개인정보·데이터

개인정보보호법 실무 가이드: 적용 범위부터 과징금까지 한눈에

2026-07-05 · 3분 읽기 · MeshLaw 뉴스룸

개인정보보호법은 개인정보의 수집·이용·제공 전 과정을 규율하는 우리나라의 일반법이다. 2020년 이른바 데이터 3법 개정을 거쳐 정보통신망법의 개인정보 조항이 흡수되었고, 2023년 전면 개정으로 온라인·오프라인 사업자에 대한 규율이 일원화되면서 사실상 모든 기업이 적용 대상이 되었다. 법무팀 입장에서는 개별 사업 특성에 관계없이 반드시 숙지해야 하는 규범이므로, 이 글에서는 적용 범위부터 과징금까지 실무 흐름을 따라 정리한다.

적용 범위와 핵심 개념

개인정보보호법이 말하는 개인정보란 살아 있는 개인에 관한 정보로서 성명·주민등록번호 등을 통해 개인을 알아볼 수 있는 정보, 또는 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다. 결합의 용이성은 시간·비용·기술을 합리적으로 고려하여 판단한다. 특정 개인을 알아볼 수 없도록 처리한 가명정보 역시 법의 규율 대상이지만, 통계작성·과학적 연구·공익적 기록보존 목적에서는 정보주체 동의 없이 처리할 수 있는 특례가 인정된다.

법의 수범자는 개인정보처리자, 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자다. 법인·단체·개인·공공기관을 가리지 않으며, 처리를 위탁한 위탁자도 원칙적으로 처리자에 해당한다. 반면 수탁자는 위탁자의 관리·감독 아래 처리하는 지위에 놓인다.

  • 개인정보: 식별 가능성이 핵심 기준
  • 민감정보: 사상·신념, 건강, 성생활, 유전정보, 범죄경력 등으로 별도 동의 필요
  • 고유식별정보: 주민등록번호·여권번호·운전면허번호·외국인등록번호
  • 주민등록번호: 법령상 근거가 있는 경우에만 처리 가능(동의만으로는 불가)

개인정보처리자의 의무

처리자는 처리 목적을 명확히 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다. 이 목적 구속과 최소수집 원칙은 개인정보 처리 전반을 관통하는 대원칙이다. 목적이 달성되었거나 보유기간이 경과한 개인정보는 지체 없이 파기해야 하며, 다른 법령에 보존 의무가 있는 경우 별도 분리 보관한다.

또한 처리자는 개인정보 처리방침을 수립하여 공개해야 하고, 일정 규모 이상이거나 민감·고유식별정보를 대량 처리하는 경우 개인정보 보호책임자(CPO)를 지정해야 한다. 안전성 확보를 위한 관리적·기술적·물리적 조치도 의무이며, 접근권한 통제, 접속기록 보관, 암호화, 악성프로그램 방지 등이 여기에 포함된다.

정보주체의 권리 보장도 핵심 의무다. 정보주체는 자신의 개인정보에 대한 열람·정정·삭제·처리정지를 요구할 수 있고, 최근에는 개인정보 전송요구권(마이데이터)과 자동화된 결정에 대한 거부·설명요구권도 도입되었다. 자동화된 결정이 정보주체에게 중대한 영향을 미치는 경우 처리자는 그 기준과 절차 등을 설명하고, 인적 개입을 통한 재처리를 제공해야 한다.

동의 원칙과 그 예외

동의는 개인정보 처리의 대표적 적법 근거이지만 유일한 근거는 아니다. 실무에서는 오히려 동의 만능주의를 경계하고 적정한 처리근거를 선택하는 것이 중요하다. 개인정보보호법은 동의 외에도 다음과 같은 처리근거를 규정한다.

  • 법률의 특별한 규정이나 법령상 의무 준수를 위해 불가피한 경우
  • 정보주체와 체결한 계약의 이행·체결을 위해 불가피하게 필요한 경우
  • 정보주체 또는 제3자의 급박한 생명·신체·재산 이익을 위해 필요한 경우
  • 처리자의 정당한 이익 달성을 위해 필요하고 정보주체 권리보다 명백히 우선하는 경우

동의를 받을 때는 처리 목적, 수집 항목, 보유·이용 기간, 동의 거부권 및 거부 시 불이익을 명확히 알려야 한다. 홍보·마케팅 목적, 민감정보·고유식별정보, 제3자 제공, 국외 이전은 각각 구분하여 별도 동의를 받아야 하며, 재화·서비스 제공에 필수적이지 않은 항목의 동의 거부를 이유로 서비스 제공을 거부해서는 안 된다. 만 14세 미만 아동의 개인정보는 법정대리인의 동의를 받아야 한다.

개인정보 유출 통지·신고

개인정보가 유출·분실·도난되었음을 알게 된 경우 처리자는 정해진 기한 내에 정보주체에게 통지하고 개인정보보호위원회 또는 전문기관에 신고해야 한다. 통지에는 유출된 항목, 시점과 경위, 정보주체가 취할 수 있는 조치, 처리자의 대응 및 피해 구제절차, 신고 접수 부서와 연락처를 포함해야 한다. 일정 규모 이상의 유출이거나 민감정보·고유식별정보가 포함된 경우에는 신고 의무가 강화된다.

실무에서는 사고 인지 시점의 기록화가 중요하다. 통지·신고 기한은 유출을 알게 된 때를 기산점으로 하므로, 침해사고 대응 절차(IRP)에 인지·평가·통지·신고 단계를 명문화하고 로그와 의사결정 근거를 남겨 두어야 한다. 통지를 지체할 정당한 사유가 있더라도 사후에 그 사유를 소명할 수 있어야 한다.

과징금과 제재

2023년 개정으로 과징금 체계가 대폭 강화되었다. 종전에는 위반행위 관련 매출액을 기준으로 삼았으나, 개정법은 전체 매출액을 기준으로 하되 위반행위와 무관한 매출액을 제외하는 방식으로 전환하여 상한을 사실상 상향했다. 안전조치 의무 위반으로 개인정보가 유출된 경우, 동의 없이 개인정보를 처리한 경우 등 중대한 위반에 대해서는 전체 매출액의 일정 비율을 상한으로 과징금이 부과될 수 있다.

과징금 산정은 위반행위의 내용·정도, 기간·횟수, 취득한 이익 규모, 피해 확산 방지 및 피해 구제 노력 등을 종합적으로 고려한다. 따라서 사고 발생 시 신속한 통지, 재발방지 대책 수립, 피해자 구제 조치는 제재 수준을 낮추는 실질적 요소가 된다. 이와 별도로 형사처벌과 정보주체의 손해배상 청구도 가능하며, 특히 고의·중과실로 인한 유출에는 실손해액을 초과하는 배상책임이 인정될 수 있다.

실무 체크포인트

법무팀은 다음 사항을 정기적으로 점검하는 것이 바람직하다. 첫째, 개인정보 처리 흐름을 데이터 매핑으로 문서화하고 각 처리에 대한 적법 근거를 명확히 한다. 둘째, 위탁·제3자 제공·국외 이전 계약에 보호조치와 책임 배분 조항을 반영한다. 셋째, 처리방침과 동의서 양식을 최신 법령에 맞추어 정비한다. 넷째, 침해사고 대응 절차와 내부 보고 라인을 정비하고 모의훈련을 실시한다. 개인정보 규제는 사후 대응보다 사전 설계가 훨씬 비용 효율적이며, 프라이버시 바이 디자인 관점에서 제품·서비스 기획 단계부터 법무가 개입하는 것이 최선의 리스크 관리다.

법률 업무에 AI, 신중하게 도입하세요

MeshLaw는 변호사를 위한 AI 사건관리 도구입니다. 환각 없이, 검증 가능하게.

MeshLaw 살펴보기 →

← 전체 브리핑 보기

변호사를 위한 AI 사건관리 — MeshLaw 무료로 써보기 →