개인정보보호법 개정안(국회 정무위원회 대안)이 2026. 2. 12. 국회 본회의에서 통과되었습니다.
최근 주요 통신사, 금융사, 플랫폼 사업자 등의 대규모 개인정보 유출 사고가 연이어 발생함에 따라 개인정보 유출 사고 예방 및 기업의 책임 강화에 대한 사회적 요구가 커졌습니다. 이에 따라 다수의 개인정보보호법 개정안이 발의되었고, 개정안 14개의 내용을 통합ㆍ조정한 국회 정무위원회 대안이 국회에서 통과된 것입니다. 이번 개정안은 개인정보 유출 등을 포함한 개인정보보호법 위반 행위에 관하여 매출액의 최대 10%에 달하는 과징금을 부과하는 것으로 잘 알려져 있지만, 기업의 개인정보보호 거버넌스와 보안 사고 대응 체계에도 중요한 변화를 요구한다는 점에서도 그 의의가 매우 크다고 하겠습니다.
본 뉴스레터에서는 이러한 관점에서 개정 개인정보보호법의 구체적인 내용과 중요한 시사점을 살펴보겠습니다.
1. 주요 개정 사항
1) 반복적이거나 중대한 개인정보 침해에 대한 과징금 부과 한도 상향 및 과징금 감경 사유로 개인정보보호 관련 투자 사항 명시
(i) 과징금을 부과받은 날부터 3년 이내에 과징금 부과 사유에 해당하는 위반 행위를 한 경우(각각 고의 또는 중대한 과실이 있는 경우로 한정), (ii) 고의 또는 중대한 과실로 과징금 부과 사유에 해당하는 위반 행위를 하고 정보주체의 피해 규모가 1천만 명 이상인 경우, 또는 (iii) 시정명령에 따르지 않아 개인정보 유출 등이 발생한 경우, 개인정보처리자의 전체 매출액(관련 없는 매출액 제외)의 10% 범위 내(매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 50억 원 이하)에서 과징금을 부과할 수 있도록 하였습니다(제64조의2 제2항).
한편, 개인정보보호 예산ㆍ인력ㆍ설비ㆍ장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우(고의 또는 중대한 과실로 위반 행위를 한 경우는 제외)에는 과징금을 감경하도록 하였습니다(제64조의2 제6항).
2) 유출 통지 항목 확대 및 유출 가능성 통지 의무화
통지 대상에 해당하는 “유출 등”의 범위가 현행법에 따른 개인정보의 “분실ㆍ도난ㆍ유출”에 더하여 “위조ㆍ변조ㆍ훼손”까지로 확대되었습니다(제23조 제2항, 제34조 제1항).
그리고 통지 항목에 (i) 개인정보 유출 등으로 인한 손해배상과 법정손해배상의 청구 및 분쟁조정 등 피해를 입은 정보주체의 법적 권리와 그 행사 방법 등에 관한 정보 및 (ii) 기타 대통령령으로 정하는 사항이 추가되었습니다(제34조 제1항 제6호).
또한, 개인정보의 유형, 정보주체에게 미치는 영향과 유출 등의 위험 정도를 고려하여 대통령령으로 정하는 유출 등의 가능성이 있음을 알게 된 때에는, 지체 없이 유출 등의 가능성이 있는 모든 정보주체에게 피해 최소화를 위한 정보 등 대통령령으로 정하는 사항을 통지할 의무가 신설되었습니다(제34조 제2항).
3) 일정 규모 이상의 개인정보처리자에 대한 ISMS-P 의무화
매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호 인증(ISMS-P)을 의무적으로 취득하도록 하였습니다(제32조의2 제1항 단서). (ISMS 및 ISMS-P 제도의 예상되는 변화 방향에 관하여는 본 법무법인의 관련
뉴스레터를 참고하시기 바랍니다.)
4) 대표자의 책임 명확화 및 CPO의 역할 강화
대표자 또는 사업주가 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종적인 책임자로서 전문 인력과 충분한 예산 지원 등 총괄적 관리 조치를 실효성 있게 하여야 한다는 점이 명확히 규정되었습니다(제30조의3).
또한, 개인정보보호책임자(CPO)의 업무로 (i) 개인정보보호에 필요한 전문 인력의 관리 및 예산 확보 및 (ii) 대표자 및 이사회에 대한 개인정보보호 현황 및 주요 사항의 보고가 추가되었습니다(제31조 제4항 제2호 및 제3호).
한편, 매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여, (i) CPO를 지정ㆍ변경 또는 해제 시 이사회의 의결을 거칠 의무 및 (ii) 개인정보보호위원회에 대통령령으로 정하는 바에 따라 CPO 지정ㆍ변경 또는 해제에 관한 사항을 신고할 의무가 부과되었습니다(제31조 제3항).
5) 시행일
개정 개인정보보호법은 공포된 후 6개월이 경과한 날부터 시행되며, 다만 ISMS-P 의무화에 관한 규정은 2027. 7. 1.부터 시행될 예정입니다(부칙 제1조).
2. 시사점
1) 개인정보보호 거버넌스 수립과 투자 필요성 증대
개정 개인정보보호법은 징벌적 과징금을 도입하여 개인정보 유출 등 침해에 대한 제재 수준을 높이고, 개인정보보호에 관한 대표자의 책임과 CPO의 역할을 강화하는 한편, 과징금 감경 사유 추가를 통해 기업의 개인정보보호 투자를 유도하는 내용으로 구성되어 있습니다. 이에 사업자는 개정법 시행 전에 조직 내에서 개인정보보호를 실효성 있게 관철하기 위한 거버넌스를 수립·정비하고, 개인정보보호에 관한 충분한 인력 및 설비 투자를 선제적으로 이행할 필요가 있습니다.
또한, 징벌적 과징금 부과의 경우 위반 행위에 ‘고의 또는 중대한 과실’이 있는지 여부가 주요한 요건 중 하나인데, 이때 고의 또는 중대한 과실은 민사상 손해배상 책임의 요건인 고의 또는 과실과는 다른 기준에 따라 판단될 수 있고, 그러한 판단에 있어 대표자 또는 이사회에 대한 보고 및 그에 따른 조치의 이행 등이 중요한 고려 사항이 될 수 있습니다. 이에 이사회 및 대표이사 보고 사항 등에 대한 지침 마련 등의 단계부터 법률 전문가의 판단이 필요할 수 있습니다.
2) 개인정보 유출 등 모니터링 체계 강화 및 사고 대응 프로세스 개정 필요
개인정보 유출 통지의 대상 범위 및 통지 항목이 확대되고, 특히 유출 등의 발생이 확인되지 아니하였더라도 유출 등의 가능성이 인지된 경우까지 통지 의무가 확대되었습니다. 이에 개인정보 유출 사고 대응에 관한 기존의 프로세스를 재정비할 필요가 있고, 특히 유출 전 단계(예: 침해 사고 발생)의 모니터링을 강화하고 관련 대응 체계를 앞당겨 구축하는 것이 더욱 중요해졌습니다.
이는 사규 또는 정책의 개정 내지 유관 부서의 역할 변경을 필요로 할 수 있으므로, 개정법의 시행 전부터 미리 준비하여 둘 필요가 있습니다.
법무법인(유)광장 개인정보ㆍDPC 그룹은 개인정보 전문 변호사, 규제기관 출신 및 보안 기술 전문가 등 50여 명의 전문가들이 포진하여 있으며, 외부 ITㆍ보안 전문가들과 긴밀한 협업 관계를 구축하고 있습니다. 이로써 정보보호 거버넌스 구축, 개인정보 유출 사고 및 침해 사고 대응, ISMSㆍISMS-P 인증 대응 등 개인정보보호 및 정보보안 영역 전반에 걸쳐 빠르고 정확한 원스톱 자문 서비스를 제공하고 있습니다.
개정 개인정보보호법 등 개인정보 및 정보보안 이슈와 관련하여 자문이 필요하신 경우, 언제든지 법무법인(유)광장 개인정보ㆍDPC 그룹에 문의하여 주시기 바랍니다.