대규모 개인정보 유출 사고에 대한 대응을 강화하기 위해 징벌적 과징금 도입과 기업 책임 강화 등을 담은 개정 「개인정보 보호법」이 공포된다.

 

정부는 기업과 기관의 개인정보 보호 책임을 강화하는 내용을 담은 개정 개인정보 보호법이 3월 10일 공포된다고 밝혔다.

 

이번 법 개정은 최근 연이어 발생한 대규모 개인정보 유출 사고로 국민 불안과 사회적 우려가 커지는 상황에서 개인정보 관리 체계를 강화하고 사고 재발을 방지하기 위해 추진됐다.

 

반복 위반 시 매출 10% 과징금 부과

개정 법률은 반복적이거나 중대한 개인정보 침해 행위에 대해 징벌적 수준의 과징금을 부과할 수 있도록 했다.

 

기존에는 전체 매출액의 3% 이하 범위에서 과징금을 부과했지만, 앞으로는 중대한 위반이나 대규모 피해가 발생한 경우 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례가 적용된다.

 

정부는 이를 통해 개인정보 침해 사고에 대한 실질적인 억지력을 확보한다는 방침이다.

 

또 개인정보 보호를 위한 사전 투자 활성화를 위해 인센티브 제도도 함께 도입했다.

 

기업이 개인정보 보호를 위해 예산과 인력, 장비 등을 사전에 투자한 경우 과징금을 의무적으로 감경하도록 했으며, 다만 고의 또는 중대한 과실이 있는 경우에는 감경 대상에서 제외된다.

 

유출 가능성만 있어도 통지 의무

개정 법률은 개인정보 유출 사고 통지 기준도 강화했다.

 

기존에는 개인정보처리자가 ‘유출 사실을 알게 된 경우’에만 정보주체에게 통지하도록 되어 있었지만, 앞으로는 유출 가능성을 인지한 경우에도 지체 없이 통지해야 한다.

 

또 개인정보 유출 사고의 범위도 확대됐다.

 

기존에는 분실이나 도난, 유출만 신고 대상이었지만 앞으로는 랜섬웨어 등으로 인한 개인정보 위조·변조·훼손까지 포함된다.

 

아울러 개인정보 유출 사실을 통지할 때 손해배상 청구나 분쟁조정 신청 등 피해 구제 방법도 함께 안내하도록 했다.

 

CEO와 개인정보 책임자 관리 책임 강화

기업과 기관의 개인정보 관리 책임을 강화하기 위한 조치도 포함됐다.

 

개정 법률은 기업 대표자(CEO)를 개인정보 보호의 최종 책임자로 규정하고 관리·감독 의무를 명확히 했다.

 

또 일정 규모 이상의 개인정보처리자는 개인정보 보호책임자(CPO)를 지정하거나 변경할 경우 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다.

 

이와 함께 CPO의 역할도 확대된다.

 

CPO는 개인정보 보호를 위한 전문 인력 관리와 예산 확보를 담당하고 관련 사항을 대표이사와 이사회에 보고해야 한다.

 

주요 기업·기관 ISMS-P 인증 의무화

공공기관과 민간 기업 가운데 개인정보 처리 규모와 영향력이 큰 기관에 대해서는 개인정보 보호 관리체계 인증(ISMS-P)을 의무화하기로 했다.

 

기존에는 자율적으로 운영되던 인증 제도를 의무화해 개인정보 보호 수준을 체계적으로 높이겠다는 취지다.

이를 통해 기업과 기관이 정보보호와 개인정보 보호 체계를 스스로 강화하도록 유도할 계획이다.

 

9월부터 시행…ISMS-P는 2027년 적용

개정 개인정보 보호법은 오는 9월 11일부터 시행된다.

 

다만 ISMS-P 인증 의무화 규정은 기업과 기관의 준비 기간과 예산 확보 등을 고려해 2027년 7월 1일부터 적용될 예정이다.

 

개인정보보호위원회는 법 시행을 위해 시행령 개정 등 후속 조치를 추진하고 산업계와 공공기관과의 협의를 통해 제도가 현장에서 안정적으로 운영될 수 있도록 지원할 계획이다.

 

개인정보 유출 사고가 반복되는 상황에서 기업 책임을 강화하는 법적 장치가 마련됐다는 점은 의미가 크다. 다만 징벌적 과징금 도입이 실질적인 예방 효과로 이어지기 위해서는 기업의 보안 투자와 관리 체계 개선이 함께 뒤따라야 할 것으로 보인다.

[비즈데일리 유정흔 기자]