보안 담당자라면 알아야 할 개인정보보호법 개정안 총정리

 

개인정보보호법은 정보주체를 보호하고, 개인정보 처리자가 개인정보 보호의 책임을 질 수 있도록 제정된 법령입니다. 2011년 개인정보보호법이 제정된 이후 개인정보 침해로 인한 피해로부터 정보주체를 보호해왔습니다.

 

개인정보보호위원회는 2021년 9월 정부안을 국회에 제출하였고, 그 이후에 관계 부처, 학계, 산업계, 시민단체 등 국내외 여러 이해관계자들과 소통을 통해 이견을 조정하였으며, 2년여에 걸친 심도 있는 논의 끝에 국회를 통과하였습니다. 개정법은 2023.03.14에 공포되어 6개월 후인 2023.09.15부터 시행될 예정입니다.

 

개인정보보호법 개정 추진 배경

2020년 8월 시행된 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)의 개정은 주로 개인정보보호 컨트롤 타워 구축 및 데이터 경제 활성화에 초점을 두었지만, 이후 변화하는 데이터 환경에서 국민의 권리 강화가 필요하다는 논의가 있었습니다.

 

따라서 이번 개인정보보호법 2차 개정안은 개인정보보호법 제정 이래 관계 부처, 학계, 산업계, 시민단체 등의 의견을 반영한 첫번째 정부안으로, 정보주체의 권리보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면개정이라는 점에서 의미가 있습니다.

 

23년 개인정보 보호법 개정안에서 달라지는 것

 

정보주체의 권리 확대

 

이번 개인정보 보호법 개정안에서는 정보주체의 권리 확대를 위해 개인정보의 전송 요구권이 신설되었습니다. 

개인정보의 전송요구권 신설로 정보 주체는 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송요구할 수 있게 되었습니다. 개인정보 전송요구권의 신설로 한정되었던 마이데이터 서비스가 확장될 수 있는 근거가 마련되었습니다.

 

개인정보보호법 제35조의 2(개인정보의 전송 요구)
① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다. [본조신설 2023.3.14]

 

또한 자동화된 결정에 대한 설명요구권 및 거부권 신설로 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명을 요구할 수 있는 조항이 신설되었습니다.

 

개인정보보호법 제37조의 2(자동화된 결정에 대한 정보주체의 권리 등)

① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023. 3. 14.>

② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. <개정 2023. 3. 14.>

 

 

불합리한 동의제도 완화

 

기존에는 개인정보 처리자가 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의없이 개인정보를 수집할 수 있었습니다. 

그러나 개정안에서는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우에 수집·이용이 가능한 것으로 개정되었습니다.

 

개인정보보호법 제15조(개인정보의 수집·이용)<개정 2023.3.14>
①    개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

 

 

정보통신서비스 제공자에 대한 특례규정 삭제

 

기존에는 동의없이 개인정보를 수집한 경우, 오프라인 기업은 5천만원 이하의 과태료를, 온라인 기업은 관련 매출액의 3%이하 과징금을 부과할 수 있었습니다.

그러나 개정된 법에서는 온·오프라인에 관계없이 모든 개인정보처리자를 대상으로 동일행위-동일규제 원칙을 적용하였습니다.

또한 ‘개인정보처리자’와 ‘정보통신서비스제공자’로 이원화 되어있던 현행 체계를 일원화하고, 개인정보 수집·이용 동의, 14세미만 아동의 개인정보 수집, 개인정보 유출 시 통지신고 등 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하여 모든 분야로 확대 적용하였습니다.

 

 

이동형 영상정보처리기기 운영 기준 마련

 

CCTV, 드론, 자율주행 자동차 등 다양한 이동형 영상정보처리기기의 사용이 증가함에 따라 이에관련한 법령이 신설되었습니다. 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 공개된 장소에서 사람 또는 그 사람과 관련된 사물의 영상 촬영에 대해 일정한 요건을 갖춘 경우에만 허용하도록 하였습니다.

 

개인정보보호법 제25조의 2(이동형 영상정보처리기기의 운영 제한)
① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다.

 

 

형벌 중심의 제재에서 경제제재 중심으로

 

개정법에서는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환하여 과도한 형벌 규정은 정비하고 과징금 상한 및 대상을 확대하였습니다.

위반행위의 심각성에 비례하여 과징금을 부과하기 위해 과징금 산정 기준을 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액으로 규정하였습니다.

또한 기존 과징금은 위반행위 관련 매출액의 3%이하였으나 개정안에서는 연간 총 매출액의 3%이하 과징금으로 개정되어 더욱 강력한 경제제재로 변경되었습니다.

 

개인정보보호법 제64조의 2(과징금의 부과)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
[본조신설: 2023.3.14]

 

 

개인정보의 국외 이전 및 국외 이전 중지 명령

 

이전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있었습니다. 그러나 개정된 법에서는 개인정보가 이전되는 국가가 동등한 수준의 보호 수준을 갖추었다고 인정되는 곳에는 별도 동의가 없어도 개인정보를 국외로 이전 가능하도록 하였습니다. 개인정보의 국외 이전으로 정보주체에게 피해가 발생할 우려가 있는 경우에는 국외이전을 중지할 것을 명할 수 있도록 하였습니다.

개인정보보호법 제4절 개인정보의 국외 이전<신설 2023.3.14>

제28조의 8(개인정보의 국외 이전)
① 개인정보처리자는 개인정보를 국외로 제공·처리위탁·보관하여서는 아니된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

개인정보보호법 제28조의 9(개인정보의 국외 이전 중지 명령)
① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.

 

이번 개인정보보호법 개정을 통해 디지털 전환이 빨라지는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 산업과 기업이 성장할 수 있는 발판이 될 것으로 개인정보보호위원회에서는 전달하였습니다.