개인정보유출 과징금 비교 매출 10% 개인정보보호법 개정안 국회통과

최근 국회에서 개인정보를 유출한 기업에 더 강한 책임을 묻는 개인정보보호법 개정안이 통과되었습니다. 내용을 모두 담아 개인정보유출 과징금 비교 형식으로 이해하기 쉽게 정리해보았습니다.

1. 예전에는 어떻게 처벌했나요?
예전 법에서는 회사가 개인정보를 유출하면 관련 매출의 최대 3%까지 과징금을 부과할 수 있었습니다. 개인정보유출 과징금, 법을 어겼을 때 나라에 내는 큰 벌금입니다.
다만 유출 사건과 관계없는 매출은 계산에서 제외될 수 있었습니다.
또한 “유출이 발생했다는 사실을 알게 된 뒤”에만 피해자에게 알리면 되었기 때문에, 통지가 늦어지는 문제가 있었습니다.

2. 이번에 무엇이 달라졌나요?
① 더 큰 과징금(최대 10%)
2026년 2월 12일 국회 본회의에서 통과된 개정안에 따르면, 다음과 같은 경우에는 전체 매출액의 최대 10% 범위 내에서 과징금을 부과할 수 있게 되었습니다.
* 고의 또는 중대한 과실로 과징금 처분을 받은 뒤 3년이 지나기 전에 다시 법을 위반한 경우
* 고의 또는 중대한 과실로 위반행위를 하여 1천만 명 이상 대규모 피해가 발생한 경우
* 시정조치 명령을 따르지 않아 유출이 발생한 경우

기존의 개인정보유출 과징금 비교를 해보면 예전에는 과징금 상한(3%) 규정은 그대로 유지되지만, 피해 규모나 고의성, 반복 여부 등에 따라 과징금을 크게 올릴 수 있도록 한 조항이 새로 추가된 것입니다.
다만 회사가 평소에 예산, 인력, 설비, 장치 등을 충분히 투자하고 운영하는 등 개인정보 보호를 위해 노력한 경우에는 과징금을 줄여줄 수 있습니다. 그러나 고의 또는 중대한 과실로 인한 위반행위에는 감경이 적용되지 않습니다.

② 유출 가능성 통지제 도입
기존 법은 “유출 등이 되었음을 알았을 때” 통지하도록 되어 있었습니다. 그래서 회사가 정확히 확인할 때까지 통지를 미루는 문제가 있었습니다.
앞으로는 유출 가능성이 있는 단계에서도 정보주체에게 알려야 합니다. 즉, 개인정보유출 등의 문제가 생길 수 있다는 사실만으로도 미리 알려야 하는 것입니다.

③ 내부 관리 책임 강화
* 개인정보보호책임자(CPO)를 지정·변경·해제할 때 이사회 의결을 의무화하고, 이를 당국에 신고해야 합니다.
* 공공기관과 주요 민간 개인정보처리자는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 의무적으로 받아야 합니다. 즉, 회사 내부에서도 개인정보를 더 철저히 관리하도록 책임을 강화한 것입니다.

3. 언제부터 적용되나요?
이 법은 2026년 2월 12일 국회를 통과했습니다.
이후 국무회의 의결을 거쳐 공포되며, 공포된 날로부터 6개월 후부터 시행됩니다.
예를 들어 2026년 3월에 공포된다면, 2026년 9월부터 적용됩니다.

4. 기존 사건에도 적용되나요?
우리나라 법은 원칙적으로 소급적용을 하지 않습니다. 소급적용이란, 새로운 법을 과거 사건에 거꾸로 적용하는 것을 말합니다.
따라서 법 시행 전에 발생한 사건에는 예전 법이 적용될 가능성이 큽니다. 그 경우에는 기존 기준인 관련 매출의 최대 3% 범위 내에서 과징금이 부과됩니다. 기존 방식과 마찬가지로, 유출 사건과 관련 없는 매출은 산정 기준에서 제외될 수 있습니다.

5. 한눈에 비교
예전의 개인정보유출 과징금 비교해보면, 
기존에는
* 관련 매출의 최대 3%까지 과징금
* 유출 사실을 안 뒤에만 통지
* 내부 관리 의무가 상대적으로 약함

개정 후에는
* 특정한 중대한 경우 전체 매출의 최대 10%까지 과징금
* 유출 가능성 단계에서도 통지
* CPO 이사회 의결 및 신고 의무
* ISMS-P 인증 의무화

쉽게 말하면, 예전에는 “개인정보를 유출하면 벌금을 낸다”는 수준이었다면,이제는 “크게 잘못하면 회사 매출의 10%까지 낼 수 있다”로 훨씬 강해진 것입니다. 기업들이 개인정보를 더 철저히 지키도록 강하게 책임을 묻는 법이라고 할 수 있습니다.