개인정보 보호법 전면개정, 23.09.15일 시행

 

23.09.15 개인정보 보호법이 개정되었다

이번 개정안은 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영해 정비한 실질적인 전면 개정이라는 점에서 의미가 있다.

지난 2023. 2. 27. 개인정보보호법 일부개정법률안이 국회 본회의를 통과했고, 2023. 3. 14. 공포되어 6개월이 경과한 2023. 9. 15.부터 시행되었다. 

 

이번 개정의 주된 목적은 현대의 디지털 환경에 맞추어 개인정보 보호 규정을 재정비하고, 기술 발전과 사회 변화에 적절히 대응할 수 있는 기반을 마련하고자 했고, 이를 통해 정보 주체가 자신의 정보를 쉽게 관리하고, 기업의 데이터 활용에 대해 신뢰를 가질 수 있는 환경을 조성하는 데 중점을 두는것 같다. 

 

개인정보 보호법 개정안의 주요 내용을 요약하면

1. 개인정보 전송요구권 신설: 개인이 자신의 정보를 보유한 기업이나 기관에 요청하여 해당 정보를 다른 곳으로 옮길 수 있는 권리가 도입되어, 의료, 유통 등 모든 분야에서 마이데이터 서비스의 보편적 운영이 가능함
2. 이동형 영상정보처리기기 기준 마련: 자율주행차와 드론 등 이동형 기기의 안전한 운행을 위한 명확한 기준이 설정됨
3. 규제 체계 개편: 온·오프라인에서 동일한 행위에 동일한 규제가 적용되며, 실효성이 낮은 조문이 삭제되어 법 준수가 용이해
4. 동의 체계 개선: 정보 주체의 '동의'에 과도하게 의존하던 관행에서 벗어나, 서비스와 관련된 정보는 동의 없이 수집할 수 있게 되었으며, 정보 수집의 입증 책임은 사업자가 부담.
5. AI 자동화 결정에 대한 권리: AI를 활용한 자동화된 결정이 개인에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리가 신설되었음.
6. 과징금 상한액 조정: 과징금 상한액이 '전체 매출액'의 3% 이하로 조정되었고, 위반행위와 관련 없는 매출액은 제외하는 기준이 마련되어 비례성과 효과성이 강화되었음.
7. 국외 이전 요건 다양화: 개인정보를 국외로 이전할 때 동의 외에 계약 및 인증 등의 요건이 추가되어 글로벌 규범과의 상호운용성이 확보됨
8. 공공기관 평가 및 실태점검: 공공기관의 개인정보 보호 수준을 매년 평가하고, 실태점검을 위한 근거가 마련되어 공공 및 민간의 개인정보 보호 체계가 강화되었음

 

전문

개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 5일 국무회의에서 「개인정보 보호법」시행령 개정안이 의결됨에 따라 지난 3월 14일 공포된 「개인정보 보호법」과 후속 개정 시행령이 9월 15일부터 시행된다고 밝혔다.

이번 「개인정보 보호법」과 후속 시행령 개정으로 국민의 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화가 예상되므로 기업ㆍ공공기관 등 개인정보처리자는 개정사항을 꼼꼼하게 확인해야 한다.

9월 15일 시행되는 개정법에는 정보주체인 국민의 권리는 실질적으로 보장하면서 온라인-오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털 환경에 맞게 일원화하는 등 그동안 각 계에서 논의되어 온 다양한 내용이 포함되어 있다.

첫째, 국민의 권익 보호가 보다 실질적으로 이루어질 수 있도록 정비하였다.

① 긴급 구조 등 국민의 급박한 생명ㆍ신체ㆍ재산의 이익을 보호*하기 위해 필요하거나, 메르스ㆍ코로나19 등 공공의 안전을 위해 개인정보를 수집ㆍ이용ㆍ제공해야 할 경우에는 우선하여 조치할 수 있도록 하되, 이 경우에도 개인정보 안전조치 등은 적용되도록 하였다.
* 사례: 급박하게 아동 성범죄 피해가 예상되는 상황에서 쏘카서비스를 이용한 범죄자의 주소 정보를 수사기관에 즉시 제공하지 않아 피해를 막지 못함(’21.2월)

② 또한, 정보주체인 국민이 개인정보 침해를 받은 경우 신속하게 구제절차를 진행할 수 있도록 개인정보 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정 절차를 개편하였다.

둘째, 영상정보ㆍ온-오프라인 이원화된 규제 등은 현장의 규제 개선 요청을 반영하여 개선하였다.

① 드론ㆍ자율주행차 등 이동형 영상정보처리기기를 통해 업무를 목적으로 영상정보를 촬영하는 경우 안내판, 소리 등을 통해 촬영 사실을 충분히 알린 경우에는 정보주체가 거부의사를 표시하지 않는 한 촬영이 가능하도록 하였다.

② 또한, 온라인-오프라인으로 이원화되어 각각 다른 기준을 적용하고 있는 규정들은 ‘동일행위 동일규제 원칙’에 따라 모든 개인정보처리자가 동일한 기준을 적용받도록 정비하였다.
※ ①개인정보 이용ㆍ제공 내역 통지, ②14세 미만 아동의 개인정보 수집, ③개인정보 유출 등의 신고ㆍ통지, ④개인정보의 안전조치 기준, ⑤과징금ㆍ과태료ㆍ형벌 등 제재

셋째, 공공분야에서 개인정보가 안전하게 처리될 수 있도록 안전성 확보조치 등을 강화하였다.

국민의 개인정보가 대규모로 관리되고 있는 주요 공공시스템 운영기관에 대하여 접속기록 분석ㆍ점검, 공공시스템별 관리책임자 지정, 공공시스템에 권한없이 접근한 사실이 확인된 경우 통지 등 안전성 확보 조치를 강화하였다.
※ 「공공부문 개인정보 유출 방지대책」(’22.7.14. 관계부처 합동) 이행

넷째, 국제 기준(글로벌 스탠다드)을 반영하여 개인정보의 국외 이전 요건을 다양화하고 과징금 제도를 개편하였다.

① 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 개인정보 보호 인증 등을 받은 기업으로의 국외 이전이 가능하도록 요건을 다양화하고, 법을 위반하는 등의 사유가 있는 경우 국외 이전 중지명령이 가능하도록 하였다.

② 과징금 상한액 산정기준을 위반행위 관련 매출액에서 전체 매출액으로 변경하고 산정기준이 되는 매출액은 ‘위반행위와 관련 없는 매출액’을 제외하도록 하여 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 하였다.

또한, 중소ㆍ영세사업자 등의 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기하거나 분할하여 납부할 수 있도록 개선하였다.

한편, 법 개정사항 중 시행일이 다른 개인정보 전송요구 등에 대하여는 현재 시행령 개정안을 준비 중이며, 개정안이 마련되는 대로 10월부터 단계적으로 입법예고를 진행할 예정이다.

개인정보위는 법 시행에 앞서 민간부문(9월 13일), 공공분야(9월 14일)를 대상으로 개정 「개인정보 보호법」 설명회를 엘타워(양재동, 오후 3시~5시)에서 진행하고, 소상공인·전문 수탁자(호스팅) 등 분야별 특성에 맞게 현장 설명회를 지속적으로 추진할 예정이다.
※ 안내서는 9월 중 초안 공개 후 현장 질답ㆍ의견과 고시 등 개정사항을 반영하여 12월 종합 컨퍼런스 개최 시 발간 예정

고학수 개인정보위 위원장은 “이번 「개인정보 보호법」 개정은 2011년 제정 이후 정부 주도로 추진한 최초의 전면 개정으로, 그 동안의 정보주체인 국민의 권익 보호 강화 요구와 현장의 규제개선 목소리를 충실히 담았다”며,

“개정된 「개인정보 보호법」은 달라지는 내용이 많아 현장에서 꼼꼼하게 확인하고 조치해야 할 사항이 많은 점을 고려하여 연말까지 현장 맞춤형 홍보와 계도 활동에 집중하여 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 지원해 나가겠다”고 밝혔다.

- 담당자 : 개인정보보호정책과 임종철(02-2100-3055), 정승인(02-2100-3057)

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9145