음... 개인정보를 보호한다는 명분으로 기업을 감시한다는 뜻 아닙니까?
음... 지나친 정부의 기업 간섭이 될 수도....
쿠팡도 ㅈㄱ인이 의도적으로 내부에서 유출한 것인데 개인정보 보호를 요구하기 위한 명분으로 기업 감시를 행하려는 
친ㅈ 정권의 ㅈㄱ과의 합작 계략은 아니었을지...
그리고 상급종합병원 개인정보까지 정부가 신경쓰는 의도는 무엇인가요? 정말 선의의 의도인가요? 병원 개인정보 유출을 걱정하면서 개인정보 보호 위원회를 만들어 자료 제출을 요구하는 것은
건강검진 받는 한국인들 개인정보를 정부 차원에서 알아내어 ㅈㄱㅈㅊ을 공모하는데 특정 세력에게 소스를 제공하는 건 아니겠지요?
이미 ㅇㅅ병원에서 불법 ㅈㄱ이식 논란이 난 것이 2011년도 사건으로 압니다. ㅇㅊ 피바다 사건-ㅇㅊ지역 한 빌라에서 강물처럼 피가 흐른 사건은 2013년에 알려진걸로 압니다. 이미 암암리에 병원들 중에 그리고 대충 병원 간판 달고 ㅈㄱ이식이나 ㅈㄱㅈㅊ이 자행 되고 있다고 예측 할 수 있겠죠.

보호위원회가 개인정보 보호를 이유로 여러 기업체를 규제하는군요. 뭐 이동통신사 상황이 좋지 않으니 이해는 일정 간다만...
공공시스템운영기관이 ㅈㄱ세력권이 있는거 같다만...이미 3사 휴대폰 통신사의 보안은 허울이고 개중에 친중 기업은 적어도 2개이니(ㅣ,ㄴ)
무엇을 어찌해야 할지 나로서는 모르겠다.
지금 개인정보 보호 인증 의무 대상 구체화 하는것도 작금에 상황에서 필요한 일인지, 더위험한 일인지...참...

72시간 이내 통지하지 않으면 처벌,혹은 가중 처벌인가요?
아니면 72시간 이내 통지 되지 않았으므로 정부가 관리할 대상으로 확인되지 않는 건가요?
이걸 잘 잡아달라고 하면 과한 기업 감시가 되겠지....

뭐...일전에 과징금을 물었을텐데 일전의 이력을 확인해 추가 가중 처벌을 시행한다는 것은 어쩌면 기업에게 과한 제재가 될 수 있겠습니다.
이렇게 기존 한국에 이동통신사와 기업들을 내쫒고 설마 ㅈㄱ 통신 기업을 유치하려는 정권의 공작은 아니겠지요?

전문기관이 ㅈㄱ관련 기업으로 지정될거 같은 예상이 듭니다.
한국 내국 법인 내국 자본 전문 믿을 수 있는 기관에 위탁해야합니다.

음... 왜 정부가 자료를 제출 받을지....

반대합니다.
개인정보를 보호한다는 명분으로 보호위원회를 만들고 이를 바탕으로 여러 기업과 조직에 과한 규제를 행하므로서 기존 기업들의 외국 이탈을 가속화 하려는 현 정권의 의도가 아닌지 의심됩니다. 이후 ㅈㄱ기업을 한국에 유치하는 것이죠.
정말 개인정보 보안이 잘 이루어 져야 할 텐데.... 과연 잘 될지...
상급 병원 개인정보 유출을 걱정하면서 개인정보 보호 위원회를 만들어 자료제출을 요구하는 것은
건강검진 받는 한국인들 개인정보를 정부 차원에서 알아내어 ㅈㄱㅈㅊ을 공모하는데 특정 세력에게 소스를 제공하는 건 아니겠지요?
이미 ㅇㅅ병원에서 불법 ㅈㄱ이식 논란이 난 것이 2011년도 사건으로 압니다. ㅇㅊ 피바다 사건-ㅇㅊ지역 한 빌라에서 강물처럼 피가 흐른 사건은 2013년에 알려진걸로 압니다. 이미 암암리에 병원들 중에 그리고 대충 병원 간판 달고 ㅈㄱ이식이나 ㅈㄱㅈㅊ이 자행 되고 있다고 예측 할 수 있겠죠.

개인정보보호법 시행령 일부개정안 내용과 관련하여 문의 사항이 있어 의견 전달드립니다.

이번 개정안 중 이사회 의결 기준을 전문 CPO 기준과 맞추는 부분에 대해 확인하고자 합니다. 기존 시행령의 매출액 기준은 1,500억 원이었으나, 이번 개정안에는 1,800억 원으로 기재되어 있습니다. 이사회 의결 내용이 추가되면서 기존 기준이 상향 조정된 것인지 궁금합니다.

최근의 기준 강화 기조를 고려할 때 매출액 기준이 상향된 점이 생소하여, 혹시 단순 기재 오류(오타)인지 확인을 부탁드리고자 합니다.

답변 주시면 감사하겠습니다.
이상입니다.

?1. 전문 CPO 지정 대상 기관의 행정적 부담 급증
?잦은 변경에 따른 이사회 소집 비효율: CPO 직책의 특성상 조직 개편, 인사 이동, 퇴직 등으로 인해 지정·변경·해제 사유가 빈번하게 발생할 수 있습니다. 그때마다 사내 최고 의사결정 기구인 이사회 의결을 거쳐야 하므로 경영 유연성이 떨어지고 과도한 행정 절차적 비용이 발생합니다.
?신고 기한(1개월) 압박: 부득이한 사유가 인정되더라도 원칙적으로 1개월 이내에 신고해야 하므로, 후임자 인선이 늦어지거나 이사회 일정이 맞지 않을 경우 법적 의무 기한을 맞추기 위한 현업의 부담이 매우 큽니다.
?2. 공공·의료·교육 현장의 현실적 한계 (기관별 특성 미고려)
?공공시스템운영기관: 공공기관은 정기 인사 시즌에 대규모 보직 이동이 일어납니다. 이 시기에 수많은 기관이 동시에 이사회(또는 운영위원회) 의결과 신고 절차를 밟아야 하므로 보호위원회의 접수·처리 지연 및 기관 자체의 업무 마비가 우려됩니다.
?대학 및 상급종합병원: 대학(재학생 2만명 이상)이나 병원은 일반 기업처럼 이사회를 수시로 개최하기 어렵거나 구조가 다릅니다. 특히 병원은 의료진 보직 변경이 잦은데, 이를 기업의 이사회 의결과 동일한 잣대로 규제하는 것은 현실과 괴리가 있습니다.
?3. CPO 공백 기간의 법적 리스크 및 책임 소재 모호성
?해제 후 지정까지의 '공백기' 발생: 전임 CPO가 갑작스럽게 퇴사하거나 해임(해제)된 후, 후임 CPO를 이사회 의결을 거쳐 정식 지정하기까지 필연적으로 시차가 발생합니다. 이 공백 기간 동안 개인정보 유출 사고가 발생할 경우, 보호책임자로서의 법적 책임 주체가 누구인지 모호해지는 법적 사각지대가 생깁니다.
?임시/대행 체제의 인정 여부: 이사회 의결 전까지 직무대행을 둘 수 있는지, 직무대행을 둘 경우에도 신고 대상인지 등에 대한 구체적 지침이 없으면 가이드라인 혼선이 생길 수 있습니다.
?4. 제재(과태료) 수준의 형평성 및 과잉 규제 논란
?절차 위반에 대한 과도한 페널티: 개인정보를 '유출'하거나 '오남용'한 실질적 위반 행위가 아니라, 내부 인사의 '지정·변경 절차 누락'이나 '신고 기한 지연' 같은 단순 행정 절차 위반에 대해 과태료를 부과하는 것은 과잉 규제라는 지적이 있을 수 있습니다.
?과태료 부과 기준의 모호성: "부득이한 사유가 있는 경우 그 사유가 해소된 날로부터 1개월"이라는 예외 조항이 있으나, 무엇이 '부득이한 사유'인지 판단하는 기준이 주관적일 수 있어 현장에서 과태료를 피하기 위한 소명 절차에 힘을 쏟아야 하는 비효율이 생깁니다.

?1. 민간 기업 대상 '인증 의무 기준'의 비현실성과 실효성 의문
?일일평균 3,000만 명 기준의 과도함: 국내 인구수(약 5천만 명)를 감안할 때, 전년도 말 직전 3개월간 '일일평균 3,000만 명'의 개인정보가 저장·관리되는 민간 기업은 국내에 극소수 대형 플랫폼 기업(예: 네이버, 카카오 등)에 한정됩니다. 규제 대상이 지나치게 협소하여 정작 보호가 필요한 다른 대형 서비스들이 사각지대에 놓일 수 있습니다.
?매출액 규정의 맹점: '전년도 전체 매출 1조원 이상 & 정보통신 부문 매출 100억원 이상'이라는 동시 충족 조건은, 규모는 거대하지만 정보통신 서비스는 부수적으로 제공하는 전통 제조·유통 대기업을 타깃으로 삼은 것으로 보입니다. 그러나 실제 개인정보 유출 리스크는 전체 매출이 적더라도 방대한 개인정보를 다루는 중견 플랫폼이나 금융·이커머스 기업에서 더 높을 수 있어 규제의 형평성 문제가 발생합니다.
?2. 기존 타 인증 제도와의 중복 규제 및 비용 부담
?ISMS-P(정보보호 및 개인정보보호 관리체계 인증)와의 중복: 이미 많은 이동통신사업자, 본인확인기관, 대기업들은 과학기술정보통신부와 보호위원회가 공동 고시하는 ISMS-P 인증을 의무적 또는 자율적으로 취득하여 유지하고 있습니다. 본 개정안에 따른 '개인정보 보호 인증'이 기존 ISMS-P와 명확히 차별화되지 않거나 별도 심사를 요구할 경우, 기업들은 유사한 내용의 인증을 받기 위해 수천만 원에서 억 대에 달하는 비용과 수개월의 행정력을 이중으로 낭비해야 합니다.
?3. 공공시스템운영기관 지정의 불확실성과 행정 편의주의
?'고시' 위임에 따른 불확실성: "보호위원회가 정하여 고시하는 자"라는 표현은 구체적인 기준을 하위 고시로 미룬 것입니다. 규제 대상이 되는 공공기관 입장에서는 자신이 의무 대상에 포함될지 여부를 예측하기 어려워 예산 편성(인증 심사비 및 컨설팅 비용)과 대응 계획 수립에 차질을 빚을 수 있습니다.
?공공기관의 예산·인력 확보 한계: 인증을 획득하고 유지하려면 매년 심사를 받아야 하고 전담 인력이 필요하지만, 공공기관은 예산과 인력 증원이 경직되어 있어 의무화만 강제할 경우 형식적인 인증 취득에 그칠 우려가 있습니다.

?1. '유출 가능성' 단계에서의 섣부른 통지로 인한 사회적 혼란
?오탐(False Positive)으로 인한 공포 조장: 해킹 시도나 불법 접근 징후를 발견했으나, 실제 데이터 유출로는 이어지지 않은 '가능성' 단계에서 72시간 이내에 무조건 통지하도록 강제할 경우, 기업은 확실한 증거가 없어도 과태료를 피하기 위해 통지부터 해야 합니다. 이는 정보주체(이용자)에게 불필요한 불안감을 조성하고 서비스 탈퇴, 주가 폭락, 기업 이미지 실추 등 과도한 피해를 낳을 수 있습니다.
?통지 피로감(Notification Fatigue): 대형 포털이나 커뮤니티는 매일 수만 건의 불법 접근(크레덴셜 스터핑 등) 시도를 차단합니다. '가능성'을 인지할 때마다 통지하게 되면 사용자는 하루에도 몇 번씩 보안 경고 통지를 받게 되어, 정작 실제 유출이 발생했을 때 경고를 무시하는 '안전 불감증'이 발생할 수 있습니다.
?2. 72시간이라는 시한의 촉박함과 조사 체계의 한계
?원인 규명 및 피해 확정의 어려움: 불법 접근이나 불법 거래 정황을 '알게 된 때'로부터 72시간(3일)은 어떤 데이터가 어느 정도 규모로 유출(또는 유출 가능성)되었는지 포렌식 조사를 통해 명확히 밝혀내기에 턱없이 부족한 시간입니다.
?설익은 통지로 인한 2차 피해: 피해 최소화 조치(비밀번호 변경 등) 안내 항목이 추가되었으나, 유출 규모나 대상자가 명확히 특정되지 않은 상태에서 72시간 내에 급하게 통지하다 보면 오히려 잘못된 안내를 제공하여 정보주체에게 또 다른 혼선을 줄 수 있습니다.
?3. 위·변조·훼손을 '유출'과 동일 선상에서 규제하는 서식의 부적절성
?개념적 혼선: '유출'은 데이터가 외부로 빠져나간 취약성(기밀성 침해)인 반면, '위조·변조·훼손'은 데이터의 정확성이 깨지거나 파괴된 상태(무결성/가용성 침해)입니다. 두 현상은 내부 직원의 단순 입력 실수, 시스템 오류(랜섬웨어 감염 등), 악의적 해킹 등 원인이 완전히 다를 수 있습니다.
?단순 시스템 오류까지 신고 대상이 될 우려: 단순 DB 동기화 오류나 백업 실패로 데이터가 일부 훼손된 경우까지 '유출등'으로 묶어 72시간 내에 통지·신고하게 된다면, 행정력이 낭비되고 기업의 보안 역량이 본질적인 방어보다 '신고서 작성'에 집중되는 주객전도 현상이 생깁니다.

?1. '경고·시정조치'의 과태료 가중 요인화로 인한 행정 지도 위축
?사실상의 '누적 패널티' 전환: 기존의 시정조치나 경고는 법 위반 정도가 경미하거나 고의성이 없을 때, 본격적인 과태료 부과 전 기관에 자발적 개선 기회를 주는 '행정 지도'적 성격이 강했습니다. 그러나 이를 위반 횟수에 산입하면 경고 처분 자체가 **추후 과태료를 폭탄처럼 키우는 전과(前科)**처럼 작용하게 됩니다.
?적극적 소명 및 법적 분쟁의 증가: 기업이나 기관 입장에서는 과거처럼 가벼운 경고 처분을 겸허히 수용하고 신속히 보완하기보다는, 추후 가중 처분을 피하기 위해 경고 단계에서부터 대형 로펌을 고용해 법적으로 치열하게 다투거나 행정소송을 제기할 가능성이 커집니다. 이로 인해 불필요한 사회적 비용이 증가합니다.
?2. 기업 규모 및 감경 사유를 고려하지 않은 금액 상향의 부작용
?법제처 지침의 기계적 적용에 따른 형평성 문제: 법제처의 「과태료 금액 지침」에 맞추어 개별 기준금액을 일괄 상향할 경우, 대기업뿐만 아니라 영세 소상공인, 중소기업, 스타트업 및 예산이 부족한 지방 중소 공공기관·대학까지 동일하게 강화된 기준이 적용됩니다. 동일한 액수의 과태료라도 대기업에게는 경미한 타격이지만, 소규모 기관에는 존폐를 흔드는 치명적인 규제 폭탄이 될 수 있습니다.
?재발 방지 노력에 대한 유인 감소: 위반 횟수 누적으로 금액이 기계적으로 가중 상향되면, 사고 발생 후 자진 신고를 하거나 피해 확산 방지를 위해 적극적으로 노력한 기업조차 과거 이력 때문에 가혹한 처분을 받게 될 수 있습니다. 이는 기업들이 사고를 적극적으로 수습하기보다 은폐하려는 유인을 제공할 위험이 있습니다.

?1. 준정부기관(KISA 등)의 과도한 '실질적 규제 권한' 행사 우려
?조사 및 제재 권한의 무분별한 이양: "사전 실태점검 관련 자료제출 요구 및 접수 업무"는 기업의 내부 기밀이나 보안 취약점을 들여다볼 수 있는 강력한 행정 권한의 일종입니다. 이를 행정기관(보호위원회)이 아닌 출연·전문기관에 위탁할 경우, 민간 기업 입장에서는 **공식적인 행정 조사 절차(영장주의나 법적 행정조사 절차법)의 엄격한 통제를 받지 않는 '우회적 규제'**로 느껴질 수 있습니다.
?전문기관의 권력화 및 관료화: 위탁을 받은 전문기관이 실태점검을 빌미로 가이드라인 이상의 과도한 자료(소스코드, 서버 구성도, 내부 인사 자료 등)를 요구하거나 기업을 압박하는 현상이 발생할 수 있어 피규제 기관과의 갈등이 심화될 수 있습니다.
?2. '사전 실태점검'의 범위와 법적 성격의 모호성
?임의 조사와 강제 조사의 경계 붕괴: 사후적인 유출 사고 조사가 아닌 '사전 실태점검'은 본질적으로 컨설팅이나 계도 목적이어야 합니다. 그러나 전문기관이 공식적으로 자료 제출을 요구할 수 있는 법적 근거가 시행령에 명시되면, 피규제 기관은 이를 강제적인 불이익(미협조 시 보호위원회 보고 및 과태료 처분 등)이 수반되는 사실상의 강제 조사로 받아들이게 되어 방어권 침해 논란이 생길 수 있습니다.

?1. 포괄적·추상적 문구로 인한 '무제한적 자료 요구' 가능성
?"의무대상 여부 확인"의 모호성: 앞선 개정안(전문 CPO 지정 의무, 인증 의무 등)의 대상이 맞는지 확인한다는 명목으로, 아직 규제 대상에 편입되지 않은 일반 기업이나 스타트업에게까지 매출액, 가입자 수, 시스템 구조 등 광범위한 내부 자료 제출을 요구할 수 있게 됩니다.
?"정책 추진 등을 위해 필요한 사항"이라는 만능키: '정책 추진'이라는 목적은 지나치게 추상적이고 포괄적입니다. 구체적인 법 위반 혐의나 유출 사고가 발생하지 않았음에도, 정부의 시장 실태조사나 통계 확보라는 명목 하에 현업에 엄청난 양의 서류 제출을 상시 요구할 수 있는 법적 근거가 될 수 있습니다.
?2. 행정조사기본법상의 '조사권 남용 금지 원칙' 무력화 우려
?임의적 자료 수집의 상시화: 대한민국 행정조사기본법에 따르면 행정조사는 법령에 명확한 범위가 지정되어야 하고, 대상자의 최소한의 부담 범위 내에서 이루어져야 합니다. 그러나 본 조항은 사실상 **"필요하면 언제든 무엇이든 요구할 수 있다"**는 식으로 해석될 여지가 있어, 기업의 경영 자율성을 침해하고 방어권을 약화시키는 과잉 행정 조사의 수단으로 변질될 수 있습니다.
?3. 피규제 기관의 행정력 낭비 및 상시적 규제 피로감
?답변 및 소명 절차의 상시 대응 부담: 보호위원회의 정식 '조사'가 아닌 단순 '자료 제출 및 의견 진술 요구'라 할지라도, 기업이나 기관 입장에서는 과태료나 불이익을 피하기 위해 법무·보안 인력을 총동원해 대응해야 합니다.
?본연의 보안 업무 마비: 현업의 개인정보 보호실무자(CPO 조직)가 본연의 시스템 보안 강화나 취약점 개선 작업에 집중하지 못하고, 보호위원회의 수시 자료 요구에 대응하기 위한 서류 작업(보고서 작성, 증빙 자료 수집)에 행정력을 낭비하는 주객전도 현상이 심화됩니다.
?4. 기업 영업비밀 및 핵심 보안 정보 노출 위험
?자료의 범위 제한 부재: 의무 대상 확인이나 정책 추진을 위해서라는 이유로 시스템 구성도, 네트워크망 분리 현황, 내부 인력 편성 및 연봉 정보 등 기업의 민감한 영업비밀이나 핵심 보안 자산에 속하는 자료까지 무차별적으로 요구받을 수 있습니다.
?정보 관리 안전성 문제: 이렇게 수집된 방대한 데이터가 보호위원회 내부나 앞서 '마' 항목에서 언급된 KISA 등 위탁 전문기관으로 흘러 들어갈 경우, 해당 기관들이 도리어 해커의 표적이 되거나 자료 관리 소홀로 인한 2차 유출 리스크를 안게 됩니다.

이번 개정안은 취지와 달리 현장에 막대한 행정 비용을 전가하고, 소송 증가 및 보안 업무의 형식화를 유발할 우려가 있습니다. 강력한 처벌과 포괄적인 자료 요구보다는, 기관의 규모와 특성을 고려한 유연한 가이드라인과 자발적 신고·개선을 유도하는 인센티브 제도가 병행되어야 제도의 실효성을 확보할 수 있을 것입니다.

제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제5항 제2호 나목 및 다목 에서
개인정보 보호책임자를 사업주 또는 아래와 같이 지정하도록 변경되었습니다. 기존 사업주, 대표자, 임원(또는 장)에서 "임원"의 인정범위가 확대된 것입니다.
 - (변경 전) 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
 - (변경 후) 임원(「상법 제 401조의2제1항제3호에 따른자와 같은 법 제408조의2에 따른 집행임원을 포함한다.), 임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장

시행령 개정으로 아래와 같이 "명칭"만 적절하면 모두 임원으로 인정받을 수 있게 되고, 이는 개인정보 보호책임자(CPO) 지정 기준의 완화를 초래하게 됩니다.
※ 제401조의2(업무집행지시자 등의 책임) (제1항 제3호) 이사가 아니면서 명예회장ㆍ회장ㆍ사장ㆍ부사장ㆍ전무ㆍ상무ㆍ이사 기타 회사의 업무를 집행할 권한이 있는 것으로 인정될 만한 "명칭"을 사용하여 회사의 업무를 집행한 자
※ 408조의2(집행임원 설치회사, 집행임원과 회사의 관계)  ① 회사는 집행임원을 둘 수 있다. 이 경우 집행임원을 둔 회사는 대표이사를 두지 못한다.

사실상 직책명만 적절하다면 일반 사원급의 직원도 CPO가 될 수 있는 것으로 해석됩니다.
개인정보 보호책임자는 전사 차원의 개인정보 처리의 안전성을 확보하기 위한 다양한 업무를 수행해야 하며, 개인정보 보호법의 경우 CPO가 업무를 독립적으로 수행할 수 있게 보장해야한다고 명시하고 있습니다. 하지만, 적절한 직급의 임직원이 CPO로 지정되지 않는다면, 현실적으로 법령을 이행할 수 없는 결과를 초래합니다.

최근 빈번한 유출사고의 조사결과 정보보호에 대한 인력 및 예산의 투자 등이 미흡함을 보여주고 있는데, 실제로 기업에서는 기업의 수익성에 기여할 수 없는 정보보호 관련 조직에 충분한 인력과 예산을 배정하기가 어렵습니다. 이러한 문제점을 반영하여 법령이 개정되고 있는데, CPO의 기준을 완화한다면 결국 기업이 정보보호를 충분히 하는 데에 어떠한 강제성도 부여하지 못하고 오히려 정보보호 수준의 하락을 초래할 우려가 있다고 생각됩니다.

따라서 시행령 개정안 중, CPO의 지정 기준에 대하여 반대합니다.

개인정보 보호책임자(이하 CPO)의 범위를 명확하게 제시해주시면 감사드리겠습니다. 개인정보 보호법 및 동법 시행령에 의거 공공기관 외 개인정보처리자의 CPO는  사업주 또는 대표자, 임원을 그 직위 요건으로 두고 있습니다. 여기서 임원의 범위가 명확하지 않아 현업에서 혼란이 가중되는 것 같습니다. 상법 제401조의2제1항제3호에 따라 전무, 상무, 이사 등으로 불리며 업무를 집행할 권한이 있는 자를 포함하는 폭넓은 의미의 임원을 의미하는지(이 경우 회사의 직원이 전무, 상무, 이사 등의 직함으로 불린다면 임원으로 볼 수 있는지) , 또는 단순 등기 임원만을 의미하는지에 대한 명확한 가이드를 제시해주시길 바랍니다.  명확한 가이드가 제시된다면 CPO 지정 및 신고 시 발생하는 혼선을 줄일 수 있을 것 같습니다. 

* 시행령 개정 이유 - 1. 개정이유
최근 대규모 개인정보 유출사고가 연이어 발생함에 따라 개인정보 보호책임자의 권한과 독립성을 강화하고, 일정 규모 이상의 개인정보처리자에 대한 개인정보 보호 인증을 의무화 등

* 건의 배경_ 개인정보 보호책임자 권한 및 독립성 강화는 불가능한 시행령 개정이며, 사실상 퇴보한 CPO 지정이라 판단(현장 의견)
-  제32조(개인정보 보호책임자의 업무 및 지정요건 등) 
 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
의 현행에서 나.임원(상법 제401조의21항제3호에 따른 자와 같은 법 제408조의2에 따른 집행임원을 포함한다.) 는 법의 목적인 CPO강화보다는 약화를 불러올 거라 판단합니다. 

A. 직원 신분을 유지한 채, '본부장', '이사급' 등 명칭만 부여, 조직, 예산, 실질 권한 없이 형식적인 책임자 지정이 난무할 것으로 판단됩니다. (인사, 예산집행권 없이, 업무집행권만 부여)
특히, 대부분의 고위험직군 회사에서 기획, 인사 부서에서는 '정보보호 최고책임자(CISO) 지정, 신고 제도 운영 겸직금지 대상기업 가이드라인 모범사례에 이사급, 본부장 등 명칭이 제시되어 있다'는 이유로 명칭 변경만으로 법령 준수로 판단하는 사례가 더욱 강화될 것으로 판단됩니다.
이로 인해 정보보호 부서의 독립성 확보 노력은 제한되고, 조직 내 실질적 통제 기능이 전혀 작동하지 않으며, 사고 발생 시 책임과 권한 간 불균형 문제가 지속적으로 발생했고, 시행령 개정의 퇴보로 인해 더욱 심해질 것으로 판단됩니다. 

B. 현재 시행령의 상법의 이사급을 준용한다면, 명칭 중심 해석의 확대로 형식적 개인정보 보호법 준수 문화 확산이 우려됩니다. 시행령을 통해 더욱 '이사급', '본부장' 표현이 실질적 권한 요건이 아닌 형식적 명칭 요건으로 법이 정해주었기에, 그 결과 직원이 본부장 명칭 변경 만으로 법을 해석하는 구조가 현장에서 더욱 강화되고 개인정보 준수는 더욱 악화될 거라 염려됩니다. 

C. 조직 내 통제 기능 미작동 - 개정의 퇴보로 개인정보 보호책임자의 의견이 사실상 조직 내에서 반영되지 않은 사례가 더욱 강화될 것입니다. 직책이 아닌 직급 또는 현행의 대표자 또는 임원이 맞다고 판단되며, 이를 위반 시 제재를 해야 하는 게 법의 강화라 생각합니다. 허나 시행령은 법의 취지와는 달리 법을 약화시키는 명분을 현장에 던져주는 사안으로 판단됩니다. 

D. 현행 개인정보 보호법 시행령 제32조 제3항 제2호 나목은 개인정보 보호책임자를 "임원"으로 규정함으로써 조직 내 최고 수준의 책임성과 통제 권한을 요구하고 있으며, 이는 개인정보 보호에 대한 최종 책임을 경영진(CEO)에 귀속시키는 입법 취지가 반영되었던 것이라 판단됩니다. 
허나 개정 예정인  나.임원(상법 제401조의21항제3호에 따른 자와 ~) 는 현장에서 CPO의 직위, 권한 등을 평가 절하하게 만드는 사항이 될 것입니다. 현행 임원이 맡고 있는 고위험군에서조차 본부장, 이사급 등으로 직위 직함 등을 낮추어 결국은 개인정보 보호를 퇴보시키는 결과를 초래할 거라 판단합니다. 

전자금융거래법 제21조의2 제2헝에 반영된 상법 제401조의21항제3호를 그대로 시행령에 확정한다면, 특히 "기타 회사의 업무를 집행할 권한이 있는 것으로 인정될 만한 명칭을 사용하여 회사의 업무를 집행한 자" 관련 문구로 인해 형식적 명칭 부여, 업무집행권만 제한적 권한 보유, 부분적 의사결정 참여만으로 사실상 직원까지 포함될 수 있는 수준으로 확대 해석될 것이며, 이는 법령 및 시행령이 요구하는 '임원' 기준 대비 상대적으로 낮은 기준으로 현장에서 대부분 적용될 가능성이 농후하며, 개인정보보호위원회의 입지 또한 약화 될 것이 명약관화한 사항이라 판단됩니다.  

실질적 권한 없는 직원이 본부장, 이사급 등으로 명칭만 바꾸어 지정 되어 통제 기능이 제대로 작동되지 않을 것이며 사고 발생 시 조직은 대규모 과징금 부담, 직원의 형사책임 부담이 동시에 발생하는 고위험 구조를 더욱 고착화 시키는 사항이고 개인정보 유출의 가능성은 더욱 증대될 것입니다. 개인정보 보호위원회가 CPO 직위 격하, 개인정보 유출이 더욱 많이 발생되기를 원하며 CPO의 직위를 실제 격하시키는 시행령을 공포하지는 않았을거라 믿습니다. 

만약 그런 취지(과징금 징수 등)가 내포되어 있으면, 시행령대로 CPO를 지정하는 대부분의 기관은 현행보다 CPO의 직위를 낮추고 예산 인력을 적게 부여할 것입니다. 그렇게 되면 개보위는 개인정보 유출 시, 상당한 과징금 수익을 걷을 수 있을 겁니다.  하지만, 기업들의 반발 역시 심할 것이며, 상법 제401조의21항제3호를 언급하며 상법에 맞게끔 직원(차장, 과장, 팀장, 부장) 직함을 우리는 본부장으로, 상무보로, 이사대우 등으로 바꿨다 등 김앤장을 찾아갈 것입니다. 또한 이익을 우선으로 하는 집단(기업)에게 빠져나갈 명분을 제시한 시행령이기에, 국민의 개인정보 유출 시에도 각 기업에서 개보위의 시행령 변경 및 저하를 문제삼을 소지도 다분합니다. 감독기관 법률이 이런데, 개보위가 스스로 경시한 것 아니냐, 그에 맞춰 각 기업 역시 CPO 및 인력, 예산을 법에 맞췄다 등.

또한 예산 인력 조직 강화에 대한 구체적인 기준도 명시해 주시기 바랍니다. 조직인력예산 투자시 감경 인센티브는 있되, 조직인력예산에 대한 기준은 없는 CPO강화는 있되, 되려 CPO 권한을 약화시키는 시행령으로 비춰집니다.

E. 개인정보 보호책임자는 조직 내 개인정보 보호 정책 수립 및 집행을 총괄하는 최고 수준의 내부통제 책임자입니다. 따라서 개인정보 보호법 시행령 제32조의 임원 기준을 유지하면서도 실질적 권한, 정보보호 인력 및 예산 통제권, 조직 내 독립성을 중심이 되게끔 하는 시행령 개정이 필요합니다. 특히 고위험군으로 개보위가 공포한 대규모 또는 민감 개인정보처리자의 경우는 더욱 강화해야 하는데, 시행령 공포는 역으로 퇴행했다고 판단됩니다.

F(건의 의견). "개인정보 보호책임자 지정에 있어 임원(상법 제401조의21항제3호에 따른 자와 ~) 을 준용할 수 있다. 다만, 고위험군의 경우에는 개인정보 보호법 시행령 제32조 제3항 제2호의 나목의 취지에 따라 임원 수준의 권한을 보유한 자로서 정보보호 인력 및 예산에 대한 실질적 통제 권한과 독립성을 갖춘 경우에 한하여 인정한다" 등으로 변경 건의 드립니다. 
또는 향후 고시나 가이드라인으로 중위험, 저위험군에게 상법401조의21항제3호를 준용해도 된다로 퇴로를 열어두되, 기존 시행령 유지가 맞다 판단됩니다. 

1. 개정안이  확정된다면 더더욱 명칭 중심 형식적 운행 관행이 확산 될 것이며. 2. "인정될 만한 명칭을 사용하여 회사의 업무을 집행한 자", "이사급", "본부장", "임원 및 상무의 권한을 위임 받은 자" 등 시행령 개정에 따른 CPO 현장 기준 하향과 오해가 난무할 것입니다. 3. 개인정보 보호위원회가 법을 개정한 사유 중 하나인 CPO의 실질적 권한 및 위상 강화는 허상이 될 것이며, CPO에게 인력,예산,기반 통제체계 확보는 불가능하고 악용하는 기업이 대다수를 이룰 겁니다. 법의 권위를 개보위 스스로 격하하는 사항이 될 것입니다.

G. 최종의견 - 개보위가 밝혔듯, 저위험, 중위험 (사업자에게는 상법 제401조의21항제3호에 따른 자와 이하 생략.) 를 준용하되, 고위험 사업자에게는 대표자 또는 임원으로 확실히 명해야, 개인정보 유출, 해킹 등 사고 발생으로 국민 및 개인에게 유,무형의 피해를 줄일 수 있다 생각합니다. 변경안 확정시 각 기업은 시행령에 따라 CPO를 이렇게 지정했으며, 개인정보 유출 역시 개보위가 법을 저하시킨 원인 제공자라는 사후 문제가 크게 발생할 것입니다. 시행령 임원(상법 제401조의21항제3호에 따른 자와 이하 생략) 를 근기로 개인정보 유출 및 과징금 부과 시 , 개보위에 법정 소송이 난무할 거로 판단되는 사항이고, CPO 권한 직위를 낮추게 만든 개보위의 탓도 있다 고위험 기업들이 언론과 법원 등에 문제를 삼을 것이라 보입니다. 

제32조(개인정보 보호책임자의 업무 및 지정요건 등) 5항 에서 개인정보 보호책임자를 지정할 경우, 
공공기관 외 개인정보처리자의 경우 나목을 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) 에서 나. 임원(「상법 제 401조의2제1항제3호」에 따른자와 같은 법 「제408조의2」에 따른 집행임원을 포함한다.)라고 부연 설명으로 변경하였습니다.
이를 해석함에 있어서 "임원"인 대상을 상법에서 말하는 "이사"외적인 호칭을 설명하기 위한 의미로 볼 수 있습니다만, 회사의 운영 형태가 다양하다보니 "기타 회사의 업무를 집행할 권한이 있는 것으로 인정될 만한 명칭을 사용하여 회사의 업무를 집행한 자"가 다양한 해석이 가능할 것 같습니다.
즉, 직원(차장, 부장, 수석, 책임 등)의 직급을 가지고 임원급(부문장, 본부장, 실장 등) 부서의 장의 직책을 가진 사람이 개인정보 보호책임자로써 역할 수행하는 부분도 「상법 제 401조의2제1항제3호」에 따른자로 해석이 가능한지 궁금합니다.
좀더 회사 차원에서 해석하기 위한 명확한 기준이 필요할 것으로 보입니다.