고객 3370만명의 이름·주소·전화번호가 유출된 쿠팡 사태를 계기로 정부가 과징금 상한선을 매출액의 3%에서 10%로 높이기로 했다. 비영리단체가 대표로 소송을 제기하면 다수 피해자가 일괄 손해배상을 받을 수 있도록 단체소송 제도도 강화한다.
개인정보보호위원회는 12일 이재명 대통령에게 보고한 뒤 확정된 2026년도 업무계획을 언론 브리핑을 통해 공개했다.
올해는 SK텔레콤·KT·롯데카드 등에 이어 쿠팡에서도 대규모 정보가 유출된 ‘개인정보 수난의 해’였다. 개인정보위는 이에 따라 유사 사태 재발 방지를 위한 엄정 제재에 초점을 맞춰 새해 업무계획을 수립한 것으로 보인다.
첫 과제로 ‘징벌적 과징금’ 신설을 내세웠다. 반복적이고 중대한 개인정보보호법 위반에 대해서는 ‘징벌적 과징금’을 적용해 전체 매출액의 10%까지 과징금을 부과한다는 계획이다. 다만 중소기업의 부담을 고려해 일반적인 과징금 상한선(전체 매출액의 3%)은 기존대로 유지한다.
비영리 단체 등의 대표 소송으로 다수 피해자가 일괄 손해배상을 받을 수 있도록 관련 제도도 손질한다. 이를 위해 개인정보보호법상 ‘단체소송’ 범위에 ‘손해배상’을 추가하는 법 개정을 추진한다. 단체소송은 비영리단체가 소송 대표자로 나서 기업의 ‘권리 침해’ 중지를 요구하는 제도다. 정부는 여기에 손해배상을 추가함으로써 사실상 집단소송 도입에 준하는 효과를 기대하고 있다.
다만 징벌적 과징금이 신설돼도 쿠팡 사태에 적용할 수는 없고 강화된 단체소송 역시 법적 요건을 검토해야 할 것으로 보인다. 송경희 개인정보보호위원장은 이날 “(징벌적 과징금 신설을 위한) 법 개정은 국민적 공감대가 형성돼 있어 신속히 진행될 것으로 보고 있다”면서도 “다만 징벌적 과징금은 기존 사건에 소급 적용하기는 어렵고 단체소송은 구체적인 사안별로 적용 가능성을 따져봐야 한다”고 말했다.
정보보호 및 개인정보보호 관리체계(ISMS-P)인증의 실효성도 강화한다. 취약점 점검 등 예비심사를 도입하고 현장 기술심사를 강화한다. 또한 유출사고가 일어난 기업엔 특별점검을 실시해 중대한 결함이 발견될 경우 인증을 취소한다.
개인정보 보호 투자를 촉진하는 계획도 함께 수립됐다. 개인정보 보호에 거액을 투자한 기업은 향후 사고가 발생할 경우 과징금을 감경해주는 제도를 도입키로 했다. 단 중대한 안전조치 위반에는 적용되지 않는다.
또한 최고경영자(CEO)의 안전한 개인정보 처리·보호의 최종 책임자로서의 의무를 법제화하기로 했다. 대규모·민감 정보를 처리하는 기관에 대해서는 최고개인정보보호책임자(CPO) 지정신고제도 도입해 이들의 신분을 보장하고 예산 확보 권한을 부여하도록 하기로 했다.
아울러 그동안 평가기관을 통해서만 가능했던 개인정보 영향평가를 기업이 자체적으로 수행할 수 있도록 허용하기로 했다. 인공지능(AI) 시대의 개인정보 처리 환경 변화를 반영해 AI 시스템 학습·개발에 적용되는 개인정보 영향평가 기준도 추가로 마련한다.
![[현장에서] '데이터 고속도로' 진입 전 묻는다…"멈출 준비 됐나?"](https://img.newspim.com/news/2025/01/02/2501021828567610.jpg)
