개인정보 유출 사고를 '사후 신고' 중심으로 관리하던 규제가 '사전 차단' 중심으로 바뀐다. 개인정보 보호책임자(CPO)를 임의로 바꾸기 어려워지고, 유출 가능성을 인지한 단계에서도 정보주체에게 72시간 안에 알려야 한다. 통신사와 본인확인기관 등은 개인정보 보호 인증도 의무적으로 받아야 한다.
개인정보보호위원회는 이 같은 내용을 담은 '개인정보 보호법 시행령' 일부개정령안을 2일부터 다음달 13일까지 입법예고한다고 밝혔다. 이번 개정안은 오는 9월 11일 시행되는 개정 개인정보 보호법의 후속 조치다.
핵심은 CPO의 독립성 강화다. 앞으로 일정 규모 이상의 개인정보처리자는 CPO를 지정하거나 변경·해제할 때 이사회 의결을 거쳐야 한다. 개인정보위 신고도 의무화된다. 대상은 현행 전문 CPO 지정 의무 대상과 같다. 연 매출액·수입이 1800억원 이상이면서 5만명 이상의 민감정보·고유식별정보를 처리하거나 100만명 이상의 개인정보를 처리하는 기업·기관이 포함된다. 재학생 2만명 이상 대학, 상급종합병원, 공공시스템운영기관도 대상이다.
CPO 인사 절차도 엄격해진다. 의무 대상 개인정보처리자는 CPO 지정·변경·해제 사유가 발생한 날부터 1개월 이내에 신고서를 개인정보위에 제출해야 한다. 부득이한 사유가 있으면 1개월 연장이 가능하다.
대형 플랫폼·통신 분야 사업자의 인증 부담도 커진다. 개정안은 정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 의무 대상을 구체화했다. 공공시스템운영기관 중 개인정보위가 고시하는 기관, 이동통신사업자, 본인확인기관이 포함된다. 전년도 매출액 1조원 이상, 정보통신서비스 부문 매출액 100억원 이상, 국내 정보주체 개인정보 저장·관리 규모가 하루 평균 3000만명 이상인 사업자도 2028년 12월 31일까지 ISMS-P 인증을 받아야 한다.
유출 대응 기준은 앞당겨진다. 개인정보처리시스템에 불법 접근이 있었음을 알게 됐거나 개인정보가 불법적으로 거래·유통되고 있음을 알게 된 경우, 개인정보처리자는 72시간 이내에 정보주체에게 통지해야 한다. 실제 유출이 확인된 뒤가 아니라 유출 가능성을 인지한 단계부터 통지 의무가 생기는 것이다.
통지·신고 대상도 넓어진다. 기존 분실·도난·유출뿐 아니라 개인정보 위조·변조·훼손이 발생한 경우에도 통지와 신고 의무가 적용된다. 경미한 위반행위에 대해 과태료를 면제하고 경고한 경우에도 같은 위반이 다시 발생하면 과태료 가중 횟수에 반영된다.
개정안에 대한 의견은 다음달 13일까지 국민참여입법센터, 개인정보위 전자우편, 일반우편 등을 통해 제출할 수 있다.
개정안 전문은 개인정보위 홈페이지 공지사항에서 확인할 수 있다.
박진형 기자 jin@etnews.com
