과징금 부과 상한을 전체 매출액의 10%로 높이는 등 기업의 의무와 책임을 대폭 강화하는 내용의 개인정보 보호법 일부개정법률안(대안)이 2026. 2. 11. 국회 법제사법위원회 전체회의를 통과(수정가결)한 데 이어, 2026. 2. 12. 국회 본회의를 통과하여 그 시행이 확정되었습니다. 이번에 국회 본회의를 통과한 개정안의 주요 내용은 아래와 같습니다.
|
1.
|
대표자의 책임 명확화
개정안은 개인정보처리자의 사업주 또는 대표자를 “개인정보 처리 및 보호에 관한 최종 책임자”라고 명시하고, 인력과 예산의 지원 등 총괄적인 관리 조치를 하도록 규정하였습니다. 한편, 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대해서는, 개인정보 보호책임자 임면 시 이사회 의결을 거치도록 하고 개인정보보호위원회에 개인정보 보호책임자 지정에 관한 사항을 신고하도록 하는 규정도 신설되었습니다.
|
|
2.
|
통지 의무의 범위 확대
기존에는 개인정보의 “분실·도난·유출”을 “유출등”으로 약칭하도록 규정하고 있었는데, 개정안은 “분실·도난·유출” 외에 “위조·변조 또는 훼손”까지 포함하여 “유출등”으로 약칭하도록 하였습니다. 이에 따라 개인정보가 분실·도난·유출된 경우뿐만 아니라 위조·변조·훼손된 경우에도 정보주체에게 통지하고 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 신고하도록 규정하였습니다.
또한, 기존에는 “유출등이 되었음”을 알게 되었을 때 통지하도록 규정하고 있었으나, 개정안에 따르면 개인정보의 유형, 정보주체에게 미치는 영향과 유출등의 위험 정도를 고려하여 대통령령으로 정하는 “유출등의 가능성”이 있음을 알게 된 때에도 통지하여야 합니다.
|
|
3.
|
과징금 상한 상향
(1) 개인정보 보호법에 따른 과징금을 부과받은 자가 고의 또는 중대한 과실로 3년 이내에 반복적인 위반행위를 한 경우, (2) 고의 또는 중대한 과실로 위반행위를 하고 정보주체의 피해 규모가 1천만 명 이상인 경우, (3) 개인정보보호위원회의 시정조치 명령에 따르지 아니하여 유출등이 발생한 경우 등에 대해 부과할 수 있는 과징금의 상한을 전체 매출액의 10%로 상향하였습니다.
한편, 개정안에는 기업의 사전적 예방투자를 유도하기 위하여, 개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 및 운영 등의 사유가 있는 경우에는 과징금을 감경할 수 있도록 하는 근거도 마련되었습니다.
|
개정법은 기본적으로 법안 공포 후 6개월이 경과한 날부터 시행되나, 과징금의 상한을 전체 매출액의 10%로 상향하는 규정은 (1) 반복적인 위반행위를 이유로 하는 경우에는 개정법 시행 이후 발생한 위반행위로 과징금 부과처분을 받은 후 다시 위반행위를 한 경우부터 적용되고, (2) 정보주체의 피해 규모를 근거로 적용하는 경우에는 개정법 시행 당시 종료되지 않은 위반행위에 대해서도 적용되며, (3) 시정조치 명령 미이행을 이유로 하는 경우에는 개정법 시행 이후 시정조치 명령을 받은 경우에 한하여 적용됩니다.
개인정보 보호를 위한 의무와 책임이 더욱 무거워지고 있으므로 기업으로서는 개인정보 처리 및 보호 체계를 다시 한번 점검하고 관련 예산과 인력 등을 충분히 확보함으로써 법적 리스크를 줄이는 방향으로 사전 대응 전략을 마련해 나갈 필요가 있겠습니다.
[영문] Amendments to the Personal Information Protection Act Passed by National Assembly
