‘개인정보 유출 최대 과징금, 매출 10%’, 개정 개인정보보호법 9월11일 시행

Source: Byline Network

개요

개인정보보호위원회는 최고경영자(CEO)의 책임 강화와 정보보호 및 개인정보보호관리체계(ISMS‑P) 인증 의무화를 포함한 ‘개인정보보호법’ 개정안을 10일 공포하고, 9월 11일부터 시행한다.

주요 변경 사항

제재 수위 상향

• 반복적이거나 중대한 위반에 대해 전체 매출액의 **최대 10 %**까지 과징금 부과 가능.
• 기존 상한은 매출액의 3 % 이하였음.
• 적용 기준:
  • 최근 3년간 고의·중대한 과실로 위반을 반복했거나,
  • 고의·중대한 과실로 1,000만 명 이상에게 피해를 발생시켰거나,
  • 시정명령을 이행하지 않아 유출 사고가 발생한 경우.

사전 예방 투자 인센티브

• 개인정보 보호를 위해 예산·인력·설비·장치 등에 투자·운영한 경우 과징금 감경.
• 단, 고의·중과실이 인정되는 경우는 제외.

정보주체 통지 기준 확대

• 기존: 유출 사실을 알았을 때만 통지.
• 개정안: 유출 가능성이 확인되는 즉시 지체 없이 통지 의무 확대.
• 이용자는 초기 단계부터 비밀번호 변경·계정 보호 조치를 취할 수 있음.

사고 범위 확대

• 기존: 분실·도난·유출 중심.
• 개정안: 위조·변조·훼손도 ‘유출 등 사고’에 포함.
• 랜섬웨어 등으로 개인정보가 손상·변경된 경우도 통지 대상.
• 통지 시 손해배상 청구·분쟁조정 신청 등 피해구제 방법 안내 의무 신설.

CEO와 CPO(개인정보보호책임자) 책임 강화

• CEO: 개인정보 처리·보호 최종 책임자로서 관리·감독 의무 명시.
• 일정 규모 이상 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결을 거쳐야 하며, 이를 개인정보보호위원회에 신고.
• CPO: 보호 업무에 필요한 전문 인력 관리·예산 확보·CEO·이사회에 보고 등 실무 책임 확대.

ISMS‑P 인증 의무화

• 주요 개인정보처리자(공공·민간)에게 ISMS‑P 인증을 의무화.
• 기존에는 자율 인증이었으나, 파급력이 큰 기업·기관은 반드시 인증 받아야 함.
• 인증 대상 범위는 추후 시행령 개정 과정에서 구체화 예정.

시행 시점

• 개정 개인정보보호법: 2024 년 9월 11일 시행.
• ISMS‑P 인증 의무화 규정: 2027 년 7월 1일부터 적용(예산 확보·준비 기간 고려).

개인정보보호위원회는 후속 시행령 개정을 추진하고, 산업계·공공기관과의 소통을 강화할 계획이다.