.gif)
2022년 말 기준, 우리나라에 약 1,960만대 CCTV 설치
고정형과 이동형, 기술 발전 따른 영상정보처리기기 사용 환경 반영
[보안뉴스 엄호식 기자] 개인정보보호위원회는 ‘개인정보 보호법(법률 제19234호, 2023.9.15. 시행)’ 시행령 개정안을 5월 19일부터 6월 28일까지 입법 예고했다. 이번 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치로, 정보 주체인 국민의 권리를 실질적으로 보장하고 공공분야에서의 안전조치를 강화하면서, 온라인과 오프라인으로 구분해 이원화돼 있는 개인정보 보호 기준을 일원화하는 내용을 담고 있다. 여기는 CCTV 등 영상정보처리기기 설치·운영에 관한 내용도 포함됐다. 과연 어떤 내용이 담겼으며 영상보안 관련 기업과 지자체 등이 꼭 알아야 내용은 무엇인지 살펴봤다.
▲[이미지 = gettyimagesbank]
개인정보 보호법에서 정의하는 개인정보는 살아있는 개인에 관한 정보로 ①이름(성명), 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보와 ②해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 그리고 ③①또는 ②를 가명처리 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)를 뜻한다.
이에 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人)이나 단체의 정보는 해당하지 않는다. 또, 법인의 상호나 영업 소재지, 임원 정보, 영업실적 등의 정보 또한 ‘개인정보 보호법’에서 보호하는 개인정보의 범위에 해당하지 않는다.
개인정보 보호법 시행령 개정안은 △디지털 경제 성장 견인과 △디지털 시대에 적합한 국민의 적극적 권리 강화 그리고 △국제 표준에 부합하는 법 제도 정비 등 크게 3가지로 구분할 수 있다. 여기에서 영상보안 기업 및 및 지자체 등이 꼭 알아야 할 부분은 바로 새롭게 마련된 이동형 영상정보처리기기 규정이다.
공공기관의 CCTV 설치 및 운영 현황
새로운 규정을 살펴보기에 앞서 2022년 말을 기준으로 공공기관의 CCTV 설치와 운영 현황을 살펴보자. 2022년 말 기준으로 우리나라에 설치된 CCTV는 약 1,960만대이며 이중 공공분야는 약 161만대로 나타났다.
▲2016년~2022년 운영기관별 CCTV 설치 및 운영 현황[자료=개인정보보호위원회]
운영기관별 현황(2022년 기준)을 살펴보면 지방자치단체가 약 87만대로 절반이 넘는 54.2%를 차지했다. 이어 교육기관이 약 46만대(28.7%), 중앙행정기관 약 27만 5,000대(17.2%) 순이었다.
▲설치 목적별 CCTV 설치 및 운영 현황[자료=개인정보보호위원회]
공공분야 CCTV의 설치 목적별 현황을 살펴보면 범죄 예방 및 수사가 가장 높았으며, 시설 안전 및 화재 예방 그리고 교통단속 등의 순이었다.
▲촬영사실 고지방법 및 영상정보 보유기간[자료=개인정보보호위원회]
촬영사실 고지 방법은 안내판 설치가 78.2%로 가장 높았으며, 원거리 촬영 등 장소 특성으로 인해 안내판 설치가 어려운 경우에는 홈페이지에 고지(18.1%)하거나 사업장에 게시(3.6%)하는 것으로 나타났다. 영상정보의 보유기간은 30일 이내가 86.7%로 가장 높았으며, 3개월 이내(10.0%), 4개월~1년(1.9%), 1년 초과(1.4%)의 순이었다.
▲목적외 제3자 제공 현황(왼쪽)과 개인영상정보 열람청구 현황[자료=개인정보보호위원회]
목적 외 제3자 제공 현황은 ‘지자체’가 96.5%로 대부분을 차지했다. 이는 사고 및 사건 발생 시 경찰이 지자체 CCTV 통합관제센터를 통해 각종 사건·사고 영상을 손쉽게 조회하고 제공받을 수 있기 때문으로 파악된다.
개인영상정보 열람청구 현황 역시 지자체가 78.2%로 열람 청구의 대부분을 차지했으며, 중앙행정기관(12.1%)과 교육기관(9.7%)이 뒤를 이었다. 열람 허용은 지방자치단체가 77.8%, 중앙행정기관이 12.2%, 교육기관이 10.0%였으며, 열람 거부는 지방자치단체가 83.7%, 중앙행정기관이 11.1% 그리고 교육기관이 5.2%였다.
영상정보처리기기 관련 규정 및 개정 사항
개인정보 보호법은 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법) 개정(2020.8.5 시행)으로 개인정보보호 컨트롤타워 구축 및 데이터 경제 활성화를 위한 초석이 마련됐다. 하지만 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 차기 입법과제로 유보했다. 이번 개정안은 개인정보 보호법 제정(2011.9.30.) 이래 민·관·산·학의 의견을 반영한 첫 번째 정부안으로 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반을 마련했다.
이번 개인정보 보호법 시행령 개정령(안) 입법예고에는 △고정형 영상정보처리기기 관련 규정과 △이동형 영상정보처리기기 관련 규정 그리고 △과태료에 대한 신설과 삭제 내용이 담겨있다.
운영기준 합리화에 힘쓴 ‘고정형 영상정보처리기기’
기술 발전에 따른 영상정보처리기기의 사용 환경 반영을 위해 고정형 영상정보처리기기의 개념과 운영기준이 수정됐다.
①개념 수정 : 사람·사물의 움직임 감지 등 특정 조건에서 ‘주기적’으로 촬영이 이루어지는 경우가 증가하고 있는 점을 고려해 ‘주기적’ 요건을 추가했다. 예를 들어 코로나19와 관련한 열화상카메라의 경우 상시적 촬영이 아니라 출입자의 얼굴을 인식하는 경우에만 촬영이 이루어진다.
②설치요건 명확화 : 법 제25조 제1항 제3호~제5호까지 요건에 ‘정당한 권한을 가진 자’를 추가해 고정형 영상정보처리기기 설치 및 운영 요건을 명확히 했다. 예를 들어 제3호의 시설안전 및 관리 등을 위해 필요한 경우라고 하더라도 정당한 권한을 보유한 자신의 시설에 대한 안전 및 관리 등을 위해 필요한 경우에만 허용되며, 정당한 권한이 없는 타인의 시설에 대한 고정형 기기를 통한 개인영상정보 촬영은 금지된다.
③설치요건 확대 : ‘시설안전’을 위해서 설치·운영할 수 있던 것을 ‘시설안전 및 관리’까지 확대했다. 현행법상 시설안전은 시설물 및 이용자의 안전까지만 허용되나, 개정 이후 시설물 및 출입자 관리, 주차요금 징수 등을 위해 설치·운영이 가능하다.
④기준 합리화 : 촬영된 영상정보를 저장하지 않는 경우에 고정형 영상정보처리기기 운영이 가능하도록 했다. 이는 영상정보 저장 없이 출입자 수 등 통곗값 산출을 위해 설치·운영하는 경우 등이 해당된다.
⑤과태료 폐지 : 고정형 영상정보처리기기 운영에 대해 안내판 미부착 등 경미한 위반행위에 대한 행정처분 과태료(1,000만원)가 삭제됐다. 다만, 안내판 설치 관련 시정조치 명령 불응 시, 시정명령 위반에 따른 과태료 부과가 가능하기 때문에 주의해야 한다.
이동형 특성에 초점 맞춘 ‘이동형 영상정보처리기기 정의 및 운영기준’
현행법은 고정형 영상정보처리기기(CCTV) 만을 규율하고 있어 드론, 자율주행차 등 이동형 영상정보처리기기의 특성에 맞는 기준 제시에 한계가 있었다. 특히, 정보주체의 개별적 동의를 필요로 하는 등 산업적 측면에서 유연한 대처에 한계가 있어 새로운 운영기준을 마련했다.
①정의 신설 : 사람이 신체에 착용 또는 휴대하거나 이동할 수 있는 물체에 부착 또는 거치해 촬영하는 장치 등으로서 대통령령으로 정하는 것(안 제2조제7의2호). 시행령을 통해 이동형 영상정보처리기기의 유형을 △휴대형 △착용형 △부착·거치형으로 분류할 수 있다.
②운영 기준 : 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 정보주체의 동의가 있거나, 촬영 사실을 표시하였음에도 거부 의사를 밝히지 않은 경우 등에 대해 예외적으로 허용. 정보주체에 대한 부당한 권리 침해의 우려가 없고 합리적인 범위를 초과하지 않는 경우에 안전 활용을 위한 ‘제한적 Opt-Out’을 도입한다.
③구조·구급 허용 : 목욕실이나 화장실 등 사생활 침해 우려가 있는 장소에서도 소방기관이나 경찰 등에서 신속한 화재 진압 등의 업무 수행 등 인명의 구조·구급을 위해 필요한 경우 촬영이 허용된다.
영상정보처리기기 운영에 따른 과태료의 변화
①과태료 신설 : 개인정보 보호법 시행령 개정령(안) 입법예고의 이동형 영상정보처리기기 운영 제한 규정 신설에 따라 과태료도 새롭게 신설됐다. 먼저 목욕실이나 화장실 등 사생활 침해 장소를 이동형 영상정보처리기기로 촬영하는 경우 5,000만원 이하의 과태료가 부과되며, 이동형 영상정보처리기기 운영 제한 규정 위반 시에는 3,000만원 이하의 과태료가 부과된다.
②과태료 삭제 : 고정형 영상정보처리기기의 운영기준 변화에 따라 영상정보처리기기 안내판 미설치에 대해 1,000만원 이하의 과태료가 부과되던 사항은 폐지됐다.
▲시행령 개정 방향[자료=개인정보보호위원회]
개인정보 보호법 시행령 개정안 주요 내용
개인정보 보호법 시행령 개정안은 전 국민 마이데이터 시대에 개인정보 활용 기반을 강화해 신기술·신산업 지원과 디지털 전환을 가속하는 개인정보 규제 혁신과 국민의 적극적 권리 강화, 그리고 데이터 기반 글로벌 규범 형성을 주도하는 선도국가 실현을 목표로 하고 있다. 그에 따른 세부 사항은 다음과 같다.
디지털 경제 성장 견인 ①온라인과 오프라인 구분없이 동일한 기준 적용
이번 개정안에서는 온라인과 오프라인으로 구분해 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞춰 운영기준을 정비했다.
이에 일반규정(종전 영 제30조)과 정보통신서비스제공자 특례규정(종전 영 제48의2)으로 이원화해 규정하고 있는 안전조치 규정을 통합해 정비했다.
정보주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께할 수 있도록 개선했다.
▲이용·제공 내역 통지 기준 개선 내용[자료=개인정보보호위원회]
또, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 백신이나 보안서버 등의 용어를 삭제하고 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등 관련 규정을 기술 중립적으로 정비했다.
이외에도 유출 통지 및 신고 중복교정을 일원화(영 제48조의4 삭제 → 영 제39~40조 통합)해 개인정보가 유출되었다는 사실을 알게 된 경우 정당한 사유가 없는 한 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 한다. 신고대상은 유출된 개인정보가 ①민감정보 또는 고유식별 정보인 경우 ②해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 ③1,000명 이상의 정보가 유출된 경우다. 더불어 정보주체에 대한 통지 역시 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ①동의시 국민이 실질적 선택할 수 있도록 개선
현행 시행령은 동의 방법에 대한 ‘형식’ 요건만을 규정하고 있어 동의 방법의 ‘실질적인 내용’에 대한 명시적인 규정이 없다. 이에 유효한 동의 기준을 명확히 하고, 동의 없이 처리할 수 있는 개인정보에 대해서는 법적 근거를 구분해 처리방침에 공개하도록 해 필수동의 관행을 개선했다.
동의받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화(①정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 ②동의 내용이 구체적이고 명확할 것 ③평이하고 이해하기 쉬운 문구를 사용할 것 ④정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 방법을 제공할 것)하고 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 규정했다.
또, 개인정보의 추가적인 이용·제공 규정은 지속해서 발생해 예상이 가능한 경우, 개인정보 처리방침에 공개하도록 보완해 국민이 실질적인 선택을 할 수 있도록 적법 처리 요건도 개선했다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ②개인정보 처리방침의 평가
개인정보처리자의 책임성을 높이고 국민의 알권리 보장을 위한 ‘처리방침 평가제’ 도입 근거가 마련(법 제30조의 2)됨에 따라 평가 대상과 기준, 절차 등 필요한 사항을 마련해야 할 필요성이 대두됐다.
이에 개인정보처리자의 유형·규모, 처리하는 개인정보의 유형·규모, 처리 근거 및 형태·방식 등을 종합적으로 고려해 평가 대상을 선정할 수 있도록 규정했다. 더불어 ①법상 처리방침에 포함하도록 규정한 사항을 구체적으로 적정하게 수립했는지 ②정보주체가 이해하기 쉬운지 ③정보주체가 쉽게 확인할 수 있는지 등 처리방침의 적정성과 명확성, 접근성 등 형식과 실질 평가를 수행할 수 있도록 평가 기준이 마련됐다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ③공공시스템 운영기관에 대한 안전성 확보 조치
새로운 시행령에는 주요 공공시스템을 운영하는 공공기관에 대해 개별 공공시스템에 대한 안전조치를 내부관리계획에 포함하도록 규정했다. 이에 접근 권한에 대한 안전한 관리를 위해 필요한 조치를 명시하고, 권한의 범위를 초과해 접근한 사실이 확인될 경우, 바로 통지하도록 하는 등 안전조치 기준이 강화됐다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ④개인정보 분쟁조정제도 개선
시행령에서는 분쟁조정 참여 의무가 모든 개인정보처리자로 확대됨에 따라, 분쟁조정 신청 사실 통지 절차 마련(조정신청서 사본을 행정절차법에 따라 지체 없이 상대방에게 송달) 및 참여 예외 사유를 명확화(영 제51조의 2 신설)했다.
분쟁조정 사실조사와 관련해 사실조사의 원칙(사실조사는 필요 최소한의 범위에서 실시, 당사자에게 증거 및 관련 자료를 제출할 수 있는 공평하고 충분한 기회를 주어야 함)을 명문화하고 당사자의 의견 청취 등 절차 및 방법을 구체화(영 제51조의3~4 신설)했다. 또, 수락 간주 개정에 따라 조정안 제시 방법 및 수락 여부 통지 방법 등을 구체화해 규정(영 제51조의 5 신설)했다.
▲[이미지 = gettyimagesbank]
글로벌 스탠다드에 부합하는 법 제도 정비 ①개인정보 국외 이전 요건 다양화 및 보호조치 강화
법 개정으로 정보주체의 동의 외에 국외 이전 요건이 다양해져 신규 국외 이전 요건의 기준과 절차의 구체화가 필요해졌다. 또한, 개인정보가 적정하게 보호되지 않고 있거나 보호되지 않을 우려가 현저한 경우, 개인정보의 국외 이전을 제한하는 국외 이전 중지 명령에 대한 기준과 절차 마련도 필요해졌다.
이에 국외 이전에 관한 전문적인 검토와 심의를 위해 ‘국외이전전문위원회’를 구성·운영하고 ‘개인정보 보호 인증’ 및 ‘국가 인정’에 대한 절차와 기준 등 하위 규정을 신설했다.
또, 국외 이전 중지 명령의 기준(이전된 개인정보의 유형·규모, 위반의 중대성 정도, 피해의 정도 및 긴급성, 중지명령에 대한 이익 형량, 해당 국가의 피해구제 절차 등)과 이의 제기 절차 등 세부적인 규정을 마련했다.
글로벌 스탠다드에 부합하는 법 제도 정비 ②과징금 부과기준 마련
시행령에서는 과징금이 위반행위에 비례해 산정되도록 하고, 중대하고 의도적인 위반행위에 대해서는 엄중한 과징금을, 경미한 위반행위에 대해서는 면제가 가능하도록 산정기준을 개편했다.
과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도(△위반행위의 내용 및 정도 △개인정보의 유형과 정보주체에게 미치는 영향 △정보주체의 피해 규모 등을 종합적으로 고려)에 따라 현행 ‘3구간-구간 내 비율고정’ 방식에서 ‘4구간-구간 내 비율선택’ 방식으로 전환했다.
또, 위반행위와 관련 없는 매출액을 ‘명백히 개인정보의 처리와 관련이 없는 재화·서비스의 매출액’, ‘위반행위로 인해 직·간접적으로 영향을 받는 재화·서비스의 매출액이 아님을 입증한 매출액’으로 구체화했다.
마지막으로 3개 과징금 유형 통합에 따라 시행령 개정안의 부과기준은 법 시행일 이후 위반행위에 대해, 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대해 적용한다.
한편, 개인정보보호위원회는 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 후 법 시행 시기에 맞춰 하반기 중 추가로 입법 예고할 예정이라고 밝혔다.
▲개인정보 보호법 시행령 개정안 주요 내용[자료=개인정보보호위원회]
[엄호식 기자(eomhs@boannews.com)]
고정형과 이동형, 기술 발전 따른 영상정보처리기기 사용 환경 반영
[보안뉴스 엄호식 기자] 개인정보보호위원회는 ‘개인정보 보호법(법률 제19234호, 2023.9.15. 시행)’ 시행령 개정안을 5월 19일부터 6월 28일까지 입법 예고했다. 이번 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치로, 정보 주체인 국민의 권리를 실질적으로 보장하고 공공분야에서의 안전조치를 강화하면서, 온라인과 오프라인으로 구분해 이원화돼 있는 개인정보 보호 기준을 일원화하는 내용을 담고 있다. 여기는 CCTV 등 영상정보처리기기 설치·운영에 관한 내용도 포함됐다. 과연 어떤 내용이 담겼으며 영상보안 관련 기업과 지자체 등이 꼭 알아야 내용은 무엇인지 살펴봤다.
▲[이미지 = gettyimagesbank]
개인정보 보호법에서 정의하는 개인정보는 살아있는 개인에 관한 정보로 ①이름(성명), 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보와 ②해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보 그리고 ③①또는 ②를 가명처리 함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용이나 결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)를 뜻한다.
이에 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人)이나 단체의 정보는 해당하지 않는다. 또, 법인의 상호나 영업 소재지, 임원 정보, 영업실적 등의 정보 또한 ‘개인정보 보호법’에서 보호하는 개인정보의 범위에 해당하지 않는다.
개인정보 보호법 시행령 개정안은 △디지털 경제 성장 견인과 △디지털 시대에 적합한 국민의 적극적 권리 강화 그리고 △국제 표준에 부합하는 법 제도 정비 등 크게 3가지로 구분할 수 있다. 여기에서 영상보안 기업 및 및 지자체 등이 꼭 알아야 할 부분은 바로 새롭게 마련된 이동형 영상정보처리기기 규정이다.
공공기관의 CCTV 설치 및 운영 현황
새로운 규정을 살펴보기에 앞서 2022년 말을 기준으로 공공기관의 CCTV 설치와 운영 현황을 살펴보자. 2022년 말 기준으로 우리나라에 설치된 CCTV는 약 1,960만대이며 이중 공공분야는 약 161만대로 나타났다.
▲2016년~2022년 운영기관별 CCTV 설치 및 운영 현황[자료=개인정보보호위원회]
운영기관별 현황(2022년 기준)을 살펴보면 지방자치단체가 약 87만대로 절반이 넘는 54.2%를 차지했다. 이어 교육기관이 약 46만대(28.7%), 중앙행정기관 약 27만 5,000대(17.2%) 순이었다.
▲설치 목적별 CCTV 설치 및 운영 현황[자료=개인정보보호위원회]
공공분야 CCTV의 설치 목적별 현황을 살펴보면 범죄 예방 및 수사가 가장 높았으며, 시설 안전 및 화재 예방 그리고 교통단속 등의 순이었다.
▲촬영사실 고지방법 및 영상정보 보유기간[자료=개인정보보호위원회]
촬영사실 고지 방법은 안내판 설치가 78.2%로 가장 높았으며, 원거리 촬영 등 장소 특성으로 인해 안내판 설치가 어려운 경우에는 홈페이지에 고지(18.1%)하거나 사업장에 게시(3.6%)하는 것으로 나타났다. 영상정보의 보유기간은 30일 이내가 86.7%로 가장 높았으며, 3개월 이내(10.0%), 4개월~1년(1.9%), 1년 초과(1.4%)의 순이었다.
▲목적외 제3자 제공 현황(왼쪽)과 개인영상정보 열람청구 현황[자료=개인정보보호위원회]
목적 외 제3자 제공 현황은 ‘지자체’가 96.5%로 대부분을 차지했다. 이는 사고 및 사건 발생 시 경찰이 지자체 CCTV 통합관제센터를 통해 각종 사건·사고 영상을 손쉽게 조회하고 제공받을 수 있기 때문으로 파악된다.
개인영상정보 열람청구 현황 역시 지자체가 78.2%로 열람 청구의 대부분을 차지했으며, 중앙행정기관(12.1%)과 교육기관(9.7%)이 뒤를 이었다. 열람 허용은 지방자치단체가 77.8%, 중앙행정기관이 12.2%, 교육기관이 10.0%였으며, 열람 거부는 지방자치단체가 83.7%, 중앙행정기관이 11.1% 그리고 교육기관이 5.2%였다.
영상정보처리기기 관련 규정 및 개정 사항
개인정보 보호법은 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법) 개정(2020.8.5 시행)으로 개인정보보호 컨트롤타워 구축 및 데이터 경제 활성화를 위한 초석이 마련됐다. 하지만 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 차기 입법과제로 유보했다. 이번 개정안은 개인정보 보호법 제정(2011.9.30.) 이래 민·관·산·학의 의견을 반영한 첫 번째 정부안으로 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반을 마련했다.
이번 개인정보 보호법 시행령 개정령(안) 입법예고에는 △고정형 영상정보처리기기 관련 규정과 △이동형 영상정보처리기기 관련 규정 그리고 △과태료에 대한 신설과 삭제 내용이 담겨있다.
운영기준 합리화에 힘쓴 ‘고정형 영상정보처리기기’
기술 발전에 따른 영상정보처리기기의 사용 환경 반영을 위해 고정형 영상정보처리기기의 개념과 운영기준이 수정됐다.
①개념 수정 : 사람·사물의 움직임 감지 등 특정 조건에서 ‘주기적’으로 촬영이 이루어지는 경우가 증가하고 있는 점을 고려해 ‘주기적’ 요건을 추가했다. 예를 들어 코로나19와 관련한 열화상카메라의 경우 상시적 촬영이 아니라 출입자의 얼굴을 인식하는 경우에만 촬영이 이루어진다.
②설치요건 명확화 : 법 제25조 제1항 제3호~제5호까지 요건에 ‘정당한 권한을 가진 자’를 추가해 고정형 영상정보처리기기 설치 및 운영 요건을 명확히 했다. 예를 들어 제3호의 시설안전 및 관리 등을 위해 필요한 경우라고 하더라도 정당한 권한을 보유한 자신의 시설에 대한 안전 및 관리 등을 위해 필요한 경우에만 허용되며, 정당한 권한이 없는 타인의 시설에 대한 고정형 기기를 통한 개인영상정보 촬영은 금지된다.
③설치요건 확대 : ‘시설안전’을 위해서 설치·운영할 수 있던 것을 ‘시설안전 및 관리’까지 확대했다. 현행법상 시설안전은 시설물 및 이용자의 안전까지만 허용되나, 개정 이후 시설물 및 출입자 관리, 주차요금 징수 등을 위해 설치·운영이 가능하다.
④기준 합리화 : 촬영된 영상정보를 저장하지 않는 경우에 고정형 영상정보처리기기 운영이 가능하도록 했다. 이는 영상정보 저장 없이 출입자 수 등 통곗값 산출을 위해 설치·운영하는 경우 등이 해당된다.
⑤과태료 폐지 : 고정형 영상정보처리기기 운영에 대해 안내판 미부착 등 경미한 위반행위에 대한 행정처분 과태료(1,000만원)가 삭제됐다. 다만, 안내판 설치 관련 시정조치 명령 불응 시, 시정명령 위반에 따른 과태료 부과가 가능하기 때문에 주의해야 한다.
이동형 특성에 초점 맞춘 ‘이동형 영상정보처리기기 정의 및 운영기준’
현행법은 고정형 영상정보처리기기(CCTV) 만을 규율하고 있어 드론, 자율주행차 등 이동형 영상정보처리기기의 특성에 맞는 기준 제시에 한계가 있었다. 특히, 정보주체의 개별적 동의를 필요로 하는 등 산업적 측면에서 유연한 대처에 한계가 있어 새로운 운영기준을 마련했다.
①정의 신설 : 사람이 신체에 착용 또는 휴대하거나 이동할 수 있는 물체에 부착 또는 거치해 촬영하는 장치 등으로서 대통령령으로 정하는 것(안 제2조제7의2호). 시행령을 통해 이동형 영상정보처리기기의 유형을 △휴대형 △착용형 △부착·거치형으로 분류할 수 있다.
②운영 기준 : 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 정보주체의 동의가 있거나, 촬영 사실을 표시하였음에도 거부 의사를 밝히지 않은 경우 등에 대해 예외적으로 허용. 정보주체에 대한 부당한 권리 침해의 우려가 없고 합리적인 범위를 초과하지 않는 경우에 안전 활용을 위한 ‘제한적 Opt-Out’을 도입한다.
③구조·구급 허용 : 목욕실이나 화장실 등 사생활 침해 우려가 있는 장소에서도 소방기관이나 경찰 등에서 신속한 화재 진압 등의 업무 수행 등 인명의 구조·구급을 위해 필요한 경우 촬영이 허용된다.
영상정보처리기기 운영에 따른 과태료의 변화
①과태료 신설 : 개인정보 보호법 시행령 개정령(안) 입법예고의 이동형 영상정보처리기기 운영 제한 규정 신설에 따라 과태료도 새롭게 신설됐다. 먼저 목욕실이나 화장실 등 사생활 침해 장소를 이동형 영상정보처리기기로 촬영하는 경우 5,000만원 이하의 과태료가 부과되며, 이동형 영상정보처리기기 운영 제한 규정 위반 시에는 3,000만원 이하의 과태료가 부과된다.
②과태료 삭제 : 고정형 영상정보처리기기의 운영기준 변화에 따라 영상정보처리기기 안내판 미설치에 대해 1,000만원 이하의 과태료가 부과되던 사항은 폐지됐다.
▲시행령 개정 방향[자료=개인정보보호위원회]
개인정보 보호법 시행령 개정안 주요 내용
개인정보 보호법 시행령 개정안은 전 국민 마이데이터 시대에 개인정보 활용 기반을 강화해 신기술·신산업 지원과 디지털 전환을 가속하는 개인정보 규제 혁신과 국민의 적극적 권리 강화, 그리고 데이터 기반 글로벌 규범 형성을 주도하는 선도국가 실현을 목표로 하고 있다. 그에 따른 세부 사항은 다음과 같다.
디지털 경제 성장 견인 ①온라인과 오프라인 구분없이 동일한 기준 적용
이번 개정안에서는 온라인과 오프라인으로 구분해 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞춰 운영기준을 정비했다.
이에 일반규정(종전 영 제30조)과 정보통신서비스제공자 특례규정(종전 영 제48의2)으로 이원화해 규정하고 있는 안전조치 규정을 통합해 정비했다.
정보주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께할 수 있도록 개선했다.
▲이용·제공 내역 통지 기준 개선 내용[자료=개인정보보호위원회]
또, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 백신이나 보안서버 등의 용어를 삭제하고 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등 관련 규정을 기술 중립적으로 정비했다.
이외에도 유출 통지 및 신고 중복교정을 일원화(영 제48조의4 삭제 → 영 제39~40조 통합)해 개인정보가 유출되었다는 사실을 알게 된 경우 정당한 사유가 없는 한 72시간 이내에 개인정보위 또는 한국인터넷진흥원에 신고해야 한다. 신고대상은 유출된 개인정보가 ①민감정보 또는 고유식별 정보인 경우 ②해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 ③1,000명 이상의 정보가 유출된 경우다. 더불어 정보주체에 대한 통지 역시 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ①동의시 국민이 실질적 선택할 수 있도록 개선
현행 시행령은 동의 방법에 대한 ‘형식’ 요건만을 규정하고 있어 동의 방법의 ‘실질적인 내용’에 대한 명시적인 규정이 없다. 이에 유효한 동의 기준을 명확히 하고, 동의 없이 처리할 수 있는 개인정보에 대해서는 법적 근거를 구분해 처리방침에 공개하도록 해 필수동의 관행을 개선했다.
동의받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화(①정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 ②동의 내용이 구체적이고 명확할 것 ③평이하고 이해하기 쉬운 문구를 사용할 것 ④정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 방법을 제공할 것)하고 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 규정했다.
또, 개인정보의 추가적인 이용·제공 규정은 지속해서 발생해 예상이 가능한 경우, 개인정보 처리방침에 공개하도록 보완해 국민이 실질적인 선택을 할 수 있도록 적법 처리 요건도 개선했다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ②개인정보 처리방침의 평가
개인정보처리자의 책임성을 높이고 국민의 알권리 보장을 위한 ‘처리방침 평가제’ 도입 근거가 마련(법 제30조의 2)됨에 따라 평가 대상과 기준, 절차 등 필요한 사항을 마련해야 할 필요성이 대두됐다.
이에 개인정보처리자의 유형·규모, 처리하는 개인정보의 유형·규모, 처리 근거 및 형태·방식 등을 종합적으로 고려해 평가 대상을 선정할 수 있도록 규정했다. 더불어 ①법상 처리방침에 포함하도록 규정한 사항을 구체적으로 적정하게 수립했는지 ②정보주체가 이해하기 쉬운지 ③정보주체가 쉽게 확인할 수 있는지 등 처리방침의 적정성과 명확성, 접근성 등 형식과 실질 평가를 수행할 수 있도록 평가 기준이 마련됐다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ③공공시스템 운영기관에 대한 안전성 확보 조치
새로운 시행령에는 주요 공공시스템을 운영하는 공공기관에 대해 개별 공공시스템에 대한 안전조치를 내부관리계획에 포함하도록 규정했다. 이에 접근 권한에 대한 안전한 관리를 위해 필요한 조치를 명시하고, 권한의 범위를 초과해 접근한 사실이 확인될 경우, 바로 통지하도록 하는 등 안전조치 기준이 강화됐다.
디지털 시대에 적합한 국민의 적극적 권리 강화 ④개인정보 분쟁조정제도 개선
시행령에서는 분쟁조정 참여 의무가 모든 개인정보처리자로 확대됨에 따라, 분쟁조정 신청 사실 통지 절차 마련(조정신청서 사본을 행정절차법에 따라 지체 없이 상대방에게 송달) 및 참여 예외 사유를 명확화(영 제51조의 2 신설)했다.
분쟁조정 사실조사와 관련해 사실조사의 원칙(사실조사는 필요 최소한의 범위에서 실시, 당사자에게 증거 및 관련 자료를 제출할 수 있는 공평하고 충분한 기회를 주어야 함)을 명문화하고 당사자의 의견 청취 등 절차 및 방법을 구체화(영 제51조의3~4 신설)했다. 또, 수락 간주 개정에 따라 조정안 제시 방법 및 수락 여부 통지 방법 등을 구체화해 규정(영 제51조의 5 신설)했다.
▲[이미지 = gettyimagesbank]
글로벌 스탠다드에 부합하는 법 제도 정비 ①개인정보 국외 이전 요건 다양화 및 보호조치 강화
법 개정으로 정보주체의 동의 외에 국외 이전 요건이 다양해져 신규 국외 이전 요건의 기준과 절차의 구체화가 필요해졌다. 또한, 개인정보가 적정하게 보호되지 않고 있거나 보호되지 않을 우려가 현저한 경우, 개인정보의 국외 이전을 제한하는 국외 이전 중지 명령에 대한 기준과 절차 마련도 필요해졌다.
이에 국외 이전에 관한 전문적인 검토와 심의를 위해 ‘국외이전전문위원회’를 구성·운영하고 ‘개인정보 보호 인증’ 및 ‘국가 인정’에 대한 절차와 기준 등 하위 규정을 신설했다.
또, 국외 이전 중지 명령의 기준(이전된 개인정보의 유형·규모, 위반의 중대성 정도, 피해의 정도 및 긴급성, 중지명령에 대한 이익 형량, 해당 국가의 피해구제 절차 등)과 이의 제기 절차 등 세부적인 규정을 마련했다.
글로벌 스탠다드에 부합하는 법 제도 정비 ②과징금 부과기준 마련
시행령에서는 과징금이 위반행위에 비례해 산정되도록 하고, 중대하고 의도적인 위반행위에 대해서는 엄중한 과징금을, 경미한 위반행위에 대해서는 면제가 가능하도록 산정기준을 개편했다.
과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도(△위반행위의 내용 및 정도 △개인정보의 유형과 정보주체에게 미치는 영향 △정보주체의 피해 규모 등을 종합적으로 고려)에 따라 현행 ‘3구간-구간 내 비율고정’ 방식에서 ‘4구간-구간 내 비율선택’ 방식으로 전환했다.
또, 위반행위와 관련 없는 매출액을 ‘명백히 개인정보의 처리와 관련이 없는 재화·서비스의 매출액’, ‘위반행위로 인해 직·간접적으로 영향을 받는 재화·서비스의 매출액이 아님을 입증한 매출액’으로 구체화했다.
마지막으로 3개 과징금 유형 통합에 따라 시행령 개정안의 부과기준은 법 시행일 이후 위반행위에 대해, 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대해 적용한다.
한편, 개인정보보호위원회는 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 후 법 시행 시기에 맞춰 하반기 중 추가로 입법 예고할 예정이라고 밝혔다.
▲개인정보 보호법 시행령 개정안 주요 내용[자료=개인정보보호위원회]
[엄호식 기자(eomhs@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
