개인정보위, 예방 중심 관리체계 본격화…“사후처벌 넘어 사전예방으로”

정부가 개인정보 유출 사고 대응의 무게중심을 사후 제재에서 사전 예방으로 전환한다. 인공지능(AI) 디지털 전환과 플랫폼 경제 확산으로 개인정보 활용이 전 분야에서 빠르게 늘어나는 가운데, 이번 계획을 기반으로 사회 전반의 개인정보 보호 수준을 높이고 대형화되는 유출사고에 실효적으로 대응한다는 방침이다.

개인정보보호위원회(개인정보위)는 '예방 중심 개인정보 관리체계 전환 계획'을 대통령 주재 국무회의에서 보고했다고 12일 밝혔다.

이번 계획은 실질적 위험 관리와 예방 투자 유도를 통해 '사고 전 예방·관리하고 사고 피해도 최소화'하는 체계로 전환하는 것이 핵심이다. 하반기부터 주요 공공시스템과 대규모 개인정보를 처리하는 약 1700개 고위험 시스템에 대해서는 정부가 직접 정기적인 점검을 실시하는 한편, 선제적인 개인정보 보호 투자를 한 기업.기관에 대해서는 합당한 인센티브가 부여된다.

주요 추진 내용은 △중대·반복 위반 제재 강화로 억지력 제고 △자발적 보호투자 확대 및 위험기반 관리체계 구축 △신속한 피해구제와 회복 지원 등이다.

먼저 반복적이거나 중대한 개인정보 보호법(이하 보호법) 위반행위에 대해서는 매출액의 최대 10%까지 과징금을 부과해 경제적 제재의 실효성을 높인다. 또한 신속한 조사와 처분을 위해 이행강제금을 부과하는 제도를 도입한다. 증거 은닉 행위는 제재를 강화하는 한편 신고포상금 제도도 도입할 계획이다.

기업이 형식적인 보호법 준수를 넘어 실질적인 개인정보 보호 수준 향상을 위한 투자 확대와 책임경영을 강화하도록 유도한다. 앞으로는 법정 기준을 상회하는 선제적 보호조치, 적극적인 보안투자, 실효적인 안전관리체계 운영 여부를 종합적으로 평가해 과징금 감경 등 인센티브를 부여할 예정이다.

개인정보위도 위험 수준에 따라 차등적으로 점검하는 위험기반 관리체계를 구축한다. 주요 공공시스템(387개)과 교육·복지 등 고위험 분야는 개인정보위가 직접 관리한다.

개인정보 처리 환경이 갈수록 복잡해짐에 따라 서비스가 출시된 이후에는 침해를 인지하거나 방지하기가 쉽지 않은 만큼, 시스템 설계 단계부터 개인정보 보호를 반영하는 개인정보 중심 설계(PbD)의 필요성도 커지고 있다. 이에 개인정보위는 서비스 기획·설계 단계부터 PbD 원칙이 반영되도록 PbD 원칙을 제도화한다.

개인정보위는 지난 2월 현황 조사를 통해 공공부문의 개인정보 보호 인력과 예산 부족을 확인한 바 있다. 개인정보보호 전담인력은 중앙정부 1.1명, 기초지방정부 0.3명 수준이다. 앞으로 개인정보 보호 전문인력 양성 기반도 구축한다. 현장에서 실제 문제를 해결할 수 있는 전문인력을 양성하기 위해 대학원 과정을 권역별, 지역별로 확대해 나갈 방침이다.

개인정보 유출로 인한 국민 피해를 보다 실질적으로 구제하기 위해, 유출 사고 시 기업·기관의 손해배상 책임을 원칙으로 하고, 전반적인 입증 책임을 기업이 지도록 해 법정 손해배상 제도를 활성화한다.

송경희 개인정보위 위원장은 “모든 사고가 그렇듯 개인정보도 한 번 유출되면 피해를 온전히 되돌리기 어렵고 회복에도 긴 시간이 걸린다”라며 “개인정보위는 앞으로 사후 책임에 더해 사전예방이 잘 작동할 수 있는 체계를 구축해 국민의 정보를 보다 안전하게 지키고 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들어가겠다”라고 말했다.

강성전 기자 castlekang@etnews.com