[비즈니스포스트] 개인정보 유출사고를 일으킨 기업에 전체 매출의 최대 10%까지 과징금을 부과할 수 있는 법률이 오는 9월부터 시행된다.

9일 개인정보보호위원회는 개인정보 보호 책임을 강화한 개정 개인정보 보호법이 10일 공포돼 올해 9월11일부터 시행된다고 밝혔다.
 
개정 법률은 반복적이거나 중대한 위반행위에 대해서는 전체 매출의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례를 도입했다. 

기존 과징금 제도인 전체 매출의 3% 이하만으로는 개인정보 침해 사고에 대한 실효적 억지력 확보에 한계가 있다는 점을 고려해 △최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 △고의 또는 중대한 과실로 대규모(1천만 명 이상) 피해를 초래한 경우 △시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우에는 강화된 제재를 부과할 수 있는 법적 근거를 마련했다.

개인정보 보호를 위한 사전 예방적 투자를 활성화하기 위한 인센티브도 함께 도입해 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 경우 과징금을 필수 감경(고의·중과실의 경우는 제외)하도록 했다.

또 유출 등 사고 발생 초기부터 정보주체가 이를 인지하고 신속하게 대응할 수 있도록 유출 등의 가능성이 있음을 알게 되었을 때에도 지체 없이 통지하도록 의무화했다.

위조·변조·훼손도 유출 등 사고의 범위에 포함해 통지·신고 대상이 되도록 했고, 개인정보 유출통지 시 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알리도록 했다.

대표자(CEO) 및 개인정보 보호책임자(CPO)의 책임을 강화해 CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히 부여했다. 

일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다.

CPO가 개인정보 보호에 필요한 전문 인력 관리, 예산 확보업무를 수행하도록 의무화했으며, 대표자와 이사회에 개인정보 보호 관련 사항을 보고하도록 했다.

공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다. 다만 ISMS-P 인증 의무화 규정은 관련 예산 확보 등에 소요되는 기간을 고려해 2027년 7월1일부터 시행된다. 조승리 기자