개인정보보호위원회는 징벌적 과징금 도입과 개인정보보호책임자(CPO) 역할 강화, ISMS-P 인증제도 개선 등을 담은 개정 ‘개인정보 보호법’을 10일 공포한다고 9일 밝혔다. 이번 개정은 최근 잇따른 대규모 개인정보 유출 사고에 대응해 기업과 기관의 보호 책임을 높이기 위한 조치다.
개정안은 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 했다. 최근 3년간 고의 또는 중과실로 위반을 반복한 경우, 1000만명 이상 대규모 피해를 낸 경우, 시정명령 불이행으로 유출 사고가 발생한 경우 등이 대상이다. 반면 개인정보 보호를 위해 예산·인력·설비 등을 투자한 기업이나 기관은 고의 또는 중과실이 아닌 사고에 한해 과징금 감경을 받을 수 있도록 했다.
유출 가능성 통지제도 도입됐다. 개인정보 처리자가 유출 등의 가능성을 알게 되면 지체 없이 정보주체에게 알려야 하며, 분실·도난·유출뿐 아니라 위조·변조·훼손도 사고 범위에 포함된다. 피해구제 방법도 함께 안내해야 한다.
CEO와 CPO 책임도 강화된다. 대표자는 개인정보 처리와 보호의 최종책임자로서 관리·감독 의무를 지고, 일정 규모 이상 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결과 개인정보보호위 신고를 거쳐야 한다. 공공·민간 주요 기업과 기관에는 ISMS-P 인증이 의무화된다. 개정 법률은 9월 11일부터 시행되며, ISMS-P 의무화는 2027년 7월 1일부터 적용된다.
김재원 기자 jkim@segye.com
