个人信息泄露罚金最高达销售额10%…安全投资享激励

by Lee Myeonghwan

Published 12 May.2026 11:31(KST)

Updated 12 May.2026 13:35(KST)

open/close

个人信息保护委员会报告向预防为主的个人信息管理体系转型方案
个人信息保护体系从事后惩罚转向事前预防为中心

从今年下半年起，发生重大或重复个人信息泄露事故的企业，将被处以最高相当于其销售额10%的惩罚性罚款。与此同时，对提前进行个人信息保护投资的企业和机构，将给予罚款减免等激励措施。

个人信息保护委员会表示，已于12日在由总统主持的国务会议上，汇报了包含上述内容的《向预防为中心的个人信息管理体系转型计划》。

3月25日，在首尔钟路区政府首尔办公大楼举行的第5次全体会议上，个人信息保护委员会委员长 Song Gyeonghee 出席并发表讲话。2026年3月25日记者 Jo Yongjun

此次计划是为在人工智能（AI）数字转型和平台经济扩散导致个人信息利用不断增加的背景下，提高个人信息保护水平，并切实应对日益大型化的泄露事故而制定的。

重大泄露事故罚款达销售额10%…积极安全投入享受激励

首先，对于重复或重大的《个人信息保护法》违法行为，将处以最高相当于销售额10%的惩罚性罚款。此前，最多只能按最近3个年度平均销售额的3%征收罚款。惩罚性罚款特例将于9月11日正式实施。

罚款计算基准也将从现行的“3年平均销售额”，调整为在“上一年度销售额”和“3年平均销售额”中择高适用。新的罚款计算基准自本月19日起施行。

为实现迅速调查和处置，还将引入征收履行罚款的制度。对于隐匿证据的行为，将在强化制裁的同时，引入举报奖励金制度。不过，对于小微企业轻微违反保护法的情形，将给予整改机会，以防止再次发生和推动改进；一旦违规行为重复发生，将予以严厉应对。

政府还将通过激励措施，引导企业加大提升个人信息保护水平的投入。今后，将综合评估是否采取超过法定标准的预防性保护措施、是否进行积极的安全投资以及是否切实运行安全管理体系，并据此给予罚款减免等激励。

同时，为确保将于9月起实施的经营管理层个人信息保护责任得到落实，政府将引导企业公开其个人信息保护活动，促使企业自主提升保护能力。

政府也将着手推进因个人信息泄露造成损害的救济与恢复支持。首先，在发生个人信息泄露事故时，将原则上由企业和机构承担损害赔偿责任，并由企业负担整体举证责任，以此激活损害赔偿制度。

政府将重点排查类似“黑暗模式”这类诱骗或误导用户、使其难以修改个人信息、撤回同意或注销账号的行为，并强化个人信息侵害举报中心的职能，提供专业咨询与顾问服务以及损害处置支持。

在敏感信息泄露时，将通过监测社交媒体等渠道，确认是否存在非法传播行为，一旦发现将予以发现和删除，并与侦查机关协作，追踪和惩处非法散布和利用个人信息者，从严应对。

个人信息中心设计制度化…预算与人力同步扩充

另一方面，个人信息保护委员会也将构建按风险程度差异化检查的风险基础管理体系。对主要公共系统（387个）以及教育、福利等高风险领域，由个人信息保护委员会重点管理。

此外，为提升企业和整个产业的个人信息保护竞争力，将把检查范围扩大至包括云服务提供商、专业受托机构、系统供应商在内的整个供应链。个人信息保护委员会目前正在检查殡葬服务公司、客户咨询中心等，对发现的问题将提出整改建议。

政府将把从服务策划和设计阶段起就引入“以个人信息为中心的设计”（Privacy by Design·PbD）原则制度化。随着个人信息处理环境日益复杂，服务一旦上线后再防止侵害将变得困难。PbD是指从系统设计阶段起就纳入个人信息保护要素。此外，还计划在个人信息影响评估标准和信息安全管理体系-个人信息保护认证（ISMS-P）标准中，反映以个人信息为中心的设计原则。

政府还将增加专职个人信息保护人员和预算，并通过官民合作提升整体保护水平。个人信息保护委员会在今年2月的现状调查中确认，公共部门的个人信息保护人力和预算均显不足。对此，将与有关部门协作，同时推进改善专职个人信息保护人员待遇。

政府也将夯实培养个人信息保护专业人才的基础。为培养能够在一线解决实际问题的专业人才，将按区域和地区扩大研究生课程。还将针对政策负责人、开发人员、事故响应组织等不同对象，分析其岗位职责，重新设计并运行定制化实务培训项目。