반복적이거나 중대한 개인정보 보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과하는 '징벌적 과징금'이 도입된다. 동시에 기업의 자발적 보호 투자에는 인센티브를 부여하고, 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리하기로 했다.
12일 송경희 개인정보보호위원회 위원장은 정부서울청사에서 예방 중심 개인정보 관리체계 전환 계획' 브리핑을 열고 "개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다"며 이같이 밝혔다.
우선 반복적이거나 중대한 개인정보 보호법 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과한다. 과징금 산정 기준도 현행 '3년 평균 매출액'에서 '직전 연도 매출액'과 '3년 평균 매출액' 중 높은 금액을 적용한다. 또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다. 다만 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되 위반이 반복될 경우 엄정 대응할 방침이다.
기업이 형식적인 보호법 준수를 넘어 실질적인 개인정보 보호 수준 향상을 위한 투자 확대와 책임경영을 강화하도록 유도한다. 앞으로는 △법정 기준을 상회하는 선제적 보호조치 △적극적인 보안투자 △실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다.
개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 집중 관리한다. 또한 기업과 산업 전반의 개인정보 보호 경쟁력을 높이기 위해 클라우드 사업자, 전문수탁사, 시스템 공급사를 포함해 공급망 전반으로 점검을 확대한다. 개인정보위는 현재 상조 회사, 고객상담센터 등을 점검중이며, 조속히 마무리해 발견된 미비점은 시정을 권고할 예정이다.
지난해 약 3370만건의 회원 개인정보를 유출한 의혹을 받는 쿠팡에 대해선 이르면 다음달 제재 수위 등을 담은 조사 결과를 발표할 것으로 보인다.
송 위원장은 "쿠팡에 대한 조사를 마무리 했다"며 "조사 결과에 대해 사전통지를 보냈고 사업자로부터 의견을 제출받아 검토 중"이라고 밝혔다. 이어 "검토가 완료되면 개보위 전체회의에서 의결할 것"이라며 "이 단계가 빠르게 진행되고 있다"고 덧붙였다. 소액결제 피해 사고가 발생한 KT의 경우에도 "조사를 마무리하고 역시 사전 통지를 했다"며 "이미 조사가 마무리 됐기 때문에 그렇게 오래 걸릴 것이라고 생각하지 않고 책임에 상응하는 적절한 처벌을 내리기 위해 노력하겠다"고 했다.
다만 쿠팡 건에 대해선 강화된 과징금 기준을 적용하지 않을 방침이다. 송 위원장은 "철저하게 법 원칙에 따라 이뤄질 것"이라며 "징벌적 과징금은 9월, 매출액 기준 변경은 5월이기 때문에 이 이후에 일어난 사건부터 적용된다"고 밝혔다.
최근 앤트로픽 '미토스' 사례 등 AI 기반 해킹 위협과 관련해서는 "앞으로 공격뿐 아니라 방어도 AI가 하는 속도로 가게 될 것"이라며 "사람 중심 관리 체계에서 AI 에이전트 기반 탐지·대응 체계로 빠르게 전환해야 한다"고 말했다.