개인정보 유출 사전예방 강화를 위한 개인정보 보호법 시행령 개정안 입법예고

개인정보 유출 사전예방 강화를 위한 개인정보 보호법 시행령 개정안 입법예고

• 개인정보 보호책임자 이사회 의결·신고 및 ISMS-P 인증 의무대상 기준 마련
• 개인정보 유출 가능성 통지제 신설에 따른 요건·항목 구체화 등

개인정보보호위원회(위원장 송경희, 이하 '개인정보위')는 개인정보 유출사고에 대한 예방과 대응을 강화하고 국민의 권리를 보다 두텁게 보호하기 위한 ｢개인정보 보호법 시행령｣ 일부개정령안을 마련하여 6월 2일부터 7월 13일까지 입법예고한다고 밝혔다.

개정 ｢개인정보 보호법｣('26.3.10. 공포, 9.11. 시행)은 개인정보 보호책임자(이하 'CPO')의 권한과 독립성을 강화하기 위해 일정 규모 이상의 개인정보처리자에 대해서는 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보위에 신고하도록 하였으며, 공공·민간 분야에서 파급력이 큰 주요 개인정보처리자에 대해 개인정보 보호 인증(이하 'ISMS-P 인증')을 의무화하였고, 개인정보 유출 가능성 단계부터 정보주체에게 이를 지체없이 통지하여 신속 대응하도록 하였다. 이번 시행령 개정은 그 후속조치로서 추진되었다.

<① CPO 이사회 의결 및 개인정보위 신고 의무 대상>

첫째, CPO를 지정하거나 그 지정을 변경·해제하는 경우 이사회 의결을 거치고 개인정보위에 신고해야 하는 의무 대상이 되는 기준을 마련하였다. CPO의 독립성과 신분 보장을 강화하기 위해 이사회 의결, 신고 의무 대상을 현행법상 전문 CPO 지정 의무 대상*과 동일하게 규정하였다.

* ①연 매출액·수입이 1,800억원 이상이면서, 5만명 이상 민감·고유식별정보 또는 100만명 이상 개인정보처리자 ②재학생 수 2만명 이상인 대학 ③상급종합병원 ④공공시스템운영기관
또한, CPO 지정·변경·해제 시 신고 방법·절차를 구체화하여, 신고 의무 대상인 개인정보처리자는 의무가 발생한 날로부터 1개월 이내(부득이한 사유시 1개월 연장 가능) 신고서를 개인정보위에 제출하도록 하였다.

<② ISMS-P 인증 의무 대상>

둘째, ISMS-P 인증 의무 대상이 되는 범위를 구체화하였다. ① 공공시스템운영기관 중 보호위원회가 정하여 고시하는 자 ② 이동통신사업자 ③ 본인확인기관 ④ 전년도 매출액이 1조원 이상이고 정보통신서비스 부문 전년도 매출액이 100억원 이상이며 전년도 말 기준 직전 3개월 간 개인정보가 저장·관리되는 국내 정보주체 수가 일일평균 3천만명 이상인 자는 2028년 12월 31일까지 ISMS-P 인증을 받도록 하였다.

<③ 개인정보 유출 통지·신고 관련 개정>

셋째, 유출 가능성 통지의 요건·시기·항목을 구체화하였다. ① 개인정보처리시스템에 대한 불법적 접근을 알게되었거나 ② 개인정보가 불법적으로 거래·유통되고 있음을 알게된 때에는 이를 72시간 이내 정보주체에 통지하도록 하였다. 또한 개인정보 분실·도난·유출 뿐만 아니라 위조·변조·훼손의 경우에도 통지·신고하도록 하였다.

<④ 과태료 부과기준 정비>

넷째, 제재 실효성을 높이기 위해 과태료 부과기준을 개선·정비하였다. ① 경미한 위반행위에 대해 과태료를 면제하고 경고를 한 경우 향후 동일한 위반행위 재발 시 과태료 가중 횟수에 반영*되도록 하고, ② 위반 횟수별 과태료 부과금액을 법제처 지침에 맞추어 정비하였다.

* (예) 경고를 1회 위반 이력으로 산정하여, 동일 위반행위 재발 시 2회차 기준 적용

이번 시행령 개정안에 대하여 의견이 있는 기관·단체 또는 개인은 7월 13일까지 국민참여입법센터(http://opinion.lawmaking.go.kr), 개인정보위 전자우편(kjy260529@korea.kr) 및 일반우편 등으로 의견을 제출할 수 있다.

※ 개정안 전문(全文)은 개인정보위 홈페이지(www.pipc.go.kr) 공지사항에서 확인 가능

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

• 담당자 : 개인정보보호정책과 임종철, 김지영(02-2100-3055, 3057)