유출 사고 반복 시 '최대 10% 과징금'…개인정보보호법 10일 공포

[아이뉴스24 박정민 기자] 개인정보보호위원회는 징벌적 과징금 도입, 개인정보보호책임자 역할 강화, 개인정보보호 관리체계(ISMS-P) 인증제도 개선을 골자로 한 개정 '개인정보보호법'이 오는 10일 공포된다고 9일 밝혔다.

이번 법 개정은 최근 연이은 대규모 개인정보 유출 사고로 사회적 우려가 커지는 상황에서 개인정보 보호에 대한 기업·기관의 책임을 강화하기 위해 추진됐다.

우선 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 '징벌적 과징금'을 부과할 수 있는 특례가 도입된다. △최근 3년간 고의나 중대 과실로 위반행위를 반복한 경우 △고의 또는 중대 과실로 1000만명 이상 대규모 피해를 초래한 경우 △시정명령 불이행으로 개인정보 유출 사고가 발생한 경우 등을 말한다.

아울러 개인정보 보호를 위한 예방적 투자를 활성화하기 위한 인센티브가 함께 도입된다. 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 기업이나 기관은 고의나 중과실로 인한 사고가 아닌 경우엔 과징금을 감경토록 했다. 또한 '유출 가능성 통지제'를 통해 개인정보 처리자가 유출 등의 가능성을 알게 된 경우 곧바로 통지할 수 있도록 의무화했다.

개인정보 분실·도난·유출 사례뿐 아니라 위변조, 훼손의 경우에도 통지·신고의 대상이 되도록 했다. 이와 더불어 손해배상 청구, 분쟁조정 신청 등 피해구제 방법도 함께 알리도록 했다.

최고경영자(CEO), 개인정보보호책임자(CPO)의 책임도 강화된다. CEO에게는 개인정보보호 최고 책임자로서 관리·감독 의무를 부여했으며, 일정 규모 이상 기업의 CPO에 대해서는 지정, 변경, 해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 했다. 상시적인 개인정보 안전관리 체계를 구축하기 위해 CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 의무화하고, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.

공공·민간 분야에서 파급력이 큰 주요 기업·기관에는 ISMS-P 인증을 의무화했다. 구체적인 대상은 향후 시행령 개정을 통해 확정할 예정이다. 개인정보위는 해당 기업과 기관이 개인정보 보호 수준을 스스로 강화하고, 실효성 있는 개인정보보호 관리체계를 구축하게 하고자 했다고 설명했다.

개인정보위 관계자는 "개정 법률은 오는 9월 11일부터 시행된다. 다만 ISMS-P 인증 의무화는 관련 예산 확보 등 소요 기간을 고려해 2027년 7월 1일부터 시행될 예정"이라며 "개인정보위는 개정 법률이 차질 없이 시행될 수 있도록 시행령을 신속히 개정하겠다. 아울러 개정 법률 안착을 위해 산업계, 공공기관과 소통을 강화하겠다"고 밝혔다.