공공기관 대상 '처분결과 전면공표제' 실시

고학수 개인정보보호위원장이 지난 25일 서울 종로구 정부서울청사에서 열린 2025년 제14회 개인정보보호위원회 전체회의에서 발언하고 있다./사진제공=개인정보보호위원회

개인정보보호법 위반이 적발되는 공공기관은 제재처분을 처음 받더라도 결과가 공표된다. 개인정보 유출사고가 끊이지 않는 공공분야에 긴장감을 주기 위한 조처다.

개인정보보호위원회는 지난 25일 전체회의에서 이 같은 내용이 담긴 '개인정보보호법 위반에 대한 공표 및 공표명령 지침 일부개정안'을 의결했다고 26일 밝혔다. 시행시점은 다음달 1일이다.

기관·기업 등 개인정보처리자는 개인정보보호법 위반이 적발된 경우 과징금·과태료·형사고발 등 처분을 부과받는다. 이때 개인정보위는 처분의 내용을 개인정보위 웹사이트에 게시하거나 개인정보처리자가 자신의 웹사이트에 스스로 알리도록 강제하는 공표·공표명령을 덧붙일 수 있다.

개인정보위는 개정안 시행 이후 공공기관이 관련법을 위반해 받는 모든 처분결과를 개인정보위 웹사이트에 공표하기로 했다. 그간 개인정보위는 공공기관 사건에 대해 형사고발을 의결하거나 기관이 3년 이내 2차례 이상 과징금·과태료·시정조치를 받는 등 사안이 중대할 경우에만 공표를 결정했다.

공공기관 중 공공시스템(382개)을 운영하는 중앙행정기관과 산하기관에 대해선 더 엄격한 기준을 적용한다. 개인정보위는 이들 기관에는 의무적으로 공표명령을 부과, 기관 대표 웹사이트·사업장·신문 등에 공표지침상 최장기간인 10~12일 동안 처분결과를 게시하도록 조처할 방침이다. 기존엔 1000명 이상의 고유식별정보·민감정보가 유출되는 경우에만 공표명령을 부과했다.

개인정보위는 "국민의 개인정보를 대량으로 처리하는 공공기관에서 개인정보 유출사고가 지속되고 있다"며 "공공기관장과 개인정보 보호책임자가 보다 책임감을 갖고 개인정보 보호수준을 높이는 데 노력하도록 처분결과 전면공표제 등을 도입하게 됐다"고 밝혔다.

공공기관의 개인정보보호법 위반사실은 통상 개인정보 유출사고 직후 마주하는 사고조사와 평소 개인정보위가 실시하는 각종 점검, 기관 내부자의 제보로 적발된다. 처분 대상 조직의 영리·비영리성과 개인정보 보호업무 여력을 구분하는 법체계와 조사 실무관행 탓에 과거 공공기관은 민간기업에 비해 낮은 처분수위와 관대한 공표·공표명령 기준을 적용받았다.

지난해 9월 개인정보위가 국회에 제출한 자료에 따르면 공공기관의 개인정보 유출규모는 최근 3년간 499만4012명에 달했다. 유출규모에 비해 솜방망이 처벌이 잦다는 비판이 이어지자 정부는 지난 1~2년새 공공기관 단속을 대폭 강화했다.

개인정보 보호나 사이버 안전과 관련해 중대한 규정위반·사고가 발생하면 기관장 거취에 영향을 주는 경영평가에 불이익을 주겠다고 예고한 기획재정부가 대표적이다. 개인정보위 역시 지난해부터 '공공기관 개인정보 보호수준 평가' 결과를 경영평가에 반영하고 있다.

공공기관이 부과받는 과징금 역시 수억원대로 무거워지는 추세다. 개인정보위는 지난해 9월 사회복지협의회에 4억8300만원, 지난해 1월 법원행정처에 2억700만원을 부과하기로 의결했다.

한 개인정보위 관계자는 "2023년 개인정보보호법이 대폭 개정되면서 공공기관에 부과할 수 있는 과징금의 수위가 대폭 높아졌다"며 "민간기업과 달리 공적기능을 수행하는 공공기관을 강하게 제재하면 국민에게도 영향이 갈 수 있어 개인정보 보호 촉진방법을 항상 고민하고 있다"고 말했다.

성시호 기자 [email protected]

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.