매출 10% 과징금 도입…반복·중대 개인정보 유출 '엄정 대응'

[파이낸셜뉴스] 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 '징벌적 과징금'이 도입된다. 동시에 기업의 자발적 보호 투자에는 인센티브를 부여하고, 고위험 개인정보 처리 기관을 집중 관리하는 위험기반 감독 체계도 구축된다.

개인정보보호위원회는 12일 대통령 주재 국무회의에서 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다.

개인정보위는 우선 반복적이거나 중대한 개인정보보호법 위반행위에 대해 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다. 법 개정이 완료돼 9월부터 시행에 들어갈 예정이다. 산정 기준도 '직전 연도 매출'과 '최근 3년 평균 매출' 중 높은 금액으로 적용한다. 지금은 '3년 평균 매출액'으로 적용해왔다. 이행강제금과 신고포상금 제도도 도입해 집행력을 높이기로 했다. 다만, 영세기업의 경미한 보호법 위반은 시정 기회를 주되, 위반이 반복될 경우에는 엄정 대응할 방침이다.

반면 기업의 선제적 보안 투자에는 인센티브를 부여한다. 법정 기준을 상회하는 보호조치와 적극적인 보안 투자, 안전관리 체계를 갖춘 경우 과징금 감경 등을 적용해 '투자 유도형 규제'로 전환한다는 구상이다.

이와 함께 서비스 설계 단계부터 개인정보 보호를 반영하는 '프라이버시 중심 설계(PbD)'를 제도화하고, 개인정보 영향평가와 ISMS-P 인증 기준에도 이를 반영할 계획이다.

피해 구제 체계도 강화된다. 개인정보 유출 시 기업·기관의 손해배상 책임을 원칙화하고 입증 책임을 기업에 부과해 배상 실효성을 높인다. 다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검하고, 개인정보 침해신고센터도 전문상담과 컨설팅, 피해조치 지원 등 기능을 강화하기로 했다. 특히 민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링하여 탐지·삭제하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다.

올 하반기부터는 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템에 대해서는 정부가 직접 정기적인 점검도 실시한다. 개인정보위는 위험 수준에 따라 점검 강도를 차등화하는 '위험기반 관리체계'를 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리할 방침이다.

아울러 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사 등 공급망 전반으로 점검 범위를 확대한다. 개인정보위는 현재 상조 회사, 고객상담센터 등을 점검하고 있으며, 조속히 마무리하여 발견된 미비점은 시정을 권고할 예정이다.

개인정보위 송경희 위원장은 "개인정보는 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다"면서 "개인정보위는 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"고 말했다.

yjjoe@fnnews.com 조윤주 기자