개인정보보호법 제2차 개정안 국회 본회의 통과

개인정보를 수집, 이용, 제공, 관리하는 모든 기업이 준수해야 하는 법, 개인정보보호법입니다. 개인정보보호법은 정보통신기술(ICT)의 발전과 함께 안전한 개인정보의 수집·활용을 위해 반드시 필요하기도 합니다.

 

이번 개인정보보호법 2차 개정안은 개인정보보호위원회에서 2021.09에 처음 제안하였으며 2023.02.27에 국회 본회의를 통과하여 2023.03.07에 국무회의에서 의결되었습니다.  2차 개정안이 국회 본회의를 통과하였습니다. 이번 국회 본회의 통과 후 개정안은 정부 이송, 국무회의 의결 등의 절차를 거쳐 공포되며, 공포일로부터 각 제도별로 6개월 내지 2년이 경과한 날부터 시행될 예정입니다. 개정된 개인정보보호법의 주요 내용은 다음과 같습니다.

 

개인정보 전송 요구권 도입

정보주체가 다른 사람, 기관 또는 자신에게 개인정보를 전송할 것을 요구할 수 있는 권리인 ‘개인정보 전송 요구권’을 신설하고 개인정보보호위원회 등이 지정하는 ‘개인정보관리 전문기관’이 이러한 권리의 행사를 지원할 수 있도록 하는 내용이 포함되었습니다.

제35조의2(개인정보의 전송 요구) ① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보
나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보
다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것
3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것

 

과징금·벌칙 규정 정비

- 과징금 규정 통합

가명정보 처리 관련 위반, 주민등록번호 유출, 정보통신서비스 제공자등 특례에 따른 과징금을 각각 다른 조항에서 규정하고 있으나, 이번 개정에서는 분산된 과징금 규정을 통합하여 온·오프라인 사업자 모두에게 동일하게 적용되는 과징금 규정을 신설하였습니다.

제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.

 

- 과징금 상한 기준 변경

현행법이 과징금의 상한을 위반행위 관련 매출액의 3%이하로 정하던 것을 전체 매출액의 3%이하로 하되 위반행위와 관련 없는 매출액은 제외하고 산정하는 것으로 정하였습니다. 기존 정부안은 전체 매출액의 3%이하로 과징금 상한을 상향하는 내용이 포함되어있었으나, 위반행위와 관련 없는 매출액을 제외하는 규정이 추가되었습니다.

다만 개인정보처리자가 정당한 사유 없이 매출액 산정자료 제출을 거부하거나 거짓 자료를 제출한 경우에는 관련없는 매출액을 포함한 전체 매출액 기준으로 과징금 상한을 산정할 수 있습니다.

 

온·오프라인 규제 일원화

기존 개인정보보호법에서는 온·오프라인 서비스의 경계가 모호한 경우에도 이중으로 규제하는 문제점이 있었습니다. 개정된 개인정보보호법에서는 정보통신서비스 제공자등에만 적용되었던 규정이 온·오프라인 사업자에게 동일하게 적용됩니다.

 

개인정보의 국외 이전 및 국외 이전 중지 명령

정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 했지만, 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보보호 수준과 실질적으로 동등한 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에는 별도 동의가 없어도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 하였습니다.

 

이번 개인정보보호법 개정안은 2011년 개인정보보호법 제정 이후 처음 이루어지는 실질적인 전면 개정이라는 점에서 의의가 있습니다.  또한 이번 개인정보보호법 개정으로 인해 마이데이터 서비스의 활성화를 기대해볼 수 있습니다. 개인정보 전송요구권 규정의 신설에 따라 그동안 금융·공공분야에만 제한적으로 도입되어있었던 마이데이터 서비스가 교통·의료·통신 등 다양한 산업에서 활용될 것으로 기대됩니다.