꼰머의 보안공부

1. 개요

- 개인정보보호위원회는 개인정보 보호법 시행령 개정안을 5월 19일 ~ 6월 28일간(40일) 입법예고한다고 밝힘

- 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치

> 개인정보 보호법 개정안 공포 이후 산업계·시민단체· 학계의 의견 수렴

> 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비

- 주요 개정 내용은 다음과 같음

> 정보주체인 국민의 권리를 실질적으로 보장

> 공공분야에서의 안전조치를 강화

> 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화

2. 주요 개정 사항

2.1 동의받을 때 국민의 실질적 선택이 가능하도록 개선

① 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화

- 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화

- 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록

② 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련

- 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정

- 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립 및 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화

2.2 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비

① 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화

- 온라인 기준을 중심으로 통합

- 안전조치를 위한 다양한 기술이 도입될 수 있도록 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비

> 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어: 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등

- 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제

> 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 규정

- 과징금이 위반행위에 비례하여 산정되도록 개편

> 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금

> 경미한 위반행위에 대하여는 면제까지 가능

> 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율) 산정 방식 변경

- 개인정보 유출 사실 인지 후 72시간 이내 개인정보위원회 또는 한국인터넷진흥원에 신고

> 개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고

※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행 

② 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비

- 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 함

> 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위한 목적

- 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우

> 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 함

③ 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선

> 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)

> 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)

2.3 공공분야 개인정보 처리의 안전성 강화

① 공공부문의 개인정보 침해사고를 근절하기 위하여 안전조치 의무 강화

- 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화

> 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완

> 공공시스템의 개인정보 유출로 인한 2차 피해를 막기 위하여 마련한 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설

2.4 기타

- 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화

- 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비

3. 참고

1. 개요

- 지난달 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 국무회의에서 의결

- 개인정보 보호법 개정은 2011년 법 제정 이후 처음으로 이뤄진 전면 개정

- 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 정비

- 개인정보 보호법개정안은 오는3월 14일 공포되어, 9월 15일부터 시행될 예정

2. 주요 개정 사항

- 전 세계적인 디지털 대전환 추세에 부합하도록 ▴데이터 경제 견인, ▴국민 개인정보 신뢰 사회 구현, ▴글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용을 적용

2.1 마이데이터 확산 및 데이터 경제 성장 견인

- 요약

① 데이터 경제의 확산에 따른 개인정보 자기결정권의 범위 확대 및 개인의 주도적인 데이터 기반 서비스 이용

② 고정형 영상기기에서 이동형 영상정보처리기기의 도입과 활용에 관한 근거 마련

③ 기존 데이터 3법의 단순한 이전 및 병합으로인한 모호성, 중복성 제거, 규제 확대 및 불필요 규제 삭제

- 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설

> 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반을 마련

> 다양한 데이터 간 합종연횡이 가속화하면서 혁신적 스타트업 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도할 것으로 기대

- 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준도 마련

> 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영

> 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련

- 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계 개편

> 동일행위에는 동일규제가 적용

> 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하고, 실효성이 낮은 조문은 삭제

2.2 디지털 시대에 적합한 국민의 적극적 권리 강화

- 요약

① 기업의 합리적, 효율적, 책임감 있는 개인정보 수집 및 이용 활성화

② 개인정보 처리방침의 적정성, 이해성, 접근성 등을 평가와 필요에따른 개선권고 도입

③ 인공지능(AI) 도입에따른 정보주체의 권리 침해 방지를 위한 권리 도입

④ 개인정보 분쟁 참여 대상 확대를통한 분쟁의 실효성과 결정에 신뢰를 제공

⑤ 개인정보취급자의 개인정보 사적(불법)이용에대한 처벌 근거 도입

- 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편

> 국민과 기업·기관 간 개인정보 처리에 대한 신뢰가 축적될 수 있는 토대를 마련

- 정보주체의 동의에만 과도하게 의존했던 개인정보 처리 관행 개편

> 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비

> 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하여, 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선

- 인공지능을 활용한 자동화된 결정이 국민에게 중대한 영향을 미치는 경우 이에 대해 거부하거나 설명을 요구할 수 있는 권리 신설

- 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대

> 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히함

- 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대

> 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도도 정비

2.3 글로벌 스탠다드에 부합하는 법제도 정비

- 요약

① 개인정보 국외이전의 필요성 증가에따라 해외 법과의 상호 운용성 강화 및 중지권 도입으로 안전성 강화

② 과도한 형벌에따른 개인정보업무담당자의 업무 부담과 업무회피 등의 문제 해소를 위한 실효성있는 처벌 규정 도입

- 전세계적으로 데이터가 차지하는 중요성이 점점 높아지고 있는 상황

> 글로벌 스탠다드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비

> 개인정보를 국외로 이전하려면 정보주체의 동의 필요

> 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화해 글로벌 규범과의 상호운용성을 확보

> 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우 국외이전 중지를 명령할 수 있는 근거도 마련

- 개인정보 보호 책임을 과도한 형벌을 경제벌 중심으로 전환

> 글로벌 스탠다드와 달리 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율

> 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정

> 산정 때 위반행위와 관련 없는 매출액은 제외하도록 해 비례성과 효과성을 모두 확보

- 공공·민간의 개인정보 보호체계 강화

> 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거 포함

> 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 포함

3. 참고

[1] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020000000&nttId=8674#LINK 

[2] https://www.dailysecu.com/news/articleView.html?idxno=144134 

[3] https://n.news.naver.com/article/018/0005437894?cds=news_my_20s 

[4] https://www.boannews.com/media/view.asp?idx=114945&page=1&kind=2