1. 개정 개인정보 보호법 개요 및 시행 일정

지난 뉴스레터에서 안내드린 개인정보 보호법 개정안이 국회 본회의 및 국무회의를 통과하여 3월 10일 공포 ∙ 9월 11일 시행될 예정입니다.

※ 단, ISMS-P 인증 의무화 규정은 관련 예산 확보 등 소요 기간을 고려하여 ’27년 7월 1일부터 시행 예정

개정 법률은 (i) 대표자 등의 책임 명확화 및 CPO 역할 강화, (ii) 개인정보 보호 인증 의무화, (iii) 유출 가능성 통지제 도입 및 통지 항목 확대, (iv) 반복∙중대 개인정보 침해에 대한 과징금 강화 등의 내용을 담고 있습니다. 더 자세한 내용은 여기에서 확인하실 수 있습니다.

 

2. 관련 개인정보위 동향

가. 본 개정 법률 관련 동향

개인정보위는 개정 법률 공표에 따라 현재 하위 법령(안) 개정 작업을 진행 중인 것으로 보입니다. 개정 법률이 9월에 시행될 예정이라는 점을 고려해볼 때, 시행령에 대해서는 3~4월 중 입법예고가, 고시에 대해서는 5월 중 행정예고가 있을 것으로 예상됩니다.

이번 개정과 관련하여, 개인정보위는 대규모 유출사고 예방을 위해 징벌적 과징금 제도(고의∙중과실에 의한 반복∙중대 유출 사고가 발생한 경우 전체 매출액의 10%까지 과징금 부과) 등을 시행하는 만큼 감경 요건도 엄격히 적용하겠다는 입장입니다.

한편, 보안 예산∙인력∙설비∙장치 등 보안 투자 시 과징금을 감경하는 인센티브 조항도 신설되었는데, 개인정보위는 ‘법적 의무사항이 아닌 분야에 대한 선제 투자, 업계 평균 수준 상회’ 등 인센티브 요건의 구체적 내용을 마련하여 3~4월 중 발표할 것으로 예상됩니다.

나. 추가 법안 발의 관련 동향

이번 9월 시행 법률에는 포함되지 않았으나, 현재 국회에는 (i) 손해배상책임 강화, (ii) 자료보전 명령 및 이행강제금 제도 도입 등을 골자로 하는 추가 개정안이 발의되어 논의 중입니다. (’26. 2. 12. 발의된 한정애의원안∙김용만의원안∙박범계의원안 참고)
법안의 주요 내용은 다음과 같습니다.

  • (손해배상책임 입증책임 전환) 정보주체가 기업의 ‘고의 또는 과실’을 입증하기 어려운 현실을 반영하여, 현행법 제39조의2(법정손해배상책임)에서 ‘고의 또는 과실’ 문구를 삭제하고, 기업이 스스로 무과실을 입증하지 못하는 한 손해배상책임을 부담하도록 함 
  • (자료보전 명령 제도 도입) 개인정보 유출 사고 조사 시 자료 폐기∙은닉 등을 방지하기 위하여 침해사고 발생(또는 의심) 시 개인정보위가 접속기록 등 관련 자료의 보전을 명할 수 있도록 하고, 위반 시 형벌을 부과함 
  • (이행강제금 및 긴급 조치권 신설) 조사 실효성을 확보하기 위해 자료 제출 거부, 출입∙검사 방해, 시정명령 불이행 등에 대해 이행강제금을 부과하고, 법 위반이 명백히 의심되고 긴급한 조치가 필요하다고 판단될 경우 개인정보위가 즉시 침해행위 중지 등을 명할 수 있도록 함  

 

3. 시사점

  • (컴플라이언스 강화 필요) 기업이 개정 개인정보 보호법에서 가장 주의할 부분은 반복∙중대 유출 사고에 대한 징벌적 과징금 제도로, 전체 매출액의 10%에 달하는 과징금은 기업의 존립을 위협할 수 있는 재무적 리스크에 해당합니다. 따라서 피치 못하게 유출사고가 발생하더라도 ‘고의 또는 중대한 과실’에 해당하지 않는다는 점을 소명할 수 있도록, 현행 개인정보 보안체계를 면밀히 점검하고 보호 조치에 부족한 점이 있다면 사전에 강화할 필요가 있을 것입니다. 이를 위해 CPO의 권한을 강화하고, 부서 간 협력을 강제할 수 있는 내부 규정 정비 등도 필요할 것으로 보입니다.
  • (보안 투자 필요성 검토 필요) 개인정보위가 개정 법률상의 인센티브 조항과 관련하여 보안 예산 및 인력 확충 등 선제적 보안 투자를 과징금 감경 사유로 검토하고 있는 만큼, 관련 설비 확충과 전문 인력 채용에 대한 적극적인 검토가 필요합니다. 선제적 보안 투자가 단순한 비용 지출이 아니라 잠재적 재무 리스크를 최소화할 수 있는 전략 수단이 될 수 있다는 점을 고려하여 필요성을 면밀히 검토할 필요가 있습니다. 
  • (내부 프로세스 정비 필요) CPO 관련 거버넌스 개편, 유출 가능성 인지 시 대응 프로세스 수립(가능성 판단 기준, 통지 방법, 통지 항목 등), (예방적) 조사 대응 및 협력 프로세스 등 이번 법 개정으로 인해 개인정보 보안 관련 내부 지침을 다방면에서 보완할 필요가 있을 것으로 판단됩니다. 이와 관련해서는 개인정보위의 후속 시행령에 대한 면밀한 모니터링이 필요할 것입니다.
  • (추가 개정안에 대한 모니터링 필요) 현재 논의 중인 추가 개정안에는 입증책임 전환(무과실책임) 및 이행강제금 도입 등 규제 강도를 상향하는 내용이 다수 포함되어 있습니다. 이는 향후 기업의 법적∙재무적 불확실성을 가중시킬 수 있는 사안으로, 입법 진행 과정에 대한 지속적인 모니터링과 함께 필요시 산업계 의견 반영을 위한 방안 마련 등을 검토해야 할 것으로 보입니다.

위의 보안 체계 점검, 보안 투자 방안, 내부 프로세스 정비, 법안 모니터링 등에 관하여 도움이 필요하신 경우 언제든 연락주시기 바랍니다.

 

About Shin & Kim’s ICT Group

법무법인(유) 세종 ICT그룹은 ICT 분야에 차별화된 전문성과 인적 네트워크를 보유하고 있으며, 고객들로부터 최근 수년간 가장 높은 평가를 받고 있습니다. 방송과 통신, 개인정보, 인터넷 IT 분야에서 축적된 역량을 바탕으로 방송·통신·ICT 규제 동향 및 대관, 법제개선·입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 종합적인 법률자문을 제공하고 있습니다. 아울러 개인정보/AI Compliance, 침해사고 대응 등과 관련하여서도 다양한 업무경험과 전문성을 보유하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.