개인정보보호위원회(이하 “위원회”)는 개정 개인정보 보호법(2026. 3. 10. 공포, 9. 11. 시행 예정)(이하 “개정법”)의 후속조치로서, 개인정보 보호법 시행령 일부개정령안(이하 “개정안”)을 2026. 6. 1. 및 2026. 6. 2. 입법예고 하였습니다. 개정안의 주요 내용은 다음과 같습니다.
|
1.
|
과징금 등 제재의 실효성 강화를 위한 시행령 개정
|
|
(1)
|
과징금 산정 기준 및 절차 구체화
개정법은 반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 규정하는바(제64조의2 제2항), 개정안은 위와 같이 과징금을 부과하는 기준과 절차를 구체적으로 규정하였습니다(제60조의2 및 별표 1의5).
|
–
|
기준금액 가중 사유: 개정법상 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 경우, 즉 ① 과징금 부과처분을 받은 날부터 3년이 경과하기 전에 고의·중과실로 위반행위를 반복한 경우, ② 고의·중과실로 위반행위를 하고 정보주체의 피해 규모가 1천만명 이상인 경우, ③ 시정명령에 따르지 아니하여 개인정보가 유출등이 된 경우 기준금액을 가중합니다.
|
|
–
|
고려 사항: 가중 비율∙금액 산출 시 ① 고의 또는 중대한 과실, 위반행위 반복, 시정조치 명령 불이행 등의 내용 및 정도, ② 고의 또는 중대한 과실, 위반행위 반복, 시정조치 명령 불이행 등에 이르게 된 경위, ③ 위반행위로 인한 정보주체의 피해 규모(1천만명 이상인 경우)를 종합적으로 고려합니다.
|
|
|
(2)
|
개인정보 보호 투자에 대한 감경 제도 신설
개정법은 “개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유”가 있는 경우 과징금을 감경(투자 감경)하도록 규정하는바(제64조의2 제6항), 개정안은 기준금액 산정 후 가중·감경을 하되 1∙2차 조정 전에 투자 감경을 거치도록 하면서, 그 사유, 상한 및 기준을 구체적으로 규정하였습니다(제60조의2 제5항, 제7항 및 별표 1의5).
-
고려 사항: 개정안은 투자 감경 시 ① 개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 규모 및 지속성, ② 사업주 또는 대표자, 개인정보 보호책임자(CPO)의 역할, 조직 및 인력 구성 등 개인정보 보호체계 운영 내용 및 수준, ③ 개인정보 안전성 확보 조치 강화를 위한 추가 노력을 고려하도록 규정하였습니다.
-
상한 및 기준: 기준금액의 100분의 40의 범위에서 투자 감경을 할 수 있으나, 고의∙중과실로 위반행위를 한 경우에는 감경할 수 없습니다.
이 외, 개정법에서 규정하는 과징금을 부과하지 않을 수 있는 사유와 관련하여(제64조의2 제7항 제4호), 개정안은 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 개인정보처리자가 위반행위를 시정(중소기업·소상공인 등이 기술 지원을 받아 시정하는 경우 포함)하고 위원회 고시 기준에 해당되는 경우 과징금을 부과하지 않을 수 있도록 규정하였습니다(제60조의2제6항).
|
|
2.
|
개인정보 유출사고에 대한 예방 및 대응 강화를 위한 시행령 개정
|
|
(1)
|
CPO 이사회 의결 및 개인정보위 신고 의무 대상
개정법은 일정 규모 이상의 개인정보처리자에 대하여 CPO 지정∙변경∙해제 시 이사회 의결을 거치고 위원회에 신고하도록 규정하는바(제31조), 본 개정안은 이사회 의결을 거치고 위원회에 신고할 의무 대상, 신고 방법∙절차를 구체적으로 규정하였습니다(제32조).
|
–
|
연 매출액 또는 수입 1,800억 원 이상이면서 5만 명 이상의 민감정보·고유식별정보 또는 100만 명 이상의 개인정보를 처리하는 개인정보처리자
|
|
|
(2)
|
ISMS-P 인증 의무 대상
개정법은 파급력이 큰 주요 개인정보처리자에 대하여 의무적으로 개인정보 보호 인증(ISMS-P 인증)을 받도록 규정한바(제32조의2조), 본 개정안은 ISMS-P 인증 의무 대상이 되는 범위를 아래와 같이 구체적으로 규정하였습니다(제34조의9).
-
ISMS-P 인증 의무 대상이 되는 범위: ① 위원회가 정하여 고시하는 주요 공공시스템 운영기관, ② 이동통신사업자, ③ 본인확인기관, ④ 전년도 전체 매출액이 1조원 이상이고 정보통신서비스 부문 전년도 매출액이 100억원 이상이면서, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장∙관리되는 국내 정보주체의 수가 일일 평균 3천만명 이상인 자
-
이행 기한: ISMS-P 인증 의무 대상인 자는 2028년 12월 31일까지 ISMS-P 인증을 완료해야 합니다(부칙 제3조).
|
|
(3)
|
개인정보 유출 통지∙신고 관련 개정
개정법은 개인정보 유출등이 되었음을 알게 되었을 때 뿐만 아니라 유출등의 ‘가능성’을 알게 된 때에도 정보주체에게 지체없이 통지하도록 규정하는바(제34조), 본 개정안은 유출등의 가능성에 따른 통지 요건∙시기∙항목을 구체적으로 규정하였습니다(제30조의2, 제39조, 제39조의2, 제40조, 제48조의7).
-
통지 요건∙시기: 개정안은 유출등 가능성이 확인된 초기 단계부터 정보주체에게 통지하도록 하였습니다. 즉, ① 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 불법적인 접근을 알게 된 경우로서 개인정보가 유출등이 된 개관적인 정황이 있다면, 유출등이 된 정보주체를 특정하기 곤란하다 하더라도 ‘불법적인 접근을 알게 된 때’부터 72시간 이내에, ② 개인정보처리자가 처리하는 개인정보가 불법적으로 거래·유통되고 있다는 사실이 객관적으로 확인된 경우로서 유출등이 확인된 정보주체 이외의 정보주체에 관한 개인정보도 유출등의 가능성이 높다고 인정된다면, ‘불법적인 거래·유통 사실을 알게 된 때’부터 72시간 이내에 통지하여야 합니다.
-
통지 항목: 개정안은 개인정보가 분실·도난·유출되었음을 알게 된 때에는 물론, 위조·변조·훼손되었음을 알게 된 때에도 개인정보 유출등 통지·신고를 하도록 하였습니다.
이 외에, 본 개정안은 과태료를 부과하지 않고 시정조치 또는 경고만 한 경우도 위반 횟수에 포함하도록 하여 사고 재발 시 과태료가 가중되도록 과태료 부과기준을 개선하고, 위반 횟수별 과태료 부과금액을 상향 조정하였습니다(제63조 별표2).
|
위 개정안들의 입법예고 기간은 2026. 7. 13.까지로, 이후 법제처 심사 등을 거쳐 개정이 마무리되며 개정법 시행일인 2026. 9. 11.에 맞추어 시행될 예정입니다. 시행령 개정에 대비하여 예산·인력·설비·장치 등의 투자 및 운영 실태, CPO 지정 절차, ISMS-P 인증 준비 현황, 개인정보 유출등 통지∙신고 등 사고 대응 매뉴얼 등에 대하여 점검해보시기 바라며, 개정 시행령 공포∙시행 및 이에 따른 고시 개정 등 후속 동향에 대해서도 계속적인 관심이 필요하겠습니다.
[영문] PIPC Releases Proposed Amendments to the PIPA Enforcement Decree