"개인정보 유출, 매출 10% 과징금" … 쿠팡·이통사 정조준

개인정보보호위원회가 반복적이고 중대한 법 위반 행위에 대해 전체 매출액 10%까지 과징금을 부과할 수 있는 특례 도입을 추진한다.

개인정보위는 12일 업무보고에서 징벌적 과징금을 포함한 제재 체계 강화방안을 발표했다.

이날 개인정보위는 ‘2026년 업무 추진계획’을 통해 ▲실효적 제재와 보호투자 촉진 ▲공공·민간의 선제적 예방·점검 ▲신뢰 기반의 AI 사회 구축 ▲국민 생활 속 프라이버시 보호 ▲글로벌 데이터 신뢰 네트워크 구축 등 5대 추진 방향을 제시했다.

사후제재 중심이었던 개인정보 수집 규제에서 벗어나 보호 체계를 근본적으로 전환한다는 방침이다. 올해 이동통신사들과 쿠팡 등 기업들의 대규모 개인정보 유출 사고가 잇따라 발생한 데 따른 것이다.

실효적 제재 측면에서 반복·중대한 개인정보보호법 위반 행위에 대해 징벌적 과징금 특례를 신설한다. 고의 또는 중과실, 피해 규모 등 특정 요건에 해당하면 과징금 상한을 기존 매출액의 3%에서 최대 10%까지 늘린다는 것이다. 또한 단체 소송 요건에 손해배상을 추가해 유출 사고로 피해를 입은 국민이 실질적으로 보상받을 수 있게 한다.

또한 개선 필요성이 제기되는 정보보호와 개인정보보호 관리체계 인증(ISMS-P)에 대해 예비심사를 도입한다. 예비심사는 핵심 항목 기준 미달 시 심사를 중단한다는 취지다. 기술심사를 강화하고 법 위반시 인증을 취소하는 사후관리를 강화한다는 방침이다.

개인정보위는 해킹 등 새로운 위협에 대비해 개인정보 처리 기업들을 대상으로 사전 실태점검을 추진한다. 사전에 개인정보 침해요인을 분석할 수 있는 ‘기술분석센터’를 구축한다는 방침이다.

기업 대표에게는 최종 개인정보 보호 책임자로서 관리 의무를 법제화한다. 대규모·민감정보를 처리하는 주요 기관의 CPO(개인정보보호책임자) 지정 현황을 개인정보위에 신고하는 지정 신고제도를 도입한다는 계획이다.

과징금 감경 등 인센티브도 제도화한다. 사고를 낸 기업이 자발적으로 시정방안을 제시하고 신속한 피해 회복을 도모하는 ‘피해회복형 동의의결 제도’를 마련한다. 기업 규모와 개인정보 처리 위험도에 비례해 책임을 강화하면서 동시에 과징금 감경 혜택을 지원하며 정보보호 투자를 유도한다는 취지다.

이 외에도 개인정보위는 민감도가 높은 대규모 개인정보 국외이전 시 위험성을 자체 평가하는 ‘국외이전 영향 평가제’를 도입한다. 기업 인수합병 시에는 국외이전 사전심사제도 도입한다.

송경희 개인정보보호위원장은 “개인정보 보호 체계를 근본적으로 전환해 확실한 변화를 이끌고 국민이 안심하며 신뢰할 수 있는 AI 융합사회를 구축하겠다”고 말했다.