[서울=뉴시스] 신효령 기자 = 개인정보보호위원회가 개인정보 보호 체계를 사후 제재 중심에서 사전 예방으로 전환한다. 반복적이거나 중대한 법 위반 행위에 대해 매출액의 10%까지 부과하는 징벌적 과징금을 신설하고, 단체소송 요건에 손해배상을 포함해 피해 구제를 강화할 계획이다.

송경희 개인정보보호위원회 위원장은 12일 '2026년 개인정보보호위원회업무보고' 사후브리핑에서 이같이 밝혔다. 개인정보위는 이날 이재명 대통령에게 보고한 '2026년 업무 추진계획'을 통해 ▲실효적 제재 및 보호투자 촉진 ▲공공·민간의 선제적 예방·점검 ▲신뢰 기반의 AI(인공지능) 사회 구축 ▲국민 생활 속 프라이버시 보호 ▲글로벌 데이터 신뢰 네트워크 구축 등 5대 핵심 추진 방향을 제시했다.

송 위원장은 "AI와 클라우드의 급속한 확산으로 데이터가 국경을 넘나들며 활발히 생성·공유되는 환경에서, 기존의 개인정보 제도만으로는 복잡한 변화에 신속히 대응하는 데 한계가 있다"고 말했다. "서면 중심이 아닌 현장 중심으로, 사후 제재가 아닌 사전 예방으로 패러다임을 바꾸겠다"며 "수집 위주의 엄격한 규제에서 벗어나 리스크 기반의 유연한 데이터 활용을 지원하고, 국경 간 데이터 이동에 대응한 전략적 데이터 이전 체계를 구축하겠다"고 강조했다.

◆반복·중대한 위반엔 징벌적 과징금 특례…단체소송 '손해배상' 요건 추가 추진

우선 개인정보위는 반복·중대한 위반 행위에 대해 징벌적 과징금 특례를 신설해 강력한 억지력을 확보하고, 단체소송 요건에 '손해배상'을 추가해 유출 사고로 인한 국민 피해를 실질적으로 보상한다는 계획이다. 송 위원장은 "반복적이거나 중대한 법 위반 행위에 대해 매출액의 최대 10%까지 부과하는 징벌적 과징금을 신설해 강력한 억지력을 확보하고, 단체소송을 통해 손해배상이 가능하도록 제도를 개선하겠다"고 밝혔다.

또한 최근 개선 필요성이 제기되는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)과 관련해 예비심사를 도입하고, 현장 기술심사를 강화하며 중대·반복적 법 위반 시 원칙적으로 인증을 취소하는 등 사후 관리를 강화한다. 예비심사는 사고와 직결되는 핵심 항목 기준 미달시 심사를 중단하는 방식이다.

송 위원장은 "핵심 항목에 대한 예비심사를 도입하고 현장 기술심사를 내실화하는 등 심사 방식을 대폭 개편하겠다"며 "인증 이후 사후 관리 역시 강화하겠다"고 말했다. 이어 "리스크에 비례하는 책임 구조를 정립하고, 기업이 개인정보 보호에 적극 투자하도록 과징금 필수 감경 등 인센티브를 제도화하겠다"고 설명했다.

기업 규모 및 리스크에 비례하는 책임도 강화한다. 개인정보위는 과징금 필수 감경 등 인센티브를 제도화해 개인정보 분야 투자를 촉진하고, 대표자(CEO)에게 최종 개인정보 보호 책임자로서 관리 의무를 법제화한다. 아울러 대규모·민감정보를 처리하는 주요 기관의 CPO 지정 현황을 개인정보위에 신고하는 개인정보보호책임자(CPO) 지정 신고제도 도입할 계획이다.

◆유통·플랫폼 등 대규모·민감정보 분야 사전 실태점검…'기술분석센터' 구축

개인정보위는 고도화된 해킹 기술 등 새로운 위협에 대비해 유통·플랫폼 포함 대규모·민감 개인정보 처리 분야의 사전 실태점검을 추진하고, 사전적·상시적으로 개인정보 침해요인을 분석할 수 있는 '기술분석센터'를 구축한다. 공공 부문에서는 개인정보 보호 수준 평가 시 유출 사고 패널티를 확대하고, 주요 공공시스템의 취약점 점검 의무 등을 강화한다. 또한 개인정보 보호 투자 여력이 부족한 창업·중소·영세기업을 대상으로 선제적 모니터링과 개선 유도 등 안전조치 지원사업을 추진하고, 유출 사고 발생 시 신속한 기술적 지원과 함께 즉시 시정하는 경우 처분 부담도 경감한다는 방침이다.

개인정보위는 개인정보 보호 강화 기술(P.E.T) 연구개발(R&D)과 전문인력 양성도 추진한다. 특히 AI 생애주기를 고려한 개인정보 특화 기술 개발과 국제표준 선점을 통해 신뢰 기반의 AI 산업을 육성하고, 산업 현장의 개인정보 침해사고에 즉시 대응하면서 리스크 예방도 가능한 개인정보 특화 석박사급 인재를 배출할 계획이다. PET는 데이터 가명·익명 처리, 동형암호, 합성데이터, 분산컴퓨팅 등 개인정보를 보호하면서 데이터 활용을 가능하게 하는 기술을 의미한다.

◆AI 특례 도입·가명정보 활용 지원…마이데이터 전송서비스 6대 분야로 확대

개인정보위는 본격적인 AX(인공지능 전환) 시대에 맞춰 개인정보의 안전한 활용이 현실화될 수 있도록 AI 특례를 도입하고 개인정보 처리 근거도 확대하며, 안전하고 편리한 가명정보 활용을 적극 지원한다.

양질의 데이터를 보유했지만 가명처리 역량이 미흡한 공공기관을 대상으로 '가명처리 원스톱 지원체계'를 운영하고, 개인정보 이노베이션존 연계 허브 구축을 통해 데이터의 안전하고 막힘없는 흐름을 지원한다. 이노베이션존은 개인정보위가 직접 안전성을 검증·지정한 공간에서 연구자 등이 개인정보를 보다 유연하고 탄력적으로 활용할 수 있는 제도다.

에이전트 AI 등 고도화된 AI 확산에 따라 새로운 데이터 처리 가이드라인도 'AI 프라이버시 민·관 정책협의회' 중심으로 마련할 계획이다. 아울러 '공공 AX 혁신 지원 헬프데스크' 운영을 통해 사회적 난제 해결을 위한 AI 개발에 개인정보 침해 우려가 없도록 지원한다. 협의회는 학계·산업계·시민단체·법조계 등 AI 분야 전문가 30여 명으로 구성될 예정이다.

안전한 마이데이터 생태계 조성도 추진한다. 개인정보위는 국민이 마이데이터 전 과정을 원스톱으로 관리할 수 있는 '마이데이터 지원 플랫폼'을 본인 정보 통제권이 강화되는 방향으로 개선하고, 2025년 의료·통신 분야에 도입된 개인정보 제3자 전송 서비스를 2026년 에너지·교육·고용·문화여가 분야까지 확대할 예정이다.

◆IP카메라 보안인증 의무화 근거 법률 제정 추진…딥페이크 대응 권리 신설

개인정보위는 국민이 체감할 수 있는 일상의 개인정보 보호 체계도 강화한다는 계획이다. 먼저 주요 시설 내 보안인증 IP(인터넷 프로토콜) 카메라 사용 의무화와 영상관제시설 안전성 강화 등의 근거 법률(가칭 '영상정보처리기기의 설치 운영 등에 관한 법률') 제정을 추진한다. 로봇청소기, 키오스크 등 생활밀착형 스마트기기를 중심으로 PbD(Privacy by Design) 인증제도 확산한다. PbD는 개인정보 보호 요소를 고려해 제품을 설계해야 한다는 개념이다.

딥페이크 악용 범죄 등 신기술 합성콘텐츠에 관련해서는 국민(정보주체)의 권리를 신설하고, 범정부 협력체계에 적극 참여해 대응을 강화한다. 권리 신설 내용은 AI 합성콘텐츠에 대한 삭제 요구 및 사업자의 조치 의무, 인격적 가치 훼손 목적으로 개인정보 합성·훼손·변조 및 유통 금지 등이다.

개인정보처리자 대상 수준별·분야별 특화교육을 제공하고, 국민 실생활에서 개인정보 유출 피해를 방지할 수 있도록 계층별 맞춤형 교육도 확대한다. 특히 아동·청소년 보호 강화를 위해 '지우개 서비스(아동·청소년 시기 작성된 개인정보 삭제 지원 서비스)'를 확대 운영하고, 관련 사항의 법제화 등 제반 논의를 구체화한다.

또한 현 '침해신고센터' 기능을 침해상담 및 신고 기능으로 강화해 개인정보 보호 취약계층에 대한 보호 사각지대 해소에 나서고, 해킹 등 사건 발생 초기부터 국민이 적절하게 대응할 수 있도록 개인정보 유출 가능성을 신속하게 통지하는 제도도 도입한다.

개인정보 불법유통 대응도 강화한다. 개인정보위는 불법유통 처벌 및 정보수집·분석의 법적 근거를 마련하고, 관계부처 및 국제사회와 협력하는 대응체계를 구축한다. 아울러 '(가칭)개인정보 피해회복 지원 기금' 신설을 추진해 '개인정보 보호법' 위반에 따른 과징금 등이 국민 피해회복 지원에 활용될 수 있도록 하고, 사고를 낸 기업이 자발적으로 시정 방안을 제시하고 이를 의결로 확정해 신속한 피해회복을 도모하는 '피해회복형 동의의결 제도'도 도입할 계획이다.

◆SCC·BCR로 안전한 국외이전 지원…국외이전 영향평가·M&A 사전심사 도입

국경 간 데이터 이동 증가에 대응해 개인정보위는 표준계약서(SCC) 및 개인정보위 승인을 받은 구속력 있는 기업내부규정(BCR) 등을 통해 안전하고 원활한 국외이전을 지원한다. SCC는 국경 간 이전의 양 당사자에게 개인정보 보호 의무를 부과하고 정보주체 권리 행사를 보장하는 국제 계약 조항이며, BCR은 다국적 기업 내 국외이전을 위한 수단으로 기업 구성원에게 구속력 있는 내부 개인정보 보호 규정이다.

개인정보위는 민감도가 높은 대규모 개인정보 국외이전 시 기업 등이 위험성을 자체적으로 평가하도록 하는 '국외이전 영향 평가제'를 도입하고, 기업 인수합병 시에는 국외이전 사전심사제도 도입한다는 방침이다. 미국·영국·일본 등 데이터 상호 교류 필요성이 큰 국가를 중심으로 안전하고 원활한 이전 체계를 마련하는 동시에, 국가별 개인정보 보호 역량 강화를 지원하고 글로벌 규범 형성에도 적극 참여할 계획이다.

송 위원장은 "반복된 개인정보 유출 사고로 국민 불안이 어느 때보다 높다"며 "개인정보위원회는 유출 사고에 대한 엄정 대응과 재발 방지를 위한 구조적 개선을 통해 국민이 안심하고 체감할 수 있는 신뢰 기반의 AI 융합사회 실현에 최선을 다하겠다"고 말했다.



◎공감언론 뉴시스 snow@newsis.com