개인정보 유출 사고 예방을 위해 징벌적 과징금 도입과 기업 책임 강화를 담은 개정 '개인정보 보호법'이 오는 9월 11일부터 시행된다.
개인정보보호위원회는 반복적이거나 중대한 개인정보 침해 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 내용을 담은 '개인정보 보호법' 개정안을 10일 공포한다. 기존 과징금 상한이 매출액의 3% 이하였던 점을 고려하면 제재 수위가 대폭 강화된다.
개정안은 개인정보 유출 대응 체계도 강화했다. 앞으로는 개인정보 유출 사실뿐 아니라 유출 가능성을 알게 된 경우에도 정보주체에게 지체 없이 통지해야 한다. 랜섬웨어 등으로 인한 개인정보 위조·변조·훼손도 신고·통지 대상에 포함했다.
기업 경영진의 책임도 강화된다. 사업주 또는 대표자는 개인정보 보호에 대한 관리·감독 의무를 지게 되며, 일정 규모 이상의 개인정보처리자는 개인정보 보호책임자(CPO) 지정·변경 시 이사회 의결을 거쳐 개인정보보호위원회에 신고해야 한다. CPO는 개인정보 보호 인력 관리와 예산 확보 업무를 수행하고 관련 사항을 대표자와 이사회에 보고하게 된다.
이와 함께 공공·민간 주요 개인정보처리자를 대상으로 '정보보호 및 개인정보보호 관리체계(ISMS-P)' 인증을 의무화해 개인정보 보호 관리체계를 강화하기로 했다. 해당 규정은 준비 기간을 고려해 2027년 7월 1일부터 시행하기로 했다.
개인정보위는 법 시행에 맞춰 하위 법령 정비를 추진하고 산업계 및 공공기관과의 소통을 강화해 제도가 현장에 안정적으로 정착하도록 지원할 방침이다.
박진형 기자 jin@etnews.com
