현오석 부총리가 개인정보 보호대책을 내놓았다. 하지만 개인정보의 완벽보호라는 명분을 살리면서도 금융회사의 처지도 고려하다 보니 이도 저도 아닌 대책이라는 지적을 피하기 어려울 것으로 보인다. 미국식 징벌식 손해배상과 독일식 정부 과징금 제도를 섞다 보니 금융회사만 봐주고 정부 규제만 더욱 강화하게 됐다는 비판도 나온다.

현 부총리는 10일 오전 서울 세종로 정부 서울청사에서 ‘금융분야 개인정보 유출 재발 방지 종합대책’을 발표했다. 이 자리에는 신제윤 금융위원장 등도 참석했다.

이번 종합대책에서 가장 강조된 것은 징벌적 과징금 제도다. 금융사가 일으킨 개인정보 유출 등에 대한 제재 강화 방안으로 제시됐다. 이것이 시행될 경우 개인정보 유출 사고를 일으킨 금융회사는 최대 50억 원의 징벌적 과징금을 내야 한다. 불법 정보를 활용해 영업한 것이 적발됐을 때도 관련 매출액의 3%를 과징금으로 부과한다.

더불어 현행 최대 600만 원이었던 과태료도 앞으로는 5천만 원까지 올라간다. 영업정지 기간도 최장 3개 월에서 6개 월로 늘어난다. ‘10년 이하 징역 또는 1억 원 이하 벌금’이었던 형벌 수준도 ‘10년 이하 징역 또는 5억 원 이하 벌금’으로 확대된다.

이 밖의 내용은 대부분 금융사에 대한 정부의 지침을 강화한 것들이다. 가령 금융사 CEO와 이사회는 매년 정보보호 현황과 정책에 대한 보고서를 금융감독원에 제출해야 한다. 또 제3자나 계열사에 개인정보를 제공한 경우 이용기간이 지난 정보 파기 여부를 CEO에게 주기적으로 보고해야 한다. 개인정보 보호에 대한 금융회사 CEO의 책임을 더욱 강화한 내용이다.

금융회사의 고객정보 수집 방침도 변경됐다. 지금까지 금융회사는 30개에서 50개 항목의 개인정보를 고객에게 요구했다. 하지만 앞으로 필수항목인 이름과 주민등록번호 등 6~10개 항목으로 제한된다. 고객과 첫 거래 외엔 주민등록번호 요구도 금지된다. 거래 종료 후 5년이 지난 거래 정보는 즉시 파기 처분된다. 동시에 금융회사 고객이 본인 인증만 하면 언제든 금융회사의 본인 정보 이용을 조회·변경 가능한 ‘자기정보결정권 보장’도 이루어진다.

현 부총리는 이날 “정부는 카드사 개인정보 유출 사고를 과거처럼 일회성 사고로 흘려버리는 우를 범하지 않겠다”며 실행의지를 강조했다. 신 금융위원장도 “이번 종합대책은 개인정보의 완벽한 보호가 금융의 신뢰성과 안정성을 위한 핵심자산이란 인식을 기초로 만들어졌다”고 했다.

그러나 종합대책이 너무 포괄적인데 비해 제재방안이 미흡하다는 비판이 나왔다. 금융회사의 입장만 너무 고려했다는 지적이다. 이에 대해 현 부총리는 "금융회사 CEO에게 신용정보 관련 의무를 명시적으로 부여해 이를 제대로 이행하지 않을 경우 해임 등을 포함한 엄정한 징계가 가능하도록 하겠다"고 강조했다.

그럼에도 실질적 제재 방안은 여전히 미흡해 보인다. 금융소비자연맹은 성명을 내 “과태료 상한을 대폭 상향한 것 같으나 여전히 정부의 개인정보 보호에 대한 인식 수준이 낮다”며 “개인정보를 유출하거나 불법 활용한 모집인이 민·형사상 책임을 지게 해야 한다”고 주장했다.

종합대책에서 대표적 제재방안으로 내놓은 징벌적 과징금제도 자체에 대한 의문도 제기됐다. 징벌적 과징금은 미국의 징벌적 손해배상과 독일의 정부 과징금을 혼합한 제도다. 미국의 경우 정부에는 개인정보 관련 기구나 위원회가 존재하지 않는다. 관련 법규도 유연하게 적용된다. 다만 정보 유출이 발생하면 금융사에게 징벌적 손해배상을 청구해 수백만 달러의 배상금을 지불하게 한다. 반대로 독일은 엄격한 규제와 과징금을 통해 각 은행마다 서로 다른 개인정보 관리 시스템을 운영하게 만들었다.

징벌적 과징금은 양국 제도의 일부를 취해서 만들었지만 그 어느 쪽에도 해당되지 않는다. 이를 놓고 김민호 성균관대 법학전문대학원 교수는 언론과의 인터뷰에서 “징벌적 과징금은 미국과 독일의 제도를 단순 혼합한 것”이라며 “정부규제 강화 외엔 다른 의미가 없고 금융당국이 권한을 더 늘리겠다는 것”이라고 지적했다. 참여연대 경제금융센터도 이날 논평에서 "집단소송제, 금융지주회사의 연대배상 책임 도입 등 핵심정책은 대거 빠졌다"며 정부를 비판했다. 

이번 종합대책에서 정부가 내놓은 금융정보 보안담당 기구 신설은 징벌적 과징금과 충돌될 가능성이 크다. 금융정보 보안담당 기구는 정부가 개인정보 관리를 금융회사의 자율에 맡기는 대신 직접 지침을 내리는 통로로 활용된다. 그러나 정부지침을 따른 금융회사에서 정보가 유출될 경우 책임 주체를 명확하게 밝히기 힘들다. 결국 징벌적 과징금을 물릴 대상이 불분명해지는 문제가 발생할 수 있다.