중대·반복 개인정보 유출, 매출액 10% 과징금…관리체계 싹 바뀐다

ⓒ개인정보보호위원회

올 하반기부터 중대하거나 반복적인 개인정보 유출 사고를 일으킨 기업에겐 매출의 최대 10%가 과징금으로 부과된다. 동시에 선제적인 개인정보 보호 투자를 단행한 기업에는 과징금 감경 등 인센티브가 부여된다.

개인정보보호위원회(개인정보위)는 12일 대통령 주재 국무회의에서 이같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다.

이번 계획은 AI(인공지능)·디지털 전환과 플랫폼 경제 확산으로 개인정보 활용 규모와 범위가 확대되는 상황에서 사후 처벌만으로는 유출로 인한 피해 회복이 어려우며, 국민은 개인정보 보호를 체감하기 힘들다는 공감대 하에서 추진됐다.

사고 후 처벌하는 관리에서 실질적 위험 관리와 예방 투자 유도를 통해 사고 전 예방 및 관리하고 사고 피해를 최소화하는 것이 골자다.

가장 큰 변화는 징벌적 과징금의 도입이다. 반복적이거나 중대한 보호법 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다. 과징금 산정 기준도 현행 3년 평균 매출액에서 직전 연도 매출액과 3년 평균 매출액 중 높은 금액을 적용한다.

또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 조사에 비협조하거나 명령을 이행하지 않으면 이행강제금을 부과한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 함께 도입할 예정이다.

영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 시 엄정 대응한다.

이와 함께 기업 차원의 개인정보 보호 투자 확대와 책임경영 강화를 유도한다. 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다.

개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리 체계를 구축한다. 주요 공공시스템과 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리한다.

이에 더해 서비스 기획 및 설계 단계부터 PbD(Privacy by Design, 개인정보 중심 설계) 원칙이 반영되도록 PbD 원칙을 제도화한다. 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다.

공공부문 개인정보 보호 전담 인력과 예산을 확충하고, 개인정보 보호 전문인력 양성 기반도 구축한다.

피해를 입은 국민을 위한 신속하고 실질적인 구제 방안을 마련한다. 유출 시 기업과 기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다.

다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행위를 집중 점검하고, 개인정보 침해신고센터도 전문상담과 컨설팅, 피해조치 지원 등을 강화한다.

민감정보 유출 시에는 SNS(사회관계망서비스)에서의 불법 유통 여부를 확인해 탐지 및 삭제한다.

송경희 개인정보위 위원장은 "모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다"며 "앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민 정보를 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"고 말했다.