개인정보 유출 시 최대 매출 10% 징벌적 과징금, CEO·CPO 책임 강화

정부가 반복적이거나 중대한 개인정보 유출에 대해 전체 매출액의 최대 10%까지 징벌적 과징금을 부과하고 대표자(CEO)와 개인정보 보호책임자(CPO)의 책임을 강화한다. 개인정보보호위원회는 이러한 내용을 담은 '개인정보 보호법' 개정안을 10일 공포한다고 9일 밝혔다.

이번 법 개정은 최근 잇따른 대규모 개인정보 유출사고로 커진 사회적 우려를 해소하고, 기업·기관의 개인정보 보호 책임을 강화하기 위해 신속히 추진됐다. 개인정보 침해에 대한 강력한 억지력을 확보하고, 사전 예방적 투자를 촉진하여 개인정보 유출사고의 재발을 막는 것이 목적이다.

개정안에 따르면, 징벌적 과징금과 함께 사전 예방 투자 인센티브가 도입된다. 반복적이거나 중대한 개인정보 유출 시 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있는 특례가 마련됐다. 이는 기존 과징금 제도(전체 매출액의 3% 이하)의 실효성 한계를 고려한 조치이다. 과징금 강화 대상은 ▲최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 ▲고의 또는 중대한 과실로 1000만 명 이상의 대규모 피해를 초래한 경우 ▲시정명령 불이행으로 개인정보 유출 등 사고가 발생한 경우 등이다.

아울러 개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위해, 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우에는 과징금이 필수적으로 감경된다. 다만, 고의 또는 중과실로 인한 위반의 경우는 감경 대상에서 제외된다.

개인정보 유출 가능성 통지제도 도입된다. 기존 보호법은 '유출 등이 되었음을 알았을 때' 정보주체에게 알리도록 규정하여 통지가 지연될 수 있는 문제가 있었다. 앞으로는 '유출 등의 가능성이 있음을 알게 되었을 때'에도 지체 없이 통지하도록 의무화하여, 정보주체가 사고 초기부터 인지하고 신속하게 대응할 수 있도록 했다.

또한, 기존에는 랜섬웨어 등에 따른 개인정보의 위조·변조·훼손이 통지·신고 대상에 포함되지 않아 신속한 대응이 어려웠다. 이제 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출 등 사고'의 범위에 포함되어 통지·신고 대상이 된다. 개인정보 유출 통지 시에는 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.

개인정보 유출사고를 근본적으로 예방하기 위해 대표자(CEO)와 개인정보 보호책임자(CPO)의 책임이 강화된다. CEO는 개인정보 처리 및 보호의 최종 책임자로서 관리감독 의무를 명확히 부여받는다. 일정 규모 이상의 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다. CPO는 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하고 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 의무화하여 상시적인 안전관리 체계를 구축한다.

이와 함께 개인정보보호위원회는 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해 기존에 자율적으로 운영하던 개인정보보호 관리체계(ISMS-P) 인증을 의무화했다. ISMS-P 인증은 정보보호 및 개인정보보호 관리체계의 적합성을 인증하는 제도로, 기업·기관이 스스로 보호 수준을 강화하고 실효성 있는 관리체계를 구축하도록 유도한다.

개정 법률은 오는 9월 11일부터 시행되며, ISMS-P 인증 의무화 규정은 관련 예산 확보 등을 고려하여 내년 7월 1일부터 시행될 예정이다. 개인정보보호위원회는 개정 법률의 원활한 시행을 위해 후속 시행령 개정을 신속히 추진하고, 산업계 및 공공기관 등과의 소통을 강화할 계획이다.