1. 법률 개정 배경

최근 통신사·금융사·플랫폼 사업자 등 다양한 산업 분야에서 대규모 개인정보 유출 사고가 연이어 발생함에 따라, 기업의 개인정보 보호 책임을 강화하고 재발을 방지하기 위한 「개인정보 보호법」 개정안이 2026년 2월 12일 국회 본회의를 통과하여 2026년 3월 10일 공포되었습니다. 개정 법률은 2026년 9월 11일부터 시행될 예정입니다(일부 규정의 경우 2027년 7월 1일부터 시행).

개인정보보호위원회는 이번 법 개정의 취지를 개인정보 침해에 대한 강력한 억지력을 확보하는 동시에 기업이 개인정보 보호에 필요한 인력, 예산, 설비 등에 선제적으로 투자하도록 유도하여 사전 예방 중심의 개인정보 보호 체계를 구축하기 위한 것이라고 설명하고 있습니다. 즉 개인정보 침해 사고 발생 이후 제재를 가하는 기존의 사후적 규제 방식에서 벗어나, 기업 내부의 개인정보 보호 거버넌스를 강화하고 예방적 관리체계를 구축하도록 유도하는 방향으로 제도를 정비하고 있습니다.

개정 「개인정보 보호법」은 ▲대표자 및 개인정보 보호책임자(CPO)의 책임 강화 ▲개인정보 보호 인증 의무화 ▲유출 가능성 통지제 도입 및 통지 항목 확대 ▲반복적·중대한 개인정보 침해에 대한 과징금 강화 등을 주요 내용으로 하고 있습니다.

2. 개정 세부 내용

1. 가. 대표자 및 개인정보 보호책임자(CPO)의 책임 강화
   1. 1) 대표자의 법적 책임 명확화 (개정 법률 제30조의3)

      개정 「개인정보 보호법」은 사업주 또는 대표자를 개인정보 처리 및 보호의 최종 책임자로 명확히 규정하였습니다. 이에 따라 대표자는 개인정보의 안전한 처리와 정보주체 권리 보호를 위해 필요한 전문 인력 확보, 예산 지원, 관리체계 구축 등 총괄적인 관리 조치를 수행해야 하는 법적 책임을 부담하게 됩니다.

   2. 2) 개인정보 보호책임자(CPO)의 역할 및 독립성 강화 (개정 법률 제31조)

      일정 규모 이상의 개인정보처리자는 CPO를 지정·변경·해제하는 경우 이사회 의결을 거쳐야 하며, 그 사실을 개인정보보호위원회에 신고해야 합니다(현재 자율적으로 시행 중). 또한 CPO의 업무 범위에 개인정보 보호 관련 전문 인력 관리, 보안 예산 확보, 대표자 및 이사회에 대한 개인정보 보호 현황 보고 등이 명시적으로 포함되었습니다. 이번 개정을 통해서 개인정보처리자 및 CPO는 단순 개인정보 처리를 책임지는 자에서 처리 및 보호를 담당하는 자로 역할이 강화되었습니다.

2. 나. 개인정보 보호 인증(ISMS-P) 의무화 (개정 법률 제32조의2)

   1. 개인정보보호 관리체계(ISMS-P) 인증은 정보보호 및 개인정보 보호 관리체계의 적절성을 검증하는 제도로, 이를 통해 개인정보 보호 관리체계의 신뢰성과 안전성을 높이는 것을 목적으로 하는데, 개정 「개인정보 보호법」은 매출액 또는 개인정보 처리 규모 등을 고려하여 일정 기준 이상에 해당하는 개인정보처리자에게 ISMS-P 인증 취득을 의무화하였습니다. 다만 본 규정은 기업의 준비 기간을 고려해 2027년 7월 1일부터 시행될 예정입니다.
      

3. 다. 유출 가능성 통지제 도입 및 통지 항목 확대
   1. 1) ‘유출 등’ 개념 확대 (개정 법률 제23조 등)

      현행 법률은 개인정보가 ‘분실·도난·유출’된 경우에만 통지 의무를 부과했으나, 개정 「개인정보 보호법」은 통지 대상을 ‘위조·변조·훼손’까지 포함하는 ‘유출등’ 개념으로 확장하였습니다. 이는 EU GDPR의 개인정보 침해 정의와 유사하게 정보보안의 기밀성(유출·도난), 무결성(위조·변조), 가용성(분실·훼손) 침해를 포괄하는 개념으로 이해할 수 있습니다.

   2. 2) 유출 가능성 통지제 도입 (개정 법률 제34조 제2항)

      개정 「개인정보 보호법」은 개인정보 유출이 실제로 발생한 경우뿐만 아니라, 개인정보의 유형, 정보주체에게 미치는 영향 및 유출 위험 정도 등을 고려하여 대통령령에서 정하는 유출 가능성이 있다고 판단되는 경우에도 정보주체에게 통지하도록 하는 ‘유출 가능성 통지제’를 신설하였습니다.

   3. 3) 통지 항목 확대 (개정 법률 제34조 제1항)

      개인정보 침해 발생 시 정보주체에게 통지해야 할 내용에 손해배상 청구 방법, 법정손해배상 제도, 분쟁조정 신청 등 정보주체의 권리 행사 방법을 포함하도록 하여 정보주체 보호를 강화하였습니다.

   4. 4) 개정의 시사점

      이러한 제도 변화는 유럽연합(EU)의 개인정보 보호 규범과도 일정 부분 유사한 방향을 보이고 있습니다. EU 일반개인정보보호규정(GDPR)은 개인정보 침해를 개인정보의 파괴, 손실, 변경, 무단 공개 또는 무단 접근 등으로 폭넓게 정의하고 있으며 개인정보 침해를 정보보안의 기본 원칙인 기밀성(confidentiality), 무결성(integrity), 가용성(availability) 침해의 관점에서 이해하고 있습니다.
      
      유럽 개인정보보호 이사회(EDPB)가 발행한 「GDPR에 따른 개인정보 침해 통지에 관한 가이드라인 9/2022」에서는 다양한 개인정보 침해 사례도 설명하고 있는데, 예를 들어 권한 없는 내부 직원이 고객 데이터베이스 정보를 변경하는 경우는 무결성 침해에 해당한다고 보고 있습니다. 또한 개인정보 데이터가 삭제되거나 암호화 키가 분실되어 데이터 접근이 불가능해지는 경우는 가용성 침해로 설명하고 있으며, 더불어 서비스 장애나 랜섬웨어 공격 등으로 일정 기간 개인정보에 접근할 수 없는 상황도 개인정보 침해로 평가될 수 있다고 설명하고 있습니다.
      
      위 가이드라인은 개인정보 침해가 발생할 것이라는 합리적 확신이 있는 경우도 신고 대상으로 보고 있는데, 일례로 개인정보가 담긴 USB를 분실한 경우는 가용성 침해가 발생하였다는 합리적 확신이 있기에 신고하여야 한다고 설명하고 있습니다. 그렇다면 개정 「개인정보 보호법」이 위조·변조·훼손을 포함하는 ‘유출등’ 개념을 확장하고 유출 가능성 단계에서도 통지 의무를 인정한 것은 이러한 국제적 규범 흐름과도 일정 부분 정합성을 가지고 있다고 보입니다.

4. 라. 반복적·중대한 개인정보 침해에 대한 과징금 강화
   1. 1) 징벌적 과징금 도입 (개정 법률 제64조의2 제2항)

      개정 「개인정보 보호법」은 반복적이거나 중대한 개인정보 침해에 대해 징벌적 과징금 제도를 도입하였습니다. 다음의 어느 하나에 해당하는 경우 개인정보보호위원회는 개인정보처리자에게 전체 매출액의 최대 10%까지 과징금을 부과할 수 있습니다(매출액 산정이 어려운 경우 50억원 범위 내에서 부과).

      1. (i) 고의 또는 중대한 과실로 3년 이내 동일한 위반행위를 반복한 경우
      2. (ii) 고의 또는 중대한 과실로 1천만 명 이상의 대규모 피해가 발생한 경우
      3. (iii) 시정명령을 따르지 않아 개인정보 유출 등이 발생한 경우
   2. 2) 과징금 감경 사유 (개정 법률 제64조의2 제6항)

      한편, 개인정보 보호 관련 인력, 예산, 설비 등에 대한 선제적 투자를 이행한 경우에는 과징금을 대통령령에 따라서 필수적으로 감경할 수 있도록 규정하여 기업의 예방적 보안 투자를 장려하고 있습니다.

   3. 3) 개정의 시사점

      이러한 개정은 기존에 없던 강력한 사후적 제재 수단과 함께 필수적 감경 사유를 함께 둠으로써, 반복적이거나 중대한 위반행위에 대해서는 징벌적 과징금이라는 채찍과 사전에 선제적 투자를 한 경우라면 과징금을 감경하는 당근을 함께 둠으로써 개인정보 보호에 대한 투자가 개인정보 유출 등 리스크에 대해서 실질적이고 경제적인 대비책이 되도록 규정하고 있습니다.