개인정보보호법 2차 개정안, 9월 15일 시행 앞두고 있어
변화하는 정보 환경에 발맞춰 개인정보 권리 강화 및 합리적인 규제 마련
[보안뉴스 박은주 기자] 지난 2020년 데이터 3법 개정으로 개인정보보호 컨트롤타워 구축 및 데이터 경제 활성화를 위한 초석이 마련됐다. 이후, 인공지능·빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화를 위한 법안 마련은 어느 정도 예견된 일이었다. 데이터 경제 시대로 전환되면서 현실에 부합하지 않는 불합리한 규제가 장애요인으로 작용할 우려가 제기됐기 때문이다.
[이미지=utoimage]
이에 따라 균형 있는 규율을 기반으로 개인정보를 보호 및 활용해 신뢰 기반의 데이터 경제 가속화를 이루기 위해 ‘개인정보보호법’ 2차 개정이 추진됐다. 개정안이 입법예고되고, 법제처 심사와 국회 본회의 의결을 거쳐 지난 3월 개인정보보호 법률이 공포됐다. 오는 9월 15일 본격 시행을 앞둔 개인정보보호법으로 인해 공공·민간·금융 전 분야 마이데이터(My Data) 추세가 확산될 전망이다.
개정되는 개인정보보호법에 대해 한국인터넷진흥원(KISA) 개인정보제도팀 이정현 팀장은 △정보주체의 권리 보장 강화 △글로벌 규제와의 정합성 확보 △디지털 중심 법체계 정비 △개인정보 보호 생태계 조성 등 4가지 주요 내용으로 정리해 소개했다.
▲개인정보보호법 2차 개정 내용과 전망을 소개하는 KISA 개인정보제도팀 이정현 팀장[사진=KISA]
정보주체의 권리 보장 강화
이번 2차 개정으로 정보주체 즉, 자기 자신의 개인정보를 주도적으로 유통·활용할 수 있게 된다. ‘개인정보 전송 요구권’을 신설해 개인정보 통제권을 강화하고 분야별 전송 요구권이 전 분야로 확산된다. 예를 들어, A통신사를 이용 중에 보안이 더 우수한 B통신사로 변경할 시 A통신사에서 B통신사로 개인정보 이동이 가능해지는 것이다.
또한, 인공지능의 발전에 따라 개인 의사를 묻지 않고 의사 결정이 자동적으로 진행되는 문제가 있다. 특정인에 대한 감시가 이어지고 편견이 생기는 등 새로운 사생활 논란이 제기된 것. 이에 개정 이후에는 자동화된 의사 결정에 대응할 수 있는 ‘대응권’이 도입된다. 자동화된 결정이 정보주체의 법적 효력을 미치거나 생명·신체·정신·재산에 중대한 영향을 끼치게 될 때 의사 결정에 대한 거부, 이의 제기 및 설명 요구권을 행사할 수 있다.
기존에는 개인정보 이용에 동의해야만 서비스를 이용할 수 있는 ‘동의 만능주의’ 관행이 존재했다. 그러나 법 개정을 통해 동의제도 역시 개선된다. 기업이 합리적으로 개인정보를 수집하고 활용할 수 있도록 지원이 이뤄진다, 동의 이외에 개인정보를 적법하게 처리할 수 있게끔 애매한 표현의 법률조항을 삭제하고, 개인정보 처리 방침의 적절성을 평가하고 개선 권고할 수 있는 평가제가 도입된다.
글로벌 규제와의 정합성 확보
국경 없는 온라인 전자상거래 확대로 개인정보의 해외 이전 필요성이 증가하고 있다. 그러나 현행 법률상 기업은 고객의 개인정보를 해외로 이전할 때마다 동의를 구해야 해 부담이 되고 있다. 또한, 동의만 이뤄지면 개인정보 보호가 취약한 지역으로도 이전이 가능해 개인정보보호가 어렵다는 문제가 있다.
이에 ‘개인정보 국외 이전 방식 다양화 및 중지명령’ 신설로 개인정보의 안전한 국외 이전을 위한 동의 이외 적법요건을 다양화한다. 법을 위반해 국외 이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단될 때 개인정보 이전을 중지할 수 있는 ‘중지 명령권’이 신설됐다. 개인정보위가 적정한 개인정보 보호수준이 보장된다고 인정하는 국가 또는 인증을 받은 기업으로만 동의 없이 국외 이전이 허용된다.
그동안 개인정보 침해에 대한 책임은 형벌 중심으로 이뤄져 왔다. 실질적 책임이 있는 기업에 대한 경제 제재는 낮은 수준으로, 개인정보보호에 대한 기업의 투자를 촉진하지 못하는 한계 상황이었다. 그러나 앞으로는 ‘경제 제재 중심’으로 전환해 개인정보보호의 실효성을 확대하게 된다. 형사처벌은 폐지되고 과징금이 확대되는 방향으로 개정된다. 개인정보 유출사고 발생 시, 정보통신서비스 제공자와 개인정보처리자 모두 과징금 대상이 된다. 과징금 부과 기준은 개인정보처리 위반행위와 관련한 전체 매출 3%가 부과된다. 이 과정에서 위반행위와 관련한 매출은 기업이 직접 자료를 제출하고 협의를 통해 소명해야 한다.
유럽의 GDPR(General Data Protection Regulation, 개인정보보호 규정)은 2,000만 유로(약 291억 3,160만원) 또는 전 세계 총매출액의 4% 중 높은 금액을 기준으로 부과된다. 그 예로 영국의 브리티시 항공사가 50만명 개인정보를 유출했을 때 2,700억원의 과징금이 부과됐다. 구글은 프랑스에서 동의 방식을 준수하지 않아 650억원의 과징금이 부과됐다
디지털 중심 법체계 정비
SNS나 온라인 지도 등 온라인 공유 서비스를 이용할 때 민감정보를 포함한 대량의 개인정보가 일상적으로 처리되고 있다. 그러나 이에 따른 위험성에 대한 고지가 이뤄지지 않는 상태다. 서비스 제공 과정에서 정보주체에게 민감정보가 공개될 위험이 있는 경우 공개 가능성 및 비공개 선택 방법에 대한 통지 의무를 신설하게 된다. 다만, 전 세계적으로 빛이나 소리, 안내판을 이용하는 것 말고는 뾰족한 방법이 제시되고 있지 않는 상황이다.
기존에는 드론, 자율주행차, 블랙박스 등 이동형 영상정보 처리기기의 특성에 맞는 기준 제시에 한계가 있었다. 하지만 ‘이동형 영상정보 처리기기 운영 기준’이 마련되면 공개된 장소 등에서 업무 목적으로 이동형 영상정보 처리기기를 이용한 개인영상정보 촬영이 제한된다. 정보주체가 동의하거나 촬영 사실에 거부 의사를 밝히지 않은 경우 등은 예외적으로 촬영이 허용된다.
지금까지 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화로 기업의 법 적용 혼선 및 이중 부담이 발생했다. 같은 위반 행위를 한 경우에도, 오프라인 기업(일반 규정)은 과태료 5천만원 이하인데 반해, 온라인 기업(특례 규정)은 관련 매출액의 3% 이하 과징금이 부과됐다.
온·오프라인 서비스의 경계가 모호한 상황에서 이러한 혼선을 없애기 위해 정보통신서비스 특례 규정을 폐지, 일반 규정으로 일원화하게 된다. 모든 정보처리 대상자는 동일한 위반행위에 대해 동일한 규제가 적용된다. 특례 규정에만 있는 손해배상 보장제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반 규정으로 전환해 모든 분야로 확대 적용될 예정이다.
개인정보 보호 생태계 조성
현행법상 시정명령 부과 요건이 경직돼 있고 조사거부 등에 대한 제재 수준이 제대로 갖춰지지 않았다. 그러나 ‘개인정보 침해 조사 및 제재 기능 강화’로 정당한 권한이 없거나 허용된 권한을 초과해 타인의 개인정보를 이용할 시 처벌 대상이 된다. 기존 법안에 제재를 가할 수 없었던 개인정보 처리 수탁자도 과태료‧과징금‧형벌 등 제재 대상에 포함된다.
또한, 분쟁 조정 요청 시 의무적으로 응해야 하는 대상이 확대됐다. 그동안엔 분쟁조정 신청 시 공공기관에 한해 의무적으로 조정 신청에 응답해 왔다. 개정 후에는 의무적으로 응해야 하는 대상을 모든 개인정보처리자로 확대한다. 분쟁조정위원회는 사실조사권을 갖게 되고 제시받은 분쟁 조정안에 대해 수락 여부를 알리지 않은 경우 수락한 것으로 간주된다.
이처럼 대대적으로 개편될 개인정보보호법 2차 개정과 관련해 이정현 팀장은 “9월 시행을 앞두고 시행령을 준비 중이고, 관련 논의를 끊임없이 이어가고 있다”며 “이번 2차 개정안은 법률 공포 6개월, 1년, 1~2년 사이 시행 기간 차이를 둘 만큼 숙고를 거쳐 진행될 것”이라고 말했다.
[박은주 기자(boan5@boannews.com)]
변화하는 정보 환경에 발맞춰 개인정보 권리 강화 및 합리적인 규제 마련
[보안뉴스 박은주 기자] 지난 2020년 데이터 3법 개정으로 개인정보보호 컨트롤타워 구축 및 데이터 경제 활성화를 위한 초석이 마련됐다. 이후, 인공지능·빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화를 위한 법안 마련은 어느 정도 예견된 일이었다. 데이터 경제 시대로 전환되면서 현실에 부합하지 않는 불합리한 규제가 장애요인으로 작용할 우려가 제기됐기 때문이다.
[이미지=utoimage]
이에 따라 균형 있는 규율을 기반으로 개인정보를 보호 및 활용해 신뢰 기반의 데이터 경제 가속화를 이루기 위해 ‘개인정보보호법’ 2차 개정이 추진됐다. 개정안이 입법예고되고, 법제처 심사와 국회 본회의 의결을 거쳐 지난 3월 개인정보보호 법률이 공포됐다. 오는 9월 15일 본격 시행을 앞둔 개인정보보호법으로 인해 공공·민간·금융 전 분야 마이데이터(My Data) 추세가 확산될 전망이다.
개정되는 개인정보보호법에 대해 한국인터넷진흥원(KISA) 개인정보제도팀 이정현 팀장은 △정보주체의 권리 보장 강화 △글로벌 규제와의 정합성 확보 △디지털 중심 법체계 정비 △개인정보 보호 생태계 조성 등 4가지 주요 내용으로 정리해 소개했다.
▲개인정보보호법 2차 개정 내용과 전망을 소개하는 KISA 개인정보제도팀 이정현 팀장[사진=KISA]
정보주체의 권리 보장 강화
이번 2차 개정으로 정보주체 즉, 자기 자신의 개인정보를 주도적으로 유통·활용할 수 있게 된다. ‘개인정보 전송 요구권’을 신설해 개인정보 통제권을 강화하고 분야별 전송 요구권이 전 분야로 확산된다. 예를 들어, A통신사를 이용 중에 보안이 더 우수한 B통신사로 변경할 시 A통신사에서 B통신사로 개인정보 이동이 가능해지는 것이다.
또한, 인공지능의 발전에 따라 개인 의사를 묻지 않고 의사 결정이 자동적으로 진행되는 문제가 있다. 특정인에 대한 감시가 이어지고 편견이 생기는 등 새로운 사생활 논란이 제기된 것. 이에 개정 이후에는 자동화된 의사 결정에 대응할 수 있는 ‘대응권’이 도입된다. 자동화된 결정이 정보주체의 법적 효력을 미치거나 생명·신체·정신·재산에 중대한 영향을 끼치게 될 때 의사 결정에 대한 거부, 이의 제기 및 설명 요구권을 행사할 수 있다.
기존에는 개인정보 이용에 동의해야만 서비스를 이용할 수 있는 ‘동의 만능주의’ 관행이 존재했다. 그러나 법 개정을 통해 동의제도 역시 개선된다. 기업이 합리적으로 개인정보를 수집하고 활용할 수 있도록 지원이 이뤄진다, 동의 이외에 개인정보를 적법하게 처리할 수 있게끔 애매한 표현의 법률조항을 삭제하고, 개인정보 처리 방침의 적절성을 평가하고 개선 권고할 수 있는 평가제가 도입된다.
글로벌 규제와의 정합성 확보
국경 없는 온라인 전자상거래 확대로 개인정보의 해외 이전 필요성이 증가하고 있다. 그러나 현행 법률상 기업은 고객의 개인정보를 해외로 이전할 때마다 동의를 구해야 해 부담이 되고 있다. 또한, 동의만 이뤄지면 개인정보 보호가 취약한 지역으로도 이전이 가능해 개인정보보호가 어렵다는 문제가 있다.
이에 ‘개인정보 국외 이전 방식 다양화 및 중지명령’ 신설로 개인정보의 안전한 국외 이전을 위한 동의 이외 적법요건을 다양화한다. 법을 위반해 국외 이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단될 때 개인정보 이전을 중지할 수 있는 ‘중지 명령권’이 신설됐다. 개인정보위가 적정한 개인정보 보호수준이 보장된다고 인정하는 국가 또는 인증을 받은 기업으로만 동의 없이 국외 이전이 허용된다.
그동안 개인정보 침해에 대한 책임은 형벌 중심으로 이뤄져 왔다. 실질적 책임이 있는 기업에 대한 경제 제재는 낮은 수준으로, 개인정보보호에 대한 기업의 투자를 촉진하지 못하는 한계 상황이었다. 그러나 앞으로는 ‘경제 제재 중심’으로 전환해 개인정보보호의 실효성을 확대하게 된다. 형사처벌은 폐지되고 과징금이 확대되는 방향으로 개정된다. 개인정보 유출사고 발생 시, 정보통신서비스 제공자와 개인정보처리자 모두 과징금 대상이 된다. 과징금 부과 기준은 개인정보처리 위반행위와 관련한 전체 매출 3%가 부과된다. 이 과정에서 위반행위와 관련한 매출은 기업이 직접 자료를 제출하고 협의를 통해 소명해야 한다.
유럽의 GDPR(General Data Protection Regulation, 개인정보보호 규정)은 2,000만 유로(약 291억 3,160만원) 또는 전 세계 총매출액의 4% 중 높은 금액을 기준으로 부과된다. 그 예로 영국의 브리티시 항공사가 50만명 개인정보를 유출했을 때 2,700억원의 과징금이 부과됐다. 구글은 프랑스에서 동의 방식을 준수하지 않아 650억원의 과징금이 부과됐다
디지털 중심 법체계 정비
SNS나 온라인 지도 등 온라인 공유 서비스를 이용할 때 민감정보를 포함한 대량의 개인정보가 일상적으로 처리되고 있다. 그러나 이에 따른 위험성에 대한 고지가 이뤄지지 않는 상태다. 서비스 제공 과정에서 정보주체에게 민감정보가 공개될 위험이 있는 경우 공개 가능성 및 비공개 선택 방법에 대한 통지 의무를 신설하게 된다. 다만, 전 세계적으로 빛이나 소리, 안내판을 이용하는 것 말고는 뾰족한 방법이 제시되고 있지 않는 상황이다.
기존에는 드론, 자율주행차, 블랙박스 등 이동형 영상정보 처리기기의 특성에 맞는 기준 제시에 한계가 있었다. 하지만 ‘이동형 영상정보 처리기기 운영 기준’이 마련되면 공개된 장소 등에서 업무 목적으로 이동형 영상정보 처리기기를 이용한 개인영상정보 촬영이 제한된다. 정보주체가 동의하거나 촬영 사실에 거부 의사를 밝히지 않은 경우 등은 예외적으로 촬영이 허용된다.
지금까지 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화로 기업의 법 적용 혼선 및 이중 부담이 발생했다. 같은 위반 행위를 한 경우에도, 오프라인 기업(일반 규정)은 과태료 5천만원 이하인데 반해, 온라인 기업(특례 규정)은 관련 매출액의 3% 이하 과징금이 부과됐다.
온·오프라인 서비스의 경계가 모호한 상황에서 이러한 혼선을 없애기 위해 정보통신서비스 특례 규정을 폐지, 일반 규정으로 일원화하게 된다. 모든 정보처리 대상자는 동일한 위반행위에 대해 동일한 규제가 적용된다. 특례 규정에만 있는 손해배상 보장제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반 규정으로 전환해 모든 분야로 확대 적용될 예정이다.
개인정보 보호 생태계 조성
현행법상 시정명령 부과 요건이 경직돼 있고 조사거부 등에 대한 제재 수준이 제대로 갖춰지지 않았다. 그러나 ‘개인정보 침해 조사 및 제재 기능 강화’로 정당한 권한이 없거나 허용된 권한을 초과해 타인의 개인정보를 이용할 시 처벌 대상이 된다. 기존 법안에 제재를 가할 수 없었던 개인정보 처리 수탁자도 과태료‧과징금‧형벌 등 제재 대상에 포함된다.
또한, 분쟁 조정 요청 시 의무적으로 응해야 하는 대상이 확대됐다. 그동안엔 분쟁조정 신청 시 공공기관에 한해 의무적으로 조정 신청에 응답해 왔다. 개정 후에는 의무적으로 응해야 하는 대상을 모든 개인정보처리자로 확대한다. 분쟁조정위원회는 사실조사권을 갖게 되고 제시받은 분쟁 조정안에 대해 수락 여부를 알리지 않은 경우 수락한 것으로 간주된다.
이처럼 대대적으로 개편될 개인정보보호법 2차 개정과 관련해 이정현 팀장은 “9월 시행을 앞두고 시행령을 준비 중이고, 관련 논의를 끊임없이 이어가고 있다”며 “이번 2차 개정안은 법률 공포 6개월, 1년, 1~2년 사이 시행 기간 차이를 둘 만큼 숙고를 거쳐 진행될 것”이라고 말했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
