개인정보보호위원회는 12일 대통령 주재 국무회의에서 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고하며 이같이 밝혔다. ‘처벌 중심’에서 ‘예방 중심’으로의 제도적 전환을 골자로 한다.
이번 계획은 인공지능(AI) 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나는 상황에서 사회 전반의 개인정보 보호 수준을 높이고 대형화되는 유출사고에 보다 실효적으로 대응하기 위해 마련됐다.
주요 추진 내용을 살펴보면 개인정보 보호법상 과징금 상한이 전체 매출액의 10%로 상향된다. 현행 과징금 상한은 전체 매출액의 3%다. 개정안이 시행되면 고의·중과실로 3년 내 반복 위반하거나, 피해 규모가 1000만명 이상인 중대 사고의 경우 최대 10%까지 과징금이 부과된다. 오는 9월11일부터 시행 예정이다.
과징금 산정 기준도 강화된다. 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 가운데 높은 금액을 적용하는 방식으로 바뀐다. 오는 19일 시행령 개정으로 먼저 시행된다.
조사 강제력도 강화된다. 이행점검을 강화하고 미이행·비협조 시 이행강제금을 도입할 예정이다. 현재 법안이 발의된 상태다. 증거 은닉행위에 대한 엄중 제재와 신고포상금제 도입은 법안 발의를 준비 중이다.
다만 영세·소상공인의 경미한 위반에 대해서는 시정 기회를 먼저 부여하고, 반복 위반 시에만 강력 제재할 방침이다.
채찍과 함께 당근도 내놨다. 법정 기준을 넘는 선제적 보안 투자, 실효적 안전관리체계 운영, 동종업계 대비 우수한 보호 수준을 갖춘 기업에 대해서는 과징금 감경 등 인센티브를 부여하기로 했다.
위험 수준에 따라 차등적으로 점검하는 위험기반 관리 체계도 구축된다. 100만명 이상 개인정보를 처리하는 공공기관과 기업 약 1700곳을 비롯해 클라우드, 시스템 공급사 등 고위험 분야는 정기·수시점검 등 집중 관리를 진행한다. 상조회사와 고객상담센터, 결혼정보업체, 초·중·고 에듀테크에 대한 추가 점검도 이뤄진다.
시스템 설계 단계부터 개인정보 보호를 반영하는 ‘개인정보 보호 중심 설계(PbD)’ 원칙이 구현되도록 개선이 추진된다. PbD는 제품 또는 서비스의 기획·제조·파기 등 전 과정에서 개인정보 보호 요소를 충분히 고려한 설계를 뜻한다. 개인정보 영향평가 기준과 ISMS-P 인증 기준에 PbD 원칙을 반영할 계획이다.
공공부문의 개인정보보호 역량 확충 및 민관 협력에도 중점을 둔다. 공공부문 개인정보 보호 전담인력과 재원 확보를 지원한다. 개인정보위는 지난 2월 현황 조사를 통해 공공부문의 개인정보 보호 인력과 예산 부족을 확인했다. 관계부처와 협력해 전담 인력 및 예산을 확충하고 민관 협력을 통해 전반적인 보호 수준을 끌어올릴 계획이다.
CEO의 최종 책임을 법에 명시하고 CPO(개인정보책임자)의 전문성을 강화, CPO 협의회 협업으로 위협 조기경보 연락체계를 운영한다. 100만명 이상의 개인정보를 처리하며 매출액이 1800억원 이상인 기업은 일정 자격과 경력을 보유한 CPO 지정이 의무화돼 있다. 약 700개 기업이 이에 해당한다.
유출 피해 구제 방식도 바뀐다. 기존에는 피해자가 손해를 입증해야 했으나, 앞으로는 기업·기관이 귀책사유 없음을 입증해야 하는 방향으로 전환된다. 법정 손해배상 상한은 최대 300만 원이며, 관련 법안은 지난 2월 이미 발의됐다.
이용자가 개인정보 동의 철회나 탈퇴를 어렵게 만드는 다크패턴에 대한 집중 점검도 실시된다. 이와 함께 개인정보 침해신고센터는 법률 상담과 피해 회복 지원 등 종합 지원 기능으로 강화된다.
민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링 해 탐지·삭제하고 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정대응 한다는 방침이다.
송경희 개인정보보호위원장은 “개인정보는 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”며 “사전 예방이 잘 작동하는 체계를 구축해 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들겠다”고 말했다.
