다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요
개인정보위, PbD 원칙 제도화…실효성있는 추가 보호조치하면 '과징금 감경'
[김선영 제작] 일러스트
(서울=연합뉴스) 차민지 기자 = 정부가 올 하반기부터 개인정보 처리 규모와 민감도 등에 따라 분야별 위험도를 고·중·저로 나눠 차등 관리에 나선다.
개인정보 유출 사고 이후 사후에 제재하는 방식에서 벗어나 위험요인을 사전에 관리하는 예방 중심 보호체계로 전환하기 위해서다.
개인정보보호위원회는 22일 경제장관회의에서 이런 내용을 담은 '예방 중심 개인정보 관리체계 전환계획'을 발표했다.
이는 지난 12일 국무회의에 보고한 계획의 후속 조치다.
개인정보위는 개인정보 처리 규모와 민감도, 산업별 특성 등을 고려해 개인정보 처리 분야를 고·중·저 위험군으로 구분하고 차등 점검·관리 체계를 도입한다.
고유식별정보·민감정보 등을 대규모로 처리하는 고위험군에 대해서는 점검 분야를 사전에 공개한 뒤 정기·수시 점검을 통해 내부통제 운영 실태를 중점적으로 살펴볼 방침이다.
올해는 플랫폼, 금융기관, 공공기관, 에듀테크, 요양병원 등을 중심으로 실태점검을 추진한다.
고위험군이 아닌 분야에 대해서는 개인정보 영향평가 실시와 개인정보 보호 중심 설계(PbD) 원칙 준수 등을 유도한다.
자율점검 도구와 컨설팅을 제공해 기본적인 보호 수준을 확보하도록 지원하고, 필요한 경우 관계부처와 개인정보위가 합동 점검도 실시할 계획이다.
개인정보위는 개인정보 처리 현황과 위험요인을 분석해 '기초 위험지도'를 마련하고 점검 대상 선정에 활용하기로 했다.
[개인정보위 제공. 재판매 및 DB 금지]
또 오는 9월 개인정보보호책임자(CPO) 지정 신고제가 도입되는 만큼 협회·단체와 협력해 최신 위협 정보를 공유하는 민관 조기경보 체계와 핫라인도 운영한다.
사물인터넷(IoT) 기기와 에이전트 AI 등 신기술 분야에 대한 선제 점검도 강화한다.
개인정보위는 현재 업종이나 처리 규모와 관계없이 일률적으로 적용되는 안전성 확보조치 기준은 위험 분석을 기반으로 처리자 스스로 안전조치 적용 여부와 적용 수준을 달리 할 수 있도록 중장기 개정방안을 마련할 계획이다.
아울러 개인정보 보호를 서비스 기획·설계·개발 단계부터 기본값으로 반영하는 개인정보 보호 중심 설계(PbD) 원칙 제도화도 추진한다.
개인정보위는 그동안 IP 카메라와 로봇청소기 등 일부 제품군을 대상으로 PbD 인증제를 운영해왔으나 적용 범위가 제한적이었다고 보고, 개인정보 보호법 개정과 함께 안내서 발간, 우수사례 발굴 등을 추진할 방침이다.
ISMS-P 인증(개인정보보호관리체계) 등 기존 평가·인증 기준에도 PbD 원칙을 반영한다.
기존 정보보호 공시 항목 중 보호활동 내용에 추가 보호조치 내역, CPO 내부통제 프로세스 등을 공개하도록 유도하고, 추가 보호조치의 실효성이 확인될 경우 과징금 감경 등 인센티브도 부여할 계획이다.
중소·영세 사업자의 경미한 법 위반은 기술지원 등을 통해 시정할 경우 처분을 경감하는 방안도 검토한다.
이와 함께 SaaS(서비스형 소프트웨어), 클라우드, 전문수탁자 등 공급망 전반에 대한 관리 강화와 개인정보 보호 강화기술(PET) 연구개발, 전문인력 양성도 추진한다.
아동·청소년과 취약계층 대상 교육을 확대하고 다크패턴 등 신뢰 저해 관행도 점검·개선할 방침이다.
송경희 개인정보위 위원장은 "관계부처와 협력해 중점 분야별 개인정보 처리 실태와 취약요인을 지속적으로 점검하고 위험에 비례한 예방 중 심 관리체계를 정착시켜 나가겠다"고 말했다.
chacha@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.