개정안에는 방대한 개인정보를 다루는 대형병원이나 주요 기업, 대학 등은 전문성과 독립성 등을 갖춘 개인정보 보호책임자(CPO)를 의무적으로 지정하도록 하는 내용도 담겼다. 주요 대상은 △연 매출액 1천500억원이 넘고 100만명 이상의 개인정보 등을 보유했거나 재학생 1만명 이상인 대학 △대규모 개인정보를 처리하는 상급종합병원 △개인정보위가 고시한 기준을 충족하는 공공시스템 운영 기관 등이 대상이다.

 

이들은 개인정보보호 경력 3년 이상을 포함해 개인정보보호·정보보호·정보기술 경력을 6년 이상 보유한 직원을 개인정보 보호책임자로 임명해야 한다. 개인정보 보호책임자에게는 조직의 대표나 이사회에 직접 보고할 수 있는 권리와 개인정보 처리 정보에 대한 접근권이 보장된다. 부당한 지시를 이행하지 않는다고 하더라도 불이익을 내려서는 안 된다. 개인정보위는 보호책임자 간 교류가 활성화될 수 있도록 지원한다. 

 

개정안에는 또한 개인정보위가 공공기관의 개인정보 보호 수준을 평가하고, 그 결과를 바탕으로 개선을 권고하도록 하는 조항도 포함됐다. 단순히 진단하는 수준에서 실질적인 평가를 바탕으로 부족한 부분에 대해 개선을 권고할 수 있도록 법적 근거을 마련했다. 개정안은 손해배상책임 보장을 위한 의무보험 가입 기준과 준비금 적립 대상 기준을 '매출액 5000만원 또는 이용자 수 1000명 이상'에서 '매출액 10억원 또는 정보주체 수 1만명 이상'으로 조정했다. 

 

고유식별정보 관리 실태 정기조사의 기간은 2년에서 3년으로 변경하되, 중복된 점검이 있는 경우 생략할 수 있도록 했다. 개정안은 관보와 국민참여입법센터에서 확인할 수 있다. 관련 의견은 내년 1월 2일까지 우편, 팩스, 국민참여입법센터를 통해 제출하면 된다.

 

고학수 개인정보위 위원장은 “개정안이 현장에서 차질 없이 시행될 수 있도록 간담회와 설명회를 열어 학계, 산업계, 시민단체 등을 시행령에 반영하겠다”고 밝혔다.