앞으로 반복적이거나 중대한 개인정보 유출 사고를 일으킨 기업에는 전체 매출액의 최대 10%까지 과징금이 부과된다. 다만 개인정보 보호를 위해 예산·인력·설비 등에 지속적으로 투자한 기업에는 과징금을 최대 40%까지 감경한다.

개인정보보호위원회는 과징금 등 제재의 실효성 강화를 위한 '개인정보 보호법 시행령' 개정안을 마련해 2026년 6월 1일부터 7월 13일까지 입법예고한다고 1일 밝혔다.

이번 시행령 개정은 3월 공포된 개정 개인정보 보호법의 후속 조치로 과징금 부과 및 감경 등 세부 사항을 구체화하고 부과 과징금 결정 등 기타 사항을 정비하는 내용을 담고 있다.

개정 개인정보 보호법은 반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 내용과 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경해 사전적 예방투자를 유도하는 근거를 담았다.

시행령에 따르면 과징금은 위반행위의 중대성을 토대로 기준금액을 산정한 뒤 가중·감경 사유를 반영하고 개인정보 보호 투자 실적에 따른 감경(최대 40%) 등을 거쳐 최종 확정된다.

구체적으로 고의·중과실로 3년 내 위반행위 반복 및 1000만 명 이상 대규모 피해가 발생하는 등 법 제64조의2제2항 각호의 어느 하나에 해당하는 경우 위반행위의 중대성을 판단한 후 위반행위의 내용 및 정도, 경위 및 피해 규모 등을 종합 고려해 가중하는 방식으로 기준금액을 산정한다.

이후 가중·감경 등을 통해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 절차를 체계화했다.

아울러 개정 법률에서 예산·인력·설비·장치 등의 투자 및 운영 등 대통령령으로 정하는 사유가 있는 경우에는 과징금을 감경하도록 위임함에 따라 해당 사유를 구체화하고 과징금 감경의 상한(40%) 및 법률에 따른 감경 제외 대상을 명확히 했다.

감경 사유로는 △개인정보 보호를 위한 예산·인력·설비·장치 등의 투자 규모 및 지속성 △사업주 또는 대표자, 개인정보 보호책임자의 역할, 조직 및 인력 구성 등 개인정보 보호체계 운영 내용 및 수준 △개인정보 안전성 확보 조치 강화를 위한 추가 노력 등을 감안한다.

부과 과징금 결정 시 위반행위의 정도와 피해 규모를 고려해 비례성을 강화할 수 있는 요건 및 영세·중소기업의 경미한 위반행위 시정에 대한 과징금 면제 요건도 정비했다.

개인정보위는 개정안이 법 시행일에 맞춰 시행될 수 있도록 입법예고 기간 동안 이해관계자, 관계 부처 등의 의견을 수렴한 후 법제처 심사 등의 절차를 거쳐 신속하게 개정을 완료할 계획이다.

시행령 개정안은 개인정보위 누리집 내 공지사항 게시판에서 확인할 수 있다. 개정안에 대한 의견은 2026년 7월 13일까지 국민참여입법센터, 전자우편 및 일반우편 등으로 제출할 수 있다.

minju@news1.kr