개인정보보호위원회(이하 위원회)는 5월 12일 제8회 전체회의를 열고 하나은행, KT, LG유플러스 등 8개 사업자에게 총 1562만 원의 과징금과 3220만 원의 과태료를 부과하고, 개선 권고 및 공표 등 시정 조치를 내렸다고 밝혔다.
위원회에 따르면 하나은행 등 4개 사업자는 ▲정보주체의 동의를 받지 않고 개인정보를 수집 ▲개인정보 수집 시 법령이 정한 필수 고지 사항 누락 ▲광고 등 선택 동의 사항을 필수 동의로 받는 행위 ▲업무 위탁 시 문서에 포함해야 할 법적 의무사항 누락 등의 법규를 위반했다.
또, 의료법인 메디피아 등 2개 사업자는 안전 조치 의무를 다하지 않아 주민등록번호 또는 민감정보가 포함된 개인정보 처리 문서가 유출됐으며, 유출된 이후에도 개인정보 유출 통지 및 신고를 하지 않은 행위 등이 확인됐다.
이외에도 통신사업자인 KT와 LG유플러스는 보유 기간이 지난 개인정보를 파기하지 않고 보관한 것으로 확인됐다.
위원회 관계자는 이와 관련해 “개인정보 수집 및 이용뿐 아니라 처리의 과정 역시 소홀히 할 수 없다. 개인정보 처리를 소홀히 한 행위에 대해서는 앞으로도 법에 따라 엄정히 처벌하고, 사업자들의 인식 제고 노력도 병행하겠다”고 말했다.
그러나 과연 하나은행과 같은 대기업에게 400만 원 수준의 과태료가 실효성을 가질 수 있을까에 대해서는 의문의 여지가 있다.
개인정보는 특정 개인을 식별할 수 있는 이름, 주소, 전화번호, 사진, 국내의 경우 주민등록번호 등을 지칭하며, 우리나라를 비롯해 전 세계 대부분의 국가들이 개인정보를 보호하는 제도를 도입하고 있다.
우리나라는 2011년 9월 30일부터 개인정보 보호법이 전면 시행됐고, 이후 기술 발전과 사회적 인식 변화 등에 따라 수차례 개정을 거쳤다.
문제는 개인정보 보호법이 있어도 기업들의 개인정보 침해 및 유출 사고는 끊이지 않고 발생하고 있다는 데 있다. 더욱이 개인정보 관련 사고를 낸 기업들에 대한 처벌 역시 솜방망이에 그쳐, 처벌을 강화해야 한다는 주장이 꾸준히 제기돼 왔다.
지난 2019년, 미국의 페이스북은 사용자 8700만 명의 정치 성향 데이터를 무단 수집 및 사용한 혐의로 미국 정부로부터 50억 달러라는 천문학적인 벌금을 맞았다. 그러나 국내에서는 수백만 명의 개인정보가 유출된 사고를 낸 기업들에 고작 수억에서 수십억 원의 벌금만 부과됐으며, 피해자에 대한 보상도 제대로 이루어지지 않았다.
이번 개인정보 보호 관리 소홀의 경우 개인정보 유출 같은 큰 위반 사례는 아니라지만, 고작 400만 원의 과태료가 위원회의 말처럼 엄정한 처벌이 될 수 있을지 생각해 볼 문제다.
위원회 관계자는 이번 과태료를 개인정보 보호법 시행령 기준에 따라 부과했다고 밝혔다. 시행령을 살펴보면 개인정보 보호법을 위반했을 경우 1회 1천만 원, 3회 이상 위반 시에도 최대 4천만 원으로 명시돼 있다.
연매출 수조 원대를 기록하는 대기업 입장에서는 개인정보 보호법 위반에 따른 과태료는 있으나 마나한 수준인 셈이다. 이는 위원회가 개인정보 위반 사례를 철저히 감시하고 엄정한 처벌을 내리고 싶어도 한계가 명확하다는 의미다.
4차 산업 시대에서 개인정보는 매우 중요한 자원으로 꼽히고 있으며, 그만큼 개인정보 보호를 위한 제도적, 기술적 장치의 중요성도 커지고 있다. 이를 위해 각국 정부들 역시 개인정보 보호법을 더욱 강력하게 정비해 적용하고 있다.
우리 정부도 솜방망이 처벌로 생색만 낸 제도가 아닌, 법을 위반한 기업들에게 실질적 손해와 재발 방지의 억제력을 부여할 수 있는 강력한 처벌이 동반된 개인정보 보호법을 검토해야 할 시점이다.
