개인정보 유출 나면 더 세게 물린다…CEO 책임·사전 통지 의무까지 강화 작성일 03-09 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개정 개인정보 보호법<br>3월 10일 공포, 9월 11일 시행<br>과징금 최대 10%, 유출 가능성만 있어도 통지<br>ISMS-P 의무화도 추진</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="tr2AB4NdwJ"> <p contents-hash="d33d4bd4e0e8d01674a90ad14c8772f42850a59acad1325d22572792abfc53e8" dmcf-pid="FEba72oMEd" dmcf-ptype="general"> [이데일리 김현아 기자] 개인정보 유출사고를 막기 위한 기업·기관의 책임이 한층 무거워진다. </p> <p contents-hash="c9bd11df3782cb91cd5e8a9307ae373ff46b5c856b356c99f1509483dd1f55c0" dmcf-pid="3DKNzVgRwe" dmcf-ptype="general">앞으로는 반복적이거나 중대한 개인정보 침해에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있게 되고, 유출이 확인되지 않았더라도 유출 가능성을 인지하면 정보주체에게 즉시 알려야 한다. CEO와 개인정보 보호책임자(CPO)의 책임도 한층 강화된다.</p> <p contents-hash="846cc681321e484cedaf32f1e3fdf2d4f379ae097f68b0b9e709484b6c6cecf3" dmcf-pid="0w9jqfaemR" dmcf-ptype="general">개인정보보호위원회는 이 같은 내용을 담은 개정 개인정보 보호법이 3월 10일 공포된다고 밝혔다. 법 시행일은 9월 11일이다. 다만 공공·민간 주요 개인정보처리자에 대한 ISMS-P 인증 의무화는 준비 기간을 고려해 2027년 7월 1일부터 적용된다.</p> <figure class="figure_frm origin_fig" contents-hash="632bd2be20d1bbb5b464c9245490a4bf66dfc4403f99aa1f5f9cfe6f306708b3" dmcf-pid="pr2AB4NdrM" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/09/Edaily/20260309145607624dkkw.jpg" data-org-width="670" dmcf-mid="1Bm0EIFYEi" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/09/Edaily/20260309145607624dkkw.jpg" width="658"></p> </figure> <div contents-hash="388813dd0940eaba12e1690ed78fd5357fcd2937851bd56b76a0a8a09e46099e" dmcf-pid="UmVcb8jJOx" dmcf-ptype="general"> 이번 법 개정은 최근 대규모 개인정보 유출사고가 잇따르면서 기업과 기관의 책임을 더 무겁게 하고, 사후 제재뿐 아니라 사전 예방 투자도 유도하기 위해 추진됐다. </div> <p contents-hash="52ff2670e688648c2b7a61e8e52b455da49a32470bd3fe2b4c55da25816f1097" dmcf-pid="usfkK6AimQ" dmcf-ptype="general">가장 큰 변화는 과징금 제도다. 지금까지는 전체 매출액의 3% 이하 범위에서 과징금을 부과할 수 있었지만, 앞으로는 반복적이거나 중대한 위반행위에는 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있다. 최근 3년간 고의 또는 중대한 과실로 위반행위를 반복했거나, 1000만명 이상 대규모 피해를 일으킨 경우, 또는 시정명령을 이행하지 않아 유출사고가 발생한 경우 등이 대상이다.</p> <p contents-hash="3b1f1f612506acb65b5bee564a1efeacf6d1ea5f83a71688f8103f08e2061bbf" dmcf-pid="7O4E9PcnsP" dmcf-ptype="general">대신 개인정보 보호를 위한 예산, 인력, 설비, 장치 등에 사전에 투자한 기업과 기관에는 인센티브도 준다. 고의나 중과실이 아닌 경우에는 이런 예방 투자를 과징금 감경 사유로 반영하도록 했다. 처벌은 강화하되, 평소 보호체계를 갖춘 곳에는 사전 예방 노력을 인정하겠다는 취지다.</p> <p contents-hash="9c0409796280273a7d9e303e484430e1a1b3a8a7765a795432776d6a3771c20c" dmcf-pid="z1aYnAyOO6" dmcf-ptype="general">유출 통지 기준도 바뀐다. 지금까지는 개인정보가 실제로 유출된 사실을 알았을 때만 정보주체에게 통지하면 됐지만, 앞으로는 유출 가능성이 있다는 사실을 알게 된 경우에도 지체 없이 통지해야 한다. 사고 초기부터 이용자가 비밀번호 변경이나 금융거래 점검 등 필요한 대응을 할 수 있도록 하기 위해서다.</p> <p contents-hash="eeb20ad0da09730448e0b9dbfcdd885f34164d2401516b6d3ba7ab4700578fd2" dmcf-pid="qtNGLcWIO8" dmcf-ptype="general">통지·신고 대상 범위도 넓어진다. 기존에는 분실, 도난, 유출 중심이었지만, 앞으로는 랜섬웨어 등에 따른 위조, 변조, 훼손도 ‘유출등 사고’로 포함된다. 개인정보 유출 통지 시에는 손해배상 청구나 분쟁조정 신청 같은 피해구제 방법도 함께 안내해야 한다.</p> <p contents-hash="eaf0fc37c860adfd6a32ef42f54641d29a639aa61e0b8145d89da05c7d337bf9" dmcf-pid="BFjHokYCD4" dmcf-ptype="general">기업 내부 책임구조도 달라진다. 개정법은 대표자, 즉 CEO에게 개인정보 처리와 보호의 최종 책임자로서 관리·감독 의무를 명확히 부여했다. 일정 규모 이상의 개인정보처리자는 CPO를 지정하거나 변경, 해제할 때 이사회 의결을 거쳐야 하고, 그 내용을 개인정보위에 신고해야 한다.</p> <p contents-hash="71af632cc7942d8a4b2531a0ae5c30d0e06548c3aafeb0319364bf233f026112" dmcf-pid="b3AXgEGhIf" dmcf-ptype="general">CPO 역할도 확대된다. 앞으로는 전문 인력 관리와 예산 확보 업무까지 맡아 상시적인 개인정보 안전관리 체계를 운영해야 하며, 대표자와 이사회에 관련 사항을 직접 보고해야 한다. 개인정보 보호를 실무 부서 차원이 아니라 경영진 책임 아래 두겠다는 의미다.</p> <p contents-hash="db8ef2511733f79bc9a8b02c28c0046800931116f2abd555603b5c047e321bd0" dmcf-pid="K0cZaDHlrV" dmcf-ptype="general">공공·민간 주요 개인정보처리자에 대한 ISMS-P 인증도 의무화된다. 지금까지는 자율적으로 운영되던 정보보호 및 개인정보보호 관리체계 인증을 일정 대상에는 의무화해, 기업과 기관이 스스로 보호 수준을 점검하고 체계를 갖추도록 하겠다는 것이다. 구체적인 의무 대상 범위는 시행령 개정 과정에서 정해질 예정이다.</p> <p contents-hash="56b940df1f7f3e0af6072dcc04cbcd50ad82827db6df584e50ae9f30c4d9600f" dmcf-pid="9pk5NwXSI2" dmcf-ptype="general">개인정보위는 앞으로 시행령 개정 등 후속 절차를 신속히 추진하고, 산업계와 공공기관과의 소통도 강화해 제도가 현장에 안착할 수 있도록 지원할 계획이다.</p> <p contents-hash="55585a6689eb260eb04c7ec7c959f25562afc49707eeb56758f36476df180c08" dmcf-pid="2UE1jrZvs9" dmcf-ptype="general"><strong>직관적으로 보면 뭐가 바뀌나</strong></p> <p contents-hash="ce4fbb8398aa34f0031f7705b667f650aa7b5b2037db32f58a7f0362944722b1" dmcf-pid="VuDtAm5TsK" dmcf-ptype="general">예전에는 유출 사실이 확인된 뒤 통지하는 경우가 많았지만, 앞으로는 유출 가능성만 인지해도 바로 알려야 한다. 예전에는 과징금 상한이 매출액 3% 수준이었지만, 앞으로는 중대한 위반에 최대 10%까지 가능하다. </p> <p contents-hash="bc250a4416245e59d1291ca7b56612fa713768dcef5fc9049007015423d78d95" dmcf-pid="f7wFcs1yIb" dmcf-ptype="general">또 개인정보 보호가 실무 담당자 책임에 그쳤다면, 앞으로는 CEO와 이사회까지 책임 구조가 확대된다. 여기에 주요 기업과 기관은 ISMS-P 인증까지 의무적으로 받아야 해 전반적인 관리 수준을 높여야 한다.</p> <p contents-hash="89a9d2411fbc2443352ffcb81b49eea7a03620ff840dff3b13955f95d50080cb" dmcf-pid="4XLTdaSrOB" dmcf-ptype="general">김현아 (chaos@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 복잡하고 정교한 움직임 비밀…뇌 속 ‘별세포’서 찾았다 03-09 다음 Vishay ESD 보호 다이오드, IEEE 10BASE T1S 규격 시험 통과 03-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
