개인정보 과징금 감경 기준 입법예고: 쇼핑몰 운영자가 준비할 보호 투자 증적

한 줄 결론

2026년 9월 11일부터 중대·반복적 개인정보 침해 시 전체 매출액의 최대 10%가 과징금으로 부과될 수 있으며, 사전 개인정보 보호 투자 실적에 따라 과징금을 감경받을 수 있습니다.

적용 대상 빠른 판별

• 영향 가능성 높음: 대규모 고객 데이터를 처리하는 자사몰(Self-hosted) 운영사, 구독형 서비스 제공사, 오픈마켓 플랫폼 등
• 조건부 확인: 중소기업 및 소상공인 (기술 지원을 통한 시정 시 과징금 면제 조항 적용 가능성 있음)
• 영향 낮음/추가 확인: 고객 개인정보를 직접 수집·처리하지 않고 단순 위탁 판매만 진행하는 셀러 (단, 플랫폼 외 자체 수집 데이터가 있다면 확인 필요)

공식 자료로 확인된 변경 내용

이번 입법예고(2026. 6. 1. ~ 2026. 7. 13.)된 시행령 개정안의 핵심은 다음과 같습니다.

• 과징금 부과 기준 강화: 반복적이거나 중대한 개인정보 침해행위에 대해 전체 매출액의 최대 10%까지 과징금 부과 가능 (2026. 9. 11. 시행)
• 투자 감경 제도 신설: 개인정보 보호를 위한 예산, 인력, 설비, 장치 등의 투자 규모 및 지속성, 보호책임자의 역할 및 조직 구성 수준, 안전성 확보를 위한 추가 노력 등을 고려하여 과징금 감경 가능
• 과징금 면제 대상 구체화: 정보주체에게 피해가 없거나 경미하고 위반행위를 시정한 경우 면제 가능. 특히 중소기업·소상공인이 기술 지원을 받아 위반행위를 시정한 경우도 면제 대상에 포함
• 비례성 원칙 명시: 위반행위자의 현실적 부담 능력, 시장 여건, 피해 규모 등을 고려하여 과징금이 과중하지 않도록 산정 기준 보완

실무자가 오해하기 쉬운 부분

• 과징금 기준 매출액: 위반행위와 관련된 매출액만이 아니라 전체 매출액을 기준으로 최대 10%가 산정될 수 있으므로, 사업 규모가 클수록 리스크가 크게 증가합니다.
• 투자 감경의 적용 시점: 투자 감경 규정은 2026년 9월 11일 시행일 이후 발생한 위반행위에 대해 과징금을 부과하는 경우부터 적용됩니다. 즉, 시행일 이전의 선제적 투자 내역도 향후 평가 대상이 될 수 있습니다.
• 중소기업 면제 조건: 중소기업이나 소상공인이라고 해서 무조건 과징금이 면제되는 것이 아니며, 피해가 없거나 경미한 경우로서 기술 지원 등을 통해 위반행위를 시정해야만 면제 대상에 포함될 수 있습니다.

지금 할 일

• 보호 조치 현황 점검: 현재 운영 중인 쇼핑몰 및 서비스의 개인정보 안전성 확보 조치(접근 통제, 암호화 등)가 적절한지 점검하십시오.
• 투자 내역 증빙 자료 준비: 개인정보 보호를 위해 투입된 예산, 인력(CPO 지정 등), 보안 솔루션 도입 내역 등을 문서화하여 향후 감경 사유로 소명할 수 있도록 준비하십시오.
• 의견 수렴 참여: 본 개정안에 이견이 있거나 실무적 어려움이 예상되는 경우, 입법예고 종료일인 2026년 7월 13일까지 공식 채널을 통해 의견을 제출할 수 있습니다.