1. 들어가며

안녕하세요. 법무법인 청출 신준선 변호사입니다.

2026년 3월 10일, 정부는 「개인정보 보호법」 일부개정법률(법률 제21445호)을 공포하였습니다. 최근 주요 통신사·금융사·플랫폼 사업자에서 잇따른 대규모 개인정보 유출사고가 발생하자, 기존 제재 수준(전체 매출액의 3% 이하 과징금)만으로는 실효적 억지력 확보에 한계가 있다는 공감대 아래 추진된 개정입니다.

이번 개정의 핵심은 크게 네 가지입니다.

① 징벌적 과징금 도입

② 유출 가능성 통지제 신설

③ CEO·CPO 책임 강화

④ ISMS-P 인증 의무화

아래에서는 주요 신설·개정내용을 조문 번호와 함께 살펴보겠습니다.

2. 개정법 규정별 시행일 한눈에 보기

3. 각 신설∙개정규정 살펴보기

① 징벌적 과징금 도입 (제64조의2 제2항·제6항 신설)

기존 제64조의2 제1항은 위반행위로 인한 전체 매출액의 100분의 3 이하 과징금을 규정하였으나, 반복적·대규모 침해에 대한 실질적 억지력이 부족하다는 지적이 지속되었습니다.

신설 조항(제64조의2 제2항)은 다음 세 가지 요건 중 하나에 해당하면 전체 매출액의 100분의 10 이하의 과징금을 부과하도록 규정하고 있습니다(매출액이 없거나 산정 곤란한 경우 50억 원 이하).

▪ 제1호: 과징금 부과처분을 받은 날부터 3년 이내에 같은 호 위반행위를 반복한 경우 (각각 고의 또는 중대한 과실 요건 충족 시)

▪ 제2호: 고의 또는 중대한 과실로 위반행위를 하고 정보주체 피해 규모가 1천만 명 이상인 경우

▪ 제3호:  제64조 제1항에 따른 시정조치 명령에 따르지 아니하여 제1항 제9호(개인정보 유출 등)의 위반행위를 한 경우

또한 개인정보 보호를 위해 예산·인력·설비·장치 등을 투자·운영하는 등 대통령령으로 정하는 사유가 있는 경우에는 제1항 및 제2항에 따른 과징금을 필수 감경(다만, 고의 또는 중대한 과실로 위반행위를 한 경우는 제외)하도록 하여 기업의 사전적 예방투자를 유도하고 있습니다.

② 유출 가능성 통지제 도입 및 통지 범위 확대 (제34조 제1항·제2항 신설 등)

종전에는 개인정보의 '분실·도난·유출'을 통지 대상으로 규정하였으나, 개정으로 ' 위조·변조·훼손'도 '유출등'의 개념에 포함되어 통지·신고 대상이 됩니다. 이로써 랜섬웨어 등으로 인한 데이터 훼손·변조도 정보주체 통지 및 개인정보위 신고 의무가 발생합니다.

아울러 통지 사항에 ▲손해배상 청구, ▲법정손해배상 청구, ▲분쟁조정 신청 등 피해를 입은 정보주체의 법적 권리와 행사 방법(제34조 제1항 제6호 신설), ▲그 밖에 대통령령으로 정하는 사항(제7호 신설)이 추가되었습니다.

무엇보다, 개인정보가 유출등이 되었음을 확인하기 전이라도, 유출등의 가능성이 있음을 알게 된 때에는 지체 없이 해당 정보주체에게 피해를 최소화하기 위한 정보 등 대통령령으로 정하는 사항을 알려야 합니다.

구체적인 통지 의무 발생 요건(개인정보의 유형, 정보주체에 대한 영향, 유출등의 위험 정도 등)은 대통령령으로 위임되어 있으므로, 향후 시행령 개정을 주시할 필요가 있습니다.

③ CEO·CPO 책임 강화 (제30조의3 신설, 제31조 개정)

개인정보처리자의 사업주 또는 대표자는 개인정보의 안전한 처리 및 정보주체의 권리 보호에 대한 최종적인 책임자로서, 개인정보 보호에 필요한 전문 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 합니다. 동 조항은 종전에는 명시적 규정이 없었던 대표자의 개인정보 보호 최종 책임을 법률 수준에서 명확히 한 데 의의가 있습니다.

아울러 개인정보처리자는 매출액, 개인정보 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 다음 두 가지 의무를 이행하여야 합니다.

▪ 이사회 의결 의무(제31조 제3항 제1호): CPO를 지정하거나 변경·해제할 때에는 이사회(법인인 경우로 한정)의 의결을 거쳐야 합니다.

▪ 개인정보위 신고 의무(제31조 제3항 제2호): CPO 지정·변경·해제에 관한 사항을 대통령령으로 정하는 바에 따라 개인정보보호위원회에 신고하여야 합니다.

이사회 의결 없이 CPO를 지정·변경·해제하거나 신고를 이행하지 않은 자에게는 제75조 제2항 제14호의3·14호의4(신설)에 따라 과태료가 부과됩니다.

CPO의 업무 범위(제31조 제4항)에  개인정보 보호에 필요한 전문 인력의 관리 및 예산의 확보(제2호), 사업주 또는 대표자 및 이사회에 대한 개인정보 보호 현황 및 주요 사항의 보고(제3호)의무도 추가된바, CPO는 단순한 법규 준수 관리자를 넘어 인력·예산에 대한 실질적 권한과 이사회 보고 기능을 수행하게 되어, 조직 내 독립성과 위상이 강화됩니다.

④ ISMS-P 인증 의무화 (제32조의2 제1항 단서 신설) — 2027. 7. 1. 시행

종전 제32조의2 제1항은 개인정보처리자가 인증을 '받을 수 있다'는 임의 규정이었습니다. 개정으로 동항에 단서를 신설하여, 매출액·개인정보 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 인증을 '받아야 한다'는 의무 규정이 추가됩니다.

ISMS-P(개인정보 보호 관리체계) 인증은 기업·기관이 스스로 구축·운영 중인 정보보호 및 개인정보보호 관리체계가 적합한지를 인증하는 제도입니다. ISMS-P 인증 의무화 규정은 예산 확보 등에 소요되는 준비 기간을 감안하여 2027년 7월 1일부터 시행됩니다. 의무 인증을 받지 않은 자에게는 제75조 제2항 제15호(신설)에 따라 과태료가 부과됩니다. 의무화 대상의 구체적 기준은 시행령에서 확정됩니다.

4. 결론

이번 개정 「개인정보 보호법」은 기업·기관의 개인정보 보호 거버넌스 전반을 재편하는 광범위한 변화를 담고 있습니다. 특히 징벌적 과징금(최대 매출액의 10%)의 도입은 위반행위 억지력을 획기적으로 높이는 반면, 사전 예방적 투자에 대한 과징금 감경 인센티브도 함께 마련하여 투자 촉진 효과도 기대할 수 있습니다.

각 기업·기관은 시행일(2026. 9. 11.)까지 ▲CEO의 개인정보 보호 최종 책임 체계 정비, ▲CPO 이사회 의결·신고 절차 마련, ▲CPO의 인력·예산·이사회 보고 프로세스 구축, ▲유출 가능성 통지 대응 절차 수립을 완료하고, 2027년 7월 ISMS-P 의무화에 대비한 준비 계획도 병행하여 수립하여야 합니다.


법무법인 청출은 국내 5대 대형로펌, 검찰, 대기업 법무팀 출신의 변호사들로만 이루어져 있고, 한 명의 변호사가 아닌 사건과 관련된 분야의 전문 변호사들이 팀을 구성하여 대응합니다. 청출은 특정 쟁점만 해결하는 것을 넘어 사업 전반에 대한 종합 솔루션을 제공하여, 궁극적으로 고객이 원하는 바를 이루는 것에 초점을 맞추는 법률 컨설팅을 제공하고 있습니다. 목표 달성에 도움이 필요하시다면, 주저없이 청출에 문의주시기 바랍니다.