2024년부터 시행되는 규정 중심의 ‘개인정보 보호법 주요 개정 내용’ 발표
1차 2023년 9월 15일, 2차 2024년 3월 15일 이어 시행령 3차 개정 추진계획
6월 10일 관계기관 합의 및 입법예고, 하반기에 규제심사·법제처 심사 진행 예정
[보안뉴스 김경애 기자] 개인정보 보호법이 대폭 개정돼 관련 법률 준수가 중요해지고 있다. 지난해 3월 14일 개인정보 보호법이 개정됐으며, 1차로 2023년 9월 15일 시행된 데 이어 2차로 지난 3월 15일 후속 시행령 및 고시 등이 순차적으로 개정 완료됐다. 3차 개인정보 전송요구권은 사전 준비 후 시행 시기를 고려해 향후 개정될 예정이다. 이에 따라 향후 3차 개정에도 관심이 모아지고 있다.
▲PIS FAIR 2024의 키노트 세션에서 개인정보위 김직동 개인정보보호정책과장이 발표하고 있다[사진=보안뉴스]
이와 관련 개인정보보호위원회(이하 개인정보위) 김직동 개인정보보호정책과장은 PIS FAIR 2024의 키노트 세션에서 ‘개인정보 보호법 주요 개정 내용(24년부터 시행되는 규정 중심)’을 발표해 뜨거운 관심을 받았다.
[1차, 2023년 9월 15일 시행]
1차로 시행된 개인정보보호법 개정사항은 △정보통신서비스 특례정비 △이동형 영상기기 규정 △동의 받는 방법 및 추가적인 이용·제공 △개인정보 처리방침 평가제 △분쟁조정제도 절차 △공공시스템운영기관 특례 등 안전성 확보조치 △국외 이전 및 중지 명령 △과징금 부과기준 △공표 명령 등이다.
[2차, 2024년 3월 15일 시행]
2차로 시행된 개인정보보호법 개정 사항은 △자동화된 결정에 대한 정보주체의 권리 △개인정보보호책임자의 업무 및 자격요건 △공공기관 개인정보보호 수준 평가 △손해배상의 보장 대상 범위 및 기준 △개인정보 전송요구권 관련 규정(2024년 3월 15일 범위에서 대통령령으로 정하는 날 시행)이다.
1. 자동화된 결정에 대한 정보주체의 권리 도입(법 제37조의2)
주요 개정 내용 중 첫째는 자동화된 결정에 대한 정보주체의 권리 도입이다. 여기에는 ‘자동화된 결정’ 개념과 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 자동화된 결정에 대한 설명 등 요구권이 신설됐다.
이와 관련 김직동 과장은 “개인정보처리자는 정보주체의 권리 행사가 있으면 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 해야 한다”며 “개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 사전 공개해야 한다”고 당부했다.
2. 개인정보보호책임자 전문성 및 독립성 강화(법 제31조)
둘째, 개인정보보호책임자 전문성 및 독립성이 한층 강화됐다. 개인정보 처리자에게 CPO가 업무를 독립적으로 수행할 수 있도록 보장할 의무가 부여됐다. CPO의 자격요건, 독립성 보장 등에 관한 사항을 개인정보 처리자의 매출액, 개인정보의 보유 규모 등을 고려해 설정하도록 하위 법령인 대통령령으로 위임했다. 또한 개인정보 처리자의 ‘CPO협의회’ 구성·운영·근거 및 개인정보위의 지원 근거가 마련됐다.
3. 공공분야 개인정보 보호수준 평가 근거 마련(법 제11조의2)
셋째, 공공분야 개인정보 보호수준 평가 근거가 마련됐다. 공공기관의 개인정보보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 ‘개인정보 보호수준 평가’에 대한 법적 근거(법 제11조의2 신설)를 명확히 했다.
특히 ‘개인정보 보호수준 평가’ 시행을 위해 △평가대상 △평가기준 및 절차 △자료제출 범위 등 구체화 △개인정보 보호수준 평가를 수행하기 위한 기준 △평가 시행 전 평가계획 통보 △효율적인 평가 실시를 위한 평가단 구성·운영 등 평가의 세부절차 마련 △평가계획에 따라 제출한 자료를 기준으로 평가하고, 필요시 현장방문 또는 대면평가 방법으로 실시할 수 있도록 규정 △자료제출의 범위 △중앙행정기관 등에 보호수준 향상 지원 요청 △세부 절차에 대한 고시 위임 규정이 마련됐다.
4. 손해배상책임 보장 의무대상자의 범위 개선(법 제39조의7)
넷째, 손해배상책임 보장 의무대상자의 범위가 개선됐다. 이와 관련 김직동 과장은 “손해배상책임 보장의무를 개인정보 처리자로 일반화하고, 의무 대상의 기준 및 면제되는 대상의 범위를 대통령령으로 정하도록 위임했다”고 설명했다.
개인정보 손해배상책임 보장 의무가 부여되는 대상자의 기준을 △1만명 이상 정보주체 수 △매출액 10억원 이상으로 개정 △의무면제 대상인 공공기관(CPO 자격요건 적용 대상인 공공기관의 경우 의무가입 대상) △공익법인 및 비영리 민간단체 △손해배상책임보험 등에 가입한 수탁자에게 개인정보 저장·관리를 위탁한 소상공인으로 기준을 규정했다.
5. 기타 시행령 개정사항
이외에도 기타 시행령으로 ①고유식별정보 관리실태 정기조사 ②국외 수집·이전에 대한 처리방침 공개 ③규제의 재검토 내용이 포함됐다.
①고유식별정보 관리실태 정기조사(영21 개정)
고유식별정보 관리실태 정기조사의 경우 정기조사 기간을 3년으로 하고, ‘개인정보 보호수준
평가’ 및 ‘개인정보보호인증(ISMS-P)’ 대상, 다른 법률에 따라 정기적인 점검이 이뤄지는 경우로 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 인정한 경우에는 중복조사 방지를 위해 제외 규정이 마련됐다.
②국외 수집·이전에 대한 처리방침 공개(영 31 개정)
다음으로 국외 수집·이전에 대한 처리방침을 공개하도록 법이 개정됐다. 국외에서 국내 정보주체의 개인정보를 수집해 처리하는 경우 처리 국가명, 국외 이전 시 이전의 법적 근거 등을 개인정보 처리방침에 기재하도록 추가된 것이다.
③규제의 재검토(영 62의3 개정)
이어 규제의 재검토가 개정됐다. 2023년 규제개혁위원회 재검토기한 심사결과를 반영한 것으로, ‘개인정보처리자 간 가명정보의 결합’의 재검토 기한을 2년에서 3년으로 변경됐다. 또한 개인정보 보호책임자 자격요건 및 독립성 준수사항, 자동화된 결정에 대한 권리 신설 규정에 대해 재검토 기한을 2년으로 설정했다.
6. 개인정보보호법 시행령 3차 개정 추진
개인정보위는 개인정보보호법 시행령 3차 개정을 추진할 계획이다. 이와 관련 김직동 과장은 “분야별 설명회, 간담회 등을 통해 법 개정 사항을 홍보하고, 개인정보 전송요구권 등 개인정보보호법 시행령 3차 개정을 추진할 계획”이라며 “오는 10일 관계기관 합의 및 입법예고를, 하반기에는 규제심사 및 법제처 심사를 진행할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
1차 2023년 9월 15일, 2차 2024년 3월 15일 이어 시행령 3차 개정 추진계획
6월 10일 관계기관 합의 및 입법예고, 하반기에 규제심사·법제처 심사 진행 예정
[보안뉴스 김경애 기자] 개인정보 보호법이 대폭 개정돼 관련 법률 준수가 중요해지고 있다. 지난해 3월 14일 개인정보 보호법이 개정됐으며, 1차로 2023년 9월 15일 시행된 데 이어 2차로 지난 3월 15일 후속 시행령 및 고시 등이 순차적으로 개정 완료됐다. 3차 개인정보 전송요구권은 사전 준비 후 시행 시기를 고려해 향후 개정될 예정이다. 이에 따라 향후 3차 개정에도 관심이 모아지고 있다.
▲PIS FAIR 2024의 키노트 세션에서 개인정보위 김직동 개인정보보호정책과장이 발표하고 있다[사진=보안뉴스]
이와 관련 개인정보보호위원회(이하 개인정보위) 김직동 개인정보보호정책과장은 PIS FAIR 2024의 키노트 세션에서 ‘개인정보 보호법 주요 개정 내용(24년부터 시행되는 규정 중심)’을 발표해 뜨거운 관심을 받았다.
[1차, 2023년 9월 15일 시행]
1차로 시행된 개인정보보호법 개정사항은 △정보통신서비스 특례정비 △이동형 영상기기 규정 △동의 받는 방법 및 추가적인 이용·제공 △개인정보 처리방침 평가제 △분쟁조정제도 절차 △공공시스템운영기관 특례 등 안전성 확보조치 △국외 이전 및 중지 명령 △과징금 부과기준 △공표 명령 등이다.
[2차, 2024년 3월 15일 시행]
2차로 시행된 개인정보보호법 개정 사항은 △자동화된 결정에 대한 정보주체의 권리 △개인정보보호책임자의 업무 및 자격요건 △공공기관 개인정보보호 수준 평가 △손해배상의 보장 대상 범위 및 기준 △개인정보 전송요구권 관련 규정(2024년 3월 15일 범위에서 대통령령으로 정하는 날 시행)이다.
1. 자동화된 결정에 대한 정보주체의 권리 도입(법 제37조의2)
주요 개정 내용 중 첫째는 자동화된 결정에 대한 정보주체의 권리 도입이다. 여기에는 ‘자동화된 결정’ 개념과 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 자동화된 결정에 대한 설명 등 요구권이 신설됐다.
이와 관련 김직동 과장은 “개인정보처리자는 정보주체의 권리 행사가 있으면 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 해야 한다”며 “개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 사전 공개해야 한다”고 당부했다.
2. 개인정보보호책임자 전문성 및 독립성 강화(법 제31조)
둘째, 개인정보보호책임자 전문성 및 독립성이 한층 강화됐다. 개인정보 처리자에게 CPO가 업무를 독립적으로 수행할 수 있도록 보장할 의무가 부여됐다. CPO의 자격요건, 독립성 보장 등에 관한 사항을 개인정보 처리자의 매출액, 개인정보의 보유 규모 등을 고려해 설정하도록 하위 법령인 대통령령으로 위임했다. 또한 개인정보 처리자의 ‘CPO협의회’ 구성·운영·근거 및 개인정보위의 지원 근거가 마련됐다.
3. 공공분야 개인정보 보호수준 평가 근거 마련(법 제11조의2)
셋째, 공공분야 개인정보 보호수준 평가 근거가 마련됐다. 공공기관의 개인정보보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 ‘개인정보 보호수준 평가’에 대한 법적 근거(법 제11조의2 신설)를 명확히 했다.
특히 ‘개인정보 보호수준 평가’ 시행을 위해 △평가대상 △평가기준 및 절차 △자료제출 범위 등 구체화 △개인정보 보호수준 평가를 수행하기 위한 기준 △평가 시행 전 평가계획 통보 △효율적인 평가 실시를 위한 평가단 구성·운영 등 평가의 세부절차 마련 △평가계획에 따라 제출한 자료를 기준으로 평가하고, 필요시 현장방문 또는 대면평가 방법으로 실시할 수 있도록 규정 △자료제출의 범위 △중앙행정기관 등에 보호수준 향상 지원 요청 △세부 절차에 대한 고시 위임 규정이 마련됐다.
4. 손해배상책임 보장 의무대상자의 범위 개선(법 제39조의7)
넷째, 손해배상책임 보장 의무대상자의 범위가 개선됐다. 이와 관련 김직동 과장은 “손해배상책임 보장의무를 개인정보 처리자로 일반화하고, 의무 대상의 기준 및 면제되는 대상의 범위를 대통령령으로 정하도록 위임했다”고 설명했다.
개인정보 손해배상책임 보장 의무가 부여되는 대상자의 기준을 △1만명 이상 정보주체 수 △매출액 10억원 이상으로 개정 △의무면제 대상인 공공기관(CPO 자격요건 적용 대상인 공공기관의 경우 의무가입 대상) △공익법인 및 비영리 민간단체 △손해배상책임보험 등에 가입한 수탁자에게 개인정보 저장·관리를 위탁한 소상공인으로 기준을 규정했다.
5. 기타 시행령 개정사항
이외에도 기타 시행령으로 ①고유식별정보 관리실태 정기조사 ②국외 수집·이전에 대한 처리방침 공개 ③규제의 재검토 내용이 포함됐다.
①고유식별정보 관리실태 정기조사(영21 개정)
고유식별정보 관리실태 정기조사의 경우 정기조사 기간을 3년으로 하고, ‘개인정보 보호수준
평가’ 및 ‘개인정보보호인증(ISMS-P)’ 대상, 다른 법률에 따라 정기적인 점검이 이뤄지는 경우로 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 인정한 경우에는 중복조사 방지를 위해 제외 규정이 마련됐다.
②국외 수집·이전에 대한 처리방침 공개(영 31 개정)
다음으로 국외 수집·이전에 대한 처리방침을 공개하도록 법이 개정됐다. 국외에서 국내 정보주체의 개인정보를 수집해 처리하는 경우 처리 국가명, 국외 이전 시 이전의 법적 근거 등을 개인정보 처리방침에 기재하도록 추가된 것이다.
③규제의 재검토(영 62의3 개정)
이어 규제의 재검토가 개정됐다. 2023년 규제개혁위원회 재검토기한 심사결과를 반영한 것으로, ‘개인정보처리자 간 가명정보의 결합’의 재검토 기한을 2년에서 3년으로 변경됐다. 또한 개인정보 보호책임자 자격요건 및 독립성 준수사항, 자동화된 결정에 대한 권리 신설 규정에 대해 재검토 기한을 2년으로 설정했다.
6. 개인정보보호법 시행령 3차 개정 추진
개인정보위는 개인정보보호법 시행령 3차 개정을 추진할 계획이다. 이와 관련 김직동 과장은 “분야별 설명회, 간담회 등을 통해 법 개정 사항을 홍보하고, 개인정보 전송요구권 등 개인정보보호법 시행령 3차 개정을 추진할 계획”이라며 “오는 10일 관계기관 합의 및 입법예고를, 하반기에는 규제심사 및 법제처 심사를 진행할 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
