개인정보보호법 개정안, 오는 9월 15일부터 본격 시행
디지털 경제 성장 견인, 디지털 시대 적합한 국민 권리 강화, 글로벌 스탠다드 부합 법 정비
온·오프라인 동일한 기준 적용 규제, 이동형 영상처리기기 규정 마련 등 개정
수탁사 처벌 강화 신설, 개인정보보호 강화하고 보안에 투자해야
[보안뉴스 김경애 기자] 개인정보보호법 개정안이 지난 3월 14일 공포된 이후 오는 9월 15일 본격 시행된다. 이번 개정안은 디지털 경제 성장 견인, 디지털 시대에 적합한 국민의 권리 강화, 글로벌 스탠다드에 부합하는 방향으로 정비됐다.
▲개인정보보호위원회 이병남 과장[이미지=보안뉴스]
1. 온·오프라인 구분 없이 동일한 기준 적용 규제
이번 개정안의 주요 내용은 디지털 경제 성장 견인을 위해 첫째, 온라인과 오프라인 구분 없이 동일한 기준 적용으로 규제를 정비했다.
이에 대해 개인정보보호위원회 이병남 과장은 ‘PIS FAIR 2023’에서 “이용·제공내역 통지 및 국내 대리인 지정 등 적용대상을 개인정보 처리자로 확대해 규정을 합리적으로 적용했다”며 “안전성 확보조치와 유출 통지·신고 등 온-오프라인 중복 규정을 일원화했다”고 밝혔다.
특히, 수집 출처 통지(시행령 제15조의2) 및 이용·제공내역 통지(제15조의3) 제도의 합리적 적용으로 개인정보 수집 출처 등 통지와 이용·제공 내역 통지가 중복해 적용되지 않도록 의무대상 통지 기준을 일치시키고 통지 방법과 예외 규정 등을 현실에 맞게 정비했다.
이와 함께 정보통신서비스 제공자 등에만 적용되던 ‘국내 대리인 지정 규정’을 일반 규정으로 전환함에 따라 지정 대상자의 범위(제32조의2)를 개정 법률에 맞게 조정했다.
다음으로 안전성 확보 조치 중복 규정 일원화(제48조의2 삭제 -> 제39조 통합)를 통해 일반규정(종전 제30조)과 정보통신서비스제공자 특례 규정(종전 제48의2)으로 이원화해 규정하고 있는 안전조치 규정을 통합 정비했다. 또한, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비했다.
유출 통지 및 신고 중복 규정 일원화로 개인정보가 유출된 사실을 알게 되면 정당한 사유가 없는 한 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 한다. 또한, 정보주체에 대한 통지는 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.
2. 이동형 영상처리기기 규정 마련
이동형 영상정보처리기기 규정은 이동형 영상기기의 구체적인 범위, 목욕실·화장실 등에서 영상기기 운영 제한의 예외 사유, 촬영 사실 표시에 대한 방법 등의 규정이 신설됐다.
3. 동의받을 때 국민의 실질적 선택 가능하도록 개선
개인정보 동의는 디지털 시대에 맞게 국민의 권리 강화 방향으로 정비됐다. 개정안은 유효한 동의 기준을 명확히 했다. 이와 관련 이병남 과장은 “동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 규정했다”고 말했다. 이어 “개인정보의 추가적 이용·제공 규정은 지속적으로 발생해 예상이 가능한 경우, 개인정보 처리방침에 공개하도록 보완함으로써 국민이 실질적인 선택을 할 수 있게 적법 처리 요건을 개선했다”고 덧붙였다.
4. 개인정보 처리방침의 평가
다음으로 개인정보 처리방침의 평가 개정은 개인정보처리자의 유형·규모, 처리하는 개인정보의 유형·규모, 처리 근거 및 형태·방식 등을 종합적으로 고려해 평가 대상을 선정할 수 있도록 개정됐다.
5. 공공시스템 운영기관에 대한 안전성 확보 조치 등 특례
공공시스템 운영기관에 대한 안전성 확보 조치 등 특례 개정안은 주요 공공시스템을 운영하는 공공기관에 대해 개별 공공시스템에 대한 안전조치를 내부관리계획에 포함하도록 규정했다.
이병남 과장은 “접근 권한에 대한 안전한 관리를 위해 필요한 조치를 명시하고, 권한의 범위를 초과해 접근한 사실이 확인될 경우 지체 없이 통지하도록 하는 등 안전조치 기준을 강화했다”고 강조했다.
6. 개인정보 분쟁조정제도 개선
개인정보 분쟁조정제도는 분쟁조정 참여 의무가 모든 개인정보처리자로 확대됨에 따라, 분쟁조정 신청 사실 통지절차를 마련하고 참여 예외 사유를 명확화(제51조의2 신설)했다.
7. 개인정보 국외이전 요건 다양화 및 보호조치 강화
개인정보 국외이전은 글로벌 스탠다드에 부합하는 규정이 신설됐다. 국외이전에 관한 전문적인 검토 및 심의를 위해 ‘국외이전전문위원회’를 구성·운영하고, ‘개인정보보호인증’ 및 ‘국가인정’에 대한 절차와 기준 등 하위 규정이 신설됐다.
8. 과징금 부과기준 마련
다음으로 과징금 부과기준이 마련됐다. 과징금은 위반행위에 비례해 산정되도록 하고, 중대하고 의도적인 위반행위에 대해 엄중한 과징금을, 경미한 위반행위에 대해서는 면제가 가능하도록 산정기준을 개편했다.
이와 관련 이병남 과장은 “과징금 산정을 위한 기준 금액(기준금액)을 결정하는 비율(부과기준율) 결정은 위반행위의 중대성 정도에 따라 현행 ‘3구간-구간내 비율고정’ 방식에서 ‘4구간-구간내 비율선택’ 방식으로 전환됐다”며 “특히, 수탁 사업자의 처벌 기준이 강화돼 수탁자는 개인정보보호 강화를 위해 보안에 적극 투자해야 한다”고 설명했다.
이 외에도 아동의 개인정보보호, 고정형 영상정보처리기기, 개인정보파일 등록 및 공개, 공공기관 영향평가 지정기준 정비, 결과의 공표 및 공표 명령, 과태료의 부과기준, 부칙 등이 개정됐다.
향후 추진계획에 대해 이병남 과장은 “간담회, 공청회 등을 통해 산업계, 시민단쳬, 학계 등과 개정안을 공유할 방침”이라며 “개인정보보호법 1차 후속 시행령을 오는 9월 시행할 수 있도록 하고, 개인정보보호법 2차 후속 시행령을 2024년 3월 이후 시행할 수 있도록 추진할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
디지털 경제 성장 견인, 디지털 시대 적합한 국민 권리 강화, 글로벌 스탠다드 부합 법 정비
온·오프라인 동일한 기준 적용 규제, 이동형 영상처리기기 규정 마련 등 개정
수탁사 처벌 강화 신설, 개인정보보호 강화하고 보안에 투자해야
[보안뉴스 김경애 기자] 개인정보보호법 개정안이 지난 3월 14일 공포된 이후 오는 9월 15일 본격 시행된다. 이번 개정안은 디지털 경제 성장 견인, 디지털 시대에 적합한 국민의 권리 강화, 글로벌 스탠다드에 부합하는 방향으로 정비됐다.
▲개인정보보호위원회 이병남 과장[이미지=보안뉴스]
1. 온·오프라인 구분 없이 동일한 기준 적용 규제
이번 개정안의 주요 내용은 디지털 경제 성장 견인을 위해 첫째, 온라인과 오프라인 구분 없이 동일한 기준 적용으로 규제를 정비했다.
이에 대해 개인정보보호위원회 이병남 과장은 ‘PIS FAIR 2023’에서 “이용·제공내역 통지 및 국내 대리인 지정 등 적용대상을 개인정보 처리자로 확대해 규정을 합리적으로 적용했다”며 “안전성 확보조치와 유출 통지·신고 등 온-오프라인 중복 규정을 일원화했다”고 밝혔다.
특히, 수집 출처 통지(시행령 제15조의2) 및 이용·제공내역 통지(제15조의3) 제도의 합리적 적용으로 개인정보 수집 출처 등 통지와 이용·제공 내역 통지가 중복해 적용되지 않도록 의무대상 통지 기준을 일치시키고 통지 방법과 예외 규정 등을 현실에 맞게 정비했다.
이와 함께 정보통신서비스 제공자 등에만 적용되던 ‘국내 대리인 지정 규정’을 일반 규정으로 전환함에 따라 지정 대상자의 범위(제32조의2)를 개정 법률에 맞게 조정했다.
다음으로 안전성 확보 조치 중복 규정 일원화(제48조의2 삭제 -> 제39조 통합)를 통해 일반규정(종전 제30조)과 정보통신서비스제공자 특례 규정(종전 제48의2)으로 이원화해 규정하고 있는 안전조치 규정을 통합 정비했다. 또한, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비했다.
유출 통지 및 신고 중복 규정 일원화로 개인정보가 유출된 사실을 알게 되면 정당한 사유가 없는 한 72시간 이내에 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 한다. 또한, 정보주체에 대한 통지는 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.
2. 이동형 영상처리기기 규정 마련
이동형 영상정보처리기기 규정은 이동형 영상기기의 구체적인 범위, 목욕실·화장실 등에서 영상기기 운영 제한의 예외 사유, 촬영 사실 표시에 대한 방법 등의 규정이 신설됐다.
3. 동의받을 때 국민의 실질적 선택 가능하도록 개선
개인정보 동의는 디지털 시대에 맞게 국민의 권리 강화 방향으로 정비됐다. 개정안은 유효한 동의 기준을 명확히 했다. 이와 관련 이병남 과장은 “동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 규정했다”고 말했다. 이어 “개인정보의 추가적 이용·제공 규정은 지속적으로 발생해 예상이 가능한 경우, 개인정보 처리방침에 공개하도록 보완함으로써 국민이 실질적인 선택을 할 수 있게 적법 처리 요건을 개선했다”고 덧붙였다.
4. 개인정보 처리방침의 평가
다음으로 개인정보 처리방침의 평가 개정은 개인정보처리자의 유형·규모, 처리하는 개인정보의 유형·규모, 처리 근거 및 형태·방식 등을 종합적으로 고려해 평가 대상을 선정할 수 있도록 개정됐다.
5. 공공시스템 운영기관에 대한 안전성 확보 조치 등 특례
공공시스템 운영기관에 대한 안전성 확보 조치 등 특례 개정안은 주요 공공시스템을 운영하는 공공기관에 대해 개별 공공시스템에 대한 안전조치를 내부관리계획에 포함하도록 규정했다.
이병남 과장은 “접근 권한에 대한 안전한 관리를 위해 필요한 조치를 명시하고, 권한의 범위를 초과해 접근한 사실이 확인될 경우 지체 없이 통지하도록 하는 등 안전조치 기준을 강화했다”고 강조했다.
6. 개인정보 분쟁조정제도 개선
개인정보 분쟁조정제도는 분쟁조정 참여 의무가 모든 개인정보처리자로 확대됨에 따라, 분쟁조정 신청 사실 통지절차를 마련하고 참여 예외 사유를 명확화(제51조의2 신설)했다.
7. 개인정보 국외이전 요건 다양화 및 보호조치 강화
개인정보 국외이전은 글로벌 스탠다드에 부합하는 규정이 신설됐다. 국외이전에 관한 전문적인 검토 및 심의를 위해 ‘국외이전전문위원회’를 구성·운영하고, ‘개인정보보호인증’ 및 ‘국가인정’에 대한 절차와 기준 등 하위 규정이 신설됐다.
8. 과징금 부과기준 마련
다음으로 과징금 부과기준이 마련됐다. 과징금은 위반행위에 비례해 산정되도록 하고, 중대하고 의도적인 위반행위에 대해 엄중한 과징금을, 경미한 위반행위에 대해서는 면제가 가능하도록 산정기준을 개편했다.
이와 관련 이병남 과장은 “과징금 산정을 위한 기준 금액(기준금액)을 결정하는 비율(부과기준율) 결정은 위반행위의 중대성 정도에 따라 현행 ‘3구간-구간내 비율고정’ 방식에서 ‘4구간-구간내 비율선택’ 방식으로 전환됐다”며 “특히, 수탁 사업자의 처벌 기준이 강화돼 수탁자는 개인정보보호 강화를 위해 보안에 적극 투자해야 한다”고 설명했다.
이 외에도 아동의 개인정보보호, 고정형 영상정보처리기기, 개인정보파일 등록 및 공개, 공공기관 영향평가 지정기준 정비, 결과의 공표 및 공표 명령, 과태료의 부과기준, 부칙 등이 개정됐다.
향후 추진계획에 대해 이병남 과장은 “간담회, 공청회 등을 통해 산업계, 시민단쳬, 학계 등과 개정안을 공유할 방침”이라며 “개인정보보호법 1차 후속 시행령을 오는 9월 시행할 수 있도록 하고, 개인정보보호법 2차 후속 시행령을 2024년 3월 이후 시행할 수 있도록 추진할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
