개인정보 유출 엄정 대응, 매출 10% 과징금 도입

개인정보 보호, 사후 처벌에서 예방 중심으로 전환

정부는 개인정보 보호체계를 기존의 사후 처벌 중심에서 사고 예방 중심으로 전환하는 방안을 발표했습니다. 특히 반복적이거나 중대한 개인정보 보호 위반행위에 대해서는 매출액의 최대 10%까지 징벌적 과징금을 부과하는 등 엄정한 대응을 예고했습니다.

개인정보보호위원회, 국무회의서 예방 중심 관리체계 전환 계획 보고

개인정보보호위원회는 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고했습니다. 이번 계획은 인공지능과 디지털 전환, 플랫폼 경제 확산으로 개인정보 활용이 급증하는 상황에서 개인정보 보호 수준을 높이고 대형 유출사고에 실효적으로 대응하기 위해 마련됐습니다.

중대·반복 위반에 대한 제재 강화

반복적이거나 중대한 개인정보 보호 위반행위에 대해 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높입니다. 과징금 산정 기준도 기존 3년 평균 매출액에서 직전 연도 매출액과 3년 평균 매출액 중 높은 금액을 적용하도록 변경됩니다. 또한 신속한 조사와 처분을 위해 이행강제금 부과 제도를 도입하고, 증거 은닉 행위에 대한 제재도 강화합니다. 신고포상금 제도도 도입할 예정입니다.

영세기업에 대한 배려와 엄정 대응 병행

영세기업의 경미한 개인정보 보호법 위반에 대해서는 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에는 엄정하게 대응할 방침입니다.

자발적 보호 투자 확대 및 위험기반 관리체계 구축

기업이 단순한 법 준수를 넘어 실질적인 개인정보 보호 수준 향상을 위해 투자와 책임경영을 강화하도록 유도합니다. 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 안전관리체계 운영 여부를 종합 평가해 과징금 감경 등 인센티브를 부여할 계획입니다. 9월부터는 경영진의 개인정보 보호 책임 이행을 촉진하기 위해 기업의 개인정보 보호 활동 공개를 유도합니다.

위험 수준에 따라 차등 점검하는 위험기반 관리체계도 구축해 주요 공공시스템과 교육·복지 등 고위험 분야는 개인정보보호위원회가 직접 집중 관리합니다. 또한 클라우드 사업자, 전문수탁사, 시스템 공급사 등 공급망 전반으로 점검을 확대해 개인정보 보호 경쟁력을 높일 예정입니다.

개인정보 중심 설계(PbD) 제도화 추진

개인정보 처리 환경이 복잡해짐에 따라 서비스 기획·설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD) 원칙을 제도화합니다. 개인정보 영향평가 기준과 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준에도 PbD 원칙을 반영할 계획입니다.

전문 인력 확충과 교육 강화

공공부문의 개인정보 보호 인력과 예산 부족 문제를 확인한 개인정보보호위원회는 관계부처와 협력해 전담 인력과 예산을 확충하고, 민관 협력으로 보호 수준을 높이며 개인정보 보호 전담인력의 처우 개선도 추진합니다. 또한 대학원 과정을 권역별, 지역별로 확대하고, 정책 담당자, 개발자, 사고 대응 조직 등 대상별 맞춤형 실무 교육 프로그램을 새롭게 설계해 운영할 계획입니다.

피해 구제 및 회복 지원 강화

개인정보 유출 피해 구제를 위해 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 입증 책임을 기업에 부과해 법정 손해배상 제도를 활성화합니다. 이용자를 속이거나 오인하게 하는 다크패턴 행태를 집중 점검하며, 개인정보 침해신고센터의 전문 상담과 피해 조치 지원 기능도 강화합니다.

민감정보 유출 시 SNS 등에서 불법 유통 여부를 모니터링하고, 수사기관과 협력해 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침입니다.

개인정보위원장, 국민 정보 안전과 신뢰 환경 조성 강조

송경희 개인정보위원장은 "개인정보 유출은 피해 회복이 어렵고 긴 시간이 걸리는 만큼, 사후 책임뿐 아니라 사전 예방 체계를 구축해 국민의 정보를 안전하게 지키고 신뢰할 수 있는 개인정보 활용 환경을 만들어 가겠다"고 밝혔습니다.