해킹이나 사업자의 실수로 개인정보가 누출됐을 때 피해 당사자는 개인정보 누출 등의 통지를 받은 날부터 3년 또는 개인정보가 누출된 날부터 10년 이내까지 법정 손해배상을 청구할 수 있게 됐다.

방송통신위원회(위원장 최성준)는 12일 제53차 회의를 열고, 이 같은 내용을 골자로 하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 개정안’을 의결했다.

개정안에 따르면 법정 손해배상 청구기간이 누출 사고일 또는 통지받은 날 기준으로 각각 10년, 3년으로 명확해지고, 기업 등이 개인정보 누출 사고 시 신고해야 하는 기관도 방통위외에 한국인터넷진흥원을 추가했다.

정보시스템 암호화 대상에 바이오 정보도 포함하고, 현실 변화에 따라 암호화 대상의 추가나 변경이 쉽도록 암호화 대상을 시행령에서 고시로 위임했으며, 급변하는 정보통신서비스의 특성을 고려해 개인정보의 유효기간을 3년에서 1년으로 조정했다.

개인정보 누출 기업 등에 대한 과징금 부과 기준도 상향됐다. 상위 법 개정으로 과징금 부과 상한이 상향 조정(위반행위 관련 매출액 1%→3%) 됨에 따라 과징금 부과기준율을 조정한 것이다.

또한 ‘정당한 사유없이 24시간이 지나 개인정보 누출 등에 관한 통지나 신고 등을 하지 않을 경우’를 과태료 대상으로 새롭게 정하고, 과태료 감경 사유 역시 구체화했다.