먼저, 반복적이거나 중대한 개인정보 보호법 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다. 과징금 산정 기준도 현행 ‘3년 평균 매출액’에서 ‘직전 연도 매출액’과 ‘3년 평균 매출액’ 중 높은 금액을 적용한다. 또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다.
다만, 영세기업의 경미한 보호법 위반은 재발 방지와 개선을 위한 시정 기회를 부여하되, 위반이 반복될 경우에
는 엄정 대응할 방침이다.
◇자발적 보호투자 확대 및 위험기반 관리체계 구축
체계 전환의 핵심은 개인정보 보호 조사의 강제력을 높이는 것이다. 개인정보위는 앞으로 시정명령 이후 이행 여부를 집중 점검하고, 조사에 비협조하거나 명령을 이행하지 않는 경우 이행강제금을 부과하는 제도 도입을 추진한다. 현재 조사 비협조 시 3000만원 이하 과태료에 그쳤던 제재 수단을 강화하는 셈이다. 증거보전명령 도입과 증거 은닉·폐기 행위에 대한 제재 강화, 신고포상금 제도 도입도 함께 추진된다.
개인정보위는 이미 이행점검을 통해 일정 효과를 확인했다고 설명했다. 지난해 하반기부터 올해까지 SK텔레콤, 국민건강보험공단 등 92개 기업·기관에 대한 시정명령 이행 여부를 점검한 결과 총 207개 항목이 개선됐다. 안전조치 강화, 내부통제 체계 정비, 수탁자 관리·감독 강화, 주민등록번호 수집 제한 등이 대표 사례다.
고위험 분야에 대한 정기 점검도 확대된다. 개인정보위는 100만명 이상 개인정보를 처리하는 공공기관·기업 약 1700개와 클라우드 사업자, 시스템 공급사 등을 대상으로 정기·수시 점검을 실시할 계획이다. 상조회사, 고객상담센터, 결혼정보업체, 에듀테크 등 개인정보 침해 우려가 큰 분야도 추가 점검 대상에 포함된다.
개인정보 처리 환경이 갈수록 복잡해짐에 따라 서비스가 출시된 이후에는 침해를 인지하거나 방지하기가 쉽지 않은 만큼, 시스템 설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD, Privacy by Design)의 필요성도 커지고 있다.
이에 개인정보위는 서비스 기획·설계 단계부터 PbD 원칙이 반영되도록 PbD 원칙을 제도화한다. 또한 개인정보 영향평가 기준과 ISMS-P 인증 기준에 개인정보 보호 중심설계 원칙을 반영할 계획이다. 또 공공부문의 전담 인력과 예산을 확충하고, 민관 협력을 통해 전반적인 보호 수준을 끌어올릴 계획이다. 개인정보 보호 전담인력의 처우 개선도 함께 추진한다.
◇개인정보보호 인력 양성 공공부문 개인정보 투자 확대
개인정보 보호 전문인력 양성 기반도 구축한다. 현장에서 실제 문제를 해결할 수 있는 전문인력을 양성하기 위해 대학원 과정을 권역별, 지역별로 확대해 나갈 방침이다. 정책 담당자, 개발자, 사고 대응 조직과 같이 대상별 직무를 분석해 맞춤형 실무 교육 프로그램도 새롭게 설계해 운영할 계획이다.
개인정보 유출로 인한 국민 피해를 보다 실질적으로 구제하기 위해, 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다.
또한 다크패턴처럼 이용자를 속이거나 오인하게 만들어 개인정보 수정, 동의 철회, 탈퇴를 어렵게 하는 행태를 집중 점검하고, 개인정보 침해신고센터도 전문상담과 컨설팅, 피해조치 지원 등 기능을 강화한다.
민감정보 유출 시에는 SNS 등에서의 불법 유통 여부를 모니터링하여 탐지·삭제하고, 수사기관과 협력해 개인정보 불법 유포자와 이용자를 끝까지 추적·처벌하는 등 엄정 대응할 방침이다.
송경희 개인정보위 위원장은 “모든 사고가 그렇듯이, 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”며, “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축하여 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다”고 말했다.
