민주당 박상혁 정책위 사회수석부의장이 브리핑에서 밝혔다.

이날 당정협의는 최근 SK텔레콤, 쿠팡, LG유플러스, 서울시 공공자전거 '따릉이' 등의 대규모 개인정보 유출 사고가 잇따르면서 국민적 불안과 우려가 커진 상황에서 열렸다.

우선 당정은 개인정보 유출에 대한 법정 손해배상 책임을 강화키로 했다.

현행법은 개인정보 유출 사고가 발생했을 때 피해를 본 개인이 손해액을 입증하지 않더라도 법원이 배상 한도 내에서 유출 경위와 피해 규모 등을 종합해 배상액을 정할 수 있도록 하고 있다.

다만 이 경우에도 유출 기업이 '고의' 또는 '과실'이 없었음을 입증하면 유출 피해 책임이 면책된다.

이에 당정은 현행법상 법정 손해배상 규정에서 '고의 또는 과실' 요건을 삭제해 기업 등이 개인정보 유출에 대해 전반적인 입증 책임을 지도록 할 방침이다.

개인정보위 관계자는 브리핑에서 "개인정보 처리자(사업자)가 안전 조치 의무를 다 수행하고, 귀책 사유가 없고, 유출 사고에 대한 책임이 없음을 모두 입증한 경우에 한해서만 (사업자의) 면책 사유를 굉장히 제한적으로 규정할 것"이라며 "법정 손해배상에서의 사업자 책임성을 대폭 강화한 것"이라고 설명했다.

한정애 정책위의장은 "최근 대규모 개인정보 유출 사고가 반복되면서 국민이 느끼는 불안과 우려가 매우 커지고 있다"며 "개인정보 유출에 대한 과실 여부와 관계 없이 법적 손해배상 책임을 강화해야 한다"고 말했다.

또한 당정은 개인정보를 불법 유통할 경우의 처벌 근거를 마련키로 했다.

해킹 등을 통해 대량 유출된 개인정보가 다크웹 등에 유통돼 범죄에 이용되는 등 2차 피해 우려가 커지는 상황에서 유출된 개인정보임을 알면서도 이를 구매·제공·유포하는 행위를 금지하는 형벌 규정을 개인정보보호법에 신설키로 했다고 박 수석부의장은 전했다.

개인정보 유출 사고가 발생한 경우 기업 등에 대해 신속하고 실효성 있는 조사를 진행하는 방안을 담은 입법 과제도 논의했다.

유출 기업이 조사에 비협조하거나 시정 명령을 이행하지 않을 경우 강제금을 부과하고, 개인정보 침해 사고가 발생했을 때 접속기록 등의 증거보존 명령도 도입하기로 했다.

대규모 개인정보 처리자 등에 대한 정기실태 점검에도 나선다.

박 수석부의장은 "그동안 여러 사고가 났음에도 정부의 조치를 강제할 수 있는 근거가 미약했다"며 "구체적으로 이행 강제금이 얼마인지는 시행령 등의 검토를 통해 논의할 것"이라고 설명했다.

아울러 정부는 개인정보 유출의 피해 확산을 신속히 차단하기 위해 '긴급 보호조치 명령'을 도입하는 방안도 제시했다.

박 수석부의장은 "정부에서 신속한 입법을 위한 적극적인 지원을 요청한 만큼 당은 입법 사항이 차질 없이 처리되도록 노력하기로 뜻을 모았다"고 말했다.

<연합>