개인정보보호위원회(개인정보위)가 ‘예방 중심 개인정보 관리체계 전환계획’을 경제장관회의에서 발표했다. 침해·유출이 발생한 뒤 제재하는 기존 방식에서 벗어나, 위험을 미리 식별하고 차단하는 구조로 바꾸겠다는 것이다.
고·중·저 위험군 분류, 맞춤형 점검
핵심은 차등적 위험관리다. 개인정보를 처리하는 분야를 위험 수준에 따라 세 단계로 나누고, 고위험군에는 집중 점검을 실시한다.
하반기 중점 점검 대상으로 지목된 분야는 다음과 같다.
- 플랫폼 (대규모 이용자 데이터 보유)
- 금융기관 (민감 금융 정보)
- 공공기관 (행정 데이터 집중)
- 에듀테크 (미성년자 정보 다수 포함)
- 요양병원 (의료·건강 민감 정보)
기획 단계부터 개인정보 보호를 기본값으로
PbD(Privacy by Design) 원칙을 법·제도로 명문화하는 것도 이번 계획의 축이다. 서비스나 시스템을 만들 때 개인정보 보호를 나중에 덧붙이는 게 아니라, 설계 초기부터 기본값으로 반영하도록 의무화한다.
실무적으로는 SaaS·클라우드 등 공급망 전반에 대한 관리도 강화한다. 수탁사가 개인정보를 제대로 관리하는지 확인하는 책임을 위탁사에 더 명확히 묻겠다는 방향이다.
9월부터 CPO 신고제 도입
9월부터는 개인정보보호책임자(CPO) 지정 신고제가 시행된다. 일정 규모 이상 사업자는 CPO를 지정하고 이를 당국에 신고해야 한다. CPO 제도가 형식적 요식 행위에 그치지 않도록 실질적 책임 구조를 만들겠다는 취지다.
잘 하면 과징금 감경
처벌 일변도에서 벗어나 인센티브 구조도 함께 도입한다. 법정 기준을 넘는 추가 보호 조치를 적용한 사업자에게는 과징금 감경 혜택을 준다. 자발적 보호 노력을 유도하기 위한 장치다.
“관계부처와 협력하여 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하겠다”
— 송경희 개인정보위 위원장
무엇이 달라지나
기존 체계는 침해 사고가 터진 뒤 조사·제재하는 구조였다. 이번 전환의 핵심은 사고 전 예방이다. 위험을 등급화해서 자원을 집중하고, 설계 단계부터 보호를 내재화하며, 잘 하는 기업에 보상까지 주는 구조는 규제 방식 자체의 패러다임 전환에 가깝다.
AI 시대에 개인정보 처리 규모와 복잡도가 급격히 커지는 상황에서, 사후 대응만으로는 한계가 있다는 현실 인식이 반영된 것으로 보인다.