개인정보 손해배상 재원 의무 제도 '유명무실'…과태료·시정조치 0건

'배상 재원' 의무인데…과태료·시정조치 집행 0건

대상 산정·고지 공백…'알아서 지키는 의무'로 전락

보험 가입 7000건대 거론…현황 점검 체계도 불투명

 

개인정보 유출 사고가 반복되는 상황에, 피해자에게 배상할 돈을 미리 확보하라고 만든 ‘손해배상 재원’ 의무 제도가 사실상 작동하지 않고 있다. 제도는 만들었지만 이행 여부를 확인하고 제재하는 집행이 멈춰, 현장에선 ‘전형적인 탁상행정 사례’라는 지적이 나온다.

11일 개인정보보호위원회(개인정보위)에 따르면 ‘개인정보 손해배상책임 이행 조치’ 미이행과 관련해 현행 개인정보보호법 체계(2020년 8월 이관 이후) 기준으로 현재까지 과태료 부과 실적은 0건이다. 같은 기간 시정명령과 시정권고도 0건으로 전무했다.

손해배상책임 이행 조치는 개인정보 유출 사고가 났을 때 피해자에게 지급할 배상 재원을 사전에 마련하도록 한 장치다. 기업은 보험(개인정보 유출 배상책임보험) 가입, 공제 가입, 준비금 적립 중 하나로 의무를 이행할 수 있다. 시행령상 전년도 매출액이 10억원 이상이면서, 직전 3개월 기준 일일평균 개인정보 처리 대상(정보주체) 수가 1만명 이상이면 의무 대상이 된다.

문제는 제도 설계 단계부터 ‘대상 산정’이 난제로 남아 있다는 점이다. 의무대상 판단의 핵심 변수인 개인정보 처리 대상 수는 기업별 내부 DB(데이터 저장소) 구조와 운영 방식에 따라 산정 기준이 달라질 수 있다. 외부 행정 데이터만으론 대상과 규모를 일괄 확정하기 어려운 구조라는 뜻이다. 이 때문에 개인정보위가 추산한 의무대상 규모도 8만3000~38만곳으로 범위가 크게 벌어져 있다.

의무 대상 여부를 기업이 스스로 판단해야 하는 점도 제도 작동을 약화시키는 요인이다. 제도는 자율 준수를 전제로 하고, 필요 시 사후 점검과 자료요구로 확인하는 형태로 설계돼 개별 고지 기능이 약하다. 대상 고지와 정기 점검이 약하면 의무는 ‘알아서 지키는’ 제도로 남는다. 이는 이행률을 낮추는 원인 중 하나가 된다는 게 현장 시각이다.

실제 보험 가입 건수만 놓고 봐도 간극이 극명하다. 해당 보험을 취급하는 15개 손해보험사가 취합한 작년 6월 기준 가입 건수는 약 7000건으로 거론된다. 제도가 공제·준비금으로도 이행 가능하다는 점을 감안하더라도, 보험·공제·준비금을 합친 전체 이행 현황을 상시적으로 점검·확인하는 체계가 실제로 굴러갔는지는 불투명하다.

이 공백은 대규모 사고보다 ‘상시 사고’에서 더 민감하다. 업계에선 메일 오발송, 내부 직원 실수, 협력사 관리 부실 등 소규모 유출이 수시로 발생한다. 피해 규모가 작아도 피해자는 계정 보호 조치, 비밀번호 변경, 모니터링 서비스 이용 등으로 즉시 비용을 떠안게 된다. 이런 환경에서 배상 재원 의무는 최소한의 안전망이 돼야 하지만, 집행 공백이 이어지면 피해자 입장에선 사고가 났을 때 배상 재원이 실제로 준비돼 있는지부터 불확실해진다.

제도 설계의 한계도 분명하다. 시행령상 최저가입금액(또는 최소적립금액)은 구간별로 정해지는데, 가장 큰 구간의 최고치가 10억원이다. 대형 사고에선 피해 규모와 잠재 배상액을 감안할 때 이 기준만으로는 배상 재원으로 충분치 않다. ‘대형 사고 구제’ 관점에선 제도가 사실상 유명무실해질 가능성이 크다.

개인정보위 분쟁조정과 관계자는 “제도에 빈틈이 있다는 점은 내부적으로도 인지하고 있다”며 “2026년 중 실효성을 높이는 방향으로 제도를 손볼 예정”이라고 말했다.