개인정보보호위원회(이하 “위원회”)는 2025. 12. 12. 대통령 업무보고에서 2026년 업무 추진계획을 발표하였습니다(링크). 위원회는 위 계획을 통해 ‘개인정보 보호 신뢰 기반의 AI 융합사회 촉진’이라는 비전과 (1) 실효적 제재 및 보호투자 촉진, (2) 공공·민간의 선제적 예방·점검, (3) 신뢰 기반의 AI 사회 구축, (4) 국민 생활 속 프라이버시 보호, (5) 글로벌 데이터 신뢰 네트워크 구축이라는 5대 추진방향 및 이를 위한 10대 핵심과제를 제시하였는데, 그 주요 내용은 아래와 같습니다.
|
1.
|
국민 눈높이에 상응하는 엄정 제재·배상
위원회는 반복적이거나 중대한 ‘개인정보 보호법’(이하 “법”) 위반행위에 대해 고의·중과실, 피해 규모 등 특정한 요건 하에서는 과징금을 전체 매출액의 최대 10%까지 부과할 수 있는 ‘징벌적 과징금 특례’를 신설하겠다고 밝혔습니다. 아울러, 단체소송으로 권리침해 행위의 금지·중지뿐만 아니라 ‘금전적 손해에 대한 배상’까지 청구할 수 있도록 법 개정을 추진하는 등 유출에 대한 피해 보상도 실질화할 계획입니다.
또한, 위원회는 정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증과 관련하여, 예비심사 도입, 현장 기술심사 강화, 사고 발생 기업에 대한 특별점검, 반복적이거나 중대한 법 위반 시 인증 취소 등을 추진하겠다고 밝혔습니다. 최근 ISMS-P 인증 기업의 개인정보 유출 사고가 반복됨에 따라, 인증의 실효성을 강화하겠다는 취지로 이해됩니다.
|
|
2.
|
리스크에 비례하는 책임 및 투자 강화
위원회는 개인정보 보호를 위해 적극적으로 투자한 경우 과징금 필수 감경 등 인센티브를 부여하고, 개인정보 보호 분야에 ‘IT 투자재원의 10%’를 투자하도록 명문화할 계획입니다.
또한, 2026년 6월경까지 기업의 대표자(CEO)를 개인정보 처리·보호의 최종 책임자로 명시해 CEO의 관리 의무를 법제화하고, ‘개인정보 보호책임자(CPO) 지정 신고제’를 도입하여 대규모·민감정보를 처리하는 경우 CPO 지정 현황을 위원회에 신고하도록 할 계획입니다.
|
|
3.
|
사전적·상시적 안전관리 현장 점검으로 전환
위원회는 ‘사전 실태점검’ 대상을 유통·플랫폼 등 대규모 개인정보를 처리하는 분야와 민감정보 등 고위험 개인정보를 다루는 분야까지 확대할 계획입니다.
또한, 위원회는 국민 생활 밀접 분야(예: 식음료 주문서비스, 간편인증사업자 등), AI·신기술 활용 분야 기업을 대상으로 개인정보 처리방침에 대한 실질적·정성적 평가 및 피드백을 제공하는 한편, 개인정보 보호에 대한 투자 여력이 부족한 중소·영세기업에는 유출사고 발생 시 신속한 기술지원을 제공하고 즉시 시정하는 경우 처분 수준을 경감할 방침입니다.
|
|
4.
|
AX(AI Transformation, “인공지능 전환”) 혁신을 뒷받침하는 개인정보 제도 마련
위원회는 공익을 위한 경우로서 익명·가명처리로는 목적을 달성할 수 없는 경우 강화된 안전장치 확보를 전제로 심의·의결을 통해 개인정보 처리를 허용하는 ‘AI 특례’를 운영하고, 개인정보의 적법 처리 근거를 확대·정비할 계획입니다. 이는 고품질 개인정보 원본을 AI 학습데이터로 활용하도록 허용하고 AI 모델의 성능 개선을 지원하겠다는 취지로 이해됩니다.
또한, 위원회는 ‘가명처리 원스톱 지원체계’를 운영하여 공공기관의 가명처리 및 적정성 평가를 지원하고, ‘비조치 의견서’를 통해 법적 불확실성을 신속하게 해소할 계획입니다.[1]
|
|
5.
|
안전한 마이데이터 생태계 조성
위원회는 2025년 의료, 통신 분야에 도입되어 있었던 개인정보 제3자 전송 요구권을 2026년에는 에너지, 교육, 고용, 문화·여가 분야까지 확대할 계획입니다. 2027년에는 복지, 교통, 부동산, 유통 분야까지 확대할 것이라는 점도 언급하였습니다.
|
|
6.
|
정보주체 권익보호 및 피해 방지
현행 법은 개인정보가 “유출되었음을 알게 되었을 때” 정보주체에게 통지하도록 규정하고 있는데, 위원회는 법 개정을 통해 유출 ‘가능성’만으로 통지하도록 할 계획입니다.
또한, 위원회는 과징금 등을 정보주체의 피해 회복 지원에 활용될 수 있도록 하는 ‘개인정보 피해회복 지원 기금’ 및 사고를 낸 기업이 자발적으로 시정방안을 제시하고 이를 의결로 확정해 신속한 피해회복을 도모하는 ‘피해회복형 동의의결 제도’를 추진하겠다고 밝혔습니다.
|
|
7.
|
국경간 데이터 이동에 대한 전략적 관리체계 마련
위원회는 표준계약조항(Standard Contractual Clauses, 이하 “SCC”) 및 기업내부규정(Binding Corporate Rules, 이하 “BCR”)에 따른 개인정보 국외이전을 허용할 계획입니다. 이에 따르면, 기업은 위원회에서 채택한 SCC를 활용하거나 기업이 직접 마련한 BCR을 위원회 승인을 받아 활용하는 방법으로도 개인정보를 국외로 이전할 수 있게 됩니다.
또한, 위원회는 민감도 높은 개인정보를 대규모로 국외이전할 경우 기업이 위험성을 자체 평가하도록 하는 ‘국외이전 영향 평가제’를 도입하고, 기업 인수·합병 시에는 ‘국외이전 사전심사’를 받도록 할 계획입니다.
|
이 외에도 위원회는 사전적정성 검토제를 AI 등 신기술·신서비스 기획 단계에서부터 적극적으로 운영하고, 딥페이크 악용 범죄에 대응하기 위해 AI 합성콘텐츠에 대한 정보주체의 삭제 요구 및 사업자의 조치 의무 등을 신설하며, ‘영상정보처리기기의 설치·운영 등에 관한 법률’을 제정하고, 아동·청소년 보호를 강화하기 위해 법정대리인 동의 현실화, 아동·청소년에 대한 맞춤형 광고 제한 등에 대한 논의를 구체화할 계획이라는 점 등도 언급하였습니다.
최근 잇따른 개인정보 유출 사고로 사회적 경각심이 높아지고 있는 가운데 발표된 금번 계획은 내년에 추진될 법령 개정과 위원회의 정책 방향을 보여주고 있습니다. 이에 따라 개인정보처리자가 부담하는 의무와 책임, 그 위반에 따른 제재에 유의미한 변경이 발생할 수 있으니 이후의 집행을 주목할 필요가 있습니다.
[1] 이에 대해서는 지난 뉴스레터(개인정보보호위원회, ‘가명정보 제도·운영 혁신방안’ 발표, 링크)를 통해서도 상세히 안내해드린 바 있습니다.
[영문] Personal Information Protection Commission Announced 2026 Work Plan
