1. 개요
- 개인정보보호위원회는 개인정보 보호법 시행령 개정안을 5월 19일 ~ 6월 28일간(40일) 입법예고한다고 밝힘
- 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치
> 개인정보 보호법 개정안 공포 이후 산업계·시민단체· 학계의 의견 수렴
> 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비
- 주요 개정 내용은 다음과 같음
> 정보주체인 국민의 권리를 실질적으로 보장
> 공공분야에서의 안전조치를 강화
> 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화
2. 주요 개정 사항
2.1 동의받을 때 국민의 실질적 선택이 가능하도록 개선
① 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화
- 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화
- 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록
② 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련
- 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정
- 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립 및 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화
2.2 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비
① 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화
- 온라인 기준을 중심으로 통합
- 안전조치를 위한 다양한 기술이 도입될 수 있도록 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비
> 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어: 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등
- 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제
> 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 규정
- 과징금이 위반행위에 비례하여 산정되도록 개편
> 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금
> 경미한 위반행위에 대하여는 면제까지 가능
> 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율) 산정 방식 변경
| 과징금 산정을 위한 기준금액 결정 비율 | 위반행위의 중대성 정도에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환 |
| 위반행위의 중대성 판단 기준 | 1. 위반행위의 내용 및 정도 2. 개인정보의 유형과 정보주체에게 미치는 영향 3. 정보주체의 피해 규모 등을 종합적으로 고려 |
- 개인정보 유출 사실 인지 후 72시간 이내 개인정보위원회 또는 한국인터넷진흥원에 신고
> 개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고
※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행
② 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비
- 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 함
> 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위한 목적
- 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우
> 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 함
③ 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선
> 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)
> 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)
2.3 공공분야 개인정보 처리의 안전성 강화
① 공공부문의 개인정보 침해사고를 근절하기 위하여 안전조치 의무 강화
- 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화
> 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완
| 개인정보파일 등록 | - 그동안 공공기관이 관리하는 개인정보파일이 내부적 업무처리 목적인 경우에는 등록 대상에서 제외 - 일시적으로 처리되는 경우 등 관리 필요가 없는 경우 외에는 등록하여 관리하도록 함 > 등록 예외 ① 일회적 행사 수행 ② 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리 ③ 저장하거나 기록하지 않을 목적으로 수집된 개인정보 파일 |
| 개인정보 영향평가 | - 공공기관이 개인정보 영향평가를 수행해야 하는 시점을 개인정보파일 운용 또는 변경 전으로 명확화 - 영향평가서 요약본을 공개할 수 있도록 하여 공공기관의 개인정보를 투명하게 관리하도록 함 |
> 공공시스템의 개인정보 유출로 인한 2차 피해를 막기 위하여 마련한 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설
2.4 기타
- 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화
- 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비
3. 참고
개인정보보호위원회
해당 페이지의 만족도와 소중한 의견 남겨주세요.
www.pipc.go.kr
'개인정보보호(법) > 개인정보보호법' 카테고리의 다른 글
| 개인정보 처리방침 문의 결과 (0) | 2023.09.05 |
|---|---|
| 입법부 대표 정당 개인정보 처리방침 문제점 (0) | 2023.07.21 |
| 망법 개정에 따른 동의 없이 침해사고 조사 가능 (0) | 2023.04.23 |
| 국민 10명 중 6명은 개인정보 처리 동의 내용 확인 안해 (0) | 2023.04.07 |
| 개인정보 보호법 개정안 국무회의 의결, 3월 14일 공포 예정 (0) | 2023.03.08 |