개인정보 보호법 2차 개정안이 ’23. 2. 27. 국회 본회의에서 의결되었습니다. 이번에 국회 본회의를 통과한 개정안은 정부 이송, 국무회의 의결 등의 절차를 거쳐 공포되며, 공포일로부터 각 제도별로 6개월 내지 2년이 경과한 날부터 시행될 예정입니다.

이번에 통과된 개인정보 보호법 일부 개정안은 (i) 개인정보 전송요구권, 자동화된 결정에 대한 설명요구권 및 거부권 등을 신설하여 정보주체의 권리를 확대하고, (ii) 정보통신서비스제공자 등에 대한 특례를 대부분 삭제하며, (iii) 형벌 중심의 제재를 과징금 등 경제적 제재 중심으로 전환하는 내용 등을 담고 있습니다.

개인정보 보호법 2차 개정안의 추진 배경 및 주요 내용은 다음과 같습니다.

1. 추진 배경

• ’20.8.5. 시행된 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법)의 개정은 주로 개인정보 보호 컨트롤 타워 구축 및 데이터 경제 활성화를 위한 초석 마련에 중점을 두었는데, 그 당시에 차기 입법과제로는 변화하는 데이터 환경에서의 국민의 권리 강화를 다루어야 한다는 논의가 많았습니다.
  
  ※ 데이터 3법 개정으로 개인정보 보호 관련 업무가 개인정보보호위원회로 통합·이관되고, 정보통신망법상의 정보통신서비스제공자에 대한 특례규정이 개인정보 보호법으로 통합되어 개인정보 관련 법령이 일원화되고, 가명정보에 관한 규정 등의 도입을 통해 데이터 이용이 보다 활성화될 수 있는 근거가 마련되었음
   
• 1차 데이터 3법 개정에도 불구하고 데이터 시대로의 전환에 맞지 않는 현실과 괴리된 불합리한 규제*가 여전히 존재하고 있었는데, 이를 개선하여 개인정보를 보다 두텁게 보호하고, 국민이 신뢰할 수 있는 데이터 경제로의 이행을 위해 2차 법 개정을 추진하게 되었습니다.
  
  ※ 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등
   
• 이번 2차 개정안은 개인정보 보호법 제정(’11.9.30.) 이래 민·관·산·학의 의견을 반영한 첫번째 정부안으로, 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반이 될 것으로 보입니다.
   

2. 주요 내용

가. 불합리한 동의제도의 완화 (안 제15조 제1항 제4호 개정)

• 종전에는 개인정보처리자가 “정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우”에는 정보주체의 동의없이 개인정보를 수집할 수 있었으나 개정안에서는 “정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우”로 그 요건을 합리적으로 개선하였습니다.

나. 정보주체의 권리 확대

• 개인정보 전송요구권(안 제35조의2 신설)
  - 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송 요구할 수 있는 일반적 권리인 개인정보 전송요구권을 신설하였습니다.
  
  ※ 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정함
   
• 자동화된 결정에 대한 설명요구권 및 거부권(안 제37조의2 신설)
  - 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명 요구권 등을 신설하였습니다.
   

다. 정보통신서비스 제공자에 대한 특례규정 삭제 (법 제39조의3 내지 제39조의15 삭제)

• 정보통신서비스제공자 등의 특례규정을 삭제하여 ‘개인정보처리자’와 ‘정보통신서비스제공자 등’에 대해 이원화되어 있던 현행 체계를 일원화하고, 모든 개인정보처리자를 대상으로 ‘동일행위-동일규제’ 원칙을 적용하였습니다.
  
  - 예컨대, 기존에는 동의없이 개인정보를 수집한 경우, 오프라인 기업은 5천만원 이하 과태료를, 온라인 기업은 관련 매출액의 3% 이하 과징금을 부과할 수 있었습니다(법 제75조 제1항 제1호 및 제39조의15 제1항 제6호).
  
  - 규정을 일원화함으로써 일반 규정과 유사∙중복되는 특례 규정(개인정보 수집∙이용 동의, 14세 미만 아동의 개인정보 수집, 개인정보 유출 시 통지신고, 보호조치 특례 등)은 일반 규정으로 통합∙정비하여 온∙오프라인 사업자 간 상이한 규정 또는 벌칙을 단일화하였습니다
   
• 또한, 특례 규정에만 있는 ①손해배상 보장 제도, ②국내 대리인 지정 제도, ③개인정보 이용 내역 통지 등은 일반규정으로 전환하여 모든 분야로 확대 적용하였습니다.
   

라. 형벌 중심의 제재를 경제제재 중심으로 전환 (안 제64조의2 신설)

• 개인에 대한 형벌을 기업에 대한 경제 제재 중심으로 전환하여 개인정보 보호에 대한 기업의 투자 촉진 및 실효성 제고하였습니다.
  
  - 온라인 서비스 분야의 과도한 형벌규정은 정비·삭제하는 대신, 과징금 상한 및 대상을 확대하였습니다.
  
  ※ 정보통신서비스제공자에 대한 형벌 규정 삭제: 동의 없는 개인정보 수집, 안전조치 의무 위반으로 개인정보 유출, 개인정보 파기의무 위반, 만 14세 미만 아동 법정대리인 동의의무 위반
  
  - 정보통신서비스제공자 등에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금의 부과 기준은 전체 매출액의 3% 이하로 상향하되, 과징금 산정에 있어서는 위반행위와 관련 없는 매출액을 제외하도록 하였습니다.
  
  ※ 위반행위와 관련 있는 매출액을 기초로 과징금을 산정하므로, 위반행위와의 관련성이 없다는 것은 사업자가 입증하도록 입증책임이 전환됨반
   

마. 기타

• 이동형 영상정보처리기기 운영 기준 마련(안 제2조 제7호의2 및 제25조의2 신설)
  
  - CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련하였습니다.
   
• 개인정보의 국외 이전 및 국외 이전 중지 명령(안 제28조의8 및 제28조의9 신설)
  
  - 종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을, 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에는 별도 동의가 없어도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 하였습니다.
  
  - 개인정보 보호위원회는 개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 하였습니다.
   
• 개인정보 처리방침의 평가 및 개선권고(안 제30조의2)
  
  - 개인정보 보호위원회가 개인정보 처리방침을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우 개인정보처리자에게 법 제61조 제2항에 따라 개선을 권고할 수 있게 되었습니다.
   
• 개인정보 분쟁조정제도 개선(안 제43조 제3항 등 신설)
  
  - 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상이 공공기관에서 모든 개인정보처리자로 확대되었으며, 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정안을 거부한 것으로 간주하던 것을, 앞으로는 조정안을 수락한 것으로 간주하도록 하였습니다.
  
  - 분쟁조정위원회는 사실 확인이 필요한 경우에는 사무기구 소속 공무원 등으로 하여금 사건과 관련된 장소에 출입하여 자료를 조사하거나 열람하게 할 수 있고, 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있도록 하였습니다.
   

3. 시사점

• 금번 개인정보 보호법 개정을 통해 ‘개인정보 전송요구권’이 도입되면서, 일부 영역에서만 한정적으로 이용되던 마이데이터 서비스가 모든 영역으로 확장될 수 있는 근거가 마련되었습니다. 앞으로 정보·통신·교통·보건·의료 등 모든 산업분야에서의 마이데이터 서비스 제공이 가능해질 것으로 기대됩니다.
  
  - 개인정보 전송요구권 활용에 관한 구체적인 사항(전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법 등)은 대통령령으로 정해질 예정이므로, 하위 법령의 제정 과정 및 정책방향과 논의 동향 등에 관하여 지속적인 모니터링이 필요합니다.
   
• 뿐만 아니라 정보통신서비스사업자에 대한 특례 규정이 일반규정으로 통합·정비됨에 따라, 정보통신서비스사업자에 적용되던 많은 규정들이 완화 내지는 폐지되었는데(예: 개인정보 유효기간제 삭제), 정보통신서비스사업자들은 개인정보 보호법 개정을 통해 새롭게 적용되는 규제 및 폐지된 규제를 점검하고 각 기업의 개인정보 보호정책 등을 새로이 손질할 필요가 있습니다.
   
• 또한, 형벌 중심의 제재가 경제제재 중심으로 전환됨에 따라서 개인정보 침해 사고 등이 발생하는 경우 형사처벌의 위험은 낮아졌으나 반면에 보다 강한 경제재재가 부과될 가능성이 커졌으므로 사전적인 개인정보 Compliance에 더욱 만전을 기할 필요가 있습니다.
   

About Shin & Kim’s ICT Group

법무법인(유) 세종은 개인정보 분야의 독보적인 전문성과 인적 네트워크(김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관, 이태희 전 과학기술정보통신부 실장 등)를 보유하고 있으며, 기업들을 위하여 개인정보 보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보 보호 컴플라이언스 체계 수립 등 개인정보 보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.

 

[English version] Proposed Amendment to the PIPA passes the National Assembly

 

출처 : https://www.shinkim.com/kor/media/newsletter/2039