개정 개인정보보호법 10일 공포..9월 11알 발효
중대·반복적 개인정보 유출시 징벌적 과징금 부과
'CEO가 개인정보 보호 최고 책임' 명시
CPO 지정·변경은 개인정보보호위 신고해야
[파이낸셜뉴스] 오는 9월 11일부터는 중대한 과실로 1000만명 이상의 개인정보를 유출하거나 반복적으로 개인정보보호법을 위반한 기업에 대해 매출액의 최대 10%까지 징벌적 과징금이 부과된다. 또 최고경영책임자(CEO)를 개인정보보호의 최고책임자로 법률에 명시, 개인정보 유출 등 사고가 발생하면 CEO의 책임을 물을 수 있는 근거가 마련된다.
중대·반복적 개인정보 유출시 징벌적 과징금 부과
'CEO가 개인정보 보호 최고 책임' 명시
CPO 지정·변경은 개인정보보호위 신고해야
최근 잇따른 개인정보 유출 사고로 불안이 확산되고 있는 가운데, 개인정보보호 관련 규제가 집중 강회되는 것이다.
9일 개인정보보호위원회는 △징벌적 과징금 도입 △개인정보 보호책임자 역할 강화 △개인정보보호 관리체계(ISMS-P) 인증제도 개선을 골자로 하는 '개인정보 보호법'이 10일 공포된다고 밝혔다. 법 시행은 9월 11일이다.
개정 법은 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 징벌적 수준의 과징금을 부과할 수 있는 특례가 몀시됐다.
반복적·중대한 위반행위란 △최근 3년간 고의 또는 중대한 과실로 위반행위를 반복한 경우 △고의 또는 중대한 과실로 1000만명 이상 대규모 피해를 초래한 경우 △△시정명령 불이행으로 인한 개인정보 유출 등 사고가 발생한 경우 등을 말한다.
개인정보 보호를 위한 예방적 투자를 활성화하기 위한 인센티브도 함께 규정했다. 개인정보 보호 관련 예산·인력·설비·장치 등을 투자·운영한 기업이나 기관은 고의나 중과실로 인한 사고가 아닌 경우엔 과징금을 감경하도록 했다.
또 개인정보 유출 가능성 통지제도 도입했다. 기존에는 개인정보가 유출됐을 때 정보주체에게 통지하도록 돼 있는데, 개인정보 처리자가 유출 등의 가능성이 있음을 알게 됐을 때 지체 없이 정보주체에게 통지하도록 한 것이다. 개인정보 분실·도난·유출뿐만 아니라 위조·변조·훼손도 '유출 등 사고'의 범위에 포함해 통지·신고 대상으로 확대했다. 개인정보 유출이나 훼손을 통지할 때는 손해배상 청구, 분쟁조정 신청 등 피해구제 방법을 함께 알려야 한다.
개정법은 CEO를 개인정보 처리와 보호의 최종책임자로 명시했다. 개인정보 유출 등 사고가 발생하면 CEO의 책임을 물을 수 있게 된 것이다.
일정 규모 이상의 개인정보를 처리하는 기업은 개인정보보호책임자(CPO)를 지정하도록 의무화하고, 변경·해제 시 이사회 의결을 거치고 개인정보보호위원회에 신고하도록 의무화했다.
공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해서는 기존에 자율적으로 운영되던 개인정보 보호 인증(ISMS-P 인증)을 의무화했다.
cafe9@fnnews.com 이구순 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지