개인정보 손배책임 의무가입기준 바뀐다…구글·넷플릭스·페이스북은?

개인정보위 "손배책임보험 실효성 강화"

온라인→온·오프라인사업자 포괄해 확대

"의무가입대상 매출·이용자 기준은 상향"

개인정보 유출에 따른 이용자 피해구제와 기업의 손해배상 부담 완화를 위한 '개인정보 손해배상책임보험' 의무가입 대상이 온라인서비스 사업자에서 온·오프라인을 아우르는 방향으로 확대된다. 디지털 서비스·플랫폼 관련 기업뿐아니라 제조·산업시설·매장 등을 운영하기 위해 개인정보를 수집·보유하는 일정규모 이상 사업자는 모두 해당될 수 있다는 얘기다.

개인정보보호위원회는 9일 전체회의에서 이같은 제도 개정 방향을 담은 개인정보 손해배상책임 보장제도 개선안을 발표했다. 이 제도는 2019년 6월 시행되면서 당시 일정 규모 이상의 매출·이용자를 보유한 정보통신망법상 '정보통신서비스제공자'에 손배책임보험 가입 의무를 부과했고, 이후 작년 8월 개인정보보호법으로 이관됐다.

개인정보위는 현재 추진하는 2차 개인정보보호법 개정을 통해 손배책임보험 의무가입 범주를 정보통신서비스제공자에서 '개인정보처리자'로 확대한다. 다만 사업자 가운데 전년도 매출 5000만원 이상, 개인정보 저장·관리 이용자수 1000명 이상인 의무가입 대상 기준을 상향해, 기존 정보통신서비스제공자 가운데 규모가 작은 사업자의 의무를 면제한다.

의무 면제 여부에 당국과 기업간 이견이 없을지는 의문이다. 개인정보위 측은 전년도 매출과 이용자 수 기준은 국내 시장에 한해 적용된다고 밝혔다. 이는 오프라인 사업장을 두고 매출을 얻고 있는 글로벌 기업들에게는 명확할 수 있지만, 사업장이 집계하는 회계상 매출과 실제 국내 발생매출·보유이용자에 차이가 있을 구글·넷플릭스·페이스북 등은 그렇지 않다.

그럼에도 기존 책임보험 의무가입 대상이었던 네이버·카카오 등 대형 포털사와 국내 이용자가 많은 글로벌 온라인서비스를 운영하는 일부 '빅테크' 기업들은 법 개정 이후에도 의무가입 대상으로 판단될 가능성이 높다. 개인정보위 손배책임보장제도 담당자는 관련 문의에 "현재도 규모가 큰 기업들은 의무 대상이라는 것을 알고 있다"고 답했다.

다만 개인정보위는 그간 제도의 홍보와 실태점검 노력에도 기업들의 제도에 대한 인지도와 보험가입 유인 부족, 과잉규제논란 등으로 전반적인 보험가입률이 저조하다고 판단했다. 제도 개정 이후 실효성을 높이기 위해 면제대상 명확화, 업종·기능별 단체보험 가입 관련제도 홍보 강화, 미가입 업체에 과태료 부과 전 시정명령 등으로 보험가입을 유도할 예정이다.

개인정보보호법 2차 개정은 연내 목표로 추진되나, 달라지는 손배책임제도 적용에는 1년간 유예기간을 둔다. 송상훈 개인정보위 조사조정국장은 "개인정보 유출 등 위험과 함께 기업들의 손해배상책임도 커지고 있다"며 "배상책임부담을 덜고 정보주체에 충분한 배상이 이뤄질 수 있도록 전문가와 산업계 의견을 듣고 제도를 정착시켜나가겠다"고 말했다.
 

윤종인 개인정보보호위원회 위원장. [사진=개인정보보호위원회 제공]