반복적이고 중대한 개인정보 유출...매출 최대 10% 과징금 철퇴

개인정보위,오는 9월부터 시행 강조

고위험 정보시스템은 직접 정기 점검

자발적으로 보안 투자 시 인센티브도

송경희 개인정보보호위원장이 12일 정부서울청사에서 ‘예방 중심 개인정보 관리체계 전환 계획’에 대해 브리핑하고 있다. <사진=개인정보보호위원회> 오는 9월부터 반복적이거나 중대한 개인정보 보호법 위반행위에 대해 매출액의 최대 10%까지 과징금을 부과하는 ‘징벌적 과징금’ 제도가 시행된다. 또 올 하반기부턴 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템을 대상으로 정부가 직접 정기점검에 나설 방침이다.

12일 개인정보보호위원회는 이러한 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 대통령 주재 국무회의에서 보고했다.

이번 계획은 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나는 상황에서 사회 전반의 개인정보 보호 수준을 높이고,대형화하는 유출사고에 보다 실효적으로 대응하기 위해 마련됐다.

우선 올 9월 시행 예정인 개정 개인정보보호법에 따라 반복적이고 사안의 심각성이 큰 위반 행위에 대해선 매출액의 최대 10%를 과징금으로 부과해 경제적 제재의 실효성을 높이기로 했다. 이에 해당하는 위반 행위는 고의 및 중과실로 3년 내 반복된 사건으로,1000만명 규모 이상 개인정보 유출 피해가 발생한 경우를 말한다.

또 시행령 개정을 통해 과징금 산정 기준도 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 중 높은 금액을 적용한다.

이와 함께 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편,신고포상금 제도도 시행한다. 다만 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되,위반이 반복될 경우에는 엄정 대응할 방침이다.

상대적으로 법정 기준을 넘어서는 선제적인 보호 조치와 적극적인 보안 투자,실효적인 안전관리체계 등을 확립한 경우에 대해선 종합평가를 통해 과징금 감경 등 인센티브를 부여할 예정이다.

개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 관리하기로 했다. 또한 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자,전문수탁사,시스템 공급사를 포함해 공급망 전반으로 점검을 확대할 예정이다.

현재 개인정보위는 상조회사와 고객상담센터 등에 대한 점검을 진행 중이다.

이 외에도 개인정보위는 서비스(시스템) 설계 단계부터 개인정보 보호 요소를 반영하는 ‘개인정보 중심 설계’(PbD) 원칙을 제도화하기로 했다. 개인정보 영향평가 기준과 ISMS-P 인증 기준에도 이를 반영할 계획이다.

개인정보 유출로 인한 국민 피해 구제 체계도 강화한다. 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고,전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화할 방침이다. 또한 다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정·동의 철회·탈퇴를 어렵게 하는 행태를 집중 점검하는 한편,개인정보 침해신고센터 기능도 강화한다.

아울러 민감정보 유출 시에는 사회관계망서비스(SNS) 등에서의 불법 유통 여부를 모니터링해 탐지·삭제하고,수사기관과 협력해 개인정보 불법 유포자와 이용자에 대한 추적·처벌도 강화한다.

송경희 개인정보위원장은 “개인정보는 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”며 “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들 것”이라고 강조했다.