‘자동화된 결정에 대한 정보주체의 권리 행사 절차 마련’ 등 4개 항목으로 요약
내년 3월 15일 시행 예정인 일부 조항의 기준 및 절차 마련...1월 2일까지 의견 수렴
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 ‘개인정보 보호법’ 시행령 개정안을 11월 23일부터 2024년 1월 2일까지 40일간 입법예고한다고 밝혔다. 이번 시행령 개정안은 올해 3월 14일 공포된 개정 ‘개인정보 보호법’에 따른 후속 조치다. 2024년 3월 15일 시행이 예정된 자동화된 결정에 대한 정보주체의 권리, 개인정보 보호책임자의 자격 요건 및 대상, 손해배상의 보장, 공공기관 개인정보 보호수준 평가 등에 관해 개정법에서 위임한 기준 및 절차를 마련하는 내용을 담고 있다.
▲개인정보보호위원회 로고[로고=개인정보위]
법 시행령 개정안의 주요 내용은 크게 △자동화된 결정에 대한 정보주체의 권리 행사 절차 마련 △개인정보 보호책임자의 지정 및 자격요건 △공공분야 개인정보 보호수준 평가 기준 및 절차 마련 △손해배상책임 보장 의무대상자의 범위 개선 등 네 가지로 요약할 수 있다.
먼저, ‘자동화된 결정에 대한 정보주체의 권리 행사 절차 마련’이다. 첫째, 자동화된 결정에 대한 정보주체의 거부·설명 등을 요구할 수 있는 권리가 신설(법 제37조의2)되면서 정보주체의 요구절차 및 방법, 개인정보처리자의 조치사항 및 공개사항 등 세부 절차를 마련했다.
이는 일반적인 개인정보 처리 과정에서의 열람 및 정정·삭제, 처리정지 등 요구권으로 보장되고 있는 정보주체의 권리와 함께, 인공지능(AI) 기술 발전 등 디지털 전환의 변화된 상황에 맞춰 ‘완전히 자동화된 시스템’으로 개인정보를 처리하는 특수한 영역에서도 동일하게 정보주체의 권리가 보장될 수 있도록 규정을 마련한 것이다.
먼저, 해당 자동화된 결정이 생명·신체·재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 정보주체가 해당 결정을 거부한다면 적용하지 않는 조치를 하고, 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그 조치 결과를 알리도록 했다.
또한, 설명 등 요구 시에는 해당 결정의 결과, 해당 결정에 사용된 주요 개인정보의 유형 및 영향 등을 포함해 간결하고 의미 있는 설명을 이해하기 쉽게 제공하도록 구체화했으며, 권리·의무에 중대한 영향을 미치지 않는다면 사전 공개한 기준과 절차 등을 활용해 설명할 수 있도록 했다. 이와 함께 개인정보처리자가 완전히 자동화된 결정에 따른 개인정보 처리를 하는 경우 사전에 기준 및 절차 등을 공개하도록 하되 일회적으로 이뤄지는 경우는 정보주체에게 사전에 알리도록 했으며, 공개할 때는 표준화·체계화된 용어 및 시각화 방법 등을 활용할 수 있도록 규정했다.
다음으로 ‘개인정보 보호책임자의 지정 및 자격요건’이다. 개인정보 보호책임자(CPO)의 전문성과 독립성을 강화할 수 있도록 법이 개정되면서 시행령에 위임된 개인정보 보호책임자의 자격 요건과 적용대상, 독립성 강화방안 등을 정비했다. 개인정보 보호책임자의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상 개인정보처리자는 개인정보 보호 관련 경력(자격요건)을 갖춘 전문성이 있는 보호책임자를 지정하도록 했다.
전문성 자격 요건은 개인정보보호 경력 3년 이상 필수 보유 및 개인정보보호·정보보호·정보기술 경력 합이 6년 이상 보유한 자로 제한했다. 적용 대상은 ①연 매출액 1,500억원 이상인 자로서, 대량의 개인정보(100만명 이상 또는 5만명 이상 민감·고유식별정보)를 보유한 개인정보처리자 또는 재학생 수 1만명 이상인 대학 ②대규모 개인정보를 처리하는 상급종합병원 ③보호위원회가 고시하는 기준을 충족하는 공공시스템 운영기관이다.
또한, 개인정보처리자가 개인정보 보호책임자의 독립성을 보장하기 위해 대표자 및 이사회에 직접 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 및 부당한 지시에 대한 불이행을 이유로 한 불이익 금지 등 준수해야 할 사항을 구체화했다.
이와 함께 개인정보 보호책임자간에 교류 협력을 활성화할 수 있도록 구성하는 개인정보 보호책임자 협의회의 공동사업에 대한 구체적인 범위를 규정하고, 개인정보위가 지원할 수 있도록 했다.
‘공공분야 개인정보 보호수준 평가 기준 및 절차 마련’에서 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 ‘개인정보 보호수준 평가’에 대한 법적 근거(법 제11조의2 신설)가 마련됨에 따라, 법에서 위임된 평가 대상, 평가기준 및 절차 등에 관해 필요한 구체적인 사항을 마련했다. 기존에는 법 제11조에 따라 공공기관의 개인정보 관리수준을 진단하고 개선을 권고할 수 있도록 ‘공공기관 관리수준진단’을 운영했다.
개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보, 효율적인 평가 실시를 위한 평가단 구성·운영에 대한 근거 규정을 마련했다. 또한, 평가계획에 따라 제출한 자료를 기준으로 평가하되, 필요시 현장 방문 또는 대면 평가의 방법으로 실시할 수 있도록 절차를 정비했다.
‘손해배상책임 보장 의무대상자의 범위 개선’도 이어졌다. 손해배상의 보장(법 제39조의7) 의무대상이 정보통신서비스제공자 등에서 개인정보처리자로 변경됨에 따라 구체적 기준 등 조정이 필요하게 됐고, 이번 시행령 개정을 통해 개인정보 손해배상책임 보장 의무가 부여되는 대상자의 기준을 합리적으로 조정하고 법에서 위임한 의무면제 기준을 구체화했다.
손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준을 현행 ‘매출액 5,000만원’ 및 ‘이용자 수 1,000명’ 이상에서 ‘매출액 10억원’ 및 ‘정보주체 수 1만명’ 이상으로 조정했으며, 법 제39조의7에서의 의무가 면제되는 공공기관, 비영리법인 및 단체, 소상공인으로 개인정보처리를 위탁한 자 등에 대한 구체적인 기준을 마련했다.
한편, 이외에도 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고 중복되는 조사·점검이 있는 경우 제외할 수 있도록 정비했으며, 개인정보를 국외에서 수집해 처리하는 경우 국외에서 처리된다는 사실과 국외 이전의 경우 법적 근거를 개인정보 처리방침에 기재하도록 개선했다.
▲개인정보 보호법 시행령 개정안 주요내용[자료=개인정보위]
개인정보위 고학수 위원장은 “9월 15일 법 시행 이후 개정법이 안정적으로 정착될 수 있도록 분야별 현장 설명회 및 안내서 발간 등을 통해 계속해서 현장과 소통해다”며 “그 과정에서 나온 자동화된 결정에 대한 권리 보장이나 개인정보 보호책임자의 전문성·독립성 강화 등의 의견을 개정안에 담았다”고 말했다. 이어 “개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회 및 설명회 등을 통해 학계, 산업계, 시민단체 등의 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.
한편, 이번 시행령 개정안에 대해 의견이 있는 기관·단체나 개인은 국민참여입법센터 홈페이지나 개인정보위 전자우편 및 일반우편 등으로 내년 1월 2일까지 의견을 제출할 수 있다.
[김영명 기자(boan@boannews.com)]
내년 3월 15일 시행 예정인 일부 조항의 기준 및 절차 마련...1월 2일까지 의견 수렴
[보안뉴스 김영명 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 ‘개인정보 보호법’ 시행령 개정안을 11월 23일부터 2024년 1월 2일까지 40일간 입법예고한다고 밝혔다. 이번 시행령 개정안은 올해 3월 14일 공포된 개정 ‘개인정보 보호법’에 따른 후속 조치다. 2024년 3월 15일 시행이 예정된 자동화된 결정에 대한 정보주체의 권리, 개인정보 보호책임자의 자격 요건 및 대상, 손해배상의 보장, 공공기관 개인정보 보호수준 평가 등에 관해 개정법에서 위임한 기준 및 절차를 마련하는 내용을 담고 있다.
▲개인정보보호위원회 로고[로고=개인정보위]
법 시행령 개정안의 주요 내용은 크게 △자동화된 결정에 대한 정보주체의 권리 행사 절차 마련 △개인정보 보호책임자의 지정 및 자격요건 △공공분야 개인정보 보호수준 평가 기준 및 절차 마련 △손해배상책임 보장 의무대상자의 범위 개선 등 네 가지로 요약할 수 있다.
먼저, ‘자동화된 결정에 대한 정보주체의 권리 행사 절차 마련’이다. 첫째, 자동화된 결정에 대한 정보주체의 거부·설명 등을 요구할 수 있는 권리가 신설(법 제37조의2)되면서 정보주체의 요구절차 및 방법, 개인정보처리자의 조치사항 및 공개사항 등 세부 절차를 마련했다.
이는 일반적인 개인정보 처리 과정에서의 열람 및 정정·삭제, 처리정지 등 요구권으로 보장되고 있는 정보주체의 권리와 함께, 인공지능(AI) 기술 발전 등 디지털 전환의 변화된 상황에 맞춰 ‘완전히 자동화된 시스템’으로 개인정보를 처리하는 특수한 영역에서도 동일하게 정보주체의 권리가 보장될 수 있도록 규정을 마련한 것이다.
먼저, 해당 자동화된 결정이 생명·신체·재산의 이익 등 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 정보주체가 해당 결정을 거부한다면 적용하지 않는 조치를 하고, 정보주체가 인적 개입에 의한 재처리를 요구한 경우에는 그 조치 결과를 알리도록 했다.
또한, 설명 등 요구 시에는 해당 결정의 결과, 해당 결정에 사용된 주요 개인정보의 유형 및 영향 등을 포함해 간결하고 의미 있는 설명을 이해하기 쉽게 제공하도록 구체화했으며, 권리·의무에 중대한 영향을 미치지 않는다면 사전 공개한 기준과 절차 등을 활용해 설명할 수 있도록 했다. 이와 함께 개인정보처리자가 완전히 자동화된 결정에 따른 개인정보 처리를 하는 경우 사전에 기준 및 절차 등을 공개하도록 하되 일회적으로 이뤄지는 경우는 정보주체에게 사전에 알리도록 했으며, 공개할 때는 표준화·체계화된 용어 및 시각화 방법 등을 활용할 수 있도록 규정했다.
다음으로 ‘개인정보 보호책임자의 지정 및 자격요건’이다. 개인정보 보호책임자(CPO)의 전문성과 독립성을 강화할 수 있도록 법이 개정되면서 시행령에 위임된 개인정보 보호책임자의 자격 요건과 적용대상, 독립성 강화방안 등을 정비했다. 개인정보 보호책임자의 전문성 강화를 위해 매출액, 개인정보의 보유 규모를 고려해 일정 기준 이상 개인정보처리자는 개인정보 보호 관련 경력(자격요건)을 갖춘 전문성이 있는 보호책임자를 지정하도록 했다.
전문성 자격 요건은 개인정보보호 경력 3년 이상 필수 보유 및 개인정보보호·정보보호·정보기술 경력 합이 6년 이상 보유한 자로 제한했다. 적용 대상은 ①연 매출액 1,500억원 이상인 자로서, 대량의 개인정보(100만명 이상 또는 5만명 이상 민감·고유식별정보)를 보유한 개인정보처리자 또는 재학생 수 1만명 이상인 대학 ②대규모 개인정보를 처리하는 상급종합병원 ③보호위원회가 고시하는 기준을 충족하는 공공시스템 운영기관이다.
또한, 개인정보처리자가 개인정보 보호책임자의 독립성을 보장하기 위해 대표자 및 이사회에 직접 보고할 수 있는 보고체계 구축, 개인정보 처리 관련 정보에 대한 접근 보장, 인적·물적 자원 제공 및 부당한 지시에 대한 불이행을 이유로 한 불이익 금지 등 준수해야 할 사항을 구체화했다.
이와 함께 개인정보 보호책임자간에 교류 협력을 활성화할 수 있도록 구성하는 개인정보 보호책임자 협의회의 공동사업에 대한 구체적인 범위를 규정하고, 개인정보위가 지원할 수 있도록 했다.
‘공공분야 개인정보 보호수준 평가 기준 및 절차 마련’에서 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 ‘개인정보 보호수준 평가’에 대한 법적 근거(법 제11조의2 신설)가 마련됨에 따라, 법에서 위임된 평가 대상, 평가기준 및 절차 등에 관해 필요한 구체적인 사항을 마련했다. 기존에는 법 제11조에 따라 공공기관의 개인정보 관리수준을 진단하고 개선을 권고할 수 있도록 ‘공공기관 관리수준진단’을 운영했다.
개인정보 보호수준 평가를 수행하기 위한 기준, 평가 시행 전 평가계획 통보, 효율적인 평가 실시를 위한 평가단 구성·운영에 대한 근거 규정을 마련했다. 또한, 평가계획에 따라 제출한 자료를 기준으로 평가하되, 필요시 현장 방문 또는 대면 평가의 방법으로 실시할 수 있도록 절차를 정비했다.
‘손해배상책임 보장 의무대상자의 범위 개선’도 이어졌다. 손해배상의 보장(법 제39조의7) 의무대상이 정보통신서비스제공자 등에서 개인정보처리자로 변경됨에 따라 구체적 기준 등 조정이 필요하게 됐고, 이번 시행령 개정을 통해 개인정보 손해배상책임 보장 의무가 부여되는 대상자의 기준을 합리적으로 조정하고 법에서 위임한 의무면제 기준을 구체화했다.
손해배상책임 보장을 위한 보험(공제) 가입 및 준비금 적립 등 의무대상 기준을 현행 ‘매출액 5,000만원’ 및 ‘이용자 수 1,000명’ 이상에서 ‘매출액 10억원’ 및 ‘정보주체 수 1만명’ 이상으로 조정했으며, 법 제39조의7에서의 의무가 면제되는 공공기관, 비영리법인 및 단체, 소상공인으로 개인정보처리를 위탁한 자 등에 대한 구체적인 기준을 마련했다.
한편, 이외에도 고유식별정보 관리실태 정기조사의 기간을 2년에서 3년으로 조정하고 중복되는 조사·점검이 있는 경우 제외할 수 있도록 정비했으며, 개인정보를 국외에서 수집해 처리하는 경우 국외에서 처리된다는 사실과 국외 이전의 경우 법적 근거를 개인정보 처리방침에 기재하도록 개선했다.
▲개인정보 보호법 시행령 개정안 주요내용[자료=개인정보위]
개인정보위 고학수 위원장은 “9월 15일 법 시행 이후 개정법이 안정적으로 정착될 수 있도록 분야별 현장 설명회 및 안내서 발간 등을 통해 계속해서 현장과 소통해다”며 “그 과정에서 나온 자동화된 결정에 대한 권리 보장이나 개인정보 보호책임자의 전문성·독립성 강화 등의 의견을 개정안에 담았다”고 말했다. 이어 “개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 간담회 및 설명회 등을 통해 학계, 산업계, 시민단체 등의 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.
한편, 이번 시행령 개정안에 대해 의견이 있는 기관·단체나 개인은 국민참여입법센터 홈페이지나 개인정보위 전자우편 및 일반우편 등으로 내년 1월 2일까지 의견을 제출할 수 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
