본문 바로가기
메뉴
뉴스레터

개인정보 보호법 시행령 개정안 입법예고

2026.06.05

개인정보보호위원회(이하 “위원회”)는 개정 개인정보 보호법(2026. 3. 10. 공포, 9. 11. 시행 예정)(이하 “개정법”)의 후속조치로서, 개인정보 보호법 시행령 일부개정령안(이하 “개정안”)을 2026. 6. 1. 및 2026. 6. 2. 입법예고 하였습니다. 개정안의 주요 내용은 다음과 같습니다.
 

1.

과징금 등 제재의 실효성 강화를 위한 시행령 개정
 

(1)

과징금 산정 기준 및 절차 구체화

개정법은 반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 규정하는바(제64조의2 제2항), 개정안은 위와 같이 과징금을 부과하는 기준과 절차를 구체적으로 규정하였습니다(제60조의2 및 별표 1의5).
 

  • 과징금 산정 절차: 위원회는 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액에 위반행위의 중대성에 따른 산정비율(부과기준율)을 곱하여 과징금 산정의 기준이 되는 금액(기준금액)을 산정합니다.

기준금액 가중 사유: 개정법상 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 경우, 즉 ① 과징금 부과처분을 받은 날부터 3년이 경과하기 전에 고의·중과실로 위반행위를 반복한 경우, ② 고의·중과실로 위반행위를 하고 정보주체의 피해 규모가 1천만명 이상인 경우, ③ 시정명령에 따르지 아니하여 개인정보가 유출등이 된 경우 기준금액을 가중합니다.

고려 사항: 가중 비율∙금액 산출 시 ① 고의 또는 중대한 과실, 위반행위 반복, 시정조치 명령 불이행 등의 내용 및 정도, ② 고의 또는 중대한 과실, 위반행위 반복, 시정조치 명령 불이행 등에 이르게 된 경위, ③ 위반행위로 인한 정보주체의 피해 규모(1천만명 이상인 경우)를 종합적으로 고려합니다.
 

(2)

개인정보 보호 투자에 대한 감경 제도 신설

개정법은 “개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유”가 있는 경우 과징금을 감경(투자 감경)하도록 규정하는바(제64조의2 제6항), 개정안은 기준금액 산정 후 가중·감경을 하되 1∙2차 조정 전에 투자 감경을 거치도록 하면서, 그 사유, 상한 및 기준을 구체적으로 규정하였습니다(제60조의2 제5항, 제7항 및 별표 1의5).
 

  • 고려 사항: 개정안은 투자 감경 시 ① 개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 규모 및 지속성, ② 사업주 또는 대표자, 개인정보 보호책임자(CPO)의 역할, 조직 및 인력 구성 등 개인정보 보호체계 운영 내용 및 수준, ③ 개인정보 안전성 확보 조치 강화를 위한 추가 노력을 고려하도록 규정하였습니다.

  • 상한 및 기준: 기준금액의 100분의 40의 범위에서 투자 감경을 할 수 있으나, 고의∙중과실로 위반행위를 한 경우에는 감경할 수 없습니다.
     

이 외, 개정법에서 규정하는 과징금을 부과하지 않을 수 있는 사유와 관련하여(제64조의2 제7항 제4호), 개정안은 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 개인정보처리자가 위반행위를 시정(중소기업·소상공인 등이 기술 지원을 받아 시정하는 경우 포함)하고 위원회 고시 기준에 해당되는 경우 과징금을 부과하지 않을 수 있도록 규정하였습니다(제60조의2제6항).
 

2.

개인정보 유출사고에 대한 예방 및 대응 강화를 위한 시행령 개정
 

(1)

CPO 이사회 의결 및 개인정보위 신고 의무 대상

개정법은 일정 규모 이상의 개인정보처리자에 대하여 CPO 지정∙변경∙해제 시 이사회 의결을 거치고 위원회에 신고하도록 규정하는바(제31조), 본 개정안은 이사회 의결을 거치고 위원회에 신고할 의무 대상, 신고 방법∙절차를 구체적으로 규정하였습니다(제32조).
 

  • 의무 대상 기준: 개정안은 이사회 의결 및 신고 의무 대상을 아래와 같이 규정하였습니다. 이는, 전문 CPO 지정 의무 대상과 동일합니다.

연 매출액 또는 수입 1,800억 원 이상이면서 5만 명 이상의 민감정보·고유식별정보 또는 100만 명 이상의 개인정보를 처리하는 개인정보처리자

재학생 수 2만 명 이상인 대학

대규모 민감정보를 처리하는 상급종합병원

공공시스템운영기관
 

  • 절차 및 방법: 개정안은 신고의무가 발생한 날부터 1개월 이내(부득이한 사유가 있는 경우 그 사유가 해소된 날로부터 1개월의 범위에서 연장 가능)에 위원회에 신고서를 제출하도록 규정하였습니다.

 

(2)

ISMS-P 인증 의무 대상

개정법은 파급력이 큰 주요 개인정보처리자에 대하여 의무적으로 개인정보 보호 인증(ISMS-P 인증)을 받도록 규정한바(제32조의2조), 본 개정안은 ISMS-P 인증 의무 대상이 되는 범위를 아래와 같이 구체적으로 규정하였습니다(제34조의9).
 

  • ISMS-P 인증 의무 대상이 되는 범위: ① 위원회가 정하여 고시하는 주요 공공시스템 운영기관, ② 이동통신사업자, ③ 본인확인기관, ④ 전년도 전체 매출액이 1조원 이상이고 정보통신서비스 부문 전년도 매출액이 100억원 이상이면서, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장∙관리되는 국내 정보주체의 수가 일일 평균 3천만명 이상인 자

  • 이행 기한: ISMS-P 인증 의무 대상인 자는 2028년 12월 31일까지 ISMS-P 인증을 완료해야 합니다(부칙 제3조).

 

(3)

개인정보 유출 통지∙신고 관련 개정

개정법은 개인정보 유출등이 되었음을 알게 되었을 때 뿐만 아니라 유출등의 ‘가능성’을 알게 된 때에도 정보주체에게 지체없이 통지하도록 규정하는바(제34조), 본 개정안은 유출등의 가능성에 따른 통지 요건∙시기∙항목을 구체적으로 규정하였습니다(제30조의2, 제39조, 제39조의2, 제40조, 제48조의7).
 

  • 통지 요건∙시기: 개정안은 유출등 가능성이 확인된 초기 단계부터 정보주체에게 통지하도록 하였습니다. 즉, ① 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 불법적인 접근을 알게 된 경우로서 개인정보가 유출등이 된 개관적인 정황이 있다면, 유출등이 된 정보주체를 특정하기 곤란하다 하더라도 ‘불법적인 접근을 알게 된 때’부터 72시간 이내에, ② 개인정보처리자가 처리하는 개인정보가 불법적으로 거래·유통되고 있다는 사실이 객관적으로 확인된 경우로서 유출등이 확인된 정보주체 이외의 정보주체에 관한 개인정보도 유출등의 가능성이 높다고 인정된다면, ‘불법적인 거래·유통 사실을 알게 된 때’부터 72시간 이내에 통지하여야 합니다.

  • 통지 항목: 개정안은 개인정보가 분실·도난·유출되었음을 알게 된 때에는 물론, 위조·변조·훼손되었음을 알게 된 때에도 개인정보 유출등 통지·신고를 하도록 하였습니다.


이 외에, 본 개정안은 과태료를 부과하지 않고 시정조치 또는 경고만 한 경우도 위반 횟수에 포함하도록 하여 사고 재발 시 과태료가 가중되도록 과태료 부과기준을 개선하고, 위반 횟수별 과태료 부과금액을 상향 조정하였습니다(제63조 별표2).
 

위 개정안들의 입법예고 기간은 2026. 7. 13.까지로, 이후 법제처 심사 등을 거쳐 개정이 마무리되며 개정법 시행일인 2026. 9. 11.에 맞추어 시행될 예정입니다. 시행령 개정에 대비하여 예산·인력·설비·장치 등의 투자 및 운영 실태, CPO 지정 절차, ISMS-P 인증 준비 현황, 개인정보 유출등 통지∙신고 등 사고 대응 매뉴얼 등에 대하여 점검해보시기 바라며, 개정 시행령 공포∙시행 및 이에 따른 고시 개정 등 후속 동향에 대해서도 계속적인 관심이 필요하겠습니다.
 

[영문] PIPC Releases Proposed Amendments to the PIPA Enforcement Decree

 

공유하기

레이어 닫기

관련 구성원

레이어 닫기

관련 구성원

레이어 닫기