개인정보보호 강화…CPO 지정·변경 시 이사회 의결 및 신고 의무화

김형석 기자

작성일 2026-06-03 07:03

개인정보보호위원회가 개인정보 유출 사고 예방 및 대응 강화를 골자로 하는 '개인정보 보호법 시행령' 일부개정령안을 마련하고 내달 13일까지 입법예고한다고 밝혔다. 이번 개정안은 개인정보 보호책임자(CPO)의 권한과 독립성을 강화하기 위해 일정 규모 이상의 개인정보처리자에 대해 CPO 지정·변경·해제 시 이사회 의결을 거치고 개인정보위에 신고하도록 의무화했다. 또한 공공 및 민간 분야에서 파급력이 큰 주요 개인정보처리자에 대해서는 개인정보 보호 인증(ISMS-P 인증)을 의무화하고, 개인정보 유출 가능성이 있는 단계부터 정보주체에게 즉시 통지하여 신속한 대응을 하도록 했다.

개정안에 따르면, CPO 지정·변경·해제 시 이사회 의결 및 개인정보위 신고 의무 대상 기준이 마련됐다. 이는 CPO의 독립성과 신분 보장을 강화하기 위한 조치로, 현행법상 전문 CPO 지정 의무 대상과 동일하게 규정됐다. 신고 의무 대상 개인정보처리자는 의무 발생일로부터 1개월 이내에 신고서를 제출해야 하며, 부득이한 사유 발생 시 1개월 연장이 가능하다.

개인정보보호 관리체계(ISMS-P) 인증 의무 대상 범위도 구체화됐다. 이에 따라 공공시스템운영기관 중 보호위원회가 고시하는 자, 이동통신사업자, 본인확인기관, 그리고 전년도 매출액 1조 원 이상, 정보통신서비스 부문 매출액 100억 원 이상이며 직전 3개월간 일일 평균 국내 정보주체 수가 3000만 명 이상인 사업자는 오는 2028년 12월 31일까지 ISMS-P 인증을 받아야 한다.

개인정보 유출 가능성 통지의 요건, 시기, 항목도 구체화됐다. 개인정보처리시스템에 대한 불법적 접근을 인지하거나 개인정보가 불법적으로 거래·유통되는 것을 알게 된 경우, 72시간 이내에 정보주체에게 통지해야 한다. 또한 개인정보의 분실, 도난, 유출뿐만 아니라 위조, 변조, 훼손의 경우에도 통지 및 신고 의무가 발생한다.

제재 실효성 확보를 위해 과태료 부과 기준도 정비됐다. 경미한 위반 행위에 대해서는 과태료를 면제하고 경고 조치하며, 향후 동일한 위반 행위 재발 시 과태료 가중 횟수에 반영하도록 했다. 위반 횟수별 과태료 부과 금액은 법제처 지침에 맞춰 정비됐다.

이번 시행령 개정안에 대한 의견은 내달 13일까지 국민참여입법센터, 개인정보위 전자우편 또는 일반우편 등을 통해 제출할 수 있다. 개정안 전문은 개인정보위 누리집에서 확인할 수 있다.

추천 0