21일 양재 엘타워에서 ‘개인정보 보호법 시행령 개정안 공청회’...개정 방향 설명 및 의견수렴
동의방법, 온·오프라인 중복규제 개선, 공공분야 개인정보 안전성 강화 등 다양한 분야 다뤄
다양한 산업군에서 개인정보보호 담당자 등 150여명 참석...다양한 질문 이어져
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 올해 5월 19일부터 입법예고 되고, 9월 15일에 전격 시행되는 ‘개인정보 보호법’(법률 제19234호) 시행령 개정안에 대한 의견을 수렴하기 위해 공청회를 개최했다.
▲개인정보위는 서울 엘타워에서 개인정보 보호법 시행령 개정안 공청회를 진행했다[사진=보안뉴스]
개인정보위가 주최하고 한국인터넷진흥원이 주관한 이번 공청회에서는 시행령 개정안과 함께 이달 중 행정예고되는 과징금·안전조치 고시 개정안의 주요 내용을 설명한 후, 참석자들의 의견을 수렴하는 순서로 진행됐다. 개인정보위는 올해 3월 14일 ‘개인정보 보호법’ 개정안 공포 이후 산업계, 시민단체, 학계 등과의 간담회를 통해 의견을 청취한 데 이어, 이번 공청회를 통해 다양한 국민의 의견을 수렴해 시행령 개정안에 반영할 예정이다.
서울 양재동 엘타워에서 진행된 이번 공청회에는 개인정보위 양청삼 개인정보정책국장, 이병남 개인정보보호정책과장, 김직동 신기술개인정보과장, 박영수 조사총괄과장, 임종철 개인정보보호정책과 행정사무관 등이 참석했다.
▲이병남 개인정보보호정책과장은 시행령 개정안의 주요 내용을 설명했다[사진=보안뉴스]
먼저 이병남 과장은 시행령 개정안의 주요 내용을 설명했다. 이병남 과장은 “개인정보위는 2020년에 진행된 데이터 3법 개정을 통해 정보통신망법 내 개인정보 규정 이관, 가명정보 개념 도입 및 안전한 결합 및 활용을 전적으로 맡게 됐다”며 “개인정보보호위원회가 출범한 이후로 개정이 유보된 과제는 국민의 개인정보 자기결정권 강화(필수적 사전 동의제도 개선, 전송요구권 및 자동화된 결정에 대한 정보주체 권리), 동일행위-동일규제(특례 정비)(온·프라인 규제 일원화, 경직된 국외 이전요건 개선 등), 신기술 발전에 따른 제도 정비(이동형 영상정보처리기기 운영 기준 정비 등)’ 등 세 가지”라고 말했다.
이번 개인정보 보호법 개정안은 △데이터 경제 성장 견인 △개인정보 신뢰사회 구축 △글로벌 스탠다드 선도 등 3개 축으로 해서 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반을 마련하는데 그 의의가 있다.
올해 9월 개정 법안의 차질 없는 시행을 위해 개인정보위는 후속 시행령과 고시 개정을 신속하게 추진 중이다. 올해 9월 15일에 시행되는 1차 시행의 주요 내용은 △정보통신서비스 특례 정비, 이동형 영상기기 규정 △동의받는 방법 및 추가적인 이용·제공 △개인정보 처리방침 평가제, 분쟁조정제도 절차 △공공시스템 운영기관 특례 등 안전성 확보 조치 △국외 이전 및 중지 명령 △과징금 부과기준, 공포명령 등이다.
또한, 내년 3월 15일 이후에 시행되는 2차 개정에는 △자동화된 결정에 대한 정보주체의 권리 △공공기관 개인정보 보호 수준평가 △개인정보보호책임자의 업무 및 자격요건 △손해배상의 보장 대상 범위 및 기준 △개인정보 전송요구권 관련 규정 등이 포함된다.
이번 법 시행령 개정안의 주요 내용은 ‘디지털 경제 성장 견인’과 관련해 온라인과 오프라인과 오프라인 구분 없이 동일한 기준을 적용하게 된다. 이는 정보통신서비스 특례규정(제6장)을 일반규정으로 일원화해 모든 개인정보처리자가 동일한 규범을 적용받게 함으로써 온-오프라인 사업자 간 중복되는 규제를 통합 정비했다.
세부 내용으로는 △수집 출처 통지 및 이용·제공 내역 통지 제도 정비 △안전성 확보 조치 중복 규정 일원화 △유출 통지 및 신고 규정 일원화 △정보통신서비스 제공자 등에만 적용되던 국내 대리인 지정 규정의 일반 규정으로의 전환 △유효기간제 규정 삭제 등이다.
두 번째로 이동형 영상정보처리기기 규정 마련에서는 이동형 영상기기의 구체적인 범위, 목욕실·화장실 등에서 영상기기 운영 제한의 예외 사유, 촬영 사실 표시에 대한 방법 등의 규정을 신설했다.
‘디지털 시대에 적합한 국민의 적극적 권리 강화’ 측면에서는△개인정보 제공 동의를 받을 때 국민의 실질적 선택이 가능하도록 개선 △개인정보 처리방침의 평가 △공공분야 개인정보 처리의 안전성 강화 △개인정보 분쟁조정제도 개선 등의 내용을 담았다.
‘글로벌 스탠다드에 부합하는 법 제도 정비’와 관련해서는 개인정보 국외이전 요건 다양화 및 보호조치 강화, 과징금 부과기준 마련 등이 있다. 그 외에도 △아동의 개인정보 보호 △고정형 영상정보처리기기 △결과의 공표 및 공표명령 △과태료의 부과기준 등과 관련한 내용을 담았다.
▲박영수 조사총괄과장은 과징금 부과기준(시행령·고시) 주요내용 설명했다[사진=보안뉴스]
이어 박영수 조사총괄과장은 과징금 부과기준(시행령·고시) 주요 내용을 설명했다. 박영수 과장은 “이번 과징금 부과기준의 고시 제정 방향에서는 개정 법을 반영하면서 비례성과 실효성 제고에 초점을 뒀으며, 기준 금액도 중대성 급간을 기존의 매우중대·중대·일반 3개(단일 비율)에서 매우중대·중대·보통·약한 등 4개(구간 설정)로 개정했다”며 “이밖에도 중대성 판단 기준을 세분하고, 필수적 가중·감경과 추가적 가중·감경 등이 개정안에 담겼다”고 설명했다.
▲김직동 신기술개인정보과장은 안전조치 기준(시행령·고시) 주요내용을 설명했다[사진=보안뉴스]
또한, 김직동 신기술개인정보과장은 안전조치 기준(시행령·고시) 주요 내용을 발표했다. 김직동 과장은 “이번 안전조치 기준 고시의 주요 내용은 안전성 확보 조치의 중복 규정을 일원화하고, 공공시스템 운영기관에 대한 안전성 확보 조치 등 특례 규정을 신설했다”고 밝혔다. 세부 추진방향으로는 크게 △수범자를 개인정보처리자로 일원화 △상이한 규정 통합 △이용자의 개인정보는 현행 유지 △비밀번호 중심 고시 조항을 생체인증 등으로 확대 △특정 기술에 종속적인 용어를 기술중립적으로 변경 △개인정보 처리 현실을 반영해 합리적으로 개선 △개인정보 취급자 외 정보주체 접속기록도 3개월 이상 보관해 개인정보보호 강화 △공공기관의 개인정보보호 강화 등의 조치 내용을 설명했다.
한편, 개인정보위는 향후에도 간담회와 공청회 등을 통해 산업계, 시민단체, 학계 등과 개정안을 공유할 계획이다. 또한, 오는 6월 28일까지는 국민누구나 국민참여입법센터를 통해 이번 시행령 개정안에 대한 의견을 제출할 수 있다.
개인정보위의 설명이 끝난 이후, 질의응답 시간이 마련됐다. 양청삼 국장은 “올해 2월 법 개정과 3월 개정법 공포 이후에 개인정보위는 합리적인 하위 규정 마련을 위해 수차례 간담회 등을 통해 의견을 수렴하고, 법 취지에 부합하는 시행령을 만들기 위해 노력했다”며 “민간 시장에 영향을 미치는 과징금과 관련해서는 규제 심사를 통해 꾸준히 보완하고 다듬어 8월에 공론화를 거쳐 9월부터 시행될 예정”이라고 말했다. 이어 “이번 법 개정은 데이터3법 개정 이후에 명실상부한 개인정보 보호 안전관리체계를 확보하고, 21세기형 개인정보 환경 구축을 위한 모든 것을 담고 있다”며 “오늘 제시된 의견들을 경청해 내용을 충분히 수렴하고 적절한 규정이 마련될 수 있도록 노력해 나가겠다”고 밝혔다.
이번 개인정보 보호법 시행령 개정안 공청회에는 150여명이 참석해 큰 관심을 나타냈다. 다음은 법 시행령 개정안과 관련한 참석자들과 개인정보위 측의 질의응답이다.
▲김직동 신기술개인정보과장, 이병남 개인정보보호정책과장, 양청삼 개인정보정책국장, 박영수 조사총괄과장(좌부터)이 질의응답을 진행하고 있다[사진=보안뉴스]
Q. 개인정보 처리방식 평가에 관한 고시는 언제쯤 진행되고, 개인정보 처리자는 어떻게 조치해야 하는지.
이병남 과장 : 오는 6월 28일에 고시될 예정이며, 일정 기간 행정예고를 거치면서 다양한 의견을 수렴해 확정할 예정이다.
Q. 안전조치 기준을 보면 안전한 인증수단 적용에서 가상사설망(VPN) 부분은 제외됐는데 VPN에 OTP 등을 통해 접속한다면 이 조항에 포함되는지.
김직동 과장 : 안전조치 가운데 VPN 접속은 특화된 통로로, 이를 통해 크리덴셜 탈취 등이 진행되면 쉽게 데이터 탈취가 가능하다. 따라서 VPN이든 아니든 정당한 데이터 접속 권한을 받은 자가 정당한 방식으로 접속해야 한다는 데 주된 목적을 갖고 있다.
Q. 시행령 개정 취지 중 인터넷서비스 처리자가 망분리를 할 때 규모에 관계 없이 회원 서비스와 관계된 시스템과 그렇지 않은 시스템과의 적용 기준을 세분화하는 게 필요하지 않나.
김직동 과장 : 망분리와 관련해서는 현재 100만명 이상 또는 5만명 이상 이렇게 세분화하는게 필요하다고 본다. 하지만 정보통신서비스 이용자가 아닌 정보주체는 개인정보 처리시스템 당 100만명으로 보는 게 맞지 않나 생각한다. 이러한 세분화된 기준을 담아내도록 하겠다.
Q. 가명정보를 국외 이전하는 경우에 정보주체의 동의를 받지 않은 상태에 국외 이전을 하게 되는데, 이 경우에는 괜찮은지.
이병남 과장 : 가명정보도 국외 이전하기 위해서는 법적 규제를 받게 된다. 하지만, 가명정보이기 때문에 누구인지 파악할 수 없어 개별 동의를 받기는 힘들겠지만, 이럴 때는 ISMS 기준에 근거해 이전할 수 있다. 다만, 가명정보도 국외 이전 요건에 해당하지 않으면 국외 이전을 할 수 없다.
Q. 개인정보 취급자의 접속기록을 남기는 것은 어디까지 접속기록을 남겨야 하는지 구체적으로 설명한다면.
김직동 과장 : 접속기록은 이용자와 취급자 모두의 접속기록을 의미한다. 개인정보 처리시스템에 접속한 사람이라면, 이용자와 취급자, 특히, 불법으로 접속한 악의적인 사람들을 포함하는데 이는 해킹 여부를 파악하기 위해서다. 비정상적인 접속 루트로 접근하는 모든 기록을 잘 관리해서 보안 사고를 막자는 데 의미가 있다.
양청삼 국장 : 취급자의 접속기록은 안전조치의 기본 의무이며, 해킹으로 인해 개인정보가 다크웹에 떠돌아다니는 등 유출 피해를 막기 위해 정보처리에 접속한 사람에 대해서는 최소한으로 기록을 남기자는 게 취지다. 다만, 영향평가 관리 및 절차, 의무준수 단계와 관련해서는 사용자에게 과도한 부담이 없도록 조치하겠다.
Q. 과징금 부과기준에서 ‘명백히’와 ‘간접적으로’라는 단어에 대해 개인정보보호 처리자의 입장에서는 부담이 될 수도 있는데.
박영수 과장 : ‘명백히’라는 용어의 사용에 대해서는 담당자가 크게 우려를 하지 않아도 되겠지만, 내부적으로는 해당 단어의 사용이나 다른 단어로의 대체 등을 다시 고려해 보겠다. ‘간접적’이라는 단어도 현재 시행령 안에 포함돼 있기 때문에 단어를 삭제하기는 힘들다.
Q. 기타 개정사항 중 고정형 영상정보처리기기에서 촬영된 영상정보를 저장하지 않는 경우 통계 등 목적으로 해당 기기를 운영할 수 있도록 했는데, 이를 구체적으로 설명한다면.
김직동 과장 : 디지털 사인 등 새로운 유형이 비즈니스 모델로 들어왔기 때문에 이를 위해 법의 테두리에 포함됐다. 사실 촬영된 영상정보 중 통계로 사용하기 위해서는 특징 정보가 필요할 수도 있는데, 시스템에서 처리하고 지우면 처리 근거도 남지 않아 법적 관리가 필요하다. 통계 처리를 목적으로 나중에 해당 영상정보를 사용하면 불법이 될 수도 있기 때문에 이와 관련해서는 각별한 주의가 요구된다.
Q. 정보주체의 접속기록을 3개월 이상 보관하게 돼 있다. 그 접속기록도 개인정보인데, 이와 관련 개인정보 주체에 동의를 받아야 하는지, 아니면 그냥 별도의 서면 고지로 알리고 끝내도 되는지.
김직동 과장 : 보통 자동으로 수집되는 개인정보는 전화번호 등 개인정보 중에서도 아주 기본적인 것들인데, 이런 것까지 개인정보 수집 동의를 받을 필요는 없다고 본다.
Q. 수탁사에서는 인사정보에 등록하지 않는 사람들도 많은데, 이들에 대한 개인정보 처리나 인사정보 등록의 기준은 어떻게 정해야 하는지.
이병남 과장 : 수탁사라고 하더라도 위탁 받은 범위 내에서는 개인정보 처리자라고 볼 수 있다. 따라서 수탁사의 인사담당자는 인사정보에 등록되지 않은 사람들의 개인정보를 관리 및 처리해야 하고, 이들을 인사정보에 등록하고 반영해야 한다.
Q. 조달청에 위탁계약 시 조달청에서는 개인정보 처리 위탁계약을 조달계약이 끝난 이후에야 처리하도록 돼 있는데 불편이 많다.
이병남 과장 : 조달청에서의 개인정보 처리 위탁계약과 관련해서도 효율성을 높일 수 있는 방향으로 지속적으로 업무협조를 진행해 나가도록 하겠다.
Q. 드론 등의 활성화로 이동형 저장장치가 상공에서 사람들을 수시로 촬영하는 경우가 많아지고 있는데, 이동형 저장장치가 어디서 촬영하고 있는지 쉽게 알 수 있으면 좋겠다.
김직동 과장 : 드론 등 이동형 저장장치나 자율주행 장치는 규제 요구가 많이 들어왔고, 샌드박스를 통해 진행하고 있다. 하지만, 정보주체 입장에서는 촬영 여부를 알리고, 촬영 당한 사람에게 확인할 수 있는 방안을 마련해야 한다고 생각한다. 특정한 시간에 특정한 위치에서 촬영했던 것을 촬영된 사람이 확인하고 삭제를 요청할 수 있도록 오는 9월 개정안 시행령 시행 전 웹페이지에 서비스가 가능하도록 추진하겠다.
양청삼 국장 : 드론의 경우 개인정보위나 국토부 홈페이지에는 정당한 목적으로 띄우려면 신고하도록 하고 있다. 앞으로는 민간사업자들이 지도에도 표시할 수 있도록 협조를 요청할 계획이다.
Q. 자동으로 수집되는 정보는 맞춤형 광고도 있지만 일반적인 서비스 과정에서 자동으로 수집되는 정보도 있는데, 이 경우에도 개인정보 수집 동의를 받아야 하나.
김직동 과장 : 개인정보 처리방침에서 자동으로 수집되는 정보의 수집 동의는 사용자가 적극적으로 기입하는 전화번호 등 주요 정보를 말한다. 하지만. 쿠키 등은 개인정보 처리 동의가 안 되기 때문에 그건 별개다. 쿠키 등에 대해서는 통제권 제공 등 맞춤형 광고 관련 가이드라인이 나오면 신속하게 공유할 계획이다.
Q. 개인정보 유효기간제 폐지 관련해서 이미 유효기간이 지난 휴면회원에 대해서는 어떻게 처리해야 하는지.
양청삼 국장 : 기본적으로는 1년 이상 접속이 없을 때는 해당 개인정보는 파기 원칙에 따라야 처리해야 한다. 다만, 이용자의 마일리지 등 권리침해와 관련된 사항 등이 있으면 별도로 분리 보관하는 것이 가능하다는 게 유효기간제의 의미다. 이미 분리보관돼 있는 개인정보인데, 개인정보자의 권리침해 소지가 있으면 파기하면 안 된다. 따라서 사전에 개인정보 대상자에게 연락한 뒤에 파기 또는 원상복귀해야 한다고 생각한다. 이와 관련해서도 별도의 안내서를 만들어 상세하게 설명할 예정이다.
[김영명 기자(boan@boannews.com)]
동의방법, 온·오프라인 중복규제 개선, 공공분야 개인정보 안전성 강화 등 다양한 분야 다뤄
다양한 산업군에서 개인정보보호 담당자 등 150여명 참석...다양한 질문 이어져
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 올해 5월 19일부터 입법예고 되고, 9월 15일에 전격 시행되는 ‘개인정보 보호법’(법률 제19234호) 시행령 개정안에 대한 의견을 수렴하기 위해 공청회를 개최했다.
▲개인정보위는 서울 엘타워에서 개인정보 보호법 시행령 개정안 공청회를 진행했다[사진=보안뉴스]
개인정보위가 주최하고 한국인터넷진흥원이 주관한 이번 공청회에서는 시행령 개정안과 함께 이달 중 행정예고되는 과징금·안전조치 고시 개정안의 주요 내용을 설명한 후, 참석자들의 의견을 수렴하는 순서로 진행됐다. 개인정보위는 올해 3월 14일 ‘개인정보 보호법’ 개정안 공포 이후 산업계, 시민단체, 학계 등과의 간담회를 통해 의견을 청취한 데 이어, 이번 공청회를 통해 다양한 국민의 의견을 수렴해 시행령 개정안에 반영할 예정이다.
서울 양재동 엘타워에서 진행된 이번 공청회에는 개인정보위 양청삼 개인정보정책국장, 이병남 개인정보보호정책과장, 김직동 신기술개인정보과장, 박영수 조사총괄과장, 임종철 개인정보보호정책과 행정사무관 등이 참석했다.
▲이병남 개인정보보호정책과장은 시행령 개정안의 주요 내용을 설명했다[사진=보안뉴스]
먼저 이병남 과장은 시행령 개정안의 주요 내용을 설명했다. 이병남 과장은 “개인정보위는 2020년에 진행된 데이터 3법 개정을 통해 정보통신망법 내 개인정보 규정 이관, 가명정보 개념 도입 및 안전한 결합 및 활용을 전적으로 맡게 됐다”며 “개인정보보호위원회가 출범한 이후로 개정이 유보된 과제는 국민의 개인정보 자기결정권 강화(필수적 사전 동의제도 개선, 전송요구권 및 자동화된 결정에 대한 정보주체 권리), 동일행위-동일규제(특례 정비)(온·프라인 규제 일원화, 경직된 국외 이전요건 개선 등), 신기술 발전에 따른 제도 정비(이동형 영상정보처리기기 운영 기준 정비 등)’ 등 세 가지”라고 말했다.
이번 개인정보 보호법 개정안은 △데이터 경제 성장 견인 △개인정보 신뢰사회 구축 △글로벌 스탠다드 선도 등 3개 축으로 해서 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반을 마련하는데 그 의의가 있다.
올해 9월 개정 법안의 차질 없는 시행을 위해 개인정보위는 후속 시행령과 고시 개정을 신속하게 추진 중이다. 올해 9월 15일에 시행되는 1차 시행의 주요 내용은 △정보통신서비스 특례 정비, 이동형 영상기기 규정 △동의받는 방법 및 추가적인 이용·제공 △개인정보 처리방침 평가제, 분쟁조정제도 절차 △공공시스템 운영기관 특례 등 안전성 확보 조치 △국외 이전 및 중지 명령 △과징금 부과기준, 공포명령 등이다.
또한, 내년 3월 15일 이후에 시행되는 2차 개정에는 △자동화된 결정에 대한 정보주체의 권리 △공공기관 개인정보 보호 수준평가 △개인정보보호책임자의 업무 및 자격요건 △손해배상의 보장 대상 범위 및 기준 △개인정보 전송요구권 관련 규정 등이 포함된다.
이번 법 시행령 개정안의 주요 내용은 ‘디지털 경제 성장 견인’과 관련해 온라인과 오프라인과 오프라인 구분 없이 동일한 기준을 적용하게 된다. 이는 정보통신서비스 특례규정(제6장)을 일반규정으로 일원화해 모든 개인정보처리자가 동일한 규범을 적용받게 함으로써 온-오프라인 사업자 간 중복되는 규제를 통합 정비했다.
세부 내용으로는 △수집 출처 통지 및 이용·제공 내역 통지 제도 정비 △안전성 확보 조치 중복 규정 일원화 △유출 통지 및 신고 규정 일원화 △정보통신서비스 제공자 등에만 적용되던 국내 대리인 지정 규정의 일반 규정으로의 전환 △유효기간제 규정 삭제 등이다.
두 번째로 이동형 영상정보처리기기 규정 마련에서는 이동형 영상기기의 구체적인 범위, 목욕실·화장실 등에서 영상기기 운영 제한의 예외 사유, 촬영 사실 표시에 대한 방법 등의 규정을 신설했다.
‘디지털 시대에 적합한 국민의 적극적 권리 강화’ 측면에서는△개인정보 제공 동의를 받을 때 국민의 실질적 선택이 가능하도록 개선 △개인정보 처리방침의 평가 △공공분야 개인정보 처리의 안전성 강화 △개인정보 분쟁조정제도 개선 등의 내용을 담았다.
‘글로벌 스탠다드에 부합하는 법 제도 정비’와 관련해서는 개인정보 국외이전 요건 다양화 및 보호조치 강화, 과징금 부과기준 마련 등이 있다. 그 외에도 △아동의 개인정보 보호 △고정형 영상정보처리기기 △결과의 공표 및 공표명령 △과태료의 부과기준 등과 관련한 내용을 담았다.
▲박영수 조사총괄과장은 과징금 부과기준(시행령·고시) 주요내용 설명했다[사진=보안뉴스]
이어 박영수 조사총괄과장은 과징금 부과기준(시행령·고시) 주요 내용을 설명했다. 박영수 과장은 “이번 과징금 부과기준의 고시 제정 방향에서는 개정 법을 반영하면서 비례성과 실효성 제고에 초점을 뒀으며, 기준 금액도 중대성 급간을 기존의 매우중대·중대·일반 3개(단일 비율)에서 매우중대·중대·보통·약한 등 4개(구간 설정)로 개정했다”며 “이밖에도 중대성 판단 기준을 세분하고, 필수적 가중·감경과 추가적 가중·감경 등이 개정안에 담겼다”고 설명했다.
▲김직동 신기술개인정보과장은 안전조치 기준(시행령·고시) 주요내용을 설명했다[사진=보안뉴스]
또한, 김직동 신기술개인정보과장은 안전조치 기준(시행령·고시) 주요 내용을 발표했다. 김직동 과장은 “이번 안전조치 기준 고시의 주요 내용은 안전성 확보 조치의 중복 규정을 일원화하고, 공공시스템 운영기관에 대한 안전성 확보 조치 등 특례 규정을 신설했다”고 밝혔다. 세부 추진방향으로는 크게 △수범자를 개인정보처리자로 일원화 △상이한 규정 통합 △이용자의 개인정보는 현행 유지 △비밀번호 중심 고시 조항을 생체인증 등으로 확대 △특정 기술에 종속적인 용어를 기술중립적으로 변경 △개인정보 처리 현실을 반영해 합리적으로 개선 △개인정보 취급자 외 정보주체 접속기록도 3개월 이상 보관해 개인정보보호 강화 △공공기관의 개인정보보호 강화 등의 조치 내용을 설명했다.
한편, 개인정보위는 향후에도 간담회와 공청회 등을 통해 산업계, 시민단체, 학계 등과 개정안을 공유할 계획이다. 또한, 오는 6월 28일까지는 국민누구나 국민참여입법센터를 통해 이번 시행령 개정안에 대한 의견을 제출할 수 있다.
개인정보위의 설명이 끝난 이후, 질의응답 시간이 마련됐다. 양청삼 국장은 “올해 2월 법 개정과 3월 개정법 공포 이후에 개인정보위는 합리적인 하위 규정 마련을 위해 수차례 간담회 등을 통해 의견을 수렴하고, 법 취지에 부합하는 시행령을 만들기 위해 노력했다”며 “민간 시장에 영향을 미치는 과징금과 관련해서는 규제 심사를 통해 꾸준히 보완하고 다듬어 8월에 공론화를 거쳐 9월부터 시행될 예정”이라고 말했다. 이어 “이번 법 개정은 데이터3법 개정 이후에 명실상부한 개인정보 보호 안전관리체계를 확보하고, 21세기형 개인정보 환경 구축을 위한 모든 것을 담고 있다”며 “오늘 제시된 의견들을 경청해 내용을 충분히 수렴하고 적절한 규정이 마련될 수 있도록 노력해 나가겠다”고 밝혔다.
이번 개인정보 보호법 시행령 개정안 공청회에는 150여명이 참석해 큰 관심을 나타냈다. 다음은 법 시행령 개정안과 관련한 참석자들과 개인정보위 측의 질의응답이다.
▲김직동 신기술개인정보과장, 이병남 개인정보보호정책과장, 양청삼 개인정보정책국장, 박영수 조사총괄과장(좌부터)이 질의응답을 진행하고 있다[사진=보안뉴스]
Q. 개인정보 처리방식 평가에 관한 고시는 언제쯤 진행되고, 개인정보 처리자는 어떻게 조치해야 하는지.
이병남 과장 : 오는 6월 28일에 고시될 예정이며, 일정 기간 행정예고를 거치면서 다양한 의견을 수렴해 확정할 예정이다.
Q. 안전조치 기준을 보면 안전한 인증수단 적용에서 가상사설망(VPN) 부분은 제외됐는데 VPN에 OTP 등을 통해 접속한다면 이 조항에 포함되는지.
김직동 과장 : 안전조치 가운데 VPN 접속은 특화된 통로로, 이를 통해 크리덴셜 탈취 등이 진행되면 쉽게 데이터 탈취가 가능하다. 따라서 VPN이든 아니든 정당한 데이터 접속 권한을 받은 자가 정당한 방식으로 접속해야 한다는 데 주된 목적을 갖고 있다.
Q. 시행령 개정 취지 중 인터넷서비스 처리자가 망분리를 할 때 규모에 관계 없이 회원 서비스와 관계된 시스템과 그렇지 않은 시스템과의 적용 기준을 세분화하는 게 필요하지 않나.
김직동 과장 : 망분리와 관련해서는 현재 100만명 이상 또는 5만명 이상 이렇게 세분화하는게 필요하다고 본다. 하지만 정보통신서비스 이용자가 아닌 정보주체는 개인정보 처리시스템 당 100만명으로 보는 게 맞지 않나 생각한다. 이러한 세분화된 기준을 담아내도록 하겠다.
Q. 가명정보를 국외 이전하는 경우에 정보주체의 동의를 받지 않은 상태에 국외 이전을 하게 되는데, 이 경우에는 괜찮은지.
이병남 과장 : 가명정보도 국외 이전하기 위해서는 법적 규제를 받게 된다. 하지만, 가명정보이기 때문에 누구인지 파악할 수 없어 개별 동의를 받기는 힘들겠지만, 이럴 때는 ISMS 기준에 근거해 이전할 수 있다. 다만, 가명정보도 국외 이전 요건에 해당하지 않으면 국외 이전을 할 수 없다.
Q. 개인정보 취급자의 접속기록을 남기는 것은 어디까지 접속기록을 남겨야 하는지 구체적으로 설명한다면.
김직동 과장 : 접속기록은 이용자와 취급자 모두의 접속기록을 의미한다. 개인정보 처리시스템에 접속한 사람이라면, 이용자와 취급자, 특히, 불법으로 접속한 악의적인 사람들을 포함하는데 이는 해킹 여부를 파악하기 위해서다. 비정상적인 접속 루트로 접근하는 모든 기록을 잘 관리해서 보안 사고를 막자는 데 의미가 있다.
양청삼 국장 : 취급자의 접속기록은 안전조치의 기본 의무이며, 해킹으로 인해 개인정보가 다크웹에 떠돌아다니는 등 유출 피해를 막기 위해 정보처리에 접속한 사람에 대해서는 최소한으로 기록을 남기자는 게 취지다. 다만, 영향평가 관리 및 절차, 의무준수 단계와 관련해서는 사용자에게 과도한 부담이 없도록 조치하겠다.
Q. 과징금 부과기준에서 ‘명백히’와 ‘간접적으로’라는 단어에 대해 개인정보보호 처리자의 입장에서는 부담이 될 수도 있는데.
박영수 과장 : ‘명백히’라는 용어의 사용에 대해서는 담당자가 크게 우려를 하지 않아도 되겠지만, 내부적으로는 해당 단어의 사용이나 다른 단어로의 대체 등을 다시 고려해 보겠다. ‘간접적’이라는 단어도 현재 시행령 안에 포함돼 있기 때문에 단어를 삭제하기는 힘들다.
Q. 기타 개정사항 중 고정형 영상정보처리기기에서 촬영된 영상정보를 저장하지 않는 경우 통계 등 목적으로 해당 기기를 운영할 수 있도록 했는데, 이를 구체적으로 설명한다면.
김직동 과장 : 디지털 사인 등 새로운 유형이 비즈니스 모델로 들어왔기 때문에 이를 위해 법의 테두리에 포함됐다. 사실 촬영된 영상정보 중 통계로 사용하기 위해서는 특징 정보가 필요할 수도 있는데, 시스템에서 처리하고 지우면 처리 근거도 남지 않아 법적 관리가 필요하다. 통계 처리를 목적으로 나중에 해당 영상정보를 사용하면 불법이 될 수도 있기 때문에 이와 관련해서는 각별한 주의가 요구된다.
Q. 정보주체의 접속기록을 3개월 이상 보관하게 돼 있다. 그 접속기록도 개인정보인데, 이와 관련 개인정보 주체에 동의를 받아야 하는지, 아니면 그냥 별도의 서면 고지로 알리고 끝내도 되는지.
김직동 과장 : 보통 자동으로 수집되는 개인정보는 전화번호 등 개인정보 중에서도 아주 기본적인 것들인데, 이런 것까지 개인정보 수집 동의를 받을 필요는 없다고 본다.
Q. 수탁사에서는 인사정보에 등록하지 않는 사람들도 많은데, 이들에 대한 개인정보 처리나 인사정보 등록의 기준은 어떻게 정해야 하는지.
이병남 과장 : 수탁사라고 하더라도 위탁 받은 범위 내에서는 개인정보 처리자라고 볼 수 있다. 따라서 수탁사의 인사담당자는 인사정보에 등록되지 않은 사람들의 개인정보를 관리 및 처리해야 하고, 이들을 인사정보에 등록하고 반영해야 한다.
Q. 조달청에 위탁계약 시 조달청에서는 개인정보 처리 위탁계약을 조달계약이 끝난 이후에야 처리하도록 돼 있는데 불편이 많다.
이병남 과장 : 조달청에서의 개인정보 처리 위탁계약과 관련해서도 효율성을 높일 수 있는 방향으로 지속적으로 업무협조를 진행해 나가도록 하겠다.
Q. 드론 등의 활성화로 이동형 저장장치가 상공에서 사람들을 수시로 촬영하는 경우가 많아지고 있는데, 이동형 저장장치가 어디서 촬영하고 있는지 쉽게 알 수 있으면 좋겠다.
김직동 과장 : 드론 등 이동형 저장장치나 자율주행 장치는 규제 요구가 많이 들어왔고, 샌드박스를 통해 진행하고 있다. 하지만, 정보주체 입장에서는 촬영 여부를 알리고, 촬영 당한 사람에게 확인할 수 있는 방안을 마련해야 한다고 생각한다. 특정한 시간에 특정한 위치에서 촬영했던 것을 촬영된 사람이 확인하고 삭제를 요청할 수 있도록 오는 9월 개정안 시행령 시행 전 웹페이지에 서비스가 가능하도록 추진하겠다.
양청삼 국장 : 드론의 경우 개인정보위나 국토부 홈페이지에는 정당한 목적으로 띄우려면 신고하도록 하고 있다. 앞으로는 민간사업자들이 지도에도 표시할 수 있도록 협조를 요청할 계획이다.
Q. 자동으로 수집되는 정보는 맞춤형 광고도 있지만 일반적인 서비스 과정에서 자동으로 수집되는 정보도 있는데, 이 경우에도 개인정보 수집 동의를 받아야 하나.
김직동 과장 : 개인정보 처리방침에서 자동으로 수집되는 정보의 수집 동의는 사용자가 적극적으로 기입하는 전화번호 등 주요 정보를 말한다. 하지만. 쿠키 등은 개인정보 처리 동의가 안 되기 때문에 그건 별개다. 쿠키 등에 대해서는 통제권 제공 등 맞춤형 광고 관련 가이드라인이 나오면 신속하게 공유할 계획이다.
Q. 개인정보 유효기간제 폐지 관련해서 이미 유효기간이 지난 휴면회원에 대해서는 어떻게 처리해야 하는지.
양청삼 국장 : 기본적으로는 1년 이상 접속이 없을 때는 해당 개인정보는 파기 원칙에 따라야 처리해야 한다. 다만, 이용자의 마일리지 등 권리침해와 관련된 사항 등이 있으면 별도로 분리 보관하는 것이 가능하다는 게 유효기간제의 의미다. 이미 분리보관돼 있는 개인정보인데, 개인정보자의 권리침해 소지가 있으면 파기하면 안 된다. 따라서 사전에 개인정보 대상자에게 연락한 뒤에 파기 또는 원상복귀해야 한다고 생각한다. 이와 관련해서도 별도의 안내서를 만들어 상세하게 설명할 예정이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
