Home > 전체기사 > 정책
[개인정보보호 연차보고서 톺아보기-6] 개인정보보호 관련 법·제도 개선
  |  입력 : 2020-09-15 11:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
데이터 3법 개정과 기타 정보통신 분야 개인정보보호 법령 정비 현황 총정리

2020 개인정보보호 연차보고서에는 △개인정보보호 관련 법·제도 개선 △국제적 환경 변화에 따른 대응 △국제협력 강화라는 세 가지 측면을 중심으로 개인정보보호 정책 및 제도 개선 사항에 대한 내용이 소개돼 있다. 먼저 개인정보보호 관련 법·제도 개선 사항에 대해 구체적으로 살펴본다.

[이미지=utoimage]


1. 데이터 3법 개정
가. 데이터 3법의 개정 경과
2019년에는 사회 전반에 데이터경제 활성화 요구가 확산되면서 지난 2018년 발의된 데이터 3법(「개인정보 보호법」, 정보통신망법, 「신용정보의 이용 및 보호에 관한 법률」)의 신속한 국회 통과를 위한 노력이 본격적으로 진행됐다.

먼저 행정안전부, 방송통신위원회, 개인정보보호위원회 등 관계 부처는 「개인정보 보호법」 개정안에 대한 시민사회와 산업계의 우려를 해소하기 위해 국회, 산업계, 시민단체, 학계 등 다양한 관계자를 대상으로 전방위적인 소통과 협력을 추진했다. 그 결과, ‘데이터의 안전한 활용과 개인정보보호의 조화’를 위한 「개인정보 보호법」 개정 작업이 완료돼 8월 5일 시행됐다.

「개인정보 보호법」 개정안의 의결을 전제로 「개인정보 보호법」과 유사·중복되는 정보통신망법의 개인정보보호 관련 규정은 삭제하고 국외 이전 시 보호 조치, 국외 재이전, 국내대리인, 손해배상 책임보험 등 현행 「개인정보 보호법」과 상이하거나 정보통신망법에만 있는 규정은 특례로 이관하는 등의 내용을 담은 정보통신망법 개정안(노웅래 의원안, 2018.11.16. 발의)도 본회의를 통과해 8월 5일 시행됐다.

데이터 3법의 하나인 「신용정보의 이용 및 보호에 관한 법률」(이하 신용정보법) 개정안도 8월 5일 시행됐다. 개정된 신용정보법에 따라 금융권 빅데이터 활용의 법적 근거가 마련되고, 마이데이터 등 새로운 혁신 분야 기업의 출현 기반도 마련됐다. 아울러 데이터의 효율적 활용과 함께 정보보호 내실화 방안도 마련돼 데이터 활용과 안전한 정보보호의 균형이 달성될 것으로 기대된다.

나. 데이터 3법의 주요 개정 내용
8월 5일 시행된 개정 「개인정보 보호법」의 주요 내용을 간략히 소개하면 다음과 같다. 첫째, 개인정보 판단기준 명확화(제2조 제1호 개정, 제58조의2 신설)이다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보의 기준을 신설하고, 해석법상 적용을 배제하던 익명정보는 「개인정보 보호법」 적용 대상이 아님을 명시함으로써 개인정보 판단기준을 명확화한 것이다.

둘째, 데이터 활용을 위한 가명정보 제도화(제2조 제1호 개정, 제28조의2 신설)이다. 원상태로 복원하기 위한 추가 정보를 사용하지 아니하고는 특정 개인을 알아볼 수 없도록 가명처리한 정보(가명정보)는 통계 작성, 과학적 연구, 공익적 기록 보존 등의 목적으로 동의 없이 처리를 허용함으로써 데이터 경제에서 끊임없이 요구됐던 데이터 활용 수요를 일정 부분 충족할 수 있을 것으로 보인다.

셋째, 수집목적과 합리적 관련 범위 내에서 활용 확대(제15조, 제17조 개정) 부분이다. 당초 수집목적과 합리적으로 관련된 범위 내에서 암호화 등의 안전성 확보 조치를 했는지 여부 등 대통령령으로 정하는 바에 따라 개인정보의 추가적인 이용·제공이 가능해진 것이다.

넷째, 가명정보 간 결합 근거 마련(제28조의3 신설)이다. 기업 내부 데이터는 자체 결합(제28조의2)·기업 간 데이터는 전문기관(대통령령으로 정하는 보안시설을 갖출 것)에서 수행이 가능하며, 결합된 데이터를 기관 외부로 반출 시 가명 또는 익명 조치 후 전문기관의 승인을 거치도록 했다.

다섯째, 개인정보처리자의 책임성 강화(제28조의4 신설)이다. 가명정보 처리 및 결합 시 안전성 확보에 필요한 기술적·관리적 및 물리적 조치 의무를 부과하고, 특정 개인을 알아보게 될 경우 이용 중지 및 회수·파기 등 의무 및 벌칙 규정을 신설했다.

여섯째, 개인정보보호 추진체계 효율화(제7조 개정 등)다. 여러 부처에 산재돼 있던 개인정보보호 업무를 개인정보보호위원회로 일원화하고, 중앙행정기관으로 격상함으로써 독립성을 확보했다.

이와 같이 개인정보 관련 법률이 「개인정보 보호법」으로 일원화됨으로써 적용 법률에 대한 수범자 혼란, 중복 규제 등 기존에 제기돼 오던 문제가 대부분 해결될 것으로 보인다. 또한, 가명정보 활용을 바탕으로 데이터 이용 활성화가 이뤄져서 인공지능(AI), 사물인터넷(IoT), 빅데이터(Big Data) 등 관련 산업도 비약적으로 발전해 나갈 것으로 기대된다.

정부는 앞으로도 데이터의 안전한 활용을 위한 기반을 더욱 확대해 나가고, 개인정보 자기결정권 보장 확대를 위해 추가적으로 법·제도 개선을 추진해 나갈 예정이다.

정보통신망법의 경우 개인정보보호 관련 조항이 모두 「개인정보 보호법」의 특례 조항으로 이관되고 해당 법률에서는 삭제해 개인정보 보호 관련법 및 관리 체계를 일원화했다.

한편, 신용정보법은 데이터를 안전하게 잘 활용할 수 있게 하자는 취지로 다음과 같이 개정됐다. 첫째, 빅데이터 분석·이용의 법적근거 마련이다. ‘가명정보’를 통계 작성(시장조사 등 상업적 목적 포함), 과학적 연구(산업적 연구 포함), 공익적 기록 보존 목적으로는 동의가 없어도 활용이 가능하도록 한 것이다. 그러나 데이터 결합은 국가지정 전문기관을 통해서만 가능하도록 하고, 가명정보의 재식별 금지·추가 정보 분리 보관·보안 대책 마련 등 안전장치 및 사후통제 수단을 마련하도록 규정했다. 특히 고의적 재식별은 5년 이하의 징역, 5,000만원 이하의 벌금, 전체 매출액의 3% 이하의 과징금을 부과할 수 있도록 했다.

둘째, 금융 소비자의 권리를 보장하고 개인정보보호를 강화했다. 금융소비자가 알고자 하는 정보 활용 동의를 적용하고, 회사에게 데이터 처리 설명을 요구하는 프로파일링 대응권·내 정보를 나를 위해 활용할 수 있도록 하는 개인신용정보 이동권도 신설했다. 한편으로는 정보활용·관리실태 상시 평가제도를 적용하고, 징벌적 손해배상금을 손해액의 5배로 높이는 등 금융기관 등의 개인신용정보 보호 의무 및 벌칙도 강화했다.

셋째, 개인정보보호 추진체계 효율화다. 상거래기업(금융회사 제외)의 개인신용정보 보호에 관한 법 집행 기능을 보호위원회로 이관하고, 「개인정보 보호법」과 유사·중복 조항을 정비함으로써 법 집행의 효율성을 제고했다.

넷째, 금융 분야 마이데이터(MyData) 산업 도입이다. 마이데이터란 개인이 자신의 정보에 대한 관리와 통제권한을 가지고, 이를 바탕으로 개인정보 활용처·활용범위 등에 대해 능동적인 의사결정을 하는 개인정보 활용 패러다임이다. 이와 같은 마이데이터 산업 활성화를 위해 마이데이터 산업 진입장벽을 최소화하는 것은 물론 안전한 데이터 전송을 위한 법적·기술적 여건을 마련하는 등 개인신용정보 활용에 따른 안전 조치도 강화했다.

2. 기타 정보통신 분야 개인정보보호 법령 정비
방송위는 이용자의 개인정보 자기결정권 보장을 강화하고 국내외 정보통신서비스 제공자 등의 책임성을 강화하기 위해 세부적인 내용을 규정한 정보통신망법 시행령을 개정했다.

첫째, 방통위는 정보통신망법 시행령 제16조의2를 신설해 정보통신서비스 제공자 등의 자율적인 개인정보보호 활동의 촉진·지원을 위해 방통위가 자료 제출 요청 및 의견수렴, 행정적·재정적 지원, 정보통신서비스 제공자단체 등의 개인정보보호 활동계획의 이행결과 평가 등을 할 수 있는 근거를 마련했다(2019.6.25. 시행).

둘째, 일정 규모 이상의 국외사업자에게 국내대리인 지정을 의무화하도록 정보통신망법 제32조의5(국내대리인의 지정)를 신설해 국내대리인 지정제도를 도입했다. 이에 개정 법률에 따른 국내대리인 지정제도의 차질없는 시행을 위해 국내대리인을 지정해야 하는 의무 대상 사업자의 세부기준을 담은 정보통신망법 시행령 제17조의2를 신설했다(2019.3.19. 시행).

셋째, 방통위는 정보통신서비스 제공자 등이 개인정보보호 법령 위반으로 이용자에게 손해를 입힌 경우 손해배상책임 이행을 위해 보험 또는 공제 가입·준비금 적립 등의 조치를 하도록 정보통신망법 제32조의3이 신설됨에 따라 개인정보보호 손해배상책임보험(공제) 등에 가입 또는 준비금을 적립해야 하는 정보통신서비스 제공자 등의 범위 및 기준 등을 정하는 정보통신망법 시행령 제18조의2를 신설했다(2019.6.13. 시행).

넷째, 방통위는 정보통신망법 시행령 제19조의2를 신설해 정보통신서비스 제공자 등이 만 14세 미만 아동의 개인정보 수집·이용·제공을 위해 법정대리인이 동의했는지를 확인하는 방법으로 휴대전화 메시지·신용카드 등을 통한 확인(인터넷 사이트를 통한 동의의 경우), 서면, 전화, 전자우편, 그 밖에 이에 준하는 방법을 활용하도록 했다(2019.6.25. 시행).

3. 정보기술 환경 변화에 따른 제도 개선
행안부는 2019년 6월 개인정보의 유출 및 오·남용을 방지하기 위해 「개인정보의 안전성 확보조치 기준」(고시)을 개정했다. 이뿐만 아니라 2018년 11월 243개 기관을 대상으로 시행한 ‘접속기록 보관 실태조사’ 결과를 바탕으로 2019년 접속기록 관리 전반의 미흡한 점을 확인하고, 관리수준 제고를 위해 전반적인 개선을 추진했다.

또한 개인정보처리시스템의 접속기록에 대한 관리기준을 보다 강화했는데, 개정된 고시에 따르면 개인정보처리자는 ①접속기록 보관기간 연장(6개월→1년) ②점검주기 강화(반기별→월별) ③접속기록 항목을 구체화해 저장·보관 등을 시행해야 한다. 이는 개인정보취급자 계정을 통한 개인정보 유출사고(내부자 유출, 계정 탈취에 따른 유출 등)의 책임 추적성을 확보하기 위함이며, 개인정보처리자는 주기적인 모니터링을 통해 침해사고 예방을 강화할 수 있다.

아울러 행안부는 고시 개정 내용에 대한 사업자의 이해를 돕기 위해 안내 및 해설서를 마련해 배포했으며, 개인정보보호 업무담당자 대상으로 교육을 실시하고 책임자(CPO) 세미나를 개최해 접속기록 관리 강화에 대한 인식을 제고했다.

한편, 방통위는 음성정보 등 바이오정보를 활용한 서비스의 이용자 권리 강화를 위해 ‘음성인식 기반 서비스에서의 개인정보 처리 실태 분석 및 이용자 보호 방안 연구’를 추진했다. 또한, 방통위는 2018년 ‘정보통신서비스 분야에서 블록체인 활용에 따른 개인정보보호 이슈 연구’를 추진한 바 있으며, 동 연구의 후속 연구로서 2019년 ‘블록체인에서의 Privacy by Design 적용 방안 연구’를 추진했다.

4. 주민등록번호 처리와 관련된 법률 등의 제·개정 현황
2019년 한 해 동안 주민등록번호 처리와 관련된 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙의 제·개정 현황은 다음과 같다.

2019년 주민등록번호 처리 근거와 관련해 「금융혁신지원 특별법 시행령」 등 4개 대통령령이 제정됐고, 「조세특례제한법」 등 9개 법률과 「소득세법 시행령」 등 67개 대통령령 등이 개정됐다.

2019년 제정된 주민등록번호 처리 근거 관련 대통령령은 6.25 전쟁 무공훈장 수여와 금융 분야에서의 혁신 성장 지원, 공공재정 부정청구 금지 및 부정이익 환수 등을 위해 필수적으로 주민등록번호 확인이 필요한 경우였다.

개정 법률 및 대통령령은 아동복지·청소년복지·장애인 건강권·자살 예방·정신건강 증진 등 계층별 복지와 조세특례 제한, 지방세·소득세 등 투명한 조세 등을 위해 주민등록번호 처리가 필요한 경우였다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)