개보법 개정안 통과, 실무자가 챙겨야 할 것들
개보법 개정안 통과, 실무자가 챙겨야 할 것들
2026년 2월 12일 국회 본회의를 통과한 개인정보보호법 개정안이 3월 10일 공포됐다. 시행일은 2026년 9월 11일, ISMS-P 의무화 조항만 2027년 7월 1일부터 적용된다.
바뀌는 게 많다. 전체를 다 다루기보다는, 실무에 직접 영향을 주는 핵심 5가지를 신구대조표와 함께 정리한다.
타임라인
- 2026.3.10 — 공포
- 2026.9.11 — 대부분 조항 시행 (과징금 10%, CPO 거버넌스, 유출통지 확대, 사업주 책임 등)
- 2027.7.1 — ISMS-P 의무 인증 시행 (제32조의2 제1항 단서)
1. 과징금: 3% → 최대 10%
기존에는 전체 매출액의 3% 상한이었다. 개정법은 특정 조건에서 10%까지 올라간다.
신구대조표 — 제64조의2 (과징금 부과)
| 구분 | 현행 | 개정 (2026.9.11 시행) |
|---|---|---|
| 기본 과징금 | 전체 매출액 3% 이하 (매출액 없으면 20억 이하) | 동일 |
| 가중 과징금 | 없음 | 전체 매출액 10% 이하 (매출액 없으면 50억 이하) — 신설 제2항 |
| 가중 요건 ① | — | 과징금 처분 후 3년 내 같은 호 위반 반복 (고의·중과실) |
| 가중 요건 ② | — | 고의·중과실 + 피해 규모 1천만명 이상 |
| 가중 요건 ③ | — | 시정조치 명령 미이행으로 유출등 발생 |
| 감경 사유 | 없음 | 예산·인력·설비·장치 등에 투자·운영한 경우 감경 — 신설 제6항 |
| 감경 제외 | — | 고의·중과실은 감경 불가 |
| "유출등" 정의 | 분실·도난·유출·위조·변조·훼손 (열거) | "유출등"으로 통일 (제23조 제2항에서 정의) |
감경 조항(제6항)이 신설된 게 눈에 들어온다. 개인정보 보호에 예산과 인력을 투자했다는 기록을 남겨두면 과징금 산정에서 유리해진다는 뜻인데, 컨설팅하면서 "왜 이걸 돈 들여서 해야 하냐"는 질문을 자주 받았던 입장에서는 이제 좀 설명이 쉬워지겠다 싶다. 물론 고의·중과실이면 감경이 안 되니까, 투자했다고 면책되는 건 아니다.
2. CPO(개인정보 보호책임자) 거버넌스 강화
개정 전에는 CPO를 '지정하면 끝'이었다. 개정법은 지정·변경·해제 과정에 이사회 의결과 개인정보위 신고를 요구한다.
신구대조표 — 제31조 (개인정보 보호책임자의 지정 등)
| 구분 | 현행 | 개정 (2026.9.11 시행) |
|---|---|---|
| 제1항 역할 정의 | "처리에 관한 업무를 총괄해서 책임질" | "처리 및 보호에 관한 업무를 총괄해서 담당할" |
| 이사회 의결 | 없음 | CPO 지정·변경·해제 시 이사회 의결 필요 — 신설 제3항 제1호 |
| 개인정보위 신고 | 없음 | CPO 지정·변경·해제 사항을 보호위원회에 신고 — 신설 제3항 제2호 |
| CPO 업무 | 7개 항목 (제3항) | 9개 항목 (제4항)으로 확대 |
| 신설 업무 ① | — | 보호에 필요한 전문 인력 관리 및 예산 확보 |
| 신설 업무 ② | — | 사업주·대표자 및 이사회에 대한 보호 현황·주요 사항 보고 |
| 독립성 보장 | 제6항 (불이익 금지, 독립적 수행 보장) | 제7항으로 이동, 내용 동일 |
| 과태료 (미지정) | 1천만원 이하 (제75조 제4항 제9호) | 3천만원 이하로 상향 (제75조 제2항 제14의2호) |
| 과태료 (이사회 미의결) | — | 3천만원 이하 — 신설 (제75조 제2항 제14의3호) |
| 과태료 (미신고) | — | 3천만원 이하 — 신설 (제75조 제2항 제14의4호) |
대상 기준은 시행령이 나와야 확정되지만, 이사회 의결과 개인정보위 신고라는 절차 자체는 이미 확정이다. 솔직히 이 부분이 현장에서 제일 혼란스러울 것 같다. CPO를 바꾸려면 이사회를 열어야 하는데, 그 프로세스가 지금 없는 기업이 대부분이니까. 미리 설계해두는 게 맞겠다.
3. 유출 통지 확대 — "가능성"도 통지
기존에는 유출이 확인된 후 통지했다. 개정법은 유출 가능성 단계에서도 정보주체에게 알려야 한다.
신구대조표 — 제34조 (개인정보 유출등의 통지·신고)
| 구분 | 현행 | 개정 (2026.9.11 시행) |
|---|---|---|
| 제목 | 개인정보 유출 등의 통지·신고 | 개인정보 유출등의 통지·신고 |
| 유출등 범위 | 분실·도난·유출 | 분실·도난·유출·위조·변조·훼손 포함 |
| 유출 가능성 통지 | 없음 | 유출등의 가능성이 있음을 알게 된 때 지체 없이 통지 — 신설 제2항 |
| 통지 항목 (제3호) | 피해 최소화 방법 등에 관한 정보 | 피해 최소화 방법 등에 관한 구체적인 정보 |
| 통지 항목 (신설) | — | 손해배상·법정손해배상 청구, 분쟁조정 등 법적 권리와 행사 방법 — 신설 제1항 제6호 |
| 피해 최소화 조치 | 대책 마련 + 필요한 조치 | 해당 개인정보의 회수·삭제 등 피해 확산 방지 조치 포함 — 제3항 강화 |
"유출 가능성"이라는 표현이 좀 애매하다. 어떤 수준의 가능성부터 통지해야 하는지가 핵심인데, 이건 시행령이 나와봐야 안다. 현장에서 제일 궁금해할 부분이 이거일 텐데, 아직 답이 없는 상태. 다만 유출 사고 때 정보주체에게 법적 권리를 안내해야 한다는 건 확정됐으니, 통지 템플릿은 지금부터 손봐야 한다.
4. ISMS-P 의무 인증 (2027.7.1 시행)
기존에는 ISMS-P가 임의 인증이었다. 개정법은 일정 기준 이상 개인정보처리자에게 의무 인증을 부과한다.
신구대조표 — 제32조의2 제1항 (개인정보 보호 인증)
| 구분 | 현행 | 개정 (2027.7.1 시행) |
|---|---|---|
| 인증 성격 | 임의 ("인증할 수 있다") | 임의 + 의무 ("인증을 받아야 한다" 단서 신설) |
| 의무 대상 | 없음 | 매출액, 개인정보 처리 규모 등 대통령령 기준 해당자 |
여기도 대상 기준이 시행령에 위임돼 있어서, 어디까지가 의무 대상인지는 아직 모른다. 현행 ISMS-P 의무 대상(정보통신망법 기반)과 어떻게 정합될지가 관건인데, 이게 어떻게 되느냐에 따라 컨설팅 시장이 꽤 달라질 거다.
5. 사업주·대표자의 책임 신설
완전히 새로 들어온 조항이다.
신구대조표 — 제30조의3 (사업주 또는 대표자의 책임)
| 구분 | 현행 | 개정 (2026.9.11 시행) |
|---|---|---|
| 조항 | 없음 | 신설 |
| 내용 | — | 사업주·대표자는 개인정보의 안전한 처리 및 정보주체 권리 보호의 최종 책임자로서, 전문 인력과 충분한 예산 지원 등 총괄적 관리 조치를 실효성 있게 해야 한다 |
"실효성 있게"라는 표현이 들어간 게 포인트다. 형식적으로 보안팀 만들어놓고 예산은 안 주는 식이면 안 통한다는 뜻이다. 과징금 감경 조항(제64조의2 제6항)과도 맞물리는 부분이라, 앞으로 "사업주가 예산을 실제로 배정했는가"가 심사에서 자주 나올 것 같다.
하위법령 주시 포인트
이번 개정에서 시행령에 위임된 사항이 많다. 조문은 확정됐지만 세부 기준은 아직이다.
- 과징금 10% 가중: 제64조의2 제2항의 "대통령령으로 정하는 경우" (매출액 없을 때 50억 상한 적용 기준)
- CPO 이사회 의결 대상: 제31조 제3항의 "대통령령으로 정하는 기준" (어떤 규모의 기업이 해당되는지)
- 유출 가능성 통지: 제34조 제2항의 "대통령령으로 정하는 유출등의 가능성" (어떤 수준부터 통지 의무가 발생하는지)
- ISMS-P 의무 인증 대상: 제32조의2 제1항 단서의 "대통령령으로 정하는 기준" (매출액·처리 규모 기준선)
- 과징금 감경 사유: 제64조의2 제6항의 "대통령령으로 정하는 사유" (어떤 투자가 감경 사유로 인정되는지)
시행령 입법예고가 나오면 별도로 다룰 예정이다.
출처
- 개인정보 보호법 법률 제20897호 (2025.4.1. 일부개정, 2025.10.2. 시행)
- 개인정보 보호법 개정안 — 2026.3.10 공포 조항 (법률 제XXXXX호, 시행 2026.9.11 / ISMS-P 의무화 2027.7.1)
- 법률신문 — 개보법 개정안 분석