거짓이 넘쳐나는 시대. 인터넷이 보급되기 전 우리는 ‘밀폐된 공간에서 선풍기를 틀고 자면 죽는다’라는 얘기를 사실인 줄 믿었습니다.
시간이 흘러 인터넷이 보급된 후 우리는 정보를 손쉽게 찾아볼 수 있지만, 거짓은 진실 속에 숨어 사실인 것 마냥 우리의 삶에 뿌리박혀 있죠.
하지만 ‘선풍기 괴담’처럼 거짓은 진실을 영원히 이길 수 없는 것을 우리는 잘 알고 있습니다.
우리의 삶 속에 유통되는 거짓을 뿌리 뽑는 날까지, 더리브스 ‘팩트체크’는 진실을 위해 앞장서겠습니다.
![개인정보보호법. [사진=개인정보보호위원회 제공]](https://cdn.tleaves.co.kr/news/photo/202209/3040_4649_5858.png)
최근 구글·메타 등 글로벌 IT 대기업이 개인정보보호법 위반으로 우리 정부로부터 1000억원대의 과징금을 부과 받게 됐다는 소식이 알려지면서 ‘과징금’이 이슈 단어 랭킹에 이름을 올렸다.
이에 대해 일부 전문가는 ‘대기업이 개인정보를 통해 얻는 수익이 과징금보다 크다’는 전제에서 이와 같은 과징금 제재가 반복되고 있다는 의견인데, 이 전제가 사실일지 더리브스에서 확인해봤다.
먼저 개인정보 수집으로 얻는 대기업의 수익이 어느 정도인지 파악하려면 개인정보 수집이 대기업 수익에 어떻게 반영·집계되는지 알아야 하는데, 이 부분이 계산된 근거자료는 찾아보기 어려웠다.
다만 현재 과징금 산정 체계는 개인정보 수집을 통해 연결된 제품·서비스 구매 결과인 매출액을 기준 삼고 있다. 개인정보보호법 제39조의 15항에 따르면 개인정보보호위원회는 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
이와 관련 개인정보위에 따르면 구글과 메타는 개인정보 수집 문제와 관련해 제출한 2019-2021년 매출액에서 국내 이용자 비율을 곱한 금액의 3개년 평균을 토대로 위반행위의 중대성과 기간 등을 함께 고려해 최종 과징금이 부과됐다.
이밖에 정보통신서비스 제공자 등이 매출액 산정자료 제출을 거부하거나 거짓 자료를 제출하면, 해당 업체와 비슷한 규모의 회사 재무제표 등 회계자료와 가입자 수 및 이용요금 등 영업현황 자료에 근거해 매출액을 추정한다. 매출액이 없거나 매출액 산정이 곤란한 경우에도 4억원 이하의 과징금이 부과된다.
이를 토대로 보면, 기본적으로 법 규정 자체가 매출액의 3% 이하에 해당하는 금액만 과징금으로 부과하고 있어 대기업이 개인정보를 통해 얻는 수익은 과징금보다 대체로 작을 수밖에 없어 보인다.
다만 이를 ‘맞다, 아니다’라고 판단하기에는 어렵다는 게 개인정보보호위원회 측의 답변이다.
개인정보보호위원회 주상현 서기관은 더리브스와 통화에서 “현재의 과징금이 실효성이 낮다는 측면에서 이런 얘기가 나오는 것 같지만 판단내릴 수 있는 부분이 아니다”라며 “대기업이 개인정보를 이용해 얻는 혜택이 어느 정도고 과징금이 얼마인 지를 정확히 비교해봐야 하는데 이런 내용을 근거로 하고 있지는 않은 생각일 것”이라고 말했다.
이에 구글·메타가 물게 된 과징금 1000억원에 대한 판단도 법 규정에 따라 산출한 금액이기에 판단을 내리기는 어려우며, 과징금의 주된 목적은 대기업 이용자의 권리를 개선하기 위함이라는 설명이다.
주 서기관은 “대기업 이용자 권리 보호를 위해 개선하도록 시그널을 주기 위함인 것”이라며 단순히 법 규정상으로 보면 “기업의 매출액 대비 과징금이 나가는 부분이 3% 정도이기에 과징금보다 (대기업이 누리는) 혜택이 더 크다고 할 것”이라고 말했다.
다만 과징금을 산정할 때 매출액의 몇 % 기준이 아닌 대기업이 개인정보를 통해 얻는 수익을 비교해 계산하면 과징금은 더 낮은 수준이 된다는 게 전문가의 설명이다.
고려대학교 정보보호대학원 김승주 교수는 더리브스와 통화에서 “인터넷 기업의 경우 예전에는 매출이 아닌 유출된 개인 정보를 활용해 벌어들인 수익이 몇 프로인지를 계산했는데 수익이 작으면 과징금도 작아졌다”며 “근데 외국에서 전체 매출액이 얼마라는 식으로 잡기 시작하니 이를 따라가는 방향으로 법 개정을 한 건데 전체 과징금 액수가 외국에 비해서는 작은 게 사실”이라고 말했다.
실제로 국내에서 매출액의 몇 %로 과징금을 물게 하는 제도 자체가 도입된 지는 얼마 되지 않았다. 과징금 부과와 관련한 개인정보법 제39조는 2020년 2월 4일 신설된 조항이다.
김 교수는 “유럽의 GDPR을 보면 전체 매출액의 몇 %로 과징금을 부여한다”며 “우리나라는 GDPR을 쫓아가려고 하기 시작한 지 얼마 되지 않았다”고 설명했다. GDPR은 2018년 5월 25일부터 시행된 유럽연합(EU)의 개인정보 보호 규정으로, 2020년 글로벌 IT 대기업 아마존은 이에 근거해 역대 최고 과징금인 1조200억원을 부과받기도 했다.
이에 김 교수는 “외국에서 개인정보 유출 사고 등이 나면 (돈의 액수가) 조 단위로 소송이 붙는다”며 “이런 부분에 대해 두들겨 맞으면 회사가 망할 지경까지 가니까 여러 가지 조치를 하는데 우리는 그 정도까지 가 본 적이 없어서 비슷한 행태가 반복된다고 보는 것”이라고 말했다.
결론적으로 대기업이 개인정보로부터 얻는 수익을 상대적으로 정량화하기는 어려운데다 이에 따른 비교로는 논란이 되는 수준보다 과징금 수준이 낮아진다. 이에 유럽 기준인 GDPR에 따라 매출액의 %를 기준으로 과징금을 부과하고 있는 만큼, 대기업이 개인정보로부터 얻는 수익이 과징금보다 높다고 단정 짓기는 어려워 ‘판단 불가’로 보인다.
김은지 기자 leaves@tleaves.co.kr