개인정보보호법 개정 — 과징금 상한과 유출 통지 의무

게시 · 최근 업데이트 2026.07.22 · 글 서식몰 편집팀 · 읽는 데 약 6분

개인정보보호법 개정 2026

개인정보보호법 개정안이 국회를 통과했습니다. 공포 후 6개월이 지난 때부터 시행되므로, 정확한 시행일은 공포 시점을 기준으로 계산해야 합니다. 이 글에서는 시행일을 단정하지 않고 개정 내용 자체를 정리합니다. 바뀌는 축은 크게 두 가지입니다. 하나는 과징금 산정 방식이고, 다른 하나는 유출 통지 시점입니다. 규모가 큰 기업만의 이야기처럼 들리지만, 회원 정보를 다루는 온라인 쇼핑몰이나 수강생 정보를 보관하는 학원, 예약 명단을 관리하는 소상공인에게도 점검할 지점이 생깁니다.

1. 과징금 산정 기준이 바뀝니다

기존에는 과징금을 매길 때 직전 3개 사업연도의 연평균 매출액을 기준으로 삼았습니다. 개정 내용에 따르면 직전 사업연도 매출액과 3년 평균 중 큰 금액을 기준으로 하게 됩니다. 매출이 최근 크게 늘어난 사업자라면 기준액 자체가 올라갈 수 있다는 뜻입니다.

구분기존개정
과징금 산정 기준직전 3개 사업연도 연평균 매출액직전 사업연도 매출액과 3년 평균 중 큰 금액
반복·중대 위반전체 매출액의 최대 10%까지 징벌적 과징금
감경재량 감경보호 투자·운영 등 사유가 있으면 필수적 감경
유출 통지유출 사실 확인 후 통지유출 '가능성'을 인지한 단계에서도 지체 없이 통지
개인정보보호 인증 의무화2027년 7월 1일 시행 예정

징벌적 과징금이 적용되는 세 가지 경우

전체 매출액의 최대 10%까지 과징금을 매길 수 있는 이른바 징벌적 과징금은 아무 위반에나 적용되는 것이 아닙니다. 개정 내용은 다음 세 가지를 제시합니다.

  1. 3년 이내에 동일한 위반을 반복한 경우
  2. 피해 규모가 1천만 명 이상인 경우
  3. 시정조치를 이행하지 않는 중에 유출이 발생한 경우

세 경우 모두 "한 번의 실수"보다는 "고쳐지지 않는 상태"에 초점이 맞춰져 있습니다. 반대로, 개인정보 보호를 위한 투자와 운영 등 사유가 있으면 필수적으로 감경하도록 하는 규정도 함께 들어 있습니다. 보호 조치를 갖추고 기록으로 남겨 두는 일이 실질적인 방어선이 되는 구조입니다.

2. 유출 통지, 확인 전에도 해야 합니다

실무에서 가장 체감이 큰 변화는 통지 시점입니다. 지금까지는 유출 사실을 확인한 뒤 통지하는 흐름이었습니다. 개정 내용에 따르면 유출 '가능성'만 인지한 단계에서도 지체 없이 통지해야 합니다. "정확히 확인될 때까지 기다렸다가 알리자"는 판단이 통하지 않게 됩니다.

이 변화에 대응하려면 사고가 터진 다음에 문안을 고민하는 대신, 미리 준비해 두어야 합니다. 최소한 다음 세 가지는 정해 두는 편이 좋습니다.

통지 의무는 '언제 알았는가'에서 시작합니다. 인지 시점을 기록해 두지 않으면 지체 여부를 설명할 수 없습니다.

3. 소상공인·쇼핑몰·학원이 지금 점검할 것

대규모 유출 사고와 무관해 보이는 작은 사업장에도 개인정보는 쌓입니다. 회원 가입 정보, 배송지, 수강생 연락처, 상담 기록, 결제 정보. 규모가 작을수록 오히려 "필요 없는 정보까지 다 받고, 지우지 않는" 문제가 흔합니다. 아래 다섯 가지를 순서대로 점검해 보세요.

① 수집 항목 최소화

목적에 필요한 최소한만 받는 것이 원칙입니다. 배송에 쓰지 않는 생년월일, 상담에 필요 없는 주민등록번호를 관행적으로 받고 있지 않은지 확인합니다. 받지 않은 정보는 유출될 수도 없습니다.

② 필수·선택 동의 분리

서비스 제공에 반드시 필요한 항목(필수)과 그렇지 않은 항목(선택)을 나누어 각각 동의를 받아야 합니다. 선택 항목에 동의하지 않았다는 이유로 서비스를 거부하면 문제가 됩니다. 마케팅 수신 동의는 특히 별도로 받아야 합니다. 개인정보 수집·이용 동의서 작성기마케팅 수신 동의서 작성기로 항목을 나눠 만들 수 있고, 실제 문안은 개인정보 동의서 작성 예시에서 확인할 수 있습니다.

③ 보유기간 명시와 파기

"회원 탈퇴 시까지" 같은 문구만 적어 두고 실제로는 지우지 않는 경우가 많습니다. 항목별 보유기간을 정하고, 기간이 지난 정보는 실제로 파기해야 합니다. 파기 사실을 남기는 대장이 있으면 점검에 대응하기 쉽습니다.

④ 위탁과 제3자 제공의 구분

이 둘을 헷갈리는 사업장이 많습니다. 위탁은 내 업무를 대신 처리하게 맡기는 것(배송사, 문자 발송 대행, 결제대행)이고, 제3자 제공은 다른 사업자가 자기 목적으로 쓰도록 넘기는 것입니다. 위탁은 처리방침에 수탁자를 공개하는 방식이 원칙이고, 제3자 제공은 원칙적으로 별도 동의가 필요합니다. 구분을 잘못하면 동의 없이 정보를 넘긴 것이 됩니다.

⑤ 사진·영상은 초상권 동의도 함께

학원 수업 사진, 매장 이벤트 사진을 홍보에 쓰려면 개인정보 동의와 별개로 초상 사용에 대한 동의가 필요합니다. 초상권 사용 동의서 작성기를 활용하세요. 온라인 쇼핑몰 운영에 필요한 서식 묶음은 온라인 쇼핑몰 서식 모음에 정리해 두었습니다.

4. 인증 의무화는 2027년 7월

개인정보보호 인증을 의무화하는 규정은 2027년 7월 1일 시행 예정으로 알려져 있습니다. 적용 대상과 준비 기간이 별도로 안내될 예정이므로, 해당 여부가 궁금하다면 개인정보보호위원회 공지를 확인하는 것이 정확합니다. 지금 단계에서는 동의서 구조와 보유·파기 절차를 정리해 두는 것이 우선입니다.

자주 묻는 질문

개정 개인정보보호법의 과징금은 어떻게 달라지나요?

과징금 산정 기준이 기존 '직전 3개 사업연도 연평균 매출액'에서 '직전 사업연도 매출액과 3년 평균 중 큰 금액'으로 바뀝니다. 또한 반복·중대 위반에 대해서는 전체 매출액의 최대 10%까지 징벌적 과징금을 부과할 수 있는 근거가 마련됩니다. 개정안은 국회를 통과했고 공포 후 6개월이 지난 시점부터 시행되므로, 정확한 시행일은 공포 시점을 기준으로 확인해야 합니다.

징벌적 과징금은 어떤 경우에 적용되나요?

세 가지 경우가 제시되어 있습니다. 첫째 3년 이내에 동일한 위반을 반복한 경우, 둘째 피해 규모가 1천만 명 이상인 경우, 셋째 시정조치를 이행하지 않는 중에 유출이 발생한 경우입니다. 다만 개인정보 보호에 대한 투자와 운영 노력 등 사유가 있으면 필수적으로 감경하도록 하는 규정도 함께 두고 있습니다.

유출이 의심되기만 해도 통지해야 하나요?

개정 내용에 따르면 유출 사실이 확정되지 않고 '가능성'을 인지한 단계에서도 지체 없이 통지하도록 의무가 강화됩니다. 확인될 때까지 기다렸다가 알리는 관행이 어려워진다는 뜻입니다. 접수 경로와 통지 문안, 담당자를 미리 정해 두면 실제 상황에서 대응이 빨라집니다.

관련 글

바로 만들어보기

동의서는 개인정보 관리의 출발점입니다. 수집 항목, 이용 목적, 보유기간, 필수·선택 구분을 나눠 적어 두면 이후 점검이 훨씬 수월해집니다.

개인정보 동의서, 항목부터 정리하기

수집 항목·목적·보유기간·필수 여부를 채워 문서로 만들어 보세요.

🔒 개인정보 동의서 작성하기

※ 이 글은 2026년 7월 기준 정보이며 제도는 바뀔 수 있습니다. 최신 내용은 고용노동부·개인정보보호위원회·국세청 등 소관 부처 공지를 확인하세요. 본 글은 일반적인 정보 제공용이며 법적 자문이 아닙니다.

광고 영역 · Ad