지난 9월 5일, 개인정보보호위원회(이하 ‘개인정보위’)는 보도자료를 통해 국무회의에서 「개인정보 보호법」 시행령 개정안이 의결됨에 따라 지난 3월 14일 공포된 개인정보 보호법과 후속 개정 시행령이 9월 15일부터 시행 예정임을 밝히면서 그 주요 내용을 공개하였습니다.
개인정보위는 이번 개인정보 보호법과 후속 시행령 개정으로 국민의 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화가 예상되므로 기업 및 공공기관 등의 개인정보처리자에게 개정사항에 대한 꼼꼼한 확인을 당부하기도 하였는데요.
이번 포스팅에서는 개인정보 보호법의 개정 경과를 살펴보고, 개인정보 보호법의 개정 주요 내용에 대해 알아보도록 하겠습니다.
개인정보 보호법 개정 경과
네이버의 개인정보보호 공식 블로그는 개인정보 및 프라이버시와 관련해서 이용자 여러분과 소통하는 채널인 만큼, 개인정보의 근간이 되는 개인정보 보호법 개정에 관한 소식을 중요한 주제로 다루어 포스팅을 통해서 몇 차례 관련 소식을 전해드리기도 했는데요.
> 관련 블로그 포스팅 바로가기
: 개인정보 보호법 2차 개정안 국회 본회의 통과 소식
오는 9월 15일부터 개정 개인정보 보호법 시행에 따라, 과징금 상한액 기준 변경 및 코로나·긴급구조 등 공공의 안전을 위한 개인정보의 처리, 개인정보 유효기간제의 폐지 등 3년 만에 전면 개정이 이루어질 예정입니다.
[개인정보 보호법 주요 개정 경과]
개인정보 보호법의 주요 개정 내용은?
9월 15일 시행되는 개인정보 보호법은 온라인·오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털환경에 맞게 일원화하는 등 그동안 각 계에서 논의되어 온 다양한 내용을 포함하고 있으며, 무엇보다 정보주체의 권익을 강화하고 개인정보 수집 및 처리 등 개인정보 전반에 대한 규제를 개편하는 것을 골자로 하고 있습니다.
보다 구체적인 하나의 예로(주요 변경사항 중의 하나로), 앞으로 업무상 수집한 개인정보를 사적인 목적으로 이용하게 되면 형사 처벌이 가능하게 됩니다. 기존의 개인정보 보호법에서는 사적인 목적으로 개인정보를 이용하여 타인의 사생활을 침해하는 경우에 대한 처벌 규정이 명확하게 없었지만, 이제는(9월 15일부터는) 5년 이하의 징역 또는 5,000만원 이하의 벌금에 해당하는 처벌이 내려질 수 있게 된 것입니다.
개인정보 보호법의 주요 변경사항은 크게 4가지로 구분되며, 각각의 내용은 아래와 같습니다.
[개인정보 보호법 주요 변경사항 인포그래픽 (출처: 개인정보보호위원회)]
#1. 정보주체의 권익 보호
• 국민의 생명·신체 등 보호를 위한 법 체계 정비
- 급박한 생명·신체·재산의 이익 보호를 위해 필요한 경우에 우선하여 개인정보 수집·이용·제공이 가능하게 되며, 코로나19 등 공공의 안전을 위해 긴급히 필요한 경우에도 개인정보 수집·이용·제공이 가능함. 다만 이 때 개인정보처리자는 개인정보를 안전하게 관리(안전조치·파기·권리보장 등 준수)할 수 있도록 관련 의무를 준수해야 하며, 민감정보가 의도치 않게 공개되지 않도록 공개 가능성 및 비공개 선택 방법을 알리도록 해야 함
• 개인정보 처리 요건 개선 및 처리방침 평가 운영
- 동의 외 계약 이행을 위해 필요한 경우 등 개인정보 처리 요건을 다양화하여 동의 없이 수집 ·이용이 가능하도록 하고, 개인정보 처리 요건 개선에 따라 개인정보 처리방침에 대한 적정성을 평가 및 이에 대한 개선 권고할 수 있도록 함. 또한, 정보주체의 자유로운 의사에 따른 선택권 보장 등 동의 방법에 대한 원칙을 명시함(2024.9.15 시행)
• 개인정보 분쟁조정 강화
- 분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대하고, 분쟁조정 시 15일 이내 거부 의사가 없으면 수락한 것으로 간주함으로써 분쟁조정 당사자의 적극적인 의사 확인 및 관련 분쟁조정 절차를 개편함
• 손해배상청구소송 시 국민의 정보 접근권 강화
- 법원이 당사자의 신청에 따라 손해 증명 또는 손해액 산정에 필요한 자료제출을 명할 수 있는 근거를 마련함
# 2. 온·오프라인 이중 규제 등 개선
• 영상정보처리기기 운영기준 개선
- 영상정보를 저장하지 않고 통계 목적으로 일시적으로 처리하는 경우 고정형 영상정보처리기기 설치·운영 가능하도록 하고, 이동형 영상정보처리기기(드론, 자율주행차 등에 부착하는 촬영 장치 등)의 촬영 사실 표시(정보주체가 알기 어려운 경우 개인정보위 구축 사이트에 공지) 등 운영 기준을 마련함
• 개인정보 수집 출처 통지 및 이용·제공 내역 통지 제도 합리화
- 통지 의무 대상자의 범위를 일원화하고 통지도 함께 진행할 수 있도록 하고, 팝업 및 알람 등 알림창(단, 개인정보 이용ㆍ제공 내역 통지의 경우에는 해당 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 통지하는 경우에 한함)을 통해 개별적으로 알릴 수 있도록 함
• 14세 미만 아동의 개인정보 수집
- 모든 개인정보처리자에게 법정대리인의 동의 확인 및 아동에게 개인정보 처리에 관한 사항 고지 시 이해해기 쉬운 양식과 알기 쉬운 언어 사용을 의무화함
• 개인정보 유출 등의 신고·통지
- 온라인과 오프라인·공공기관으로 이원화되어 있는 유출 신고·통지 일원화 및 개인정보 유출 사실을 알게된 때부터 72시간 이내에 통지 이행하도록 함
• 개인정보 안전조치 기준 일원화
- 온라인과 오프라인으로 구분되어 있는 안전조치 기준을 온라인을 중심으로 통합 및 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비함
• 개인정보 파기 특례 정비
- 정보주체의 의사와 무관하게 1년 동안 서비스 이용이 없는 경우 파기 등 조치를 강제했던 규정(개인정보 유효기간제)을 삭제하여 개별 기업·기관 등의 서비스 특성 및 정보주체의 이용주기 등의 개별적 상황을 고려하여 자율적으로 휴면정책 채택 여부를 정할 수 있도록 함
• 벌칙 규정 개선
- 소상공인 등 개인정보처리자의 규모 및 경미한 위반행위 등을 종합적으로 고려하여 과태료 면제가 가능하도록 하고, 형벌보다 경제적 제재로 전화하는 것이 효과적인 경우에 과징금으로 전환할 수 있도록 함
# 3. 공공기관 개인정보 처리 안전성 강화
• 주요 공공시스템 안전성 확보 조치
- 공공부문 개인정보 유출 방지 대책에 따라 공공시스템 운영기관에 대한 안전조치 기준*을 강화함(2024.9.15 시행)
* 공공시스템 운영기관에 대한 안전조치 기준: 내부 관리계획, 접근권한 부여, 접속기록, 정보주체 통지, 전담부서·인력 배치, 관리책임자 지정, 공공시스템 운영협의회
• 공공기관 개인정보파일 공개 범위 확대
- 내부적 업무처리 목적이더라도 일시적으로 처리되는 경우 등을 제외하고는 모두 등록하여 관리 및 (통계법 적용 제외 규정 개정에 따라) 통계법을 근거로 수집되는 개인정보파일의 경우 60일 내에 개인정보위에 등록하도록 함
• 공공기관 개인정보 영향평가 개선
- 영향평가서 요약본을 공개할 수 있도록 하여 공공기관의 개인정보 처리 투명성 강화 및 통계법에 따라 공공기관이 개인정보파일을 운용하고 있는 경우 2년 이내 영향평가 실시 후 개인정보위에 결과를 제출하도록 함
• 통계법 적용 제외 규정 개선
- 종전에는 통계법에 따라 수집되는 개인정보는 법 제3장부터 제7장까지 적용을 배제하였으나, 통계법에 특별한 규정이 있는 경우를 제외하고는 개인정보 보호법을 적용하도록 개정함
• 개인정보 처리위탁·재위탁 보호조치
- 수탁자의 범위에 다시 위탁받은 제3자를 포함하고, 수탁자가 제3자에게 다시 위탁하려는 경우 위탁자 동의를 받도록 함. 또한, 수탁자의 경우에도 법 위반에 대한 책임이 있는 범위 내에서 과징금·과태료·형벌을 적용할 수 있도록 함
# 4. 글로벌 스탠다드 반영
• 국외 이전 및 이전 중지명령 도입
- 글로벌 스탠다드에 맞추어 개인정보 보호 수준이 보장된다고 인정되는 국가 및 개인정보 보호 인증 등을 받은 기업으로 국외 이전 가능하도록 다양화하고, 법을 위반하거나 보호 수준이 취약하여 정보주체에게 피해 발생 우려가 현저한 경우 국외 이전을 중지할 수 있도록 근거를 마련함
• 과징금 제도 개선
- 과징금 상한액을 전체 매출액 기준으로 설정(과징금 산정기준이 되는 매출액은 전체 매출액에서 위반행위와 관련 없는 매출액을 제외)하고, 과징금 규정은 공공기관을 포함한 모든 개인정보처리자와 수탁자에게 적용하도록 함. 또한, 중소·영세사업자 등의 부담능력을 감안하여 과징금 납부기한을 2년 범위 내에서 연기·분할 납부할 수 있도록 근거를 마련함
마치며
개인정보 보호법 제1조(목적)에 따르면, “이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.”라고 명시하고 있습니다. 이처럼, 개인정보 보호법은 변화하는 환경 속에서 개인정보를 보다 안전하게 보호하면서도 정보주체의 권리 향상을 위한 방향으로 점차 개선되어야 할 것입니다.
2011년 제정 이후 전면 개정되는 개인정보 보호법이기는 하나, 일부 개인정보 전송요구권 및 자동화된 의사결정에 대한 정보주체의 권리 등은 현재 시행령 개정안을 준비 중으로 추가 입법예고 등이 예정되어 있는 만큼 이후 동향도 주목하여 관심을 가지고 대응해 나갈 필요가 있을 것입니다.
네이버는 앞으로도 개인정보 및 프라이버시 보호와 관련한 다양한 정보를 전달드릴 수 있도록 노력하겠습니다.
감사합니다.
<참고자료>
· 전면 개정 개인정보 보호법, 9월 15일 시행 (개인정보보호위원회 보도자료, 링크)
· “마음에 든다” 민원인에 연락한 경찰관…앞으론 ‘전과자’ 된다 (매일경제, 링크)
[출처] 9월 15일, '개정 개인정보 보호법' 시행 소식|작성자 네이버 프라이버시
'법, 용어 > SI 법' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 안내서(2024.10) (0) | 2025.01.13 |
|---|---|
| “마음에 든다” 민원인에 연락한 경찰관…앞으론 ‘전과자’ 된다 (0) | 2025.01.13 |
| 대형 공공SW사업에 대기업 참여 허용…11년 만에 제도 개편 (1) | 2024.12.11 |
| 투입인력 요구 및 관리 금지 # (2) | 2024.12.03 |
| 노동 인력 관리 휴가 근태 등 (0) | 2024.11.25 |
