고의·중과실에 따른 대규모 개인정보 유출 시 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 개인정보보호법 개정안이 국회 본회의를 통과했다.

기존 과징금 상한(3%)은 유지하되 일정 요건을 충족하는 경우에 한해 적용되는 '징벌적 과징금 특례'가 도입된 것이 특징으로, 개인정보 보호 정책 전반에서 개인정보위의 제재 실효성과 억지력이 강화될 전망이다.

18일 관가에 따르면 국회는 지난 12일 본회의에서 이 같은 내용을 담은 개인정보보호법 개정안을 의결했다.

법안은 국무회의 의결을 거쳐 공포 후 6개월이 지나면 적용된다.

개정안은 개인정보 처리자가 법 위반을 반복하거나 대규모 피해를 발생시키는 등 중대한 책임이 인정되는 경우 제재 실효성을 높이기 위해 '징벌적 과징금' 제도를 도입한 것이 핵심이다.

구체적으로 최근 3년간 고의 또는 중대한 과실에 따른 위반이 반복되거나 고의 또는 중대한 과실로 1천만명 이상 정보주체에게 대규모 피해를 초래한 경우, 시정명령을 이행하지 않아 개인정보 유출 등 추가 피해가 발생한 경우 징벌적 과징금 부과가 가능하다.

이밖에 이번 개정안으로 '유출 가능성 통지제'가 도입됐다.

현행법은 '유출 등이 됐음을 알았을 때' 통지하도록 규정해 통지가 지연되는 문제가 있었으나, 앞으로는 유출 가능성이 있는 단계에서도 정보주체에게 통지해야 한다.

또 개인정보보호책임자(CPO)의 지정·변경·해제 시 이사회 의결을 의무화하고 이를 당국에 신고하도록 하는 신고제가 도입된다.

공공·민간 주요 개인정보처리자에 대해 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무화하는 등 내부 관리 책임도 강화됐다.

이번 개정으로 개인정보 유출에 대한 제재 체계는 한층 강화됐다는 평가가 나온다.

기존 과징금 상한이 전체 매출액의 3%였던 것과 비교하면 징벌적 과징금 특례 도입으로 최고 제재 수준이 3배 이상 높아졌기 때문이다.

이에 따라 개인정보위의 정책·규제 위상이 강화될 전망이다.

산술적으로 매출 기준 최대 10%의 과징금이 부과될 경우 기업의 연간 영업이익을 웃도는 부담이 될 수 있다.

한국은행이 지난해 12월 발표한 '2025년 3분기 기업경영분석 결과'에 따르면 외부감사 대상 법인기업의 평균 영업이익률은 6.1%로 나타났다.

다만 기존 과징금 부과 방식과 마찬가지로 유출 사안과 관련 없는 매출은 산정 기준에서 제외될 수 있다.

한 정보기술(IT) 업계 관계자는 "과징금 상한을 매출액의 10%까지 상향할 경우 기업 경영에 과도한 부담으로 작용할 수 있다"며 "상황을 예의주시하고 있다"고 말했다.(연합뉴스)