올해 9월부터 반복적이거나 중대한 개인정보 유출사고를 낸 기업에 대해 매출액의 최대 10%까지 과징금이 부과된다.
개인정보보호위원회는 이 같은 내용을 담은 '예방 중심 개인정보 관리체계 전환 계획'을 대통령 주재 국무회의에서 보고했다고 12일 밝혔다.
9월 11일 시행 예정인 개정 개인정보보호법에 따르면 반복적이거나 중대한 보호법 위반 행위에 대해서는 매출액의 최대 10%까지 과징금을 부과한다. 고의·중과실로 3년 내 반복된 사건이거나 1천만명 규모 이상의 개인정보 유출 피해가 발생한 경우가 대상이다.
과징금 산정 기준은 오는 19일 시행될 개정 시행령에 따라 현행 '최근 3년 평균 매출액'에서 '직전 연도 매출액'과 '최근 3년 평균 매출액' 가운데 높은 금액을 적용하는 방식으로 바뀐다. 또 신족한 조사와 처분을 위해 이행강제금과 신고포상금 제도도 도입한다. 증거 은닉 행위에 대한 제재도 강화할 계획이다.
다만 영세기업의 경미한 위반은 재발 방지와 개선을 위해 시정 기회를 부여할 예정이다. 개정 보호법이나 시행령 모두 이후에 일어난 사건부터 적용돼 현재 조사 중인 쿠팡이나 KT 사건에 적용은 어려울 방침이다.
아울러 기업의 실질적 책임경영 강화를 위해 선제적 보호조치, 적극적 보아투자 등 여부를 평가해 과징금 경감 등 인센티브가 제공될 예정이다.
정부는 위험 수준에 따라 차등 관리하는 '위험기반 관리체계'도 구축한다. 주요 공공시스템 387개와 교육·복지 등 고위험 분야는 개인정보위가 집중적으로 관리한다. 또 클라우드 사업자와 전문 수탁사, 시스템 공급사 등 공급망 전반으로 점검 범위를 확대할 예정이다.
개인정보 영향평가 기준과 ISMS-P 인증 기준에도 이를 반영할 계획이다. 아울러 공공부문의 개인정보 보호인력과 예산을 확충하고, 개인정보보호 전담인력의 처우 개선도 추진한다. 개인정보위가 지난 3월 실시한 공공시스템 긴급 점검결과에 따르면 개인정보보호인력은 중앙 1.1명, 기초지방정부 0.3명 수준에 불과하다.
국민 피해 구제를 위해 법정 손해배상 제도도 활성화된다. 개인정보 유출 사고 발생 시 기업·기관의 손해배상 책임을 원칙으로 하고 입증 책임도 기업이 지도록 할 방침이다. 또 다크패턴처럼 개인정보 수정이나 동의 철회, 회원 탈퇴를 어렵게 만드는 행태를 집중 점검하고 개인정보 침해신고센터 기능도 강화한다.
민감정보 유출 시에는 소셜미디어(SNS) 등에서 불법 유통 여부를 모니터링하고 탐지·삭제를 지원한다. 수사기관과 협력해 개인정보 불법 유포자와 이용자에 대한 추적·처벌도 강화할 방침이다.
송경희 개인정보위 위원장은 "개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"라고 밝혔다.