앞으로 개인정보 보호 정책이 사고 발생 후 처벌 중심에서 사전 예방 중심으로 대전환된다. 개인정보보호위원회는 5월 12일 대통령 주재 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 보고하고, AI·디지털 전환과 플랫폼 경제 확산으로 급증하는 개인정보 활용에 선제적으로 대응하겠다고 밝혔다.
이번 계획은 개인정보 유출 사고가 대형화되고 사후 처벌만으로는 피해 회복이 어려운 현실을 개선하기 위해 마련됐다. 정부는 사고 예방과 피해 최소화를 동시에 추진하는 체계로의 근본적인 패러다임 전환을 선언했다.
우선, 반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 매출액의 최대 10%까지 과징금을 부과하는 징벌적 과징금 제도를 도입한다. 기존에는 최대 3%였던 과징금 상한을 대폭 높여 경제적 억지력을 강화한 것이다. 과징금 산정 기준도 현행 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용하도록 개선한다.
조사 과정에서 증거를 은닉하거나 협조하지 않는 기업에는 이행강제금을 부과하고, 신고포상금 제도를 도입해 신속한 조사와 처분이 가능하도록 한다. 다만 영세기업의 경미한 위반에 대해서는 시정 기회를 먼저 부여하고, 반복 위반 시에만 엄정 대응할 방침이다.
기업들이 형식적인 법규 준수를 넘어 실질적인 개인정보 보호 수준을 높이도록 유인하는 인센티브 체계도 전면 개편된다. 법정 기준을 상회하는 선제적 보호 조치, 적극적인 보안 투자, 실효적인 안전관리체계 운영 여부를 종합 평가해 과징금 감경 등 혜택을 부여한다. 또한 오는 9월부터 시행되는 경영진의 개인정보 보호 책임이 충실히 이행될 수 있도록 기업의 보호 활동을 공개하는 방안도 추진한다.
정부는 고위험 분야에 대한 집중 관리도 강화한다. 올해 하반기부터 주요 공공시스템 387개와 교육·복지 등 고위험 분야 약 1700개 시스템을 정부가 직접 정기적으로 점검한다. 점검 대상을 클라우드 사업자, 전문 수탁사, 시스템 공급사 등 공급망 전반으로 확대해 사각지대를 없앤다. 현재 상조회사, 고객상담센터 등에 대한 점검이 진행 중이며, 발견된 미비점은 조속히 시정 권고할 예정이다.
서비스 기획·설계 단계부터 개인정보 보호를 반영하는 '개인정보 중심 설계(PbD)' 원칙도 제도화한다. 제품이나 서비스의 기획·제조·폐기 등 전 과정에서 개인정보 보호 요소를 충분히 고려하도록 하는 이 원칙은 개인정보 영향평가 기준과 ISMS-P 인증 기준에 반영된다.
공공부문의 개인정보 보호 인력과 예산 부족 문제도 해결한다. 지난 2월 현황 조사 결과 중앙부처는 전담 인력이 평균 1.1명, 기초지방정부는 0.3명에 불과한 것으로 나타났다. 이에 관계부처와 협력해 전담 인력과 예산을 확충하고, 전담 인력의 처우 개선도 함께 추진한다. 개인정보 보호 전문 인력 양성을 위해 권역별·지역별로 대학원 과정을 확대하고, 맞춤형 실무 교육 프로그램도 새롭게 설계해 운영할 계획이다.
개인정보 유출로 인한 국민 피해를 실질적으로 구제하기 위한 방안도 마련된다. 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다. 이용자를 속이거나 오인하게 만들어 개인정보 수정·동의 철회·탈퇴를 어렵게 하는 '다크패턴' 행태를 집중 점검하고, 개인정보 침해신고센터의 기능도 전문 상담, 컨설팅, 피해 조치 지원 등으로 강화한다.
민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링해 탐지·삭제하고, 수사기관과 협력해 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다.
개인정보보호위원회 송경희 위원장은 "모든 사고가 그렇듯 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다"며 "앞으로 사후 책임에 더해 사전 예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"고 밝혔다.
이번 전환 계획은 크게 세 가지 축으로 구성된다. 첫째, 중대·반복 위반에 대한 제재를 강화해 억지력을 높인다. 징벌적 과징금은 법률 개정을 통해 올해 9월부터 시행되며, 시행령 등 하위 법령 마련 과정에서 구체적인 내용이 담길 예정이다. 과징금 부과 시 매출액 산정 기준 강화는 이달 중 시행령 개정 절차가 마무리된다. 이행강제금 도입 등 조사 강제력 강화를 위한 관련 법안은 국회에 발의되어 있다.
둘째, 기업의 자발적인 보호 투자를 확대하고 위험 기반 관리 체계를 구축한다. 5월 말 경제관계장관회의를 통해 상세 내용이 발표될 예정이다.
셋째, 신속한 피해 구제와 회복 지원 체계를 마련한다. 침해신고센터 기능 강화와 인력 확충 등은 2027년 예산 확보를 통해 단계적으로 실행된다.
AI 시대에 기업의 데이터 활용이 중요한 만큼 규제 강화가 경쟁력을 약화시킬 수 있다는 우려에 대해 개인정보위는 "개인정보 보호는 기업 경쟁력의 제약이 아니라 지속 가능한 데이터 활용과 혁신의 기반"이라고 강조했다. 이용자와 국민이 기업의 고객정보 관리에 대해 신뢰를 가져야만 기업도 안심할 수 있는 환경에서 맞춤형 서비스와 데이터 기반 혁신을 확대할 수 있다는 설명이다.
현재 국민 10명 중 6명이 개인정보 유출에 불안을 느끼는 상황에서, 이번 전환 계획을 통해 사회 전반의 보호 수준을 높이고 국민이 신뢰할 수 있는 데이터 활용 환경을 조성하겠다는 것이 개인정보위의 목표다.
