개인정보 수집·이용, 개인정보 처리방침 평가제, 영향평가 등 다양한 변화
개인정보보호위원회 양청삼 개인정보정책국장, 이용자·서비스제공자·공공기관 신뢰 확보돼야
[보안뉴스 김경애 기자] 개정된 개인정보보호법이 대폭 손질됐다. 개인정보 수집·이용을 비롯해 개인정보 처리방침 평가제, 영향평가, 영상정보처리기기 및 안전조치 기준, 국외이전 및 중지 명령, CPO 지정 요건 등 다양한 변화가 생겼다. 더욱이 2024년 3월 15일 CPO 지정요건 등 새로운 개인정보보호법 시행도 예정돼 있다. 이에 따라 개인정보보호 실무진은 새로운 법에 대한 충분한 이해와 숙지, 적용이 필요하다.
[이미지 = gettyimagesbank]
개인정보보호위원회 양청삼 개인정보정책국장은 11일 ‘개정 개인정보보호법 현장 안착을 위한 종합 설명회’에서 “개정된 개인정보보호법이 지난 9월 15일부터 시행됨에 따라 개인정보 처리 과정에서 준수사항 등 많은 변화가 예상된다”며, “2024년 3월 15일 시행 예정인 개인정보보호책임자(CPO) 지정요건, 자동화된 결정에 대한 권리, 개인정보 처리 일반분야, 처리방침 평가제, 영상정보처리기기 운영규정 및 안전조치 기준, 국외이전과 제재 규정 등이 개정됨에 따라 충분한 숙지가 필요하다”고 당부했다.
▲개인정보보호위원회 양청삼 개인정보정책국장[사진=보안뉴스]
특히 개인정보 보호와 안전한 이용을 위해 이용자, 서비스제공자, 공공기관 사이에 신뢰 확보가 중요하다는 것. 이날 진행된 ‘개인정보보호법 시행령 2차 개정안 공청회’ 의견수렴 등의 과정을 통해 제도 개선에 참고할 것이라는 게 양청삼 국장의 설명이다.
개정된 개인정보보호법 주요 내용은 △개인정보 처리 일반 분야 △개인정보 처리방침 평가제, 영향평가 등 △영상정보처리기기 및 안전조치 기준 △국외 이전 및 중지 명령 △개인정보 유출 등의 통지 및 신고, 제재 규정 등으로 구분된다.
이에 <보안뉴스>는 개정된 개인정보보호법 주요 내용을 5회에 걸쳐 연속 보도할 예정이다. 첫 번째 시간에는 개정된 개인정보보호법의 <개인정보 처리 일반 분야>를 소개한다.
개인정보 처리 일반 분야
개인정보 처리 일반 분야에서는 △개인정보 수집·이용 및 제공 △수집 출처 및 이용·제공 내역 통지 △업무위탁 처리 제한 △아동의 개인정보 △민감정보 처리 제한 △개인정보 파기 특례규정 삭제(유효기간제 폐지) 등이 개정됐다.
△개인정보 수집·이용 및 제공
1. 동의받지 않아도 개인정보 수집 가능
첫째, 개인정보 수집·이용 요건이 개선(법 제15조)됐다. 법 개정으로 모든 개인정보처리자는 법 제15조제1항1호부터 제7호까지의 사유 중 어느 하나라도 해당되면 동의받지 않아도 개인정보를 수집할 수 있고, 수집 목적의 범위 내에서 이용할 수 있다. 단, 동의받을 때에는 정보주체가 동의 여부에 대해 자유로운 의사에 따라 선택할 수 있어야 하고, 시행령 제17조에 따른 동의 방법의 조건과 방법을 준수해야 한다.
동의 없이 처리할 수 있는 개인정보에 대해서는 항목과 처리 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분해 개인정보처리방침에 명시해 공개하거나 알려야 한다.
개인정보보호위원회 임종철 사무관은 “과거에는 개인정보 수집 이용에 있어 동의 중심이었으나, 이제는 일반규정 1~7호까지 하나의 요건만 충족하면 적법하게 수집할 수 있도록 전환 됐다”며 “반드시 동의 받아야 한다는 고정관념에서 벗어나도 된다”고 밝혔다.
이어 임종철 사무관은 “그렇다고 동의받는 게 만병통치약은 아니”라며 “상호 신뢰에 기반해 개인정보를 수집·이용해야 한다”고 주의를 당부했다.
2. ‘불가피하게’ 삭제
둘째, 개인정보 수집·이용 요건 중 계약 체결 및 이행에서 ‘불가피하게’가 삭제(법 제15조)됐다. 이를테면 부동산 거래의 경우 부동산 소유자가 맞는지, 권리관계 등의 정보를 미리 확인하기 위해 개인정보를 수집하는 경우는 상호 신뢰 안에서 수집할 수 있기 때문에 별도 동의 없이 개인정보의 수집·이용이 가능하다는 얘기다.
임종철 사무관은 “이번 개정을 통해 ‘불가피하게’를 삭제해 개인정보처리자와 정보주체가 계약과 관련해 서로 예상할 수 있는 합리적인 범위 내에서는 상호 신뢰에 기반해 개인정보를 수집·이용할 수 있다고 설명했다.
3. 긴급상황 및 공공 안전 위해 (제5호, 제7호) 변경
셋째, 긴급상황, 공공 안전을 위해서는 개인정보 사전 동의를 받지 않아도 되도록 개정됐다. 이를 위해 (제5호) 종전의 법 제15조제5호의 요건 중 ‘정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우’가 삭제됐다.
이번 삭제를 통해 아동범죄, 성폭행, 사회적 이슈 등과 같이 긴급한 상황이 인정되면 관계기관에서 우선 개인정보를 수집·이용·제공할 수 있도록 법적 근거가 마련됐다.
또한 (제7호) 종전의 법 제58조 제1항제3호를 삭제해 ‘공공위생, 공공의 안전을 위해 긴급히 필요한 경우’에도 개인정보 처리, 안전조치, 파기 등의 규정을 적용했다.
4. 개인정보의 목적 범위 내 제공 요건 개선(법 제17조)
넷째, 개인정보의 목적 범위 내 제공 요건이 개선됐다. 개인정보를 제3자에게 제공할 수 있는 요건에 종전 법 제15조제1항 제2호, 제3호 제5호 외에도 제6호, 제7호가 추가됐다.
5. 개인정보의 목적 외 이용·제공 요건 개선(법 제18조제2항)
다섯째, 개인정보의 목적 외 이용·제공 요건이 개선됐다. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 명백히 인정되는 경우(제3호)와 공중위생 등 공공의 안전과 안녕을 위한 긴급한 경우(제10호)에는 동의 없이도 제3자에게 목적외 이용·제공이 가능하다.
6. 개인정보 추가 이용·제공할 수 있는 경우(법 제15조제3항, 제17조제4항)
여섯째, 개인정보를 추가 이용·제공할 수 있도록 개선됐다. 개인정보를 추가 이용·제공해야 하는 상황예측 공개가 어려워 ‘지속적으로 발생하는 경우’에 한해서는 공개하도록 개선했다.
△수집 출처 및 이용·제공 내역 통지
7. 수집 출처 등 통지 개선
일곱째, 수집 출처 및 이용·제공 내역 통지가 개선됐다. 통지대상 선정은 법 제20조의2에 따른 이용·제공 내역 통지의 산정기준과 동일하게 정비했다. 이어 법 제20조제2항에 따라 의무적으로 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의제2제1항에 따른 이용·제공 내역의 통지를 함께 할 수 있도록 개선됐다. 또한 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법을 추가해 통지 방법을 다양화했다.
임종철 사무관은 “개인정보 이용·제공내역 통지의 경우 제외 대상에 관한 질문이 가장 많았다”며 “이용자가 통지내역을 보내지 말라고 요청한 경우 보내지 않아도 된다”며 “거부절차 만들어야 하는지 여부에 대한 질문을 많이 받는데, 이용자 권리주체에 대해 충분히 안내하고 있거나, 연락처 안내를 하고 있다면 안 해도 된다”고 설명했다.
개인정보처리자가 기존에 운영하고 있는 사용자 웹사이트(마이페이지 등)에 정보주체에 이용·제공 내역 통지의 경우 알림창을 통해 알리는 방법이 추가됐다. 이때 알림창은 일정 기간 정보주체가 개별적으로 확인할 수 있어야 하므로 앱, 웹 내 자체 알림 페이지를 통해 안내하는 등의 방식을 활용할 수 있다.
또한 퇴직한 임직원에 있어서의 개인정보 이용·제공 내역 통지 여부에 대해 임종철 사무관은 “퇴사자, 경력증명서 요청자의 경우 예전 기준에 의해 제공해야 한다면 별도 통지를 하지 않아도 된다”며 “이용통지 대상에서 제외되는 사항에 대해 좀더 명확하게 개선됐다”고 말했다.
△업무위탁 처리 제한
8. 업무위탁 처리 제한(법 제26조)
▲개인정보보호위원회 임종철 사무관[사진=보안뉴스]
이어 업무위탁 처리 제한도 개정됐다. 개인정보처리자(위탁자)로부터 위탁받은 수탁자의 범위에 재위탁받은 제3자도 포함하도록 규정했다.
이어 개인정보처리자(위탁자)는 정보주체가 언제든지 쉽게 확인할 수 있도록 위탁업무 내용과 수탁자 등을 홈페이지에 공개해야 한다. 또는 재위탁받은 제3자를 확인할 수 있는 경로 안내 공개도 가능하다.
임 사무관은 “1, 2, 3차 위탁이 발생해도 수탁자에 포함되고, 수탁자가 재위탁할 경우에는 위탁자 동의 규정이 추가됐다”며 “정보주체가 재위탁 발생에 대해 충분히 인지하고, 동의받은 사실을 입증하고 증빙할 수 있어야 한다”고 설명했다. 즉, 개인정보처리방침을 통해 투명하게 수탁자 리스트를 제공하는 게 바람직하다는 얘기다.
△아동의 개인정보
9. 아동의 개인정보, 민감정보의 처리 제한(법 제22조의2)
이어 아동의 개인정보, 민감정보의 처리 제한이 개정됐다. 법정대리인 동의 확인 방법과 14세 미만 아동에 대한 개인정보 처리 고지 방법 등의 특례규정이 모든 개인정보처리자로 확대됐다. 이에 따라 개인정보처리자는 법정대리인이 실제로 동의했는지 확인하고, 14세 미만의 아동에게 개인정보 처리를 고지할 경우 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 한다. 기존 온라인 사업자(정보통신서비스제공자) 역시 법정대리인 동의 확인, 아동에 대한 고지 등에 유의해야 한다.
다음으로 민감정보 처리 제한(법 제23조제3항 신설)이 신설됐다. 개인정보처리자는 서비스 제공 전 경고창 등을 통해 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체에게 알기 쉽게 알려야 한다. 다만 공개 게시판, 소셜네트워크서비스(SNS) 등 서비스 자체가 공개 기반인 경우 상호 의사소통을 목적으로 하고 있어 공개 가능성 등을 알리지 않을 수 있다.
△개인정보 파기 특례규정 삭제(유효기간제 폐지)
10. 개인정보 파기 특례규정 삭제
마지막으로 개인정보 파기 특례규정이 삭제(법 제39조의 6 삭제)되고, 기업 서비스 특성에 맞게 휴면정책을 개편했다. 서비스 특성에 맞게 휴면정책은 6개월, 1년, 2년 기간 등을 선택할 수 있다. 별도 분리보관의 경우 서비스 이용고객의 개인정보와 통합 관리하되 휴면고객의 특성에 맞는 안전조치 방안을 보완해야 한다.
임 사무관은 휴면회원과 일반회원 DB 통합 시 주의사항에 대해 “당초 회원 가입시 동의 받은 내용과 현재 서비스 내용 간의 변경 내용은 추가 동의를 받아야 한다”며 “마케팅, 홍보 목적의 정보 전송도 수신동의 절차를 거쳤는지 반드시 확인해야 한다”고 강조했다.
또한 유효기간제 내용을 포함할 경우 수정사항 확인이나 국세기본법, 전자상거래법 등 타 법률에 따라 개인정보를 보관해야 하는 경우 분리보관하고, 휴면상태 이용자는 본인이 맞는지 확인절차를 마련해 운영할 것을 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>