개인정보보호법 개정 2026 — 과징금 10배 올랐는데 내가 받는 돈은 그대로입니다
2026년 2월 12일 국회 본회의를 통과하고 3월 10일 공포된 개인정보보호법 개정안, 기업 제재는 확 세졌는데 정작 피해 당사자가 받을 수 있는 돈은 그대로입니다. 게다가 오늘(2026.03.25) 단체소송 손해배상 도입 논의가 부처 이견으로 또 멈췄습니다.
이번 개정의 핵심, 딱 4가지입니다
2026년 3월 10일 공포된 개인정보보호법 개정안(법률 제21445호)은 한마디로 “기업 책임을 확 끌어올렸다”고 요약할 수 있습니다. SK텔레콤, 쿠팡, 롯데카드 등 대형 플랫폼에서 반복적으로 터진 대규모 유출 사고가 도화선이 됐습니다. (출처: 법무법인 청출 법률 브리핑, 2026.03.10)
개정안의 주요 변경은 ① 징벌적 과징금 도입(매출의 최대 10%), ② 유출 가능성 통지제 신설, ③ CEO·CPO 책임 명문화, ④ ISMS-P 인증 의무화(2027.07.01 시행) 이렇게 네 가지입니다. 각각 시행일이 다르기 때문에 기업과 일반인 모두 날짜를 따로 챙겨야 합니다.
| 시행일 | 핵심 내용 | 대상 |
|---|---|---|
| 2026.09.11 | 징벌적 과징금 (매출 10%), 유출 가능성 통지제, CEO·CPO 책임 | 개인정보처리자 전체 |
| 2027.07.01 | ISMS-P 인증 의무화 | 대통령령 기준 이상 사업자 |
(출처: 개인정보보호법 법률 제21445호, 부칙 제1조)
공포일인 2026.03.10부터 딱 6개월 뒤인 2026.09.11이 대부분의 규정 시행일입니다. 남은 준비 기간이 약 5개월 남짓이라는 뜻입니다.
과징금이 올라도 내 통장에 돈이 들어오지 않는 이유
이 부분이 이번 개정에서 가장 놓치기 쉬운 부분입니다. 과징금이 매출의 10%까지 올랐다는 소식을 듣고 “나도 더 많이 받겠다”라고 생각했다면, 아닙니다.
💡 과징금은 국가(개인정보보호위원회)에 귀속됩니다. 기업이 과징금을 내더라도 그 돈이 피해자 개인에게 직접 분배되지 않습니다. 피해 당사자가 실제로 받으려면 별도로 민사소송을 제기해야 합니다.
현행 개인정보보호법 제39조의2(법정손해배상)에 따르면, 개인정보처리자의 고의·과실로 유출이 발생한 경우 정보주체는 최대 300만 원 이하의 법정손해배상을 청구할 수 있습니다. 이 수치는 이번 개정안에서 건드리지 않았습니다. (출처: 개인정보보호법 제39조의2, 현행)
여기에 더해, 2026년 1월 14일 대법원이 중요한 판결을 내렸습니다. 약 40만 명 회원 정보가 유출된 사건에서 대법원은 “손해가 발생하지 않은 것이 분명한 경우에는 법정손해배상 책임도 없다”고 확정했습니다(대법원 2025.12.4. 선고 2023다311184 판결). 유출 사실만으로는 자동 배상이 아닙니다.
📌 공식 발표문과 실제 판결을 같이 놓고 보니 이런 차이가 생깁니다
기업: 과징금 매출의 3% → 10%로 3.3배 상향
개인: 법정손해배상 최대 300만 원 그대로
게다가 대법원 판결로 “암호화 조치 + 신속한 대응을 한 기업”은 배상 면책 가능성도 열렸습니다.
쉽게 계산해보면, 연 매출 1조 원 기업이 고의로 1,000만 명 이상 정보를 유출해 10% 과징금을 맞으면 1,000억 원입니다. 반면 피해자 한 명이 소송으로 받을 수 있는 최대 금액은 여전히 300만 원입니다. 국가 귀속 제재와 개인 피해 구제가 완전히 분리된 구조입니다.
유출 가능성만 알아도 바로 통지해야 합니다
이번 개정에서 실무적으로 기업 부담이 가장 크게 늘어나는 부분이 바로 통지 의무 강화입니다. 종전에는 “유출이 확인된 후” 통지하면 됐는데, 개정 후에는 유출 “가능성”을 인지한 순간부터 지체 없이 정보주체에게 알려야 합니다.
예를 들어, 보안 담당자가 랜섬웨어 이상 징후를 탐지했지만 아직 유출 여부를 확인 중인 단계라도 통지 의무가 발생할 수 있습니다. 구체적인 요건은 시행령에 위임되어 있어서, 2026년 9월 11일 시행 전에 시행령 개정 내용을 반드시 확인해야 합니다. (출처: 개인정보보호법 개정안 제34조 제2항, 법무법인 청출 분석, 2026.03.10)
통지 항목도 늘었습니다. 종전에는 유출 경위와 피해 최소화 방법만 알리면 됐는데, 이번 개정으로 ▲손해배상 청구 방법 ▲법정손해배상 청구 방법 ▲분쟁조정 신청 방법까지 통지 의무 항목에 추가됐습니다. 유출 통지 메일을 받는 즉시 어떻게 대응해야 하는지를 기업이 직접 안내해야 한다는 뜻입니다.
또한 이번 개정은 통지·신고 대상인 ‘유출등’의 개념도 확장했습니다. 기존의 ‘분실·도난·유출’에 더해 ‘위조·변조·훼손’도 포함됩니다. 랜섬웨어 공격으로 데이터가 암호화·훼손된 경우도 이제 정보주체 통지 및 개인정보위 신고 대상입니다.
CEO·CPO 책임 강화, 어느 회사부터 적용될까요
이번 개정안 제30조의3은 사업주 또는 대표자를 개인정보 보호의 최종 책임자로 법률에 명시했습니다. 종전에는 CPO(개인정보보호책임자)가 담당했지만, 이제는 대표이사가 법적으로 책임지는 구조입니다. (출처: 개인정보보호법 법률 제21445호 제30조의3)
추가로 매출액·개인정보 보유 규모가 일정 기준 이상인 사업자는 CPO를 지정하거나 변경·해제할 때 이사회 의결을 거쳐야 하고, 그 사실을 개인정보보호위원회에 신고해야 합니다. 이를 어기면 과태료가 부과됩니다(제75조 제2항 제14호의3·14호의4 신설). 어느 규모부터 해당하는지는 시행령에서 확정될 예정입니다.
중요한 점은 CPO의 역할이 달라졌다는 겁니다. 이번 개정으로 CPO는 단순한 법규 준수 담당자를 넘어, 개인정보 보호를 위한 전문 인력 확보와 예산 결정에 관여하고, 그 결과를 이사회에 직접 보고하는 역할을 맡게 됩니다. 조직 내 위상이 실질적으로 달라지는 변화입니다.
사전 투자하면 과징금 줄어드는 구조, 중소기업엔 이중 부담입니다
이번 개정에서 기업 입장에서 눈여겨봐야 할 조항이 하나 더 있습니다. 개인정보 보호를 위해 예산·인력·설비·장치에 미리 투자·운영한 기업에는 과징금을 필수 감경해주는 인센티브입니다(제64조의2 제6항 신설). 단, 고의·중대한 과실로 위반한 경우에는 감경 대상에서 제외됩니다.
💡 과징금 감경 구조를 뒤집어서 보면 이렇습니다
사전 투자를 하지 않은 기업 → 기본 3% 과징금에서도 감경 불가
사전 투자를 한 기업 → 과징금 감경 가능 (단, 고의·중과실 제외)
즉, 예산이 넉넉한 대기업은 투자로 리스크를 줄이지만, 예산이 부족한 중소기업은 투자도 못 하면서 감경 혜택도 못 받는 이중 부담이 생깁니다.
ISMS-P 인증 의무화(2027.07.01 시행)도 비슷한 문제가 있습니다. 인증 취득에는 심사 준비부터 최종 인증까지 짧게는 6개월, 길게는 1년 이상이 걸리고 비용도 상당합니다. 의무 대상 기준이 시행령으로 위임된 만큼, 어느 규모의 사업자가 포함될지 아직 확정되지 않았습니다. 준비 시간이 실질적으로 1년도 채 남지 않을 수 있습니다.
법무법인 청출의 분석에 따르면, 3년 이내 반복 위반으로 인한 10% 과징금의 기산점은 “과징금 부과처분을 받은 날”이고, 2026년 9월 11일 시행 이전에 받은 처분은 기산점에 포함되지 않습니다. 즉, 10% 과징금이 실제로 적용되려면 시행 후 위반 → 처분 → 3년 내 재위반 순서가 필요합니다. (출처: 법무법인 청출, 부칙 제3조 제1항 분석, 2026.03.10)
단체소송 손해배상 도입은 오늘 또 막혔습니다
이번 개정에서 시민단체와 소비자들이 가장 기대했던 부분은 단체소송을 통한 손해배상 청구권 도입이었습니다. 현행 개인정보보호법 제51조는 단체소송 대상을 ‘금지·중지 청구’로만 제한하고 있어서, 개인정보 유출 피해자가 단체로 배상을 받으려면 각자 개별 민사소송을 제기해야 합니다.
이 문제를 해결하기 위해 개인정보보호위원회는 단체소송 범위를 손해배상까지 확대하는 법 개정을 적극 추진했고, 송경희 개인정보위원장이 신년사에서 직접 공언하기도 했습니다. 그러나 2026년 2월 12일 국회를 통과한 개정안에서 이 내용은 빠졌습니다.
📌 개정법 시행 전에 이미 2차 개정 논의가 열려 있습니다
오늘(2026.03.25) 서울경제 보도에 따르면, 개인정보위가 추진하던 단체소송 손해배상 도입 논의가 법무부 반대로 보류됐습니다. 법무부는 소비자·개인정보를 아우르는 집단소송법을 별도로 추진하겠다는 입장이고, 개인정보위는 2차 법 개정에서 기업의 손해배상 책임 강화를 우선 추진하겠다고 밝혔습니다. (출처: 서울경제, 2026.03.25)
결론적으로 현재 상황은 이렇습니다. 기업에 대한 행정 제재는 크게 강화됐지만, 피해자 개인이 실질적 보상을 받는 경로는 여전히 ‘개별 민사소송’뿐입니다. 과징금은 오르고 책임 구조는 명확해졌지만, 내 통장에 들어오는 돈은 달라지지 않은 상태입니다.
Q&A 5가지
Q1. 개인정보보호법 개정 2026 주요 규정은 언제부터 시행되나요?
공포일(2026.03.10)로부터 6개월 후인 2026년 9월 11일부터 징벌적 과징금, 유출 가능성 통지제, CEO·CPO 책임 강화 등 핵심 규정이 시행됩니다. ISMS-P 인증 의무화는 2027년 7월 1일부터 별도 시행됩니다. (출처: 법률 제21445호 부칙 제1조)
Q2. 매출의 10% 과징금이 부과되면 그 돈이 피해자에게 나눠지나요?
아닙니다. 과징금은 국가(개인정보보호위원회)에 귀속됩니다. 피해 당사자가 보상을 받으려면 별도로 민사소송을 제기해야 하고, 현행 법정손해배상 상한은 여전히 개인당 최대 300만 원입니다.
Q3. 10% 과징금, 어떤 조건에서 적용되나요?
세 가지 요건 중 하나에 해당해야 합니다. ① 과징금 처분을 받은 후 3년 이내 같은 위반을 반복(고의 또는 중과실), ② 고의·중과실로 1,000만 명 이상 피해 발생, ③ 시정조치 명령을 이행하지 않아 유출이 발생한 경우입니다. 단, 기산점은 2026년 9월 11일 시행 후 최초 처분을 받은 날부터입니다.
Q4. 유출이 확정되지 않아도 통지해야 하나요?
2026년 9월 11일 이후부터는 유출 ‘가능성’을 인지한 단계에서도 지체 없이 통지 의무가 발생합니다. 다만 구체적인 기준(어느 수준의 가능성에서 통지 의무가 생기는지)은 시행령에서 확정됩니다. 시행령 개정 내용을 반드시 확인해야 합니다.
Q5. 대법원 판결로 개인정보 유출 소송에서 기업이 무조건 이기게 됐나요?
그렇지 않습니다. 대법원(2023다311184 판결)은 기업이 ▲유출 정보의 낮은 식별 가능성 ▲2차 피해 부재 ▲신속한 사후 조치를 입증해야만 면책이 가능하다고 했습니다. 단순히 “피해가 없다”고 주장하는 것만으로는 부족하고, 구체적인 근거를 기업이 직접 증명해야 합니다.
마치며
솔직히 말하면, 이번 개정안은 기업에 대한 채찍은 강해졌지만 피해자에게 돌아오는 당근은 그대로입니다. 과징금이 오르고 CEO 책임이 명문화된 것은 의미 있는 변화이지만, 정작 쿠팡이나 통신사 유출로 불안했던 사람들이 기대했던 “단체로 배상받는 길”은 여전히 열리지 않았습니다.
개인정보보호위원회는 2차 개정에서 기업의 손해배상 책임 강화를 추진하겠다고 했지만, 법무부 집단소송법 일정과 맞물려 언제 실현될지는 아직 불투명합니다. 유출 피해를 입었다면 개인정보보호위원회 공식 사이트에서 분쟁조정을 신청하는 것이 현재로선 가장 현실적인 방법입니다.
기업 담당자라면 2026년 9월 11일 시행 전 ▲CEO 개인정보 책임 체계 정비 ▲CPO 이사회 의결·신고 프로세스 마련 ▲유출 가능성 통지 기준 수립을 미리 챙기고, 시행령 확정을 기다리면서 병행 준비하는 것이 손해를 줄이는 현실적인 방법입니다.
📚 본 포스팅 참고 자료
-
개인정보보호법 법률 제21445호 원문 —
국가법령정보센터 (law.go.kr) -
법무법인 청출, 「2026년 3월 개인정보보호법 개정 완전 분석」, 2026.03.10 —
cheongchul.com -
법률신문, 「2026.02.12 국회 본회의 통과 개인정보보호법 개정안 주요 내용」, 2026.03.05 —
lawtimes.co.kr -
네플라(NEPLA), 「개인정보 유출과 법정손해배상: ‘무조건적 배상’은 없다」(대법원 2023다311184 판결 분석), 2026.01.22 —
nepla.ai -
서울경제, 「부처 엇박자에…단체소송에 ‘개인정보 손배’ 포함 논의 올스톱」, 2026.03.25 —
nate.com
⚠️ 면책 조항 — 본 포스팅은 2026년 3월 25일 기준으로 작성됐습니다. 개인정보보호법 시행령은 아직 개정 중이며, 구체적인 적용 기준은 시행 전 변경될 수 있습니다. 본 포스팅 작성 이후 서비스 정책·UI·기능이 변경될 수 있으며, 법률적 판단이 필요한 사항은 반드시 전문가와 상담하시기 바랍니다.
댓글 남기기