앞으로 개인정보 유출 사고가 반복해서 일어나거나, 1000만명 이상이 피해를 입는 개인정보 유출 사고를 낸 기업에 ‘징벌적 과징금’을 부과할 수 있게 된다.
개인정보보호위원회는 이 같은 내용의 개정 ‘개인정보보호법’이 10일 공포된다고 9일 밝혔다. 개인정보위는 작년부터 징벌적 과징금 도입을 위한 법 개정을 추진해 왔다.
개정 법률에 따르면, 중대한 개인정보 유출 사고를 일으키거나 유출 사고를 반복해서 일으키는 기업에는 전체 매출액의 10%까지 과징금을 부과할 수 있다. 지금은 전체 매출액의 3% 이하로 규정하고 있는데, 이를 3배 이상으로 높이는 것이다.
개인정보위 관계자는 “기존 과징금 제도만으로는 개인정보 침해 사고를 실질적으로 막기 어렵다고 봤다”고 말했다.
구체적으로는 최근 3년간 고의 또는 중대한 과실로 반복해서 유출 사고가 일어난 기업, 고의 또는 중대한 과실로 1000만명 이상 유출 피해를 발생시킨 기업, 개인정보 유출 사고가 일어난 뒤 개인정보위의 시정 명령에 따르지 않아 같은 유형의 사고가 또 일어난 기업이 적용 대상이다.
한편 개인정보 유출 사고가 발생했을 때 이용자에게 통지하는 시간도 앞당긴다. 지금은 개인정보가 유출됐다는 것을 알았을 때 통지하도록 규정돼 있는데, 이를 ‘유출 가능성이 있다는 것을 알았을 때’ 통지하도록 바꿨다.
개인정보위 관계자는 “랜섬웨어 감염처럼 개인정보 훼손 등 피해가 발생했을 때도 유출 피해를 통지하도록 했다”고 말했다.
이외에도 개정 법률에는 사업주나 대표자(CEO)를 개인정보 보호 최종 책임자로 규정하는 내용이 담겼다. 주요 민간 기업과 공공기관은 개인정보 보호 인증도 의무화한다.
개인정보위 관계자는 “이번에 바뀐 법이 현장에서 제대로 운영될 수 있도록 기업과 소통을 강화하겠다”고 말했다.