CPO 변경 시 이사회 의결·신고해야…개인정보 유출 예방강화

(서울=뉴스1) 이기림 기자 = 개인정보보호위원회는 개인정보 유출사고에 대한 예방과 대응을 강화하고 국민의 권리를 보호하기 위한 '개인정보 보호법 시행령' 일부개정령안을 7월 13일까지 입법예고한다고 2일 밝혔다.

우선 개인정보 보호책임자(CPO)를 지정하거나 그 지정을 변경·해제하는 경우 이사회 의결을 거치고 개인정보위에 신고해야 하는 의무 대상이 되는 기준을 마련했다.

해당 기준은 연 매출액·수입이 1800억원 이상이면서, 5만명 이상 민감·고유식별정보 또는 100만명 이상 개인정보처리자, 재학생 수 2만명 이상인 대학, 상급종합병원, 공공시스템운영기관이다.

CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결, 신고 의무 대상을 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정했다.

CPO 지정·변경·해제 시 신고 방법·절차를 구체화해 신고 의무 대상인 개인정보처리자는 의무가 발생한 날로부터 1개월 이내 신고서를 개인정보위에 제출하도록 했다.

또한 ISMS-P 인증 의무 대상이 되는 범위를 구체화했다. 공공시스템운영기관 중 보호위원회가 정해 고시하는 자, 이동통신사업자, 본인확인기관, 전년도 매출액이 1조원 이상이 해당한다.

정보통신서비스 부문 전년도 매출액이 100억원 이상이며 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되는 국내 정보주체 수가 일일 평균 3000만 명 이상인 자는 2028년 12월 31일까지 ISMS-P 인증을 받도록 했다.

유출 가능성 통지의 요건·시기·항목도 구체화했다. 개인정보처리시스템에 대한 불법적 접근을 알게 됐거나 개인정보가 불법적으로 거래·유통되고 있음을 알게 된 때에는 이를 72시간 이내 정보주체에 통지하도록 했다. 개인정보 분실·도난·유출 뿐만 아니라 위조·변조·훼손의 경우에도 통지·신고하도록 했다.

아울러 제재 실효성을 높이기 위해 과태료 부과기준을 개선·정비했다. 경미한 위반행위에 대해 과태료를 면제하고 경고를 한 경우 향후 동일한 위반행위 재발 시 과태료 가중 횟수에 반영되도록 하고, 위반 횟수별 과태료 부과금액을 법제처 지침에 맞추어 정비했다.

이번 시행령 개정안에 대하여 의견이 있는 기관·단체 또는 개인은 7월 13일까지 국민참여입법센터, 개인정보위 전자우편 및 일반우편 등으로 의견을 제출할 수 있다.

앞서 개인정보위는 개인정보 보호법 대응을 강화하기 위해 반복적이거나 중대한 개인정보 유출 사고를 일으킨 기업에는 전체 매출액의 최대 10%까지 과징금을 부과하는 등의 내용을 담은 동법 시행령 개정안을 전날 입법예고하기도 했다.

lgirim@news1.kr