개인정보 위반 매출 10% 과징금, 예방 중심 체계 구축 | 종합

2주 전 72 읽음

개인정보 위반 매출 10% 과징금, 예방 중심 체계 구축

IT조선

개인정보보호위원회가 고위험 개인정보 처리 시스템을 직접 점검하고, 중대·반복 위반에는 매출액 최대 10%의 과징금을 부과하는 방안을 추진한다. 개인정보 관리체계를 사후 처벌 중심에서 사고 예방 중심으로 전환하겠다는 취지다.

개인정보보호위원회(이하 개보위)는 12일 대통령 주재 국무회의에서 이 같은 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다. AI 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용 범위가 넓어지고, 유출 사고도 대형화되는 상황에 맞춰 개인정보 보호체계를 바꾸겠다는 내용이다.

개보위는 우선 반복적이거나 중대한 개인정보보호법 위반 행위에 매출액의 최대 10%까지 과징금을 부과하기로 했다. 과징금 산정 기준도 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 중 높은 금액을 적용하는 방식으로 강화한다. 신속한 조사와 처분을 위해 이행강제금 제도를 도입하고, 증거 은닉 행위 제재와 신고포상금 제도도 추진한다.

다만 영세기업의 경미한 위반에는 곧바로 제재하기보다 재발 방지와 개선 기회를 주기로 했다. 위반이 반복될 경우에는 엄정 대응한다는 방침이다.

기업의 자발적 보호 투자도 유도한다. 개보위는 법정 기준을 웃도는 선제적 보호조치, 적극적인 보안 투자, 실효적인 안전관리체계 운영 여부를 종합 평가해 과징금 감경 등 인센티브를 부여할 예정이다. 오는 9월부터 시행되는 경영진의 개인정보 보호 책임 강화에 맞춰 기업의 개인정보 보호활동 공개도 유도한다.

위험 기반 점검체계도 구축한다. 개보위는 주요 공공시스템 387개와 교육·복지 등 고위험 분야를 직접 관리한다. 민간 영역에서는 대규모 개인정보를 처리하는 사업자와 국민 생활 밀접 분야를 중심으로 점검을 확대한다. 클라우드 사업자, 전문수탁사, 시스템 공급사 등 공급망 전반도 점검 대상에 포함된다.

서비스 기획·설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD) 원칙도 제도화한다. 개보위는 개인정보 영향평가 기준과 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 기준에 관련 원칙을 반영할 계획이다. 공공부문 개인정보 보호 인력과 예산 확충, 전담인력 처우 개선, 전문인력 양성도 함께 추진한다.

피해구제 체계도 손본다. 개인정보 유출 사고가 발생하면 기업·기관의 손해배상 책임을 원칙으로 하고, 입증 책임도 기업이 지도록 해 법정 손해배상 제도를 활성화한다. 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 다크패턴도 집중 점검한다. 민감정보 유출 시 SNS와 다크웹 등에서 불법 유통 여부를 모니터링하고, 수사기관과 협력해 유포자와 이용자를 추적·처벌한다.

송경희 개보위 위원장은 “모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”며 “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다”고 밝혔다.

정종길 기자

jk2@chosunbiz.com