앞으로 온·오프라인 사업자와 공공기관 등 국내 모든 개인정보 처리자는 개인정보 유출 사고 파악 시 3일 내 관리 당국에 신고해야 한다. 온·오프라인 사업자와 공공기관에 따라 다르게 적용했던 개인정보 유출 등 사고 후 신고·통지 관련 법령이 일원화되면서다.
개인정보보호위원회(이하 개인정보위)는 개인정보 보호법 시행령 개정안이 5일 국무회의에서 의결됨에 따라 개인정보 보호법과 후속 개정 시행령이 이달 15일부터 시행된다고 밝혔다.
이에 따르면 국내 모든 개인정보 처리자는 유출된 개인정보가 △1000명 이상 △민감정보 또는 고유식별 정보 △해킹 등 외부로부터 불법적인 접근에 의한 유출 등에 해당하는 경우 72시간 이내 개인정보위 또는 한국인터넷진흥원(KISA)에 신고해야 한다.
온라인 사업자 대상 규제는 완화되고, 오프라인 사업자와 공공기관 대상 규제는 강화된 것이다. 개정 전 포털·OTT·인터넷쇼핑몰 업체 같은 온라인 사업자는 개인정보 유출을 24시간 내에 신고하고, 오프라인 사업자나 공공기관은 개인정보 유출을 5일 내에 신고해야 했다.
또한, 개정된 시행령은 개인정보 유출 규모와 관계 없이 72시간 내 정보주체에 유출 사실을 알려야 한다고 명시했다. 다만 정보주체의 연락처를 알 수 없는 등 정당한 사유가 있다면 자체 인터넷 홈페이지에 30일 이상 관련 사고 내용을 공지하도록 했다.
신고 의무 시한 72시간은 글로벌 동향을 반영한 정책 방향이다. 유럽연합(EU)과 영국, 싱가포르 등 해외 국가에서도 개인정보 유출 시 72시간 내에 신고 의무를 지운다. 김직동 개인정보위 개인정보보호정책과장은 지난 4일 개인정보 보호법 시행 관련 기자 대상 설명회에서 "글로벌 정책 동향을 고려하고 국내외 전문가 의견을 반영해 시행령을 개정했다"고 말했다.
이와 함께 앞으로는 기업의 전체 매출액을 기준으로 과징금을 산정하게 된다. 개인정보 유출 등으로 인한 과징금 상한액을 기존 '위반 행위와 관련된 매출액'에서 '전체 매출액'으로 상향 조정했다.
해당 과징금 규정 적용 대상은 공공기관을 포함한 모든 개인정보 처리자와 개인정보 처리 업무를 위탁받은 수탁자까지 확대됐다. 개인정보위는 중소·영세사업자 등에 한해 과징금 납부 기한을 2년 범위 내에서 연기하고 분할 납부하는 등 근거도 마련해 기업 부담을 줄이기로 했다.
개인정보위가 구글과 메타·인스타그램 등 해외 빅테크 업체 상대로 진행 중인 소송 건에는 영향이 없을 전망이다. 구글과 메타는 과거 과도한 행태정보 수집 등을 이유로 지난해 과징금 1000억원을 부과한 개인정보위에 불복해 행정소송을 제기한 상황이다. 개인정보위 측은 "현재 진행 중이거나 법 시행 이후에 발생한 위반 행위에 대해 개정 법령을 따르도록 법 상에 명확히 했다"고 부연했다.
이번에 바뀐 시행령에는 드론·자율주행차 등 이동형 영상정보 처리 기기의 정보 수집·이용에 대한 규정도 담겼다. 이에 따르면 이동형 영상정보 처리 기기가 업무 목적으로 영상 정보를 촬영하는 경우 안내판, 소리 등을 통해 촬영 사실을 충분히 알린 경우에는 정보주체가 거부 의사를 표시하지 않는 한 촬영이 가능하다. 촬영 방법 특성상 촬영 사실을 표시했으나 정보주체가 쉽게 알기 어려운 경우에는 개인정보위가 구축한 웹사이트에 공지가 필수다.
개인정보위는 법 시행에 앞서 오는 13일 민간 분야, 오는 14일 공공 분야 대상으로 서울 양재 엘타워에서 개정 개인정보 보호법 관련 설명회를 개최한다. 이달 중으로 법 안내서 초안을 공개한 후 현장 실무진 등 의견 청취를 반영해 이달 말 안내서 최종본을 발간할 계획이다.
고학수 개인정보위 위원장은 "개정된 개인정보 보호법은 기존과 달라지는 내용이 많아 현장에서 꼼꼼하게 확인하고 조치해야 할 사항이 많은 점을 고려, 연말까지 현장 맞춤형 홍보와 계도 활동에 집중할 예정"이라며 "바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 지원해 나가겠다"고 말했다.