징벌적 과징금, CEO·CPO 책임성 강화, ISMS-P 인증 의무화 등
[보안뉴스 강현주 기자] 2026년 9월 11일부터 개인정보 유출 사고를 당한 기업에게 전체 매출의 최대 10%까지 과징금을 부과하게 된다. 유출 ‘가능성’도 통지 의무화된다.
개인정보보호위원회(위원장 송경희)는 징벌적 과징금 도입, 개인정보 보호책임자 역할 강화 및 개인정보보호 관리체계(ISMS-P) 인증제도 개선을 통한 개인정보 보호 책임 강화를 담은 개정 ‘개인정보 보호법’을 10일 공포한다.
이번 법 개정은 최근 연이은 대규모 개인정보 유출사고로 불안과 사회적 우려가 커지는 상황에서, 기업·기관의 개인정보 보호 책임을 강화하기 위해 신속히 추진됐다. 개인정보 침해에 대한 엄정한 제재를 통해 강력한 억지력을 확보하는 한편, 사전예방적 투자를 촉진하고 개인정보 관리 체계를 강화해 개인정보 유출사고의 재발을 막기 위한 취지다.
개정 법률은 △징벌적 과징금 및 사전예방 투자 인센티브 도입 △유출 가능성 통지제 도입 △대표자(CEO) 및 개인정보 보호책임자(CPO) 책임 강화 △공공·민간 주요 개인정보처리자의 ISMS-P 인증 의무화 등의 내용을 담는다.
반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례가 도입된다. 기존 과징금 제도(전체 매출액의 3% 이하)만으로는 개인정보 침해 사고에 대한 실효적인 억지력 확보에 한계가 있다는 점을 고려해, 반복적·대규모 피해 발생 등의 경우*에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다.
최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우, 고의 또는 중대한 과실로 대규모(1천만명 이상) 피해를 초래한 경우, 시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등이 대상이다.
개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위한 인센티브도 함께 도입, 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다.
현행 보호법은 개인정보처리자가 ‘유출등이 됐음을 알았을 때’ 정보주체에게 알리도록 규정하고 있다. 유출 등 가능성이 있음에도 통지가 지연되는 문제가 있었다. 유출등 사고 발생 초기부터 정보주체가 이를 인지하고 신속하게 대응할 수 있도록 ‘유출등의 가능성이 있음을 알게 됐을 때’에도 지체없이 통지하도록 의무화했다.
기존에는 랜섬웨어 등으로 인한 개인정보의 위조·변조·훼손의 경우는 통지·신고 대상에 포함되지 않아 신속한 대응에 어려움이 있었다. 이에 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 ‘유출등 사고’의 범위에 포함해 통지·신고 대상이 되도록 했다. 더불어, 개인정보 유출통지 시 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.
개인정보 유출사고를 근본적으로 예방하기 위해서는 기업·기관 차원에서 개인정보 처리·보호에 대한 인식 강화와 관심 제고가 필수적인 점을 고려, 사업주 또는 대표자(이하 ‘CEO’), 개인정보 보호책임자(이하 ‘CPO’)의 책임성 강화를 통한 개인정보의 안전한 관리체계 확보도 함께 추진한다.
CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다.
상시적인 개인정보 안전관리 체계를 구축하기 위해 CPO의 역할을 강화했다. CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 의무화했으며, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.
공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다. 이를 통해 정보보호 및 개인정보 보호 수준을 스스로 강화하도록 하고, 실효성 있는 개인정보 보호 관리체계를 구축하고자 했다.
개정 법률은 올해 9월 11일부터 시행된다. 단 ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 소요되는 기간을 고려해 2027년 7월 1일부터 시행될 예정이다.
개인정보위 측은 “개정 법률이 차질없이 시행될 수 있도록 위임규정 마련 등 후속 시행령 개정을 신속히 추진하는 한편, 제도개선 사항이 현장에서 안정적으로 운영될 수 있도록 산업계, 공공기관 등과 소통을 강화해 나갈 계획”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 2026년 9월 11일부터 개인정보 유출 사고를 당한 기업에게 전체 매출의 최대 10%까지 과징금을 부과하게 된다. 유출 ‘가능성’도 통지 의무화된다.
개인정보보호위원회(위원장 송경희)는 징벌적 과징금 도입, 개인정보 보호책임자 역할 강화 및 개인정보보호 관리체계(ISMS-P) 인증제도 개선을 통한 개인정보 보호 책임 강화를 담은 개정 ‘개인정보 보호법’을 10일 공포한다.
이번 법 개정은 최근 연이은 대규모 개인정보 유출사고로 불안과 사회적 우려가 커지는 상황에서, 기업·기관의 개인정보 보호 책임을 강화하기 위해 신속히 추진됐다. 개인정보 침해에 대한 엄정한 제재를 통해 강력한 억지력을 확보하는 한편, 사전예방적 투자를 촉진하고 개인정보 관리 체계를 강화해 개인정보 유출사고의 재발을 막기 위한 취지다.
개정 법률은 △징벌적 과징금 및 사전예방 투자 인센티브 도입 △유출 가능성 통지제 도입 △대표자(CEO) 및 개인정보 보호책임자(CPO) 책임 강화 △공공·민간 주요 개인정보처리자의 ISMS-P 인증 의무화 등의 내용을 담는다.
반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례가 도입된다. 기존 과징금 제도(전체 매출액의 3% 이하)만으로는 개인정보 침해 사고에 대한 실효적인 억지력 확보에 한계가 있다는 점을 고려해, 반복적·대규모 피해 발생 등의 경우*에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다.
최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우, 고의 또는 중대한 과실로 대규모(1천만명 이상) 피해를 초래한 경우, 시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등이 대상이다.
개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위한 인센티브도 함께 도입, 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다.
현행 보호법은 개인정보처리자가 ‘유출등이 됐음을 알았을 때’ 정보주체에게 알리도록 규정하고 있다. 유출 등 가능성이 있음에도 통지가 지연되는 문제가 있었다. 유출등 사고 발생 초기부터 정보주체가 이를 인지하고 신속하게 대응할 수 있도록 ‘유출등의 가능성이 있음을 알게 됐을 때’에도 지체없이 통지하도록 의무화했다.
기존에는 랜섬웨어 등으로 인한 개인정보의 위조·변조·훼손의 경우는 통지·신고 대상에 포함되지 않아 신속한 대응에 어려움이 있었다. 이에 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 ‘유출등 사고’의 범위에 포함해 통지·신고 대상이 되도록 했다. 더불어, 개인정보 유출통지 시 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.
개인정보 유출사고를 근본적으로 예방하기 위해서는 기업·기관 차원에서 개인정보 처리·보호에 대한 인식 강화와 관심 제고가 필수적인 점을 고려, 사업주 또는 대표자(이하 ‘CEO’), 개인정보 보호책임자(이하 ‘CPO’)의 책임성 강화를 통한 개인정보의 안전한 관리체계 확보도 함께 추진한다.
CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다.
상시적인 개인정보 안전관리 체계를 구축하기 위해 CPO의 역할을 강화했다. CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 의무화했으며, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.
공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다. 이를 통해 정보보호 및 개인정보 보호 수준을 스스로 강화하도록 하고, 실효성 있는 개인정보 보호 관리체계를 구축하고자 했다.
개정 법률은 올해 9월 11일부터 시행된다. 단 ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 소요되는 기간을 고려해 2027년 7월 1일부터 시행될 예정이다.
개인정보위 측은 “개정 법률이 차질없이 시행될 수 있도록 위임규정 마련 등 후속 시행령 개정을 신속히 추진하는 한편, 제도개선 사항이 현장에서 안정적으로 운영될 수 있도록 산업계, 공공기관 등과 소통을 강화해 나갈 계획”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
_m.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
