2026년 개인정보 보호법 개정사항 정리 — 무엇이 바뀌었나
2026년 시행 예정인 개인정보 보호법 주요 개정사항을 조문 단위로 정리합니다. 이동권 강화, AI 자동화 결정 규제, 과징금 상한 변경까지.
들어가며
개인정보 보호법(이하 개보법)이 2023년 대폭 개정된 데 이어, 2025~2026년에도 후속 개정이 이어졌습니다. ISMS-P 컨설팅이나 개인정보 영향평가(PIA) 업무를 하다 보면 "법이 또 바뀌었나요?"라는 질문을 자주 받습니다. 이번에 개정 사항들을 조문 중심으로 정리해봤습니다.
개정 배경
| 배경 | 내용 |
|---|---|
| EU GDPR 정합성 | 국경 간 데이터 이전 체계 정비 |
| AI 확산 대응 | 자동화된 결정에 대한 정보주체 권리 신설 |
| 개인정보위 권한 강화 | 과징금 산정 기준 및 상한 재조정 |
| 마이데이터 확대 | 전송요구권(이동권) 적용 범위 확대 |
주요 개정 내용
1. 전송요구권(개인정보 이동권) 확대 — 제35조의2
2023년 개정에서 금융 분야에 한해 시범 도입된 전송요구권이 의료·통신·유통 분야로 확대 적용됩니다.
[정보주체]
→ 전송 요구
[개인정보처리자 A]
→ 지정된 형식으로 전송 (API 또는 파일)
[제3자 또는 개인정보처리자 B]
적용 대상 확대 일정
| 분야 | 시행 시기 |
|---|---|
| 금융 (마이데이터) | 2023년 (기시행) |
| 의료 (PHR) | 2025년 하반기 |
| 통신·유통 | 2026년 상반기 |
실무 포인트: 적용 대상 기업은 정보주체 인증 수단, API 제공 인프라, 전송 이력 관리 체계를 사전에 구축해야 합니다.
2. 자동화된 결정에 대한 거부권 — 제37조의2 신설
AI·알고리즘 기반 의사결정이 확산됨에 따라, 정보주체는 완전히 자동화된 결정에 대해 설명을 요구하거나 거부할 권리를 갖습니다.
적용 범위
적용 O
- 대출 심사 자동거절
- 보험 언더라이팅 자동결정
- 채용 서류 AI 필터링
적용 △ (사람의 최종 확인이 있는 경우)
- AI 추천 후 담당자 승인
- 알고리즘 스코어링 + 심사역 검토
적용 X
- 단순 개인화 추천 (콘텐츠, 광고)
기업 대응 의무
| 의무 | 내용 |
|---|---|
| 고지 의무 | 자동화 결정 사실 및 기준 개요 고지 |
| 설명 요구 대응 | 30일 이내 결정 근거 설명 |
| 재심사 요구 수용 | 인간 개입 재심사 절차 마련 |
3. 과징금 산정 기준 개편 — 제64조의2
기존의 위반행위 관련 매출액 3% 방식에서, 전체 매출액 기준 및 정액제 혼용 방식으로 변경됩니다.
| 항목 | 개정 전 | 개정 후 |
|---|---|---|
| 기준 매출액 | 위반 관련 매출 | 전체 매출 (상한 적용) |
| 최대 과징금 | 관련 매출의 3% | 전체 매출의 3% (또는 최소 10억) |
| 소기업 배려 | 별도 기준 없음 | 연 매출 10억 미만 정액제 적용 |
GDPR의 전체 연간 매출의 4% 기준과의 격차는 여전하지만, 제재 실효성을 높이는 방향입니다.
4. 국외 이전 체계 정비 — 제28조의8~12
기존 방식
표준 계약 조항(SCC) 체결 → 개인정보위 신고
개정 후 방식
[이전 근거 선택]
├── 적정성 결정 국가 (EU 방식 유사)
├── 표준 계약 조항 (SCC) — 개인정보위 표준안 의무 사용
├── 인증 기관 보증 (CBPR 등)
└── 구속력 있는 기업 규칙 (BCR) — 대기업 그룹사 간
실무상 SCC를 가장 많이 활용하게 될 텐데, 개인정보위가 고시한 표준 SCC 양식을 반드시 사용해야 합니다. 기존에 자체 작성한 계약서는 개정 시행일로부터 유예기간(1년) 내 교체 필요합니다.
5. 민감정보 범위 확대 — 제23조
기존 민감정보
- 사상·신념
- 노동조합·정당 가입·탈퇴
- 정치적 견해
- 건강·성생활
- 유전자 정보
- 범죄 경력
추가된 민감정보 (개정)
- 인종·민족 정보 (명시 추가)
- 생체인식 정보 (지문, 홍채, 얼굴인식 등 — 기존 해석 적용을 명문화)
생체인식 정보가 명문으로 민감정보에 포함됨으로써, 출입통제에 지문·안면인식을 활용하는 기업은 동의 근거, 보관 기간, 파기 절차를 재점검해야 합니다.
ISMS-P 연계 체크리스트
개보법 개정사항과 ISMS-P 인증 심사 항목이 연계되는 부분입니다.
| 개정 항목 | 관련 ISMS-P 항목 | 점검 포인트 |
|---|---|---|
| 전송요구권 | 3.3.4 정보주체 권리보장 | API 제공 체계, 이력 로그 |
| 자동화 결정 | 3.1.2 개인정보 처리 목적 | 알고리즘 설명 문서화 |
| 과징금 기준 | 1.1.2 경영진 참여 | 위반 리스크 보고 체계 |
| 국외 이전 | 3.3.1 개인정보 처리 현황 | SCC 교체 일정 관리 |
| 민감정보 확대 | 3.2.1 민감정보 처리 제한 | 생체정보 처리 현황 파악 |
개정 일정 요약
2023.09 개인정보 보호법 전면 개정 시행
2024.03 개인정보 이동권 금융 분야 시행
2025.하반기 의료 분야 이동권 시행 (PHR)
2026.상반기 통신·유통 이동권 시행
2026.상반기 자동화 결정 거부권 조항 시행
2026.하반기 국외 이전 체계 개정 적용 (SCC 교체 유예 종료 예정)