앞으로 대규모 개인정보 유출 사고가 발생하면 기업이 손해배상 책임을 피하기 위해 스스로 무과실을 입증해야 하는 제도 개편이 추진된다. 유출된 개인정보를 불법적으로 유통하는 행위에 대한 형사 처벌 근거가 신설되고, 정부 조사에 협조하지 않거나 시정명령을 이행하지 않을 경우 이행강제금이 부과될 전망이다.
더불어민주당과 개인정보보호위원회는 4일 국회에서 당정협의회를 열고 이러한 내용을 담은 ‘개인정보 유출 대응 강화 방안’을 확정했다. 잇따른 개인정보 유출 사고로 커진 국민 불안을 해소하고 피해 구제와 2차 피해 예방을 제도적으로 강화하기 위한 조치다.
당정은 현행 법정 손해배상제도의 한계를 보완하기 위해 입증 책임 구조를 전환하기로 했다. 기존에는 피해자가 기업의 고의나 과실을 입증해야 했으나, 앞으로는 유출 사고 발생 시 원칙적으로 기업 책임을 인정하고, 기업이 안전조치 의무를 다했으며 귀책 사유가 없음을 스스로 증명해야 면책받도록 법 개정을 추진한다. 이는 기업의 개인정보 보호 책임을 실질적으로 강화하기 위한 조치다.
당정은 텔레그램·다크웹 등을 통한 개인정보 재유통을 막기 위해 불법 유통 행위에 대한 형사 처벌 규정을 신설하기로 했다. 유출된 개인정보임을 알고도 유통할 경우 처벌이 가능하도록 명확한 법적 근거를 마련한다.
또 개인정보보호위원회의 조사 권한을 확대해, 조사 비협조나 시정명령 미이행 시 이행강제금을 부과하고 증거보전 명령 제도를 도입한다. 대규모 개인정보 처리자를 대상으로 한 정기 실태 점검 근거도 함께 마련된다.
정부는 유출 사고 확산을 즉각 차단하기 위해 긴급 보호조치 명령권을 도입하기로 했다. 아울러 보안 투자와 모의해킹 등 사전 예방 노력을 기울인 기업에는 과징금 감경을 의무화하고, 중소기업의 보안 체계 구축과 피해 복구를 지원하는 예산도 확대할 계획이다.
민주당은 이번 협의 내용을 바탕으로 국회 정무위원회 논의를 거쳐 관련 법 개정을 신속히 추진할 방침이다.