①개인정보 전송요구권(이동권) 도입 ②이동형 영상정보처리기기 규정 마련
③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비) ④형식적 동의제도 정비
⑤개인정보 처리방침 평가제 도입 ⑥자동화된 결정에 대한 정보주체의 권리 도입
⑦개인정보 분쟁조정 제도 개선 ⑧개인정보의 사적 목적 이용 금지 등 개정
[보안뉴스 김경애 기자] 개인정보보호법이 개정되면서 바뀐 법 조항에 대해 CPO(개인정보보호 책임자)를 비롯한 개인정보 업무 담당자들의 관심이 매우 높다. 이와 관련 ISEC 2024의 동시개최 행사인 ‘2024년 3차 CPO 워크숍’에서는 개정된 개인정보보호법의 주요 조항에 대한 설명이 있었다.
▲ISEC 2024의 동시행사로 개최된 CPO 워크숍에서 개인정보보호위원회 김직동 과장이 강연을 하고 있다[사진=보안뉴스]
개인정보보호법 개정안의 주요 내용에 대해 개인정보보호위원회 김직동 과장은 ①개인정보 전송요구권(이동권) 도입 ②이동형 영상정보처리기기 규정 마련 ③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비) ④형식적 동의제도 정비 ⑤개인정보 처리방침 평가제 도입 ⑥자동화된 결정에 대한 정보주체의 권리 도입 ⑦개인정보 분쟁조정 제도 개선 ⑧개인정보의 사적 목적 이용 금지 ⑨개인정보 국외이전 요건 다양화 및 보호조치 강화 ⑩형벌 중심에서 경제제재 중심으로의 전환, 총 10가지로 요약했다.
①개인정보 전송요구권(이동권) 도입
먼저 개인정보 전송요구권이 도입됐다. 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 새롭게 신설됐다.
②이동형 영상정보처리기기 규정 마련
다음으로 이동형 영상정보처리기기 규정이 마련됐다. 이는 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 개인정보 수집·이용 사유에 해당하거나 정보주체가 촬영사실을 알 수 있음에도 거부의사를 밝히지 않는 경우 예외적으로 허용된다. 촬영하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실을 표시해야 한다.
③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비)
온-오프라인 규제가 일원화됐다. 정보통신서비스 특례 규정을 일반 규정과 일원화해 모든 개인정보처리자를 대상으로 ‘동일행위-동일규제’ 원칙이 적용된다. 또한 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비해 온-오프라인 사업자 간 상이한 규정이 단일화됐다. 이어 특례 규정에만 있는 손해배상 보장 제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반 규정으로 전환해 확대 적용됐다.
④형식적 동의제도 정비
다음으로 형식적 동의제도가 정비됐다. 정보주체의 실질적인 동의권을 보장하고, 기업 등의 합리적인 개인정보 수집·활용을 지원하기 위한 동의제도가 개선됐다. 정보통신서비스 특례의 ‘필수동의’ 규정을 정비해 ‘동의 만능주의’ 현상을 개선함으로써 동의 이외의 개인정보 적법 처리요건이 활성화(제15조제4소 ‘불가피하게’ 삭제)됐다.
⑤개인정보 처리방침 평가제 도입
개인정보 처리방침 평가제도 도입됐다. 개인정보 처리방침의 적정성을 평가하고 평가 결과 개선이 필요하다고 인정되는 경우 개선을 권고해 국민의 권익을 보호할 수 있는 개인정보 처리방침 평가제가 도입됐다. 평가 사항은 처리방침 작성지침 준수 여부, 정보주체가 이해하기 쉽게 작성했는지 여부, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등이다.
⑥자동화된 결정에 대한 정보주체의 권리 도입
자동화된 결정에 대한 정보주체의 권리가 도입됐다. ‘자동화된 결정’ 개념, 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에서의 거부권(계약, 동의, 법률 등 정보주체가 알 수 있는 경우 제외), 자동화된 결정에 대한 설명 요구권 등이 신설됐다. 개인정보처리자는 정보주체의 권리행사가 있으면 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 해야 한다. 또한 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 사전에 공개해야 한다.
⑦개인정보 분쟁조정 제도 개선
개인정보 분쟁조정 제도가 개선됐다. 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대됐다. 또한 분쟁조정 관련 사실 확인이 필요한 경우 사실조사에 대한 법적 근거가 명확히 규정됐으며, 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’에서 ‘수락’ 간주로 기준이 전환됐다.
⑧개인정보의 사적 목적 이용 금지
제59조제3호 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과해 타인의 개인정보를 ‘이용’하는 행위가 추가했다.
⑨개인정보 국외이전 요건 다양화 및 보호조치 강화
해외 법제와 상호운용성 강화를 위해 정보주체의 동의 외 국외 이전 적법 요건을 다양화하고, 중지 명령권을 신설해 보호조치가 강화됐다. 또한 요건이 다양화됐는데, 국외 이전 요건을 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 수준을 인정하는 경우(EU 적정성 결정과 유사) 등이 포함됐다.
국외 이전에 관한 전문적인 검토와 평가를 위해 ‘국외이전전문위원회’를 운영해 ‘개인정보보호 인증’ 및 ‘국가 인정’에 대한 절차와 기준 등을 시행령에 마련했다.
이와 함께 국외 이전 관련 법 위반 또는 개인정보를 이전받는 자가 개인정보를 적정하게 보호하고 있지 않아 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외 이전 중지 명령권 신설되는 등 보호조치가 강화됐다. 국외 이전 중지 명령의 기준과 이의 제기 절차 등 세부 규정은 시행령에 적용됐다.
⑩형벌 중심을 경제제재 중심으로의 전환
마지막으로 형벌 중심에서 경제제재 중심으로 전환됐다. 이는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환해 실효성을 제고하겠다는 방침이다.
형벌 정비와 관련해 개인정보위 김직동 과장은 “정보통신서비스 제공자에게만 적용되던 형벌 규정을 일반 규정에 맞춰 정비하고, 과도한 형벌 규정은 삭제하는 대신 과징금 상한 및 대상 확대 등을 통해 실효성을 확보했다”며 “과징금 규정을 통합 정비해 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경됐다”고 설명했다. 또한 과징금 산정과 관련해 위반행위에 상응하는 비례성과 효과성이 확보되도록 ‘위반행위와 관련 없는 매출액’은 제외됐다고 덧붙였다.
향후 계획에 대해 김직동 과장은 “지난 3월 15일 발간한 주요 개정사항 세부 안내서를 비롯해 자동화된 결정 안내서, CPO 업무 가이드라인, 손해배상 보장제도 안내서 등 개인정보보호법 시행령 3차 개정을 추진중”이라며 “관계기관과의 협의와 입법예고는 완료했고, 규제심사와 법제처 심사를 거쳐 오는 2025년 3월 15일부터 시행될 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비) ④형식적 동의제도 정비
⑤개인정보 처리방침 평가제 도입 ⑥자동화된 결정에 대한 정보주체의 권리 도입
⑦개인정보 분쟁조정 제도 개선 ⑧개인정보의 사적 목적 이용 금지 등 개정
[보안뉴스 김경애 기자] 개인정보보호법이 개정되면서 바뀐 법 조항에 대해 CPO(개인정보보호 책임자)를 비롯한 개인정보 업무 담당자들의 관심이 매우 높다. 이와 관련 ISEC 2024의 동시개최 행사인 ‘2024년 3차 CPO 워크숍’에서는 개정된 개인정보보호법의 주요 조항에 대한 설명이 있었다.
▲ISEC 2024의 동시행사로 개최된 CPO 워크숍에서 개인정보보호위원회 김직동 과장이 강연을 하고 있다[사진=보안뉴스]
개인정보보호법 개정안의 주요 내용에 대해 개인정보보호위원회 김직동 과장은 ①개인정보 전송요구권(이동권) 도입 ②이동형 영상정보처리기기 규정 마련 ③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비) ④형식적 동의제도 정비 ⑤개인정보 처리방침 평가제 도입 ⑥자동화된 결정에 대한 정보주체의 권리 도입 ⑦개인정보 분쟁조정 제도 개선 ⑧개인정보의 사적 목적 이용 금지 ⑨개인정보 국외이전 요건 다양화 및 보호조치 강화 ⑩형벌 중심에서 경제제재 중심으로의 전환, 총 10가지로 요약했다.
①개인정보 전송요구권(이동권) 도입
먼저 개인정보 전송요구권이 도입됐다. 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 새롭게 신설됐다.
②이동형 영상정보처리기기 규정 마련
다음으로 이동형 영상정보처리기기 규정이 마련됐다. 이는 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 개인정보 수집·이용 사유에 해당하거나 정보주체가 촬영사실을 알 수 있음에도 거부의사를 밝히지 않는 경우 예외적으로 허용된다. 촬영하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실을 표시해야 한다.
③온-오프라인 규제의 일원화(정보통신서비스 특례규정 정비)
온-오프라인 규제가 일원화됐다. 정보통신서비스 특례 규정을 일반 규정과 일원화해 모든 개인정보처리자를 대상으로 ‘동일행위-동일규제’ 원칙이 적용된다. 또한 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비해 온-오프라인 사업자 간 상이한 규정이 단일화됐다. 이어 특례 규정에만 있는 손해배상 보장 제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반 규정으로 전환해 확대 적용됐다.
④형식적 동의제도 정비
다음으로 형식적 동의제도가 정비됐다. 정보주체의 실질적인 동의권을 보장하고, 기업 등의 합리적인 개인정보 수집·활용을 지원하기 위한 동의제도가 개선됐다. 정보통신서비스 특례의 ‘필수동의’ 규정을 정비해 ‘동의 만능주의’ 현상을 개선함으로써 동의 이외의 개인정보 적법 처리요건이 활성화(제15조제4소 ‘불가피하게’ 삭제)됐다.
⑤개인정보 처리방침 평가제 도입
개인정보 처리방침 평가제도 도입됐다. 개인정보 처리방침의 적정성을 평가하고 평가 결과 개선이 필요하다고 인정되는 경우 개선을 권고해 국민의 권익을 보호할 수 있는 개인정보 처리방침 평가제가 도입됐다. 평가 사항은 처리방침 작성지침 준수 여부, 정보주체가 이해하기 쉽게 작성했는지 여부, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등이다.
⑥자동화된 결정에 대한 정보주체의 권리 도입
자동화된 결정에 대한 정보주체의 권리가 도입됐다. ‘자동화된 결정’ 개념, 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우에서의 거부권(계약, 동의, 법률 등 정보주체가 알 수 있는 경우 제외), 자동화된 결정에 대한 설명 요구권 등이 신설됐다. 개인정보처리자는 정보주체의 권리행사가 있으면 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 해야 한다. 또한 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 사전에 공개해야 한다.
⑦개인정보 분쟁조정 제도 개선
개인정보 분쟁조정 제도가 개선됐다. 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대됐다. 또한 분쟁조정 관련 사실 확인이 필요한 경우 사실조사에 대한 법적 근거가 명확히 규정됐으며, 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’에서 ‘수락’ 간주로 기준이 전환됐다.
⑧개인정보의 사적 목적 이용 금지
제59조제3호 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과해 타인의 개인정보를 ‘이용’하는 행위가 추가했다.
⑨개인정보 국외이전 요건 다양화 및 보호조치 강화
해외 법제와 상호운용성 강화를 위해 정보주체의 동의 외 국외 이전 적법 요건을 다양화하고, 중지 명령권을 신설해 보호조치가 강화됐다. 또한 요건이 다양화됐는데, 국외 이전 요건을 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 수준을 인정하는 경우(EU 적정성 결정과 유사) 등이 포함됐다.
국외 이전에 관한 전문적인 검토와 평가를 위해 ‘국외이전전문위원회’를 운영해 ‘개인정보보호 인증’ 및 ‘국가 인정’에 대한 절차와 기준 등을 시행령에 마련했다.
이와 함께 국외 이전 관련 법 위반 또는 개인정보를 이전받는 자가 개인정보를 적정하게 보호하고 있지 않아 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외 이전 중지 명령권 신설되는 등 보호조치가 강화됐다. 국외 이전 중지 명령의 기준과 이의 제기 절차 등 세부 규정은 시행령에 적용됐다.
⑩형벌 중심을 경제제재 중심으로의 전환
마지막으로 형벌 중심에서 경제제재 중심으로 전환됐다. 이는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환해 실효성을 제고하겠다는 방침이다.
형벌 정비와 관련해 개인정보위 김직동 과장은 “정보통신서비스 제공자에게만 적용되던 형벌 규정을 일반 규정에 맞춰 정비하고, 과도한 형벌 규정은 삭제하는 대신 과징금 상한 및 대상 확대 등을 통해 실효성을 확보했다”며 “과징금 규정을 통합 정비해 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경됐다”고 설명했다. 또한 과징금 산정과 관련해 위반행위에 상응하는 비례성과 효과성이 확보되도록 ‘위반행위와 관련 없는 매출액’은 제외됐다고 덧붙였다.
향후 계획에 대해 김직동 과장은 “지난 3월 15일 발간한 주요 개정사항 세부 안내서를 비롯해 자동화된 결정 안내서, CPO 업무 가이드라인, 손해배상 보장제도 안내서 등 개인정보보호법 시행령 3차 개정을 추진중”이라며 “관계기관과의 협의와 입법예고는 완료했고, 규제심사와 법제처 심사를 거쳐 오는 2025년 3월 15일부터 시행될 예정”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
