개인정보보호법 위반 과징금 상한액 산정 기준을 위반행위 관련 매출액에서 전체 매출액으로 바꾼다. 산정기준인 매출액은 '위반행위와 관련 없는 매출액'을 제외하도록 해 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 한다. 개인정보보호법 위반 행위와 관련 없는 매출은 사업자가 직접 증명해야 한다. 중소ㆍ영세사업자 등은 부담능력을 감안해 과징금 납부기한을 2년 범위 내에서 연기하거나 분할해 납부할 수 있게 된다.
개인정보보호위원회는 5일 국무회의에서 이같은 내용을 포함한 개인정보보호법 시행령 개정안이 의결됐다고 밝혔다. 3월 14일 공포된 개인정보보호법과 후속 개정 시행령은 이달 15일부터 시행된다.
개정된 개인정보보호법에 따르면 정보주체인 국민의 개인정보를 더욱 엄격히 보호하기 위해 개인정보를 사적인 목적으로 이용하는 행위를 엄격히 금지한다. 위반 시 5년 이하의 징역 또는 5000만 원 이하의 벌금에 해당하는 형사처벌을 하도록 했다. 기존에는 법인이나 단체가 아닌 개인은 개인정보 처리자가 아닌 취급자에 해당해 개인정보보호법상 처벌 규정이 명확하지 않은 문제가 있었다.
예외 사항은 있다. 긴급 구조를 해야 하거나 코로나19 등 공공의 안전을 위해 필요한 경우에는 개인정보를 수집, 이용, 제공할 수 있다. 물론 이때도 개인정보 안전조치, 파기, 정보주체의 권리 보장 등 의무를 준수해야 한다.
형식적인 개인정보 수집 동의 절차도 개선됐다. 내년 9월 15일부터는 정보주체가 자신의 자유로운 의사에 따라 동의 여부를 선택할 수 있어야 한다. 개인정보처리자는 이 같은 사실을 구분해서 표시해야 한다. 동의를 받은 경우 외에도 계약 이행을 위해 필요한 경우에는 개인정보를 동의 없이 수집, 이용할 수 있도록 했다.
기존에는 개인정보 질서 위반행위에 대한 과태료 부과는 의무였으나 앞으로는 위반행위의 정도나 동기, 결과, 개인정보 처리자의 규모에 따라 면제까지 가능해진다. 소상공인이 법을 알지 못해 발생하는 과태료 규정은 삭제되는 대신, 개인정보 보호 시정조치 명령 이후 불이행하면 과태료를 부과하는 체제로 전환한다.
모든 개인정보처리자는 개인정보가 유출됐다는 사실을 알게 됐을 때 일부 조건에 해당한다면 72시간 이내에 개인정보 당국에 신고해야 한다. △유출된 개인정보 규모가 1000명 이상인 경우 △민감정보나 고유식별 정보가 유출된 경우 △해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우다. 기존에는 온라인 사업자는 24시간 이내에, 오프라인 사업자는 5일 이내에 신고해야 했으나 유럽연합(EU) 등 국제 기준에 맞춰 일원화했다. 정보주체에 대한 통지는 유출 규모와 무관하게 72시간 이내에 이행해야 한다.
고학수 개인정보위 위원장은 “이번 개인정보 보호법 개정은 2011년 제정 이후 정부 주도로 추진한 최초의 전면 개정으로, 그 동안의 정보주체인 국민의 권익 보호 강화 요구와 현장의 규제개선 목소리를 충실히 담았다”라며 “개정된 개인정보 보호법은 달라지는 내용이 많아 현장에서 꼼꼼하게 확인하고 조치해야 할 사항이 많은 점을 고려해 연말까지 현장 맞춤형 홍보와 계도 활동에 집중하여 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 지원해 나가겠다”라고 말했다.