1. 개정 의의
- 20.08.05 데이터 3법(개보법, 망법, 신용정보법) 개정
> 개인정보 보호 컨트롤 타워 구축 및 데이터 경제 활성화를 위한 초석 마련
* 행안부, 방통위, 금융위의 개인정보 보호 기능을 개인정보보호위원회로 통합, 망법 관련 규정의 이관, 가명정보 개념 도입 및 안전한 결합, 활용 등
- 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 유보
> 데이터 시대로의 전화에 대응해 현실과 괴리된 불합리한 과제*가 존재
> 따라서, 데이터 경제 활성화의 장애 요인으로 작용할 우려
* 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등
- 개보법 제정이래 민관산학의 의견을 반영한 첫번째 정부안
> 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반 마련
1.1 개보법 시행에 따른 하위 법령 개정 방향
- 23.09.15 시행되는 후속 시행령 및 고시 등을 우선적으로 개정
- 24.03 이후 시행 예정인 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등은 사전 준비 후 시행시기에 맞추어 순차적으로 개정
| 2023.09.15 시행 (1차) | 2024.03.15 이후 시행 (2차) |
| ① 정보통신서비스 특례 정비, 이동형 영상기기 규정 ② 동의 받는 방법 및 추가적인 이용, 제공 ③ 개인정보 처리방침 평가제, 분쟁조정제도 절차 ④ 공공시스템운영기관 특례 등 안전성 확보조치 ⑤ 국외 이전 및 중지 명령 ⑥ 과징금 부과기준, 공표명령 등 |
① 자동화된 결정에 대한 정보주체의 권리 ② 공공기관 개인정보 보호 수준평가 ③ 개인정보 보호책임자의 업무 및 자격요건 ④ 손해배상의 보장 대상 범위 및 기준 ⑤ 개인정보 전송요구권 관련 규정 |
2. 주요내용
2.1 디지털 경제 성장 견인
| 항목 | 구분 | 설명 |
| 이동형 영상정보처리기기 규정 마련 |
필요성 | 기존은 고정형 영상기기(CCTV)만을 규율 > 이동형 영상정보처리기기의 특성에 맞는 기준제시에 한계 > 현재 이동형 영상기기를 통한 개인정보 수집, 이용 시 일반 규정이 적용 > 따라서 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계 |
| 개정내용 | 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위는 윈칙적으로 제한 > 개인정보 수집, 이용 사유에 해당하거나, 정보주체가 거부의사를 밝히지 않은 경우 예외적 허용 > 촬영을 하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실 표시 |
|
| 시행령 | 규정 신설 > 이동형 영상기기의 구체적인 범위 > 목욕실/화장실 등에서 영상기기 운영 제한의 예외 사유 > 촬영 사실 표시에 대한 방법 등 |
|
| 기대효과 | 모빌리티 시대 신산업 육성을 위한 이동형 기기 운영의 법적 근거 마련 | |
| 온-오프라인 규제 일원화 | 필요성 | 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례 규정으로 단순 이전 및 병합 > 온-오프라인 서비스의 경계가 모호함 > 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화: 기업의 법 적용 혼선 및 이중 부담이 발생 |
| 개정안 | 특례규정을 일반 규정과 일원화 > 모든 개인정보처리자 대상 동일행위-동일규제 원칙 적용 > 규정통합(유사 및 중복 규정은 일반 규정으로 통합, 정비) > 적용확대(특례 규정에만 존재하는 내용은 일반 규정으로 전환) |
|
| 시행령 | ① 수집 출처 통지 및 이용, 제공 내역 통지 제도 정비 > 개인정보 보유량 기준으로 일원화 > 수집 출처 통지와 이용, 제공 내역 통지를 함께 통지 할 수 있도록 합리적 개선 > 이용, 제공 내역 통지가 모든 개인정보처리자로 확대됨에 따라 적용 대상을 조정 > 통지하는 방법에 개별적으로 정보주체에게 쉽게 알릴 수 있는 방법으로 다양화 ② 안전성 확보 조치 중복 규정 일원화 > 일반규정(영 제30조)과 정보통신서비스제공자 특례규정(영 제48조의2)의 통합 > 안전조치를 위한 다양한 기술이 도입될 수 있도록 기술 중립적으로 정비 > 기술발전 및 다양성을 고려하여 개인정보처리시스템의 개념 및 정의 정비 ③ 유출 통지 및 신고 중복 규정 일원화 > 개인정보 유출 사실을 알게 된 경우 72시간 이내 정보주체에 통지, 개인정보위(또는 KISA)에 신고 > 신고 시 개정 법률에서 개인정보 유형, 유출 경로 및 규모 등을 고려하도록 규정 ④ 국내대리인 지정 > 국내대리인 지정 규정을 일반 규정으로 전환함에 따라 지정 대상자의 범위를 조정 ⑤ 유효기간제 규정 삭제 > 정보통신서비스를 1년 이상 이용하지 않은 경우 파기 또는 별도 분리 저장하도록 한 규정 삭제 |
|
| 기대효과 | 데이터 3법 개정 시 단순 통합한 특례를 디지털 시대에 맞게 일반규정으로 전환 > 국민과 기업의 법 적용상의 혼란과 이중부담 해소 |
2.2 디지털 시대에 적합한 국민의 적극적 권리 강화
| 항목 | 구분 | 설명 |
| 형식적 동의제도 개선 | 필요성 | 사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 동의 만능주의 관행 지속 > 필수적으로 동의해야만 서비스 이용 가능 및 실체적 통제 미흡 |
| 개정내용 | 동의제도 개선 > 정보주체의 실질적 동의권 보장, 기업 등의 합리적인 개인정보 수집, 활용 지원 목적 > 특례 규정의 필수동의 규정을 정비, 동의 이외의 개인정보 적법 처리요건 활성화 > 공중위생 목적인 경우도 수집, 이용 요건 추가 > 국민 생명 등 보호를 위해 급박한 경우 유연하게 대응할 수 있도록 처리 요건 개선 |
|
| 시행령 | 필수동의 관행 개선 > 유효한 동의 기준 명확화 > 동의 없이 처리 할 수 있는 개인정보에 대하여는 법적 근거를 구분해 처리방침에 공개 > 동의를 받으려면 정보주체의 자유로운 의사에 따르도록 하는 동의 원칙 구체화 > 정보주체가 동의 여부를 선택 할 수 있다는 사실을 구분하여 표시 |
|
| 기대효과 | 정보주체가 적정한 정보를 제공받아 실질적으로 선택할 수 있는 환경 마련 | |
| 개인정보 처리방침 평가제 도입 |
필요성 | 국민의 개인정보 처리에 관한 법정 고지 사항을 담은 개인정보 처리방침 > 이에 대한 내용의 적정성 및 구체성, 판단기준 미비 등 실체적 통제 미흡 |
| 개정안 | 개인정보 처리방침 평가제 도입 > 개인정보 처리방침의 적정성을 평가하고, 결과 개선이 필요하다고 인정하는 경우 개선을 권고 > 처리방침 작성지침 준수 여부 > 정보주체가 이해하기 쉽게 작성했는지 여부 > 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등 평가 개인정보처리자의 유형 및 매출액 규모, 처리하는 개인정보의 유형 및 규모, 처리 근거 및 방식 등을 종합적으로 고려하여 평가 대상을 선정할 수 있도록 규정 |
|
| 기대효과 | 개인정보처리자의 자율에 맡겨진 개인정보 처리방침에 대한 명확한 판단 기준 제시 > 처리방침 제도의 실질화 및 정보주체의 통제권 강화 |
|
| 개인정보 분쟁조정 제도 개선 |
필요성 | 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제하는 분쟁조정제도 운영 > 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계 |
| 개정안 | 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대 > 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정 > 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 거부로 간주하던 것에서 수락으로 간주하는 것으로 기준 전환 |
|
| 기대효과 | 개인정보처리자의 조정 참여 확대 > 분쟁조정의 실효성을 확보 > 정확한 사실관계 확정으로 분쟁조정의 심의, 결정에 대한 신뢰 제고 |
|
| 개인정보의 사적 목적 이용 금지 |
필요성 | 개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란 > 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 기존 법에는 처벌 근거가 없음 |
| 개정안 | 제59조 제3호 금지행위 규정 > 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위를 추가 |
|
| 기대효과 | 개인정보를 사적으로 무단 이용하는 것을 방지 > 정보주체의 개인정보 침해에 따른 피해 최소화 |
|
| 공공분야 개인정보 처리의 안전성 강화 | 필요성 | 공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화, 개인정보파일 등록 대상 확대, 개인정보 영향평가 강화 등 필요 |
| 시행령 | 국민의 개인정보를 대규모로 처리하고 있는 공공기관 > 공공시스템 안전조치 강화, 개인정보파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성 강화 ① 주요 공공시스템을 운영하는 기관 등에 대해 안전조치 기준 강화 (24.09.15 시행) > 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리 할 수 있는 근거 마련 > 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무 강화 > 권한의 범위를 초과하여 접근한 사실이 확인 될 경우 지체없이 정보주체에게 통지 등 ② 공공기관의 개인정보파일 등록 대상 정비 > 내부적 업무처리 목적인 경우라도 일시적으로 처리되는 경우 등 관리의 필요가 없는 경우에만 등록 예외로 규정 ③ 공공기관의 개인정보 영향평가 결과(요약본) 공개 근거 마련 > 개인정보 영향평가서 요약본을 공개할 수 있도록 하여 개인정보 처리의 투명성 강화 |
2.3 글로벌 스탠다드에 부합하는 법 제도 정비
| 항목 | 구분 | 설명 |
| 개인정보 국외이전 요건 다양화 및 보호조치 강화 |
필요성 | 국경 없는 온라인 상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가 > 기존 법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요 |
| 개정내용 | 해외 법제와 상호 운용성 강화 > 동의 이외의 국외이전 적법 요건 다양화 및 중지명령권을 신설하여 보호조치 강화 > 요건 다양화: 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화 > 보호조치 강화: 법 위반 또는 이전 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보 주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설 |
|
| 시행령 | - 국외 이전에 관한 전문적인 검토 및 심의를 위해 국외이전전문위원회를 운영 - 개인정보 보호 인증 및 국가 인정에 대한 절차 및 기준 등을 시행령에 마련 - 국외 이전 중지명령의 기준과 이의 제기 절차 등 세부적인 규정을 시행령에 마련 |
|
| 기대효과 | - 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고 - 중지명령권으로 국외이전에 따른 안전망 강화 |
|
| 형벌 중심을 경제제재 중심으로 전환 | 필요성 | 경미한 위반사항까지도 형벌을 규정함 > 개인정보 업무담당자의 과중한 부담 및 업무회피 초래 > 과징금의 경우 위반행위 관련 매출액의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요 |
| 개정내용 | 개인에 대한 형벌을 기업에 대한 경제 제재 중심으로 전환하여 실효성 제고 > 형벌 정비: 일반규정에 맞추어 정비, 과도한 형벌규정 삭제, 과징금 상한 및 대상 확대 > 과징금 확대: 개인정보처리자로 확대, 과징금 상한액 기준 변경 (전체 매축액 3% 이하) > 과징금 산정: 위반행위와 관련 없는 매출액은 제외 |
|
| 시행령 | 과징금이 위반행위에 비례하도록 산정되도록 함 > 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금 > 경미한 위반행위에 대하여는 면제가 가능하도록 산정기준을 개편 > 과징금 산정 기준 금액을 결정하는 비율을 정할 때, 위반행위의 중대성 정도에 따라 4구간-구간內 비율선택 방식으로 전환 > 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기할 수 있도록 > 분할하여 납부할 수 있는 근거 마련 |
|
| 기대효과 | 개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환 > 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보 |
2.4 2024.03.15 이후 시행
| 항목 | 구분 | 설명 |
| 개인정보 전송요구권 도입 |
필요성 | 데이터 경제 활성화로 개인정보가 대량 수집, 유통 > 정보주체는 본인정보를 자기주도적으로 유통, 활용하는데 한계 > 일부 분야에서 개인정보 전송요구권 근거를 마련하여 마이 데이터 사업을 추진하고 있으나, 분야별 추진 방식에 대한 개선 필요 |
| 개정내용 | 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 개인정보 전송요구권 신설 > 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적 사항은 시행령으로 위임 |
|
| 기대효과 | 국민 개개인이 데이터의 진정한 주인 > 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용 > 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀 마련 |
|
| 자동화된 결정에 대한 정보주체의 권리 도입 |
필요성 | 인공지능 등 신기술 발전에 따라 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기 > 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요 |
| 개정내용 | 완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권, 설명 등 요구권 부여 > 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제, 인적 개입에 의한 재처리, 설명 등 조치 의무를 규정 |
|
| 기대효과 | 인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장 |
3. 향후 계획
- 분야별 설명회, 간담회 등을 통해 법 개정 사항 통보
- 개인정보 보호법 개정사항 안내서 발간 추진
- 개인정보 보호법 시행령 2차 개정 추진
4. 참고
[1] https://www.boannews.com/media/view.asp?idx=121977&page=1&kind=2
[2] https://www.dailysecu.com/news/articleView.html?idxno=149388
'개인정보보호(법) > 개인정보보호법' 카테고리의 다른 글
| 비정형데이터 가명처리 기준 (0) | 2024.02.08 |
|---|---|
| 개인정보 처리방침 문의 결과 (0) | 2023.09.05 |
| 입법부 대표 정당 개인정보 처리방침 문제점 (0) | 2023.07.21 |
| 개인정보 보호법 시행령 개정안 입법예고 (0) | 2023.05.18 |
| 망법 개정에 따른 동의 없이 침해사고 조사 가능 (0) | 2023.04.23 |