개인정보 유출 과징금 계산 방식, 매출액 3%에서 10%로 강화된 핵심 변화

개인정보 유출 과징금 계산 방식이 왜 바뀌었나요?

개인정보보호위원회에 따르면, 기존 과징금 제도는 전체 매출액의 3% 이하로 상한이 정해져 있어 대규모 유출사고에 대한 실효적 억지력 확보에 한계가 있었습니다. 연이은 대규모 개인정보 유출사고로 사회적 우려가 커지면서, 기업·기관의 개인정보 보호 책임을 대폭 강화하는 방향으로 법이 개정되었습니다.

징벌적 과징금 부과 기준은 어떻게 달라지나요?

개정 「개인정보 보호법」은 반복적이거나 중대한 위반행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 특례를 신설했습니다. 다만 모든 위반에 10%가 적용되는 것은 아니며, 아래 3가지 요건 중 하나에 해당해야 합니다.

징벌적 과징금 적용 3가지 요건

기존 과징금과 징벌적 과징금, 무엇이 다른가요?

과징금 감경받으려면 어떻게 해야 하나요?

개정법은 사전 예방적 투자에 대한 인센티브를 함께 도입했습니다. 개인정보 보호 관련 예산·인력·설비·장치 등을 투자하고 운영한 경우, 과징금을 필수적으로 감경받을 수 있습니다. 단, 고의 또는 중대한 과실에 의한 위반은 감경 대상에서 제외됩니다.

감경 인정 투자 항목

• 개인정보 보호 전담 인력 확보
• 정보보호 관련 예산 편성 및 집행
• 보안 설비·장치 도입 및 운영
• ISMS-P 인증 등 관리체계 구축

유출 통지 의무는 어떻게 강화되나요?

기존에는 개인정보 '유출이 되었음을 알았을 때'에만 통지 의무가 있어 대응이 늦어지는 문제가 있었습니다. 개정법은 '유출 가능성이 있음을 알게 되었을 때'에도 지체 없이 정보주체에게 통지하도록 의무화했습니다.

유출등 사고 범위 확대

랜섬웨어 등으로 인한 데이터 위조·변조·훼손도 통지·신고 대상에 포함되어, 보다 신속한 대응이 가능해졌습니다.

CEO와 CPO의 책임은 구체적으로 어떻게 달라지나요?

CEO(사업주·대표자) 의무 강화

CEO에게 개인정보 처리 및 보호의 최종 책임자로서 관리·감독 의무가 명확히 부여됩니다. 일정 규모 이상의 개인정보처리자는 CPO 지정·변경·해제 시 이사회 의결을 거쳐야 하며, 개인정보보호위원회에 신고해야 합니다.

CPO(개인정보 보호책임자) 역할 강화

• 개인정보 보호에 필요한 전문 인력 관리 의무화
• 보호 관련 예산 확보 업무 수행 의무화
• 대표자와 이사회에 개인정보 보호 관련 사항 보고 의무

ISMS-P 인증 의무화 대상과 시행 시기는?

ISMS-P(Personal Information & Information Security Management System) 인증은 기업·기관이 구축·운영 중인 정보보호 및 개인정보보호 관리체계가 적합한지를 인증하는 제도입니다. 기존에는 자율적으로 운영되었으나, 공공·민간 분야에서 파급력이 큰 주요 기업·기관에 대해 의무화됩니다.

ISMS-P 인증 의무화 규정은 예산 확보 등 준비 기간을 고려하여 2027년 7월 1일부터 시행됩니다. 구체적인 의무화 대상 범위는 시행령 개정 과정에서 확정될 예정입니다.

자주 묻는 질문

---

출처: 대한민국 정책브리핑(korea.kr)