반복·중대 개인정보 유출, 매출액 최대 10% 징벌적 과징금…9월 시행

(서울=뉴스1) 이기림 기자 = 반복·중대한 개인정보보호법 위반 행위에 대해서는 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 징벌적 과징금이 도입된다. 기업의 자발적 보호투자 확대를 위해 인센티브 체계를 마련하고, 다수의 개인정보 처리 기관 등에 대한 집중 관리하는 등 위험기반 관리체계도 구축한다.

송경희 개인정보보호위원회 위원장은 12일 오전 청와대에서 열린 제21회 국무회의에서 이같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다.

송 위원장은 "인공지능(AI) 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용은 빠르게 늘어나고 있는데, 그만큼 한 번 유출 사고가 일어나면 피해 규모가 크고 회수도 어렵다"며 "중대한 위반 행위는 끝까지 엄정한 책임을 묻는 동시에 실질적인 유지가 관리와 투자가 이루어지도록 관리 체계를 전환할 필요가 있다"고 말했다.

개인정보위는 우선 반복적이거나 중대한 개인정보 보호법 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높일 계획이다. 법 개정이 완료돼 9월부터 시행된다.

과징금 산정 기준도 현행 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용하게 된다. 앞서 이재명 대통령이 현행 규정에 대해 "(위반업체의) 직전 3개년 매출액 중 제일 높은 연도의 3%로 시행령을 고치자"고 지시해 이뤄진 것이다.

신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입하고, 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다.

다만 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에는 엄정 대응할 방침이다.

또한 기업이 실질적인 개인정보 보호 수준 향상을 위한 투자 확대와 책임경영을 강화하도록 유도할 계획이다.

개인정보위는 앞으로 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다.

위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리할 계획이다.

기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 점검을 확대할 예정이다.

개인정보위는 현재 상조 회사, 고객상담센터 등을 점검하고 있으며, 조속히 마무리해 발견된 미비점은 시정을 권고할 예정이다.

개인정보위는 서비스 기획·설계 단계부터 개인정보 중심 설계(PbD) 원칙이 실현되도록 제도화하고, 개인정보 영향평가 기준과 ISMS-P 인증 기준에 이 원칙을 반영할 계획이다.

공공부문의 개인정보 보호 인력과 예산 부족도 확인된 가운데 관계 부처와 협력해 전담 인력과 예산을 확충하고, 전담 인력 처우 개선도 추진한다. 최고경영책임자(CEO)의 최종 책임을 법에 명시하고 개인정보보호책임자(CPO)의 전문성도 강화한다.

아울러 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상(최대 300만 원) 제도를 활성화할 계획이다.

민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링해 탐지·삭제하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다.

lgirim@news1.kr