Home > 전체기사

개인정보보호법 개정안 입법예고, 신설·변경되는 13개 조항은?

  |  입력 : 2021-01-08 14:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보주체 권리 강화, 신기술 도입에 대한 기업 부담 경감
처벌에 있어서도 개인에 대한 ‘형벌’ 대신, 행정조치인 ‘과징금’으로 변경


[보안뉴스 이상우 기자] 개인정보보호위원회(이하 개인정보위)가 ‘개인정보보호법(이하 보호법)’ 일부 개정법률(안)을 입법예고했다. 개정에 대해 의견이 있는 기관·단체·개인은 오는 2월 16일까지 국민참여입법센터를 통해 제출하면 된다. 개인정보위는 지난해 말 열린 제9회 전체회의를 통해 개인정보보호법 2차 개정안을 검토한 바 있다. 최근 감염병 확산과 비대면 사회 돌입 등 변화하는 사회 환경에 맞춰 국민의 정보주권을 더 강화하고, 기업에는 이중규제 등 불필요한 혼란과 부담을 줄이는 것이 목적이다.

[이미지=utoimage]


개정안의 주요 내용을 살펴보면, △개정 보호법은 제6조를 통해 다른 법률과의 관계를 정비한다. 현행 보호법은 신용정보법 등 다른 법률에서 특별한 규정이 있는 경우 그 법을 따르도록 하고 있으며, 다른 법률에서 개인정보보호에 관해 다르게 규정하고 있을 경우 보호법의 원칙과 상충하는 일도 발생했다. 이에 따라 개정 보호법에서는 다른 법률 제·개정 시 개인정보보호 원칙을 준수하도록 규정한다. 개인정보와 관련해 다른 법률과 상충 시 보호법을 우선 적용하되, 다른 법률의 규정이 정보주체에게 더 유리할 경우에는 해당 법률을 적용한다.

△제13조 자율규제의 촉진 및 지원도 강화하는 방향으로 개정한다. 디지털 시대로 변화하면서 다양한 형태의 개인정보가 서비스에 사용되고 있어 정부가 주도하는 규제만으로는 한계가 존재한다. 이에 따라 분야별 특성을 반영한 자율보호를 활성화하고, 기업 등이 자율규제 활동에 적극적으로 참여해 정보주체의 개인정보를 보호할 수 있도록 인센티브를 제공할 계획이다. 개인정보위는 개정 보호법을 통해 자율규제단체를 지정하고, 자율규제 활성화 및 행정·기술·재정적 지원 근거를 마련한다. 또한, 개정을 통해 민간과 정보 소통창구 기능을 수행하는 ‘자율규제단체 연합회’ 설립 근거도 마련했다.

△제25조 영상정보처리기기의 설치·운영 제한은 새로운 기술 등장에 유연하게 대응하기 위해 개정한다. 현행 제25조에서는 고정형 CCTV만을 규제하고 있어 드론, 자율주행차 등 이동형 기기의 특성에 맞는 기준을 제시하기 어렵다. 현재 드론 등을 이용한 촬영이나 카메라 정보를 통한 자율주행 구현 시에는 현행 제15조(개인정보 수집·이용)를 적용해 개별 정보주체에게 동의를 받아야 하는 상황으로, 이는 신기술 도입과 신사업 성장 저해요소가 될 수 있다. 따라서 개정 보호법은 공공장소에서 업무 목적의 ‘이동형 영상정보처리기기’를 통한 개인영상정보 촬영을 원칙적으로 제한하되, 제15조 제1항 각 호 중 하나에 해당하거나 촬영 사실을 표시했음에도 거부의사를 밝히지 않은 경우 예외적으로 허용한다.

[이미지=utoimage]


△제28조 제3절 가명정보의 처리에 관한 특례와 제60조 비밀유지 등은 가명정보 결합기관 운영에 따라 현행보다 정의를 더 명확하게 개정한다. 현행 제28조의2 제1항은 ‘가명정보의 처리’로 표시돼 있으나, 개정 보호법에서는 여기에 ‘개인정보의 가명처리’가 포함된다는 사실을 명시한다. 또한, 가명정보 처리목적을 달성하면 의무적으로 파기하도록 제28조의7(적용범위)에서 예외조항을 일부 제거한다. 이와 함께 제60조를 개정해 가명정보 결합기관의 업무수행에서 비밀유지 의무를 신설한다.

또한, △제28조에는 개인정보 국외이전과 관련한 내용을 신설(제29조의8 및 9)한다. 현행법은 국외이전과 관련한 조항은 일반규정과 특례규정으로 나뉘어 있어, 해당 법을 적용받는 개인 및 사업자에게 혼란을 준다는 지적이 있었다. 특히, 해외직구 등이 확대되면서 개인정보 국외이전이 증가하고 있는 상황에서 GDPR 등 해외 법제와의 상호 운용성 확보 및 국외이전 개인정보보호를 강화하기 위해 국제 표준에 부합하도록 이전 방식을 다양화한다는 계획이다.

△제30조의2(개인정보 처리방침의 심사)를 신설해 국민의 알 권리도 보장한다. 현행 제30조는 개인정보 처리방침 수립 및 공개를 의무화하고 있으나, 이 방식이 적절한지, 실제로 이행하고 있는지 등에 대한 판단 기준이 없어 문제제기가 지속되고 있다. 가령 ‘개인정보를 암호화해 보관한다’고 약관에 명시돼 있으나 실제 이러한 처리가 이뤄지는지 사용자는 알기 어렵다. 이에 따라 개정 보호법에서 신설되는 조항을 통해 비영리민간단체 등이 처리방침에 대한 적정성을 심사하는 ‘개인정보 처리방침에 대한 심사제도’를 도입하고, 시정조치를 부과할 수 있는 근거를 마련한다.

△제35조의2 개인정보 전송 요구권도 신설한다. 데이터 경제 활성화에 따라 개인정보가 대량으로 유통되고 있는 반면, 정보주체인 국민은 이러한 유통 과정에 능동적으로 개입하는 데 한계가 있다. 신설된 조항은 정보주체가 기존 개인정보처리자에게 자신의 개인정보를 다른 개인정보처리자 및 관리 전문기관에 전송할 수 있는 권리를 도입한다. 가령 A 소셜미디어(SNS)를 사용하는 김씨는 기존 이용 서비스 품질이 마음에 들지 않는다면 B 소셜미디어로 자신의 정보를 옮겨달라고 요구할 수 있다.

△제37조의2(자동화된 의사결정에의 대응권)는 인공지능을 통한 맞춤형 서비스의 부작용을 줄이기 위해 신설한다. 최근 데이터 분석 기술이 발전하면서 개인의 행동에 대한 예측이나 평가가 가능해지고 있다. 이에 따라 콘텐츠 추천 등 맞춤형 서비스도 등장하고 있지만, 이를 통해 특정인에 대한 낙인이나 차별 등 새로운 위험성도 등장하고 있다. 개정 보호법에서는 이러한 맞춤형 서비스가 정보주체에게 법적인 영향을 주는 경우 이의제기 및 설명을 요구할 수 있는 권한을 신설한다. 또한, 개인정보처리자는 이러한 서비스를 제공할 때 기준과 절차를 정보주체가 쉽게 인식할 수 있도록 알릴 의무도 생긴다.

△온라인과 오프라인으로 이원화된 개인정보보호 의무 규정은 제39조 제6장 특례규정을 삭제하고 다른 조에 반영 및 추가해 사업자의 혼란 및 이중부담을 줄일 계획이다. 일반규정과 유사하거나 중복된 특례규정은 일반규정으로 통합하고, 온·오프라인 모두 적용해야 하는 특례규정은 각각 다른 규정에 추가한다. 또한, 국내 사업자에 대한 과도한 규제로 작용하거나 실익이 없는 특례는 폐지한다.

[자료=개인정보보호위원회, 정리=보안뉴스]


△개인정보분쟁조정제도는 제40조, 제43조, 제45조를 개정해 현실성을 높인다. 현행법상 개인정보 유출에 대한 보상, 개인정보 수집목적 외 이용(광고 메시지 등) 같은 분쟁이 발생했을 경우, 조정에 의무적으로 응해야 하는 대상은 공공기관으로 한정되며, 개인 및 기관은 사실 확인을 위한 조사 근거가 없기 때문에 적극적인 조정에 한계가 있었다. 이에 따라 개정 보호법에서는 공공기관뿐만 아니라 사업자 등 모든 개인정보처리자로 의무 대상을 확대하며, 관계기관의 자료요청이나 현장조사 등에 대한 법적근거도 마련했다.

△감염병예방법, 통계법 등 현행 제58조에서 규정하는 보호법 적용 예외 대상 중 일부도 삭제한다. 통계법과 감염병예방법 등에서는 개인정보 수집 및 이용에 관한 구체적인 규정을 두고 있어 굳이 예외 대상으로 두지 않아도 된다는 설명이다.

△개인정보위의 침해조사 및 제제기능은 제59조, 제64조, 제66조 등을 개정해 강화한다. 현행법상 개인정보위가 시정명령을 내리기 위해서는 ‘개인정보 침해라고 판단할 명확한 근거가 있고, 유출로 인해 큰 피해가 예상될 때’만 시정명령이 가능하다. 개정 보호법은 이러한 시정명령 부과요건을 합리화하고, 시정조치를 내렸다는 사실 공표할 수 있는 법적 근거를 마련할 계획이다.

△제64조의2 신설 및 제71조, 제72조, 제73조, 제75조 등 벌칙에 관한 규정도 개정한다. 개인정보 침해사고 대부분은 금전적 목적을 위한 경우가 많은 반면, 현행 처벌 규정은 5년 이하의 징역 또는 5,000만 원 이하의 벌금 등 개인에 대한 처벌을 유도한다. 이에 개정 보호법에서는 형벌을 줄이는 대신, EU 등 주요국의 입법에 따라 ‘행정처분’인 과징금으로 전환한다. 각 서비스별 규모와 유형이 다른 벌칙을 매출액의 최대 3%이하의 과징금으로 바꾸고, 형벌의 범죄구성 요건을 ‘자기 또는 제3자의 이익을 목적’으로 유출한 경우로 제한한다. 이에 따라 과실이나 시스템 오류로 인한 유출 시 개인에 대한 지나친 형벌을 줄일 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협