개인정보 대규모 유출 반복땐… 매출 최대 10% 징벌적 과징금

개보위 “사전 예방체계도 강화”

송경희 개인정보보호위원장이 12일 오후 서울 종로구 정부서울청사에서 예방중심 개인정보 관리체계 전환계획을 발표하고 있다. 2026.05.12. [서울=뉴시스]

대규모 개인정보 유출 사고를 반복하는 기업에 앞으로 매출액의 최대 10%에 달하는 ‘징벌적 과징금’이 부과된다. 개인정보보호위원회(개인정보위)는 12일 국무회의에서 이 같은 내용을 담은 ‘예방 중심 개인정보 관리체계 전환 계획’을 보고했다고 밝혔다. 과징금 법령은 9월 11일부터 본격 시행된다.

개인정보위는 고의·중과실로 3년 내 반복 사고를 내거나 1000만 명 이상의 대규모 피해를 발생시킨 기업에 대해 전체 매출액의 최대 10%까지 과징금을 물릴 방침이다. 현재 상한선인 3%보다 3배 이상 강화된 수치다. 특히 과징금 산정의 기준이 되는 매출액을 ‘직전 연도’와 ‘최근 3년 평균’ 중 더 큰 금액으로 적용하도록 해 처벌의 실효성을 극대화했다.

개인정보위는 올 하반기부터 100만 명 이상의 개인정보를 다루는 1700개 고위험 시스템을 대상으로 정기 점검에도 착수한다. 기업의 자발적인 보안 투자를 유도하기 위해 법정 기준보다 높은 수준의 보안 시설을 갖추거나 선제적으로 대응한 기업은 사고가 나더라도 과징금을 깎아주는 인센티브를 받도록 할 계획이다.

피해 구제 문턱도 낮춘다. 유출 사고 발생 시 기업의 손해배상 책임을 원칙화하고 입증 책임 상당 부분을 기업이 부담하도록 제도가 개선될 방침이다. 송경희 개인정보위 위원장은 “앞으로는 사후 책임뿐 아니라 사전 예방 체계가 제대로 작동할 수 있도록 해 국민이 신뢰할 수 있는 개인정보 활용 환경을 만들겠다”고 밝혔다.