개인정보보호법·정보통신망법 등 관련 법령 재정비에 따라 달라진 4가지 사항 살펴보니
[보안뉴스= 박상준 김·장 법률사무소 변호사] 개정 개인정보 보호법과 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, ‘정보통신망법’)이 각 2020년 8월 5일 시행되기 전에는 개인정보 보호에 관한 사항들이 개인정보 보호법을 비롯하여 정보통신망법에 분산되어 규정되어 있었다. 정보통신서비스 제공자는 이 중 정보통신망법 제4장 ‘개인정보의 보호’에 관한 규정들의 적용을 받아왔고, 해당 규정들은 기존 개정 전 개인정보 보호법 상의 규정들과 일부 내용상 차이를 보이기도 했다.
그런데 위와 같이 개인정보 보호 관련 법령들이 개정되면서 개인정보 보호법과 정보통신망법 내에 유사하거나 중복으로 규율되어 오던 사항들이 정리 및 재정비되어 기존 정보통신망법에 규정되어 있던 개인정보 보호에 관한 내용들이 개인정보 보호법으로 이관됐다. 이에 따라 정보통신서비스 제공자는 개정 개인정보 보호법의 적용을 받게 되었는바, 정보통신서비스 제공자에게 적용되는 법적 규율이 기존 정보통신망법상의 내용과 비교하여 어떻게 달라졌는지 살펴보고자 한다.
[이미지=utoimage]
개인정보의 제공에 대한 동의를 받는 경우 고지 사항의 변경
기존 정보통신서비스 제공자가 이용자의 개인정보를 제3자에게 제공하기 위해서는 ①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 개인정보 이용 목적 ③제공하는 개인정보의 항목 ④개인정보를 제공받는 자의 개인정보 보유 및 이용기간을 이용자에게 알리고 동의를 받는 것이 필요했다(구 정보통신망법 제24조의2 제1항). 그런데, 이번 개정으로 이와 같은 규정이 삭제되고 개인정보의 제공에 관하여 개인정보 보호법이 적용됨에 따라 정보통신서비스 제공자는 위 ①부터 ④까지의 고지사항과 함께 추가적으로, ⑤‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’을 정보주체에게 알리고 동의를 받도록 변경됐다(개정 개인정보 보호법 제17조 제2항). 따라서 정보통신서비스 제공자가 정보주체로부터 수집한 개인정보를 제3자에게 제공하고 있다면, 이에 관한 동의를 받을 때 ‘동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익의 내용’을 추가로 정보주체에게 고지하는 것이 필요하다. 참고로, 이러한 입장은 개정법이 시행되기 전에도 주무기관에 의하여 적극 권장되는 사항이기도 해서 이미 적지 않은 정보통신서비스 제공자가 이러한 취지로 동의를 받고 있다.
개인정보 처리위탁 시 이용자의 동의 요구 규정 삭제
기존 정보통신서비스 제공자 등은 개인정보 처리위탁을 하는 경우 이용자에게 수탁자 및 개인정보 처리위탁을 하는 업무의 내용을 알리고 이용자의 동의를 받아야 했다(구 정보통신망법 제25조 제1항). 이는 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 위탁자의 인터넷 홈페이지 지속적으로 게재하는 방법으로 공개하도록 하면서도 별도 정보주체의 동의를 받을 것을 요구하지 않는 개인정보 보호법 규정과 대비되는 내용이었다.
그런데 이번 개정을 통해 위 정보통신망법 규정이 삭제되고 정보통신서비스 제공자에게 개인정보 보호법 상 처리위탁에 관한 규정이 적용됨에 따라 정보통신서비스 제공자등이 개인정보 처리위탁을 하는 경우에도 이에 대한 이용자의 별도 동의가 필요하지 않게 되었다. 다만, 이러한 경우에도 위탁하는 업무의 내용과 수탁자를 위탁자의 인터넷 홈페이지에 지속적으로 게재하는 방법으로 공개할 의무는 여전히 적용된다는 점은 유의해야 한다(개정 개인정보 보호법 제26조 제2항).
개인정보 처리방침 내용상 필수적으로 포함되어야 할 사항의 변경
기존 정보통신서비스 제공자등은 개인정보 처리방침에 ① 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법 ②개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목 ③개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법 ④개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함) ⑤이용자 및 법정대리인의 권리와 그 행사방법 ⑥인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 ⑦개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처를 포함해야 했다.
그런데 위 규정이 이번 개정으로 삭제되면서 정보통신서비스 제공자등에게 개인정보 보호법이 적용되게 되었고, 이에 따라 정보통신서비스 제공자등은 개인정보 처리방침에 ①개인정보의 처리 목적 ②개인정보의 처리 및 보유 기간 ③개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정함) ④개인정보의 파기절차 및 파기방법 ⑤개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정함) ⑥정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항 ⑦ 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 ⑧인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정함) ⑨처리하는 개인정보의 항목 ⑩개인정보의 안전성 확보 조치에 관한 사항을 포함해야 한다(개정 개인정보 보호법 제30조 제1항, 동법 시행령 제31조 제1항). 한편, 개정 개인정보 보호법은 기존 개인정보 보호법 시행령에 규정되어 있던 ‘개인정보 처리방침에 개인정보의 파기에 관한 사항을 포함할 것을 요구하는 규정’을 개인정보 보호 법률에 규정하는 것으로 개정됐다(개정 개인정보 보호법 제30조 제1항 제3의2호).
이전 정보통신망법의 규정 내용과 비교해 볼 때 대부분의 내용이 중복되지만, 주목할 만한 차이점은 개인정보의 수집방법에 관한 사항이 개인정보 처리방침에서 제외됐다는 점과 개인정보의 안전성 확보 조치에 관한 사항이 새롭게 포함됐다는 점이다. 따라서 정보통신서비스 제공자는 기존 마련해놓은 개인정보 처리방침에서 개인정보의 수집방법에 관한 사항은 삭제해도 무방하고, 개인정보의 안전성 확보 조치에 관한 사항은 추가적으로 기재하는 것이 필요하다.
국외 이전 개인정보에 대한 이용자의 동의 면제 조건 변경
기존 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 처리위탁·보관하기 위해서는 원칙적으로 이용자의 동의가 필요했으나 다만, ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’로서 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우에는 동의를 받지 않아도 됐다(구 정보통신망법 제63조 제2항).
그런데 위 규정이 개정 개인정보 보호법에서 정보통신서비스 제공자 등의 개인정보 처리 등 특례 규정으로 신설되면서 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’라는 면제 조건이 삭제됐다. 이로써 정보통신서비스 제공자 등은 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우 처리위탁·보관에 따른 이용자에 대한 동의를 받지 않을 수 있게 되어 개인정보의 국외 처리위탁·보관시 이용자의 동의를 면제받을 수 있는 조건이 완화됐다(개정 개인정보 보호법 제39조의12 제2항). 따라서 이용자의 개인정보를 국외에 처리위탁하거나 보관하는 정보통신서비스 제공자는 반드시 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우가 아니라 할지라도 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알리는 것만으로 이용자의 동의 없이 국외 처리위탁·보관이 가능하게 되었다.
기존 개인정보 보호 관련 법령이 개인정보 보호법을 비롯한 정보통신망법 등에 분산되어 있었고, 각 법령이 규정하는 내용 자체에도 일부 차이가 있어 통일적인 법 적용에 한계가 있을 수밖에 없었다. 이러한 측면에서 이번 개정을 통해 개인정보 보호 관련 법령을 정비하고 개인정보 보호법으로 일원화하여 규율하게 된 것은 반가운 일이 아닐 수 없다. 다만, 개정된 법은 위에서 살펴본 부분을 제외한 나머지 규정들에 있어서는 기존 정보통신망법의 규정들을 별 다른 검토나 분석 없이 촉박한 개정 일정을 감안하여 문자 그대로 이기(移記)한 경우가 대단히 많다. 향후 개정 시 이러한 규정들도 심도 있게 검토하여 실질적인 통합적 개정이 될 수 있도록 신경 쓸 필요가 있을 것으로 보인다.
[글_ 박상준 김·장 법률사무소 변호사]
[보안뉴스= 박상준 김·장 법률사무소 변호사] 개정 개인정보 보호법과 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하, ‘정보통신망법’)이 각 2020년 8월 5일 시행되기 전에는 개인정보 보호에 관한 사항들이 개인정보 보호법을 비롯하여 정보통신망법에 분산되어 규정되어 있었다. 정보통신서비스 제공자는 이 중 정보통신망법 제4장 ‘개인정보의 보호’에 관한 규정들의 적용을 받아왔고, 해당 규정들은 기존 개정 전 개인정보 보호법 상의 규정들과 일부 내용상 차이를 보이기도 했다.
그런데 위와 같이 개인정보 보호 관련 법령들이 개정되면서 개인정보 보호법과 정보통신망법 내에 유사하거나 중복으로 규율되어 오던 사항들이 정리 및 재정비되어 기존 정보통신망법에 규정되어 있던 개인정보 보호에 관한 내용들이 개인정보 보호법으로 이관됐다. 이에 따라 정보통신서비스 제공자는 개정 개인정보 보호법의 적용을 받게 되었는바, 정보통신서비스 제공자에게 적용되는 법적 규율이 기존 정보통신망법상의 내용과 비교하여 어떻게 달라졌는지 살펴보고자 한다.
[이미지=utoimage]
개인정보의 제공에 대한 동의를 받는 경우 고지 사항의 변경
기존 정보통신서비스 제공자가 이용자의 개인정보를 제3자에게 제공하기 위해서는 ①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 개인정보 이용 목적 ③제공하는 개인정보의 항목 ④개인정보를 제공받는 자의 개인정보 보유 및 이용기간을 이용자에게 알리고 동의를 받는 것이 필요했다(구 정보통신망법 제24조의2 제1항). 그런데, 이번 개정으로 이와 같은 규정이 삭제되고 개인정보의 제공에 관하여 개인정보 보호법이 적용됨에 따라 정보통신서비스 제공자는 위 ①부터 ④까지의 고지사항과 함께 추가적으로, ⑤‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’을 정보주체에게 알리고 동의를 받도록 변경됐다(개정 개인정보 보호법 제17조 제2항). 따라서 정보통신서비스 제공자가 정보주체로부터 수집한 개인정보를 제3자에게 제공하고 있다면, 이에 관한 동의를 받을 때 ‘동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익의 내용’을 추가로 정보주체에게 고지하는 것이 필요하다. 참고로, 이러한 입장은 개정법이 시행되기 전에도 주무기관에 의하여 적극 권장되는 사항이기도 해서 이미 적지 않은 정보통신서비스 제공자가 이러한 취지로 동의를 받고 있다.
개인정보 처리위탁 시 이용자의 동의 요구 규정 삭제
기존 정보통신서비스 제공자 등은 개인정보 처리위탁을 하는 경우 이용자에게 수탁자 및 개인정보 처리위탁을 하는 업무의 내용을 알리고 이용자의 동의를 받아야 했다(구 정보통신망법 제25조 제1항). 이는 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 위탁자의 인터넷 홈페이지 지속적으로 게재하는 방법으로 공개하도록 하면서도 별도 정보주체의 동의를 받을 것을 요구하지 않는 개인정보 보호법 규정과 대비되는 내용이었다.
그런데 이번 개정을 통해 위 정보통신망법 규정이 삭제되고 정보통신서비스 제공자에게 개인정보 보호법 상 처리위탁에 관한 규정이 적용됨에 따라 정보통신서비스 제공자등이 개인정보 처리위탁을 하는 경우에도 이에 대한 이용자의 별도 동의가 필요하지 않게 되었다. 다만, 이러한 경우에도 위탁하는 업무의 내용과 수탁자를 위탁자의 인터넷 홈페이지에 지속적으로 게재하는 방법으로 공개할 의무는 여전히 적용된다는 점은 유의해야 한다(개정 개인정보 보호법 제26조 제2항).
개인정보 처리방침 내용상 필수적으로 포함되어야 할 사항의 변경
기존 정보통신서비스 제공자등은 개인정보 처리방침에 ① 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법 ②개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목 ③개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법 ④개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함) ⑤이용자 및 법정대리인의 권리와 그 행사방법 ⑥인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 ⑦개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처를 포함해야 했다.
그런데 위 규정이 이번 개정으로 삭제되면서 정보통신서비스 제공자등에게 개인정보 보호법이 적용되게 되었고, 이에 따라 정보통신서비스 제공자등은 개인정보 처리방침에 ①개인정보의 처리 목적 ②개인정보의 처리 및 보유 기간 ③개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정함) ④개인정보의 파기절차 및 파기방법 ⑤개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정함) ⑥정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항 ⑦ 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 ⑧인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정함) ⑨처리하는 개인정보의 항목 ⑩개인정보의 안전성 확보 조치에 관한 사항을 포함해야 한다(개정 개인정보 보호법 제30조 제1항, 동법 시행령 제31조 제1항). 한편, 개정 개인정보 보호법은 기존 개인정보 보호법 시행령에 규정되어 있던 ‘개인정보 처리방침에 개인정보의 파기에 관한 사항을 포함할 것을 요구하는 규정’을 개인정보 보호 법률에 규정하는 것으로 개정됐다(개정 개인정보 보호법 제30조 제1항 제3의2호).
이전 정보통신망법의 규정 내용과 비교해 볼 때 대부분의 내용이 중복되지만, 주목할 만한 차이점은 개인정보의 수집방법에 관한 사항이 개인정보 처리방침에서 제외됐다는 점과 개인정보의 안전성 확보 조치에 관한 사항이 새롭게 포함됐다는 점이다. 따라서 정보통신서비스 제공자는 기존 마련해놓은 개인정보 처리방침에서 개인정보의 수집방법에 관한 사항은 삭제해도 무방하고, 개인정보의 안전성 확보 조치에 관한 사항은 추가적으로 기재하는 것이 필요하다.
국외 이전 개인정보에 대한 이용자의 동의 면제 조건 변경
기존 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 처리위탁·보관하기 위해서는 원칙적으로 이용자의 동의가 필요했으나 다만, ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’로서 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우에는 동의를 받지 않아도 됐다(구 정보통신망법 제63조 제2항).
그런데 위 규정이 개정 개인정보 보호법에서 정보통신서비스 제공자 등의 개인정보 처리 등 특례 규정으로 신설되면서 ‘정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우’라는 면제 조건이 삭제됐다. 이로써 정보통신서비스 제공자 등은 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알린 경우 처리위탁·보관에 따른 이용자에 대한 동의를 받지 않을 수 있게 되어 개인정보의 국외 처리위탁·보관시 이용자의 동의를 면제받을 수 있는 조건이 완화됐다(개정 개인정보 보호법 제39조의12 제2항). 따라서 이용자의 개인정보를 국외에 처리위탁하거나 보관하는 정보통신서비스 제공자는 반드시 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우가 아니라 할지라도 처리위탁·보관에 관한 사항을 개인정보 처리방침에 공개하거나 전자우편 등의 방법에 따라 이용자에게 알리는 것만으로 이용자의 동의 없이 국외 처리위탁·보관이 가능하게 되었다.
기존 개인정보 보호 관련 법령이 개인정보 보호법을 비롯한 정보통신망법 등에 분산되어 있었고, 각 법령이 규정하는 내용 자체에도 일부 차이가 있어 통일적인 법 적용에 한계가 있을 수밖에 없었다. 이러한 측면에서 이번 개정을 통해 개인정보 보호 관련 법령을 정비하고 개인정보 보호법으로 일원화하여 규율하게 된 것은 반가운 일이 아닐 수 없다. 다만, 개정된 법은 위에서 살펴본 부분을 제외한 나머지 규정들에 있어서는 기존 정보통신망법의 규정들을 별 다른 검토나 분석 없이 촉박한 개정 일정을 감안하여 문자 그대로 이기(移記)한 경우가 대단히 많다. 향후 개정 시 이러한 규정들도 심도 있게 검토하여 실질적인 통합적 개정이 될 수 있도록 신경 쓸 필요가 있을 것으로 보인다.
[글_ 박상준 김·장 법률사무소 변호사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
