CPO 지정·변경 강화, 개인정보 보호법 개정

개인정보 보호법 시행령 개정안 입법예고

개인정보보호위원회는 개인정보 유출 사고 예방과 대응 체계를 강화하고 국민의 개인정보 권리를 더욱 두텁게 보호하기 위해 '개인정보 보호법 시행령' 일부개정령안을 마련하여 2026년 7월 13일까지 입법예고한다고 6월 2일 밝혔다.

CPO 지정·변경 시 이사회 의결 및 신고 의무 강화

이번 개정안은 개인정보 보호책임자(CPO)의 권한과 독립성을 강화하는 데 중점을 두었다. 일정 규모 이상의 개인정보처리자는 CPO를 지정하거나 변경·해제할 때 반드시 이사회의 의결을 거쳐야 하며, 이를 개인정보보호위원회에 신고해야 한다. 이 조치는 CPO의 독립성과 신분 보장을 강화하기 위한 것으로, 현행법상 전문 CPO 지정 의무 대상과 동일한 기준을 적용한다.

또한, CPO 지정·변경·해제 시 신고 방법과 절차를 구체화하여, 신고 의무 대상 개인정보처리자는 의무 발생일로부터 1개월 이내에 신고서를 제출해야 하며, 부득이한 경우 1개월 연장이 가능하다.

ISMS-P 인증 의무 대상 구체화

개인정보보호 관리체계(ISMS-P) 인증 의무 대상 범위도 명확히 규정되었다. 공공시스템 운영기관 중 개인정보보호위원회가 정해 고시하는 기관, 이동통신사업자, 본인확인기관, 그리고 전년도 매출액 1조 원 이상에 정보통신서비스 부문 매출액 100억 원 이상, 일일 평균 3,000만 명 이상의 국내 정보주체 개인정보를 저장·관리하는 기업은 2028년 12월 31일까지 ISMS-P 인증을 받아야 한다.

개인정보 유출 가능성 통지 요건 및 절차 구체화

개인정보 유출 가능성 단계부터 정보주체에게 신속히 통지하도록 하는 제도도 구체화되었다. 개인정보처리시스템에 대한 불법적 접근이나 개인정보 불법 거래·유통 사실을 인지한 경우, 72시간 이내에 정보주체에게 통지해야 한다. 또한, 개인정보 분실, 도난, 유출뿐 아니라 위조, 변조, 훼손 사례도 통지 및 신고 대상에 포함된다.

과태료 부과 기준 정비로 제재 실효성 강화

과태료 부과 기준도 개선되어 경미한 위반 행위에 대해서는 과태료를 면제하고 경고 조치를 우선하며, 동일 위반 행위 재발 시 과태료 가중 횟수에 반영하도록 했다. 위반 횟수별 과태료 부과 금액도 법제처 지침에 맞춰 정비되었다.

입법예고 및 의견 제출 안내

이번 개정안에 대해 의견이 있는 기관, 단체, 개인은 2026년 7월 13일까지 국민참여입법센터, 개인정보보호위원회 전자우편 및 일반우편을 통해 의견을 제출할 수 있다. 개정안 전문은 개인정보보호위원회 누리집에서 확인 가능하다.