송경희 개인정보보호위원회 위원장이 12일 오후 서울 종로구 세종대로 정부서울청사에서 예방 중심 개인정보 관리체계로의 전환 계획 브리핑을 하고 있다. 뉴스1
개인정보보호위원회는 12일 국무회의에서 이 같은 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다.
개정 개인정보보호법은 오는 9월부터 시행된다. 핵심은 반복적이거나 중대한 개인정보 유출 사고에 대한 강력한 경제 제재다.
징벌적 과징금은 고의 또는 중대한 과실로 3년 내 반복 위반이 발생했거나, 1000만명 이상 개인정보 유출 피해가 발생한 경우 적용된다. 과징금 규모는 최대 매출액의 10% 수준이다.
정부는 과징금 산정 기준도 강화한다. 기존에는 최근 3년 평균 매출액을 기준으로 했지만, 앞으로는 ‘직전 연도 매출액’과 ‘최근 3년 평균 매출액’ 가운데 더 높은 금액을 기준으로 적용한다.
조사 방해나 증거 은닉에 대한 처벌도 강화된다. 이행강제금과 신고포상금 제도가 새로 도입되고, 개인정보 유출 은폐 행위에 대한 제재 수위도 높아진다.
반면 영세기업의 경미한 위반에 대해서는 즉각 처벌보다는 시정 기회를 우선 제공하기로 했다. 대신 보안 투자와 안전관리 수준이 우수한 기업에는 과징금 감경 등 인센티브를 부여한다.
정부는 하반기부터 약 1700개 고위험 정보시스템에 대한 직접 점검에도 나선다.
점검 대상에는 주요 공공시스템 387개를 비롯해 교육·복지 분야 시스템, 대규모 개인정보 처리 기관 등이 포함된다. 클라우드 사업자와 외주 수탁업체, 시스템 공급사 등 공급망 전체로 관리 범위도 확대된다.
또 서비스 기획 단계부터 개인정보 보호를 반영하는 ‘개인정보 중심 설계(PbD·Privacy by Design)’ 원칙도 제도화한다.
국민 피해 구제 체계도 강화된다. 개인정보 유출 사고 발생 시 기업의 손해배상 책임을 원칙으로 하고, 입증 책임 역시 기업이 부담하도록 해 법정 손해배상 제도의 실효성을 높인다는 방침이다.
정부는 특히 회원 탈퇴나 동의 철회를 어렵게 만드는 ‘다크패턴’ 행위를 집중 점검하고, 민감정보 유출 시 SNS와 온라인상 불법 유통 여부를 실시간 모니터링할 계획이다.
송경희 개인정보보호위원장은 “개인정보는 한 번 유출되면 피해 회복이 어렵다”며 “사전 예방 체계를 강화해 국민이 신뢰할 수 있는 데이터 환경을 만들겠다”고 말했다.
정재홍([email protected])