[이데일리 권하영 기자] 개인정보보호위원회(위원장 송경희)가 개인정보 유출 사고에 대해 징벌적 과징금과 손해배상 집단소송 등 강력한 제재 체계로 손질하겠다는 의지를 재확인했다. AI 특례와 가명정보 활용, 마이데이터 전송 확대, 국외 이전 관리까지 포괄해 사전 예방형 개인정보 보호 체계로의 전환을 본격화한다는 방침이다.

개인정보위는 12일 정부세종청사에서 이러한 내용의 2026년도 업무계획을 보고했다. 5대 추진방향은 △실효적 제재 및 보호투자 촉진 △공공·민간의 선제적 예방·점검 △신뢰 기반의 인공지능(AI) 사회 구축 △국민 생활 속 프라이버시 보호 △글로벌 데이터 신뢰 네트워크 구축으로 요약된다.

징벌적 과징금 신설…CEO 책임 명확히 규정

먼저 반복적이거나 중대한 법 위반 행위에 대해서는 징벌적 과징금 특례를 신설해 강력한 억지력을 확보하고, 단체소송 요건에 ‘손해배상’을 추가해 개인정보 유출 사고로 발생한 국민 피해가 실질적으로 보상될 수 있도록 제도를 보완한다.

정보보호 및 개인정보 보호 관리체계(ISMS-P) 인증 제도도 손질한다. 예비심사를 도입하고 현장 기술심사를 강화하는 한편, 중대하거나 반복적인 법 위반이 발생할 경우 원칙적으로 인증을 취소하는 등 사후 관리 기준을 대폭 강화한다.

기업 규모와 위험 수준에 비례해 책임을 강화하는 동시에, 개인정보 보호 분야에 대한 적극적인 투자를 유도하기 위해 과징금 필수 감경 등 인센티브도 제도화할 방침이다. 또한 대표자(CEO)를 최종 개인정보 보호 책임자로 명확히 규정해 관리 의무를 법제화하고, 대규모·민감 정보를 처리하는 주요 기관의 개인정보 보호책임자(CPO) 지정 현황을 개인정보위에 신고하도록 하는 ‘지정 신고제’도 도입할 예정이다.

아울러 개인정보보호법 위반으로 부과되는 과징금 등이 국민 피해 회복에 활용될 수 있도록 ‘(가칭)개인정보 피해회복 지원 기금’ 신설을 추진하고, 기업이 자발적으로 시정 방안을 제시해 신속한 피해 회복을 유도하는 ‘피해회복형 동의의결 제도’도 도입할 계획이다.

사전 예방 중심으로…기술분석센터 구축

사전 예방 중심의 관리 체계도 강화된다. 개인정보위는 유통·플랫폼을 포함해 대규모·민감 개인정보를 처리하는 분야를 중심으로 사전 실태점검을 추진하고, 상시적으로 개인정보 침해 요인을 분석할 수 있는 ‘기술분석센터’를 구축한다.

공공부문에 대해서는 개인정보 보호 수준 평가에서 유출 사고에 대한 패널티를 확대하고, 주요 공공시스템의 취약점 점검 의무를 강화하는 등 관리 기준을 한층 높인다.

개인정보 보호 투자 여력이 부족한 창업·중소·영세기업을 대상으로는 선제적 모니터링과 개선 유도를 포함한 안전조치 지원사업을 추진한다. 유출 사고가 발생하더라도 즉각적인 기술 지원과 신속한 시정을 이행할 경우 처분 부담을 경감하는 방안도 함께 마련한다.

AI 시대 정보 활용 확대…마이데이터 지원 플랫폼 개선

신뢰 기반의 AI 사회 구축을 위해서는 AI 특례 도입과 개인정보 처리 근거 확대, 가명정보의 안전하고 편리한 활용 지원이 핵심 과제로 제시됐다. 가명처리 역량이 부족한 공공기관을 대상으로 ‘가명처리 원스톱 지원체계’를 운영하고, ‘개인정보 이노베이션존’과 연계한 허브를 구축해 데이터가 안전하게 흐를 수 있는 환경을 조성한다.

AI 고도화에 따른 새로운 데이터 처리 기준도 마련된다. 개인정보위는 ‘AI 프라이버시 민·관 정책협의회’를 중심으로 관련 가이드라인을 마련하고, ‘공공 AX 혁신 지원 헬프데스크’를 통해 사회적 난제 해결을 위한 AI 개발 과정에서 개인정보 침해 우려를 최소화할 수 있도록 지원한다.

마이데이터 분야에서는 국민이 전 과정을 원스톱으로 관리할 수 있도록 ‘마이데이터 지원 플랫폼’을 개선해 본인 정보 통제권을 강화한다. 현재 의료·통신 분야에 도입된 개인정보 제3자 전송 서비스는 2026년 에너지, 교육, 고용, 문화·여가 분야까지 확대할 계획이다.

국민 프라이버시 보호…국경 간 데이터 이동 안전하게

국민 생활과 밀접한 영역의 프라이버시 보호도 강화된다. 주요 시설 내 보안인증 IP카메라 사용 의무화와 영상관제시설 안전성 강화를 위한 법률 제정을 추진하고, 로봇청소기와 키오스크 등 생활 밀착형 스마트기기를 중심으로 ‘프라이버시 바이 디자인(PbD)’ 인증제 확산에도 나선다.

딥페이크 악용 범죄 등 AI 기반 합성콘텐츠에 대응하기 위해 국민의 권리를 명확히 규정하고, 범정부 협력체계에도 적극 참여한다. AI 합성콘텐츠에 대한 삭제 요구권과 사업자의 조치 의무를 신설하고, 인격적 가치 훼손을 목적으로 한 개인정보 합성·훼손·변조·유통 행위를 금지하는 방안도 추진한다.

개인정보 불법 유통과 2차 피해를 막기 위한 대응도 강화된다. 불법 유통에 대한 처벌과 정보 수집·분석의 법적 근거를 마련하고, 관계 부처 및 국제사회와 협력하는 대응체계를 구축한다.

글로벌 데이터 신뢰 네트워크 구축을 위해서는 국경 간 데이터 이동 확대에 대응해 개인정보위가 마련한 표준계약서(SCC)와 승인된 구속력 있는 기업내부규정(BCR)을 통해 안전한 국외 이전을 지원한다. 대규모·민감 개인정보 국외 이전 시에는 기업이 위험성을 자체 평가하는 ‘국외 이전 영향 평가제’를 도입하고, 기업 인수합병 시에는 국외 이전 사전심사제도 적용한다.

송경희 개인정보보호위원장은 “개인정보와 데이터를 둘러싼 환경이 급변하면서 기존 사후 제재 중심 제도의 한계가 분명해졌다”며 “개인정보 보호 체계를 근본적으로 전환해 확실한 변화를 이끌고, 국민이 안심하고 신뢰할 수 있는 AI 융합사회를 구축하겠다”고 말했다.