개인정보 손해배상 재원 의무 제도 '유명무실'…"전형적인 탁상행정"

2020년부터 시행했는데 의무 대상자도 제대로 파악 못해, 과태료·시정조치 집행 0건

대상 산정·고지 공백…'알아서 지키는 의무'로 전락

보험 가입 7000건대 거론…현황 점검 체계도 불투명

 

개인정보 유출 사고가 반복되는 상황에, 피해자에게 배상할 돈을 미리 확보하라고 만든 ‘손해배상 재원’ 의무 제도가 유명 무실하다. 어느 기업에 의무가 부과됐는지 전담부처인 개인정보위원회마저 제대로 파악하지 못해 전형적인 '탁상행정 사례'라는 지적이 나온다.
 
11일 개인정보보호위원회(개인정보위)에 따르면 ‘개인정보 손해배상책임 이행 조치’ 미이행과 관련해 현행 개인정보보호법 체계(2020년 8월 이관 이후) 기준으로 현재까지 과태료 부과 실적은 0건이다. 같은 기간 시정명령과 시정권고도 0건으로 전무했다.

손해배상책임 이행 조치는 개인정보 유출 사고가 났을 때 피해자에게 지급할 배상 재원을 사전에 마련하도록 한 장치다. 기업은 보험(개인정보 유출 배상책임보험) 가입, 공제 가입, 준비금 적립 중 하나로 의무를 이행할 수 있다. 시행령상 전년도 매출액이 10억원 이상이면서, 직전 3개월 기준 일일평균 개인정보 처리 대상(정보주체) 수가 1만명 이상이면 의무 대상이 된다.

지난 5년간 의무 대상 기업들이 법을 잘 지켰다고 할 수도 있지만 사정을 들여다 보면 제도 설계 자체가 잘못됐다. 기업의 개인정보 처리 대상 수는 기업별 내부 DB(데이터 저장소) 구조와 운영 방식에 따라 산정 기준이 달라질 수 있다. 개인정보위가 추산한 의무대상 규모는 최소 8만3000~최대 38만곳으로 무려 5배의 차이가 있다. 어느 기업이 의무 대상인지 아무도 모른다는 얘기다.
 

의무 대상 여부를 기업이 스스로 판단해야 하는 점도 문제다. 어느 기업이 의무대상인지 알려주는 곳이 없다 보니 기업 자율에 맡길 수 밖에 없다. 당연히 이행률이 낮을 수 밖에 없다. 실제 보험 가입 건수는 개인정보위가 추산한 최소 규모의 10분의 1에도 못미친다. 해당 보험을 취급하는 15개 손해보험사가 취합한 작년 6월 기준 가입 건수는 약 7000건 수준에 불과하다. 

개인정보 유출 피해 보상을 위한 최소한의 배상 재원 마련을 위해 만들어 진 제도지만 관리는 되지 않아 행정에 큰 공백이 생긴 셈이다. 업계에선 제도 설계 자체에 문제가 있었다고 설명한다. 시행령상 최저가입금액(또는 최소적립금액)은 구간별로 정해진다. 가장 큰 구간의 최고치가 10억원이다. 대형 사고의 경우 배상 재원으로 이용하기에는 크게 모자르다. 

업계 관계자는 "피해 보상을 위한 재원이라기에는 너무 적고, 소규모 기업들에게는 비용이 부담되다 보니 의무대상이 된 기업도 이를 외면하고 있는 것이 현실"이라며 "의무 대상을 관리하는 곳도 없고 이행 여부 역시 아무도 관심 갖지 않는 서류상에만 존재하는 규제가 된 상황"이라고 지적했다. 
 
개인정보위 분쟁조정과 관계자는 “제도에 빈틈이 있다는 점은 내부적으로도 인지하고 있다”며 “2026년 중 실효성을 높이는 방향으로 제도를 손볼 예정”이라고 말했다.