2026. 2. 12. 국회 본회의를 통과한 개인정보보호법 개정안의 주요 내용


법무법인 대륙아주 김정은 변호사¹
법무법인 대륙아주 나희수 변호사



1. 들어가며

최근 대규모 개인정보 유출사고가 연이어 발생하면서 현행 개인정보보호법상 개인정보처리자의 개인정보 보호체계 및 행정제재 관련 규정의 실효성에 대한 비판이 제기되어 왔습니다. 이에 2026. 2. 12. CPO의 책임 명문화, 개인정보 보호 인증 의무화, 유출 가능성 통지 의무, 과징금 강화 등을 주요 내용으로 하는 개인정보보호법 개정안이 국회 본회의를 통과하였습니다.

이하에서는 이번 개인정보보호법 개정안의 주요 내용을 설명드리겠습니다.



2. 개인정보보호법 개정안의 주요 내용

가. 사업주 또는 대표자의 책임 명확화 및 개인정보 보호책임자(CPO)의 역할 강화(안 제30조의3 신설 및 제31조 개정)

개정안은 사업주 또는 대표자를 개인정보의 안전한 처리 및 정보주체의 권리 보호에 관한 최종 책임자로 명시하였습니다. 이에 따라 사업주 또는 대표자는 개인정보 보호에 필요한 전문 인력 확보, 충분한 예산 지원 등 총괄적인 관리 조치를 실효성 있게 이행하여야 할 법적 의무를 부담하게 됩니다(안 제30조의3).

아울러, 매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호책임자를 지정하거나 그 지정을 변경, 해제할 때 이사회 의결을 거쳐야 하며, 그 지정 등에 관한 사항을 보호위원회에 신고하여야 합니다(안 제31조 제3항). 또한 개인정보 보호책임자의 업무 범위에 전문 인력 관리 및 예산 확보, 사업주 또는 대표자 및 이사회에 대한 개인정보 보호 현황 보고가 추가되었습니다(안 제31조 제4항).


나. 개인정보 보호 인증 의무화(안 제32조의2)

개정안은 매출액, 개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 개인정보보호 인증(ISMS-P)을 의무화하였습니다(안 제32조의2 제1항). 


다. 유출 가능성 통지제 도입 및 통지 항목 확대(안 제34조)

개정안은 통지 대상인 ‘유출등’의 범위를 종전의 ‘분실·도난·유출’에 더하여 ‘위조·변조·훼손’을 포함하는 개념으로 확장하였습니다(안 23조 제2항, 제34조 제1항). 

또한 통지 항목에 손해배상 및 법정손해배상 청구, 분쟁조정 신청 등 정보주체의 법적 권리 및 그 행사 방법에 관한 정보 및 기타 대통령령으로 정하는 사항을 추가하여, 정보주체 보호를 보다 실질화하였습니다(안 제34조 제1항 제6호).

특히 중요한 변화는 유출등 ‘가능성’에 관한 통지 의무의 도입입니다. 개인정보처리자는 개인정보의 유형, 정보주체에게 미치는 영향 및 유출 위험 정도 등을 고려하여 대통령령으로 정하는 유출등의 가능성이 있음을 알게 된 경우, 지체 없이 해당 정보주체에게 피해 최소화를 위한 정보 등 대통령령으로 정하는 사항을 통지하여야 합니다(안 제34조 제2항). 


라. 반복적이거나 중대한 개인정보 침해에 대한 과징금 강화(안 제64조의2 제2항 신설 등)

현행법은 개인정보처리자에게 전체 매출액의 3% 범위 내에서 과징금을 부과할 수 있도록 정하고 있으나, 개정안은 (i) 고의 또는 중대한 과실로 3년 이내 같은 위반행위를 한 경우(각각 고의 또는 중대한 과실이 있는 경우에 한정), (ii) 고의 또는 중대한 과실로 위반행위를 하여 정보주체 피해 규모가 1천만 명 이상에 이른 경우, (iii) 시정조치 명령에 따르지 아니하여 개인정보 유출등이 발생한 경우, 전체 매출액의 10% 범위 내에서 과징금을 부과할 수 있도록 과징금을 강화하였습니다. 다만 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 50억 원을 초과하지 않는 범위에서 과징금을 부과할 수 있도록 하였습니다.
 
한편, 개인정보보호 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는, 고의 또는 중대한 과실로 위반 행위를 한 경우가 아닌 한 과징금을 필수적으로 감경하도록 하였습니다(안 제64조의2 제6항).



3. 시사점

개정안은 사업주, 대표자를 개인정보 보호의 최종 책임자로 명시하고, 일정 규모 이상의 개인정보처리자에 대해서는 개인정보 보호책임자(CPO) 지정 시 이사회 의결 및 보호위원회 신고 절차를 요구합니다. 따라서 사업자들은 개정안 시행 전에 이사회 보고, CPO의 권한 및 역할 범위 등 관리 체계를 전반적으로 점검·정비할 필요가 있습니다.

개정안은 징벌적 과징금을 도입하여 개인정보 유출 등 침해에 대한 제재 수준을 높이는 한편, 개인정보보호 예산, 인력, 설비, 장치 등의 투자 및 운영을 과징금 감경 사유로 추가하고 있습니다. 이러한 투자가 과징금 리스크를 줄이는 실질적 수단이기도 한 만큼, 사업자들은 개인정보보호 관련 투자를 선제적으로 이행하는 것이 바람직합니다.

한편, 현행법에 따르면 사업자들은 개인정보 유출등을 인지한 이후 통지 의무를 이행하면 충분하였으나, 개정안은 유출등의 가능성만을 인지한 단계에서도 지체 없이 정보주체에게 그 사실 및 피해 최소화를 위한 정보를 통지하도록 의무화하였습니다. 이는 개인정보처리자에게 침해 사고에 대한 선제적 대응을 요구하는 것으로, 기업들은 개인정보 유출등에 관한 상시 모니터링 체계를 구축하고 유출등 가능성의 통지 판단 기준을 마련하여야 할 것으로 보입니다.

개정 개인정보보호법은 공포된 후 6개월이 경과한 날부터 시행되며, 개인정보보호 인증 의무화에 관한 규정은 2027. 7. 1.부터 시행됩니다(부칙 제1조). 사업자들은 각 제도의 시행 이전에 개인정보 보호체계를 점검하고 법령에 따른 이행사항을 미리 준비하는 것이 필요해 보입니다.


 

1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.