잇따르는 대규모 유출 사고에 개인정보 보호 책임을 강화한 개정 ｢개인정보 보호법｣(이하 ‘보호법’)이 내일(10일) 공포됩니다.

이번에 개정된 보호법은 징벌적 과징금과 유출 가능성 통지제 도입, 개인정보 보호 책임자 역할 강화, ISMS-P 인증 의무화 등을 주요 내용으로 하고 있습니다.

먼저 기존 전체 매출액의 3% 이하였던 기존 과징금 제도를 강화해, 반복적이고 대규모 피해가 발생할 경우 과징금을 10%까지 부과할 수 있게 만들었습니다.

특례 적용 대상은 ▴최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 ▴고의 또는 중대한 과실로 대규모(1천만명 이상) 피해를 초래한 경우▴시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등입니다.

통지 지연 문제도 해소될 전망입니다.

현행 보호법은 개인정보처리자가 ‘유출등 이 되었음을 알았을 때’ 정보주체에게 알리도록 규정하고 있어, 유출 등 가능성이 있음에도 통지가 지연되는 문제가 있었지만, ‘유출등의 가능성이 있음을 알게 되었을 때’에도 지체없이 통지하도록 했습니다.

또, 기존에는 랜섬웨어 등으로 인한 개인정보의 위조·변조·훼손의 경우는 통지·신고 대상에 포함되지 않았으나, 개정법은 개인정보의 분실·도난·유출뿐만 아니라 위조·변조·훼손도 ‘유출등 사고’의 범위에 포함하여 통지·신고 대상에 포함했습니다.

대표자인 CEO와 개인정보보호책임자, CPO 역할도 강화됩니다.

우선, CEO에 개인정보 처리 및 보호의 최종책임자로서 관리·감독 의무를 명확히하고, 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했습니다.

CPO는 개인정보 보호에 필요한 전문 인력 관리, 예산 확보 업무를 수행해야 하며, 대표자와 이사회에 개인정보 보호 관련 사항을 보고해야 합니다.

마지막으로 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했습니다.

개정 보호법은 오는 9월 11일부터 시행되며 단, ISMS-P 인증 의무화 규정의 경우 관련 예산 확보 등에 소요되는 기간을 고려해 내년도 7월 1일부터 시행될 예정입니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

이지현(ji@yna.co.kr)