개인정보 보호법 10일 공포…징벌적 과징금 도입

[프라임경제] 개인정보보호위원회(이하 개인정보위)는 '개인정보 보호법'이 오는 10일 공포된다고 9일 밝혔다. 

개인정보 보호법은 징벌적 과징금 도입, 개인정보 보호책임자 역할 강화와 개인정보보호 관리체계(ISMS-P) 인증제도 개선을 골자로 한다.

반복적이거나 중대한 위반행위에 대해서는 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례를 도입했다. 

기존 과징금 제도(전체 매출액의 3% 이하)만으로는 개인정보 침해 사고에 대한 실효적인 억지력 확보에 한계가 있다는 점을 고려해 반복적·대규모 피해 발생 등의 경우에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다.

반복적이거나 중대한 위반행위는 △최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 △고의 또는 중대한 과실로 대규모(1000만명 이상) 피해를 초래한 경우 △시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등에 속한다.

개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위한 인센티브도 함께 도입해 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다.

또한 유출 가능성 통지제를 도입해 유출 등의 가능성이 있음을 알게 됐을 때에도 지체없이 통지하도록 의무화했다.

개인정보 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출 등 사고'의 범위에 포함해 통지·신고 대상이 되도록 했다. 

아울러 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.

사업주 또는 대표자(CEO), 개인정보보호책임자(CPO)의 책임도 강화된다. 

CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다.

CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행하도록 의무화했으며, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.

끝으로 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다.

개정 법률은 올해 9월11일부터 시행된다. 다만, ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 소요되는 기간을 고려해 내년 7월1일부터 시행될 예정이다.