- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 143. 개인정보보호법 CEO 책임 명확화 및 개인정보보호책임자(CPO) 역할 강화, CPO 신고 의무 (2026. 2. 12. 국회 본회의 통과)
이 주제의 전문가를
소개합니다.
143.개인정보보호법 CEO 책임 명확화 및 개인정보보호책임자(CPO) 역할 강화, CPO 신고 의무 (2026. 2. 12. 국회 본회의 통과)
개인정보보호법 CEO 책임 명확화 및 개인정보보호책임자(CPO) 역할 강화, CPO 신고 의무 (2026. 2. 12. 국회 본회의 통과)
쿠팡의 대규모 개인정보 유출 사건으로 인해서 개인정보 보호 강화 목소리가 높아졌고, 이에 개인정보보호위원회는 기업의 인적 보호체계 강화를 추진하였는데, 구체적으로 1) CEO의 책임 범위를 명확히 하였고, 2) CPO의 역할을 강화하였다. 개인정보 보호는 CEO와 CPO의 상호 견제와 협력의 산물이자 결국 사람이 하는 일이라는 점에서 기업 내 효율적이고 유기적인 보호체계, 상호 견제가 이루어질 수 있도록 연구를 많이 해야 할 것으로 보인다.
o 개정취지
최근 SK텔레콤, 롯데카드, 쿠팡 등 주요 통신사, 금융사, 플랫폼 사업자 등의 대규모 개인정보 유출사고가 연이어 발생하면서 국민 피해가 지속적으로 확대되고 있음. 그럼에도 일부 기업은 개인정보 보호를 비용으로만 인식하여 개인정보 보호 노력이 충분하지 않다는 지적이 제기되고 있음. 이에 따라 침해사고를 사전에 예방하고 기업의 책임성을 강화하기 위해 개인정보 보호 체계 및 행정제재의 실효성을 강화해야 한다는 요구가 커지고 있음.
이에 사업주 또는 대표자의 책임을 명확히 하며, 개인정보 보호책임자의 권한과 독립성을 강화함
o 개정내용
사업주 또는 대표자의 책임 명확화 및 개인정보 보호책임자의 역할 강화(개인정보보호법 제30조의3 신설 및 제31조) : 사업주 또는 대표자를 개인정보 처리 및 보호에 관한 최종 책임자로 명확히 규정하고, 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보 보호책임자 지정에 관한 사항을 신고하도록 의무화하고 개인정보 보호에 필요한 인력관리 및 예산확보 등 역할을 강화함.
o 신구조문 대비표
| 현 행 | 개 정 안 |
| <신 설> | 제30조의3(사업주 또는 대표자의 책임) 개인정보처리자의 사업주 또는 대표자는 개인정보의 안전한 처리 및 정보주체의 권리 보호에 관한 최종책임자로서 개인정보 보호 분야의 전문성을 갖춘 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 한다. |
| 제31조(개인정보 보호책임자의 지정 등) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. | 제31조(개인정보 보호책임자의 지정 등) ① --------------------- 처리 및 보호에 ------------- 담당할 -------------------------------------. -------------------------------------------------------------------------------------------------. |
| ② (생 략) | ② (현행과 같음) |
| <신 설> | ③ 매출액, 개인정보의 처리 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 다음 각 호의 사항을 준수하여야 한다. 1. 개인정보 보호책임자 임면시 이사회 의결 2. 보호위원회에 개인정보 보호책임자 지정에 관한 사항의 신고 |
| ③ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. | ④ -----------------------------------------. |
| 1. (생 략) | 1. (현행과 같음) |
| <신 설> | 2. 개인정보 보호에 필요한 인력 관리 및 예산 확보 |
| <신 설> | 3. 대표자 및 이사회에 대한 개인정보 보호 현황 및 주요 사항의 보고 |
| 2. ∼ 7. (생 략) | 4. ∼ 9. (현행 제2호부터 제7호까지와 같음) |
| ④ 개인정보 보호책임자는 제3항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. | ⑤ ------------------ 제4항 ------------------------------------------------------------------------------------------------------------------------. |
| ⑤ (생 략) | ⑥ (현행 제5항과 같음) |
| ⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. | ⑦ -------------------------------- 제4항 ----------------------------------------------------------------------------------------------------------------------------------------. |
| ⑦ (생 략) | ⑧ (현행 제7항과 같음) |
| ⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회의 활동에 필요한 지원을 할 수 있다. | ⑨ ---------- 제8항---------------------------------------------------------. |
| ⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다. | ⑩ ---------------------------------------- 제3항에 따른 신고의 방법 및 절차, 제4항에 따른 업무 및 제7항------------------------------------------------------. |
