與, 개인정보법 개정 추진…과실 없어도 배상 가능성 커
법조·산업계 "기업 책임 과도…해외도 과실책임 유지"
"과징금 상향까지 겹쳐 부담 커…제재보다 예방·투자 유도해야"
![[그래픽=뉴시스] 재판매 및 DB금지.](https://img1.newsis.com/2025/02/21/NISI20250221_0001775433_web.jpg?rnd=20250221105341)
[그래픽=뉴시스] 재판매 및 DB금지.
[서울=뉴시스]윤정민 기자 = 개인정보 유출 사고 발생 시 기업의 고의·과실 여부와 관계없이 손해배상 책임을 지우는 '무과실 책임' 도입에 대해 법조계·산업계에서 우려 목소리가 나왔다. 과실책임 원칙이 헌법상 자유시장 경제질서에서 나온 기본 원리이기 때문이다. 이들은 과도한 책임 부과로 기업 부담이 급증할 수 있어 신중한 접근이 필요하다고 주장했다.
박창준 법무법인 세종 변호사는 19일 오후 세종과 한국인터넷기업협회(인기협)가 서울 종로구 세종 서울사무소에서 연 개인정보보호법 개선 방안 세미나에서 "개인정보 유출에 대한 무과 실책임 도입은 법리적으로도, 현실적으로도 적절하지 않다"고 밝혔다.
한정애 더불어민주당 의원, 김용만 민주당 의원, 박범계 민주당 의원 등이 각각 발의한 개인정보보호법 개정안에 따르면 법정 손해배상 요건에서 개인정보처리자의 고의·과실 요건을 삭제했다.
즉 기업이 보안 조치를 충분히 이행했더라도 개인정보 유출이 발생하면 책임을 면하기 어려워지는 구조다. 다만 개인정보처리자가 안전성 확보 조치를 다했고 해당 유출이 자신에게 책임 없는 사유로 발생했다는 점을 입증한 경우에는 예외적으로 책임을 면할 수 있도록 하고 있다.
![[서울=뉴시스] 윤정민 기자 = 박창준 법무법인 세종 변호사가 19일 오후 세종과 한국인터넷기업협회(인기협)가 서울 종로구 세종 서울사무소에서 연 개인정보보호법 개선 방안 세미나에서 발표하고 있다. 2026.03.19. alpaca@newsis.com](https://img1.newsis.com/2026/03/19/NISI20260319_0002088473_web.jpg?rnd=20260319163525)
[서울=뉴시스] 윤정민 기자 = 박창준 법무법인 세종 변호사가 19일 오후 세종과 한국인터넷기업협회(인기협)가 서울 종로구 세종 서울사무소에서 연 개인정보보호법 개선 방안 세미나에서 발표하고 있다. 2026.03.19. [email protected]
박 변호사는 "현재 개정안은 일정 요건에서 면책이 가능한 '조건부 무과실책임'에 가깝다"면서도 "기본적으로 유출이 발생하면 책임을 부담하는 구조라는 점에서 기업 부담이 크게 확대될 수 있다"고 설명했다.
특히 "자동차나 원자력 시설처럼 자체적으로 위험성을 내포한 경우와 달리 개인정보 처리 시스템은 그 자체로 손해를 발생시키지 않는다"며 "대부분 해커 등 외부의 적극적인 침입이 있어야 사고가 발생하는 구조라는 점에서 무과실책임의 전제인 위험 책임과 부합하지 않는다"고 말했다.
일각에서는 개인정보 유출 피해자가 기업의 과실을 입증하기 어려운 만큼 무과실 책임 도입이 필요하다는 주장도 제기된다. 이에 대해 박 변호사는 "개인정보 유출 사고는 정부 합동조사와 개인정보보호위원회 조사, 행정소송 등을 통해 과실 여부가 상당 부분 규명된다"고 반박했다.
또 "유럽연합(EU)도 무과실 책임이 아니라 입증 책임이 전환된 과실 책임 구조를 채택하고 있다. 미국 역시 과실 기반 책임과 세이프하버(면책 규정) 제도를 운영하고 있다"며 "해외에서도 무과실 책임을 채택한 사례는 확인되지 않는다"고 전했다.
산업계도 우려를 나타냈다. 권세화 인기협 정책실장은 "외부 해킹 공격은 기술적으로 완전히 차단하기 어려운 영역인데 그 책임을 기업에 전가하는 것은 과도하다"며 "무과실 책임 도입은 기업을 잠재적 가해자로 전제하는 구조"라고 주장했다.
과징금 상향까지 겹쳐 기업 부담 확대
![[서울=뉴시스] 윤정민 기자 = 법무법인 세종과 한국인터넷기업협회(인기협)가 19일 오후 서울 종로구 세종 서울사무소에서 연 개인정보보호법 개선 방안 세미나를 열었다. (왼쪽부터) 권세화 인기협 실장, 계인국 고려대 행정전문대학원 교수, 김현경 서울과학기술대 IT정책전문대학원 교수, 임종철 개인정보보호위원회 서기관, 안정호 세종 변호사. 2026.03.19. alpaca@newsis.com](https://img1.newsis.com/2026/03/19/NISI20260319_0002088413_web.jpg?rnd=20260319160303)
[서울=뉴시스] 윤정민 기자 = 법무법인 세종과 한국인터넷기업협회(인기협)가 19일 오후 서울 종로구 세종 서울사무소에서 연 개인정보보호법 개선 방안 세미나를 열었다. (왼쪽부터) 권세화 인기협 실장, 계인국 고려대 행정전문대학원 교수, 김현경 서울과학기술대 IT정책전문대학원 교수, 임종철 개인정보보호위원회 서기관, 안정호 세종 변호사. 2026.03.19. [email protected]
이날 세미나에서는 과징금 상향에 따른 규제 부담 문제도 제기됐다. 오는 9월 전체 매출액의 최대 10%까지 징벌적 과징금 부과가 가능한 개인정보보호법 개정안이 시행될 예정이다.
기존에는 전체 매출액의 3% 이하 범위에서 과징금을 부과할 수 있었지만 ▲최근 3년간 고의 또는 중대한 과실로 유출 사고 등 위반행위를 반복했거나 ▲1000만명 이상 대규모 피해를 일으킨 경우 ▲시정 명령을 이행하지 않아 유출 사고가 발생한 경우 등에는 전체 매출액의 최대 10%까지 과징금을 부과할 수 있다.
정부와 국회는 이번 법 개정으로 반복되는 대규모 개인정보 유출 사고 예방과 함께 기업의 보안 투자 확대가 이어질 것으로 기대하고 있다.
하지만 윤호상 세종 변호사는 "과도한 경제적 제재는 기업이 보안 투자보다 소명이나 분쟁 대응에 자원을 투입하게 만드는 역효과를 낳을 수 있다"고 지적했다.
이어 "대규모 과징금이 피해 지원, 권리 구제, 보호 인프라 확충으로 되돌아가지 않는 한계가 있다"며 "과징금 일부를 기금으로 편입해 피해자 지원 등에 활용하는 방안도 검토할 필요가 있다"고 강조했다.
정부 "기업도 피해자…책임 강화 불가피"
임종철 개인정보위 서기관은 "개인정보 유출 기업은 해커 공격의 피해자이기도 하지만 동시에 국민 개인정보를 관리하는 주체로서 책임도 함께 지닌다"며 "지금까지는 피해자적 측면이 강조돼 책임 규정이 상대적으로 완화돼 있었던 측면이 있다"고 설명했다.
이어 "기존 손해배상 체계에서는 정보주체가 기업의 과실과 인과관계를 입증하기 어려워 실질적인 구제가 쉽지 않았다"며 "이번 개정 논의는 입증 책임을 보다 합리적으로 조정해 피해 구제 가능성을 높이려는 취지"라고 밝혔다.
또 "기업이 충분한 보호조치를 이행하고도 불가피한 사고가 발생한 경우에는 면책이 가능하다. 과도한 책임을 일방적으로 부과하는 구조로 볼 필요는 없다"면서도 "제도 설계 과정에서 산업계 부담과 이용자 보호 간 균형을 맞추는 것이 중요하다. 향후 시행 과정에서 구체적인 기준과 적용 방안을 지속적으로 보완해 나갈 계획"이라고 밝혔다.
◎공감언론 뉴시스 [email protected]
