I. 배경
최근 산업 전반에 걸친 대규모 개인정보 유출 사고로 인해 국민적 우려가 깊어지고 있습니다. 이에 따라 기업의 책임성을 강화하고 제재의 실효성을 높여야 한다는 목소리가 커져 왔습니다.
이러한 요구를 반영하여 CPO(Chief Privacy Officer, 개인정보 보호책임자)의 독립성 강화, 개인정보 보호 인증 의무화, 과징금 제도 정비, 정보주체의 권리 구제 확대 등을 골자로 하는 「개인정보 보호법」 (이하 “개인정보보호법”) 개정안이 2026년 2월 12일 국회 본회의를 통과하였습니다.
II. 주요 개정 내용
1. 사업주 또는 대표자 및 CPO 중심의 개인정보 관리체계 확립
이번 개정안은 사업주 또는 대표자에게 개인정보 처리 및 보호의 최종 책임자로서의 실효적 관리 의무를 부여함과 동시에 CPO의 역할을 강화하고 있습니다.
- 사업주 또는 대표자의 관리 의무 법제화: 개인정보처리자의 사업주 또는 대표자는 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종 책임자로서 개인정보 보호에 필요한 인력 관리 및 예산 확보 등 총괄적인 관리 조치를 하여야 합니다 (안 제30조의3 신설).
- CPO의 역할 및 권한 강화: 일정 기준에 해당하는 개인정보처리자는 CPO를 지정∙변경∙해제 시 이사회의 의결을 거쳐야 하며, 개인정보 보호위원회에 신고하여야 합니다. CPO는 개인정보 보호에 필요한 전문 인력 관리 및 예산 확보 권한을 갖고 주요 사항에 대해서는 사업주 또는 대표자 및 이사회에 보고할 의무가 부여됩니다(안 제31조).
2. 개인정보 보호 인증 의무화
개인정보보호법에서는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 법에 부합하는지 등에 관하여 개인정보 보호위원회가 인증을 할 수 있다고 정하고 있습니다. 이번 개정안에서는 한걸음 더 나아가 매출액, 개인정보 처리 규모가 일정 기준에 도달하는 개인정보처리자에 대하여 개인정보 보호 인증을 의무적으로 받도록 합니다. 개인정보 보호 인증 의무화를 통하여 개인정보 관리 체계의 신뢰성과 안전성을 제고하기 위함입니다(안 제32조의2).
3. 유출등 통지 범위의 확대 및 유출 가능성 통지제 도입
개인정보보호법에서는 종래 “분실∙도난∙유출”을 “유출등”으로 약칭하여 개인정보가 분실∙도난∙유출된 경우만 통지 대상으로 보았습니다. 그러나 이번 개정안에서는 “유출등“의 범위에 위조∙변조∙훼손까지 포함하도록 하여 개인정보가 분실∙도난∙유출된 경우 뿐만 아니라 위조∙변조∙훼손된 경우에도 관련 정보를 해당 정보주체에 통지하도록 통지 범위를 확대하였습니다(안 제34조 제1항).
또한 유출가능성 통지제도가 도입됨에 따라 개인정보처리자는 개인정보의 유형, 정보주체에게 미치는 영향 및 유출등의 위함 정도를 고려하여 대통령령이 정하는 유출등의 가능성이 있음을 알게 되었을 때에는 지체 없이 유출등의 가능성이 있는 모든 정보주체에게 피해를 최소화하기 위한 정보 등을 알려야 합니다(안 제34조 제2항).
4. 반복적이거나 중대한 개인정보 침해에 대한 과징금 강화
이번 개정안은 과징금 부과대상 중 피해 규모가 중대하거나 반복적인 위반행위에 대하여 징벌적 과징금 제도를 도입함으로써 제재의 실효성을 강화합니다. 과징금 부과대상인 위반행위와 관련하여 (ⅰ) 고의 또는 중대한 과실로 3년 이내 반복적 위반을 했거나, (ⅱ) 고의 또는 중대한 과실로 1천만명 이상의 대규모 피해가 발생했거나, (ⅲ) 시정조치 명령에 따르지 아니하여 유출 등이 발생한 경우 중 어느 하나에 해당할 경우 개인정보 보호위원회는 해당 개인정보처리자에게 전체 매출액의 10%를 초과하지 않는 범위 내에서 과징금을 부과할 수 있습니다. 단, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 50억원을 초과하지 않는 범위에서 과징금을 부과할 수 있습니다(안 제64조의2 제2항 신설).
또한 개인정보 보호위원회는 개인정보처리자가 고의 또는 중대한 과실로 위반행위를 한 경우를 제외하고, 예산∙인력∙설비∙장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경하도록 하여 기업의 사전적 예방 투자를 유도합니다(안 제64조의2 제6항 신설).
III. 시행 시기
이번 개정안은 원칙적으로 공포 후 6개월이 경과한 날부터 시행되며(부칙 제1조), 다만, 개인정보 보호 인증 의무화(안 제32조의2) 및 관련 과태료 규정(안 제75조 제2항 제15호)은 2027년 7월 1일부터 시행될 예정입니다.
또한 개정된 과징금 부과 규정의 경우 다음과 같이 적용됩니다.
(ⅰ) 고의 또는 중대한 과실로 3년 이내 반복적 위반행위를 한 경우: 이번 개정안 시행 이후 해당 행위로 과징금 부과처분을 받은 후 다시 동일한 위반행위를 한 경우부터 적용합니다.
(ⅱ) 고의 또는 중대한 과실로 1천만명 이상 대규모 피해가 발생한 경우: 이번 개정안 시행당시 종료되지 아니한 위반행위에 대해서도 적용합니다.
(ⅲ) 시정조치 명령에 따르지 아니하여 유출 등이 발생한 경우: 이번 개정안 시행 이후 시정조치 명령을 받은 경우부터 적용합니다.
IV. 시사점 및 개인정보처리자가 유의해야 할 사항
이번 개정안은 대규모 개인정보 유출사고가 발생함에도 일부 기업이 개인정보 보호 노력을 충분히 하고 있지 않다는 지적이 제기됨에 따라 기존의 사후 제재 위주에서 사전 예방 및 보호투자를 촉진하는 방향으로 정비되었습니다.
규제기관이 법 위반 행위에 대한 철저한 조사와 엄정한 제재의지를 보이는 만큼 개인정보처리자는 개인정보 보호법 준수를 위한 예산 및 인력을 확보하여 추가적, 선제적인 안전조치를 수행하는 등 적극적인 보호체계 정비가 필요합니다.
법무법인 태평양은 이번 개인정보보호법 개정안과 관련하여 시행령 개정 및 세부 기준 마련 과정을 신속하게 모니터링하고 기업의 구체적 사정을 고려한 맞춤형 자문을 드림으로써 최적의 대응 방안을 제공하겠습니다.
[영문 더보기]