개인정보 보호법 전면 개정, 2023년 9월 15일 시행
전면 개정 개인정보 보호법, 9월 15일 시행
- 개정 개인정보 보호법 후속 시행령 개정안 국무회의 의결(9.5.(화))
- 달라지는 내용이 많아 현장에서 꼼꼼하게 확인 필요
개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 9월 5일 국무회의에서 「개인정보 보호법」시행령 개정안이 의결됨에 따라 지난 3월 14일 공포된 「개인정보 보호법」과 후속 개정 시행령이 9월 15일부터 시행된다고 밝혔다.
이번 「개인정보 보호법」과 후속 시행령 개정으로 국민의 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화가 예상되므로 기업ㆍ공공기관 등 개인정보처리자는 개정사항을 꼼꼼하게 확인해야 한다.
9월 15일 시행되는 개정법에는 정보주체인 국민의 권리는 실질적으로 보장하면서 온라인-오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털 환경에 맞게 일원화하는 등 그동안 각 계에서 논의되어 온 다양한 내용이 포함되어 있다.
첫째, 국민의 권익 보호가 보다 실질적으로 이루어질 수 있도록 정비하였다.
① 긴급 구조 등 국민의 급박한 생명ㆍ신체ㆍ재산의 이익을 보호*하기 위해 필요하거나, 메르스ㆍ코로나19 등 공공의 안전을 위해 개인정보를 수집ㆍ이용ㆍ제공해야 할 경우에는 우선하여 조치할 수 있도록 하되, 이 경우에도 개인정보 안전조치 등은 적용되도록 하였다.
* 사례: 급박하게 아동 성범죄 피해가 예상되는 상황에서 쏘카서비스를 이용한 범죄자의 주소 정보를 수사기관에 즉시 제공하지 않아 피해를 막지 못함(’21.2월)
② 또한, 정보주체인 국민이 개인정보 침해를 받은 경우 신속하게 구제절차를 진행할 수 있도록 개인정보 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정 절차를 개편하였다.
둘째, 영상정보ㆍ온-오프라인 이원화된 규제 등은 현장의 규제 개선 요청을 반영하여 개선하였다.
① 드론ㆍ자율주행차 등 이동형 영상정보처리기기를 통해 업무를 목적으로 영상정보를 촬영하는 경우 안내판, 소리 등을 통해 촬영 사실을 충분히 알린 경우에는 정보주체가 거부의사를 표시하지 않는 한 촬영이 가능하도록 하였다.
② 또한, 온라인-오프라인으로 이원화되어 각각 다른 기준을 적용하고 있는 규정들은 ‘동일행위 동일규제 원칙’에 따라 모든 개인정보처리자가 동일한 기준을 적용받도록 정비하였다.
※ ①개인정보 이용ㆍ제공 내역 통지, ②14세 미만 아동의 개인정보 수집, ③개인정보 유출 등의 신고ㆍ통지, ④개인정보의 안전조치 기준, ⑤과징금ㆍ과태료ㆍ형벌 등 제재
셋째, 공공분야에서 개인정보가 안전하게 처리될 수 있도록 안전성 확보조치 등을 강화하였다.
국민의 개인정보가 대규모로 관리되고 있는 주요 공공시스템 운영기관에 대하여 접속기록 분석ㆍ점검, 공공시스템별 관리책임자 지정, 공공시스템에 권한없이 접근한 사실이 확인된 경우 통지 등 안전성 확보 조치를 강화하였다.
※ 「공공부문 개인정보 유출 방지대책」(’22.7.14. 관계부처 합동) 이행
넷째, 국제 기준(글로벌 스탠다드)을 반영하여 개인정보의 국외 이전 요건을 다양화하고 과징금 제도를 개편하였다.
① 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 개인정보 보호 인증 등을 받은 기업으로의 국외 이전이 가능하도록 요건을 다양화하고, 법을 위반하는 등의 사유가 있는 경우 국외 이전 중지명령이 가능하도록 하였다.
② 과징금 상한액 산정기준을 위반행위 관련 매출액에서 전체 매출액으로 변경하고 산정기준이 되는 매출액은 ‘위반행위와 관련 없는 매출액’을 제외하도록 하여 과징금이 책임의 범위를 벗어나 과도하게 산정되지 않도록 하였다.
또한, 중소ㆍ영세사업자 등의 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기하거나 분할하여 납부할 수 있도록 개선하였다.
한편, 법 개정사항 중 시행일이 다른 개인정보 전송요구 등에 대하여는 현재 시행령 개정안을 준비 중이며, 개정안이 마련되는 대로 10월부터 단계적으로 입법예고를 진행할 예정이다.
개인정보위는 법 시행에 앞서 민간부문(9월 13일), 공공분야(9월 14일)를 대상으로 개정 「개인정보 보호법」 설명회를 엘타워(양재동, 오후 3시~5시)에서 진행하고, 소상공인·전문 수탁자(호스팅) 등 분야별 특성에 맞게 현장 설명회를 지속적으로 추진할 예정이다.
※ 안내서는 9월 중 초안 공개 후 현장 질답ㆍ의견과 고시 등 개정사항을 반영하여 12월 종합 컨퍼런스 개최 시 발간 예정
고학수 개인정보위 위원장은 “이번 「개인정보 보호법」 개정은 2011년 제정 이후 정부 주도로 추진한 최초의 전면 개정으로, 그 동안의 정보주체인 국민의 권익 보호 강화 요구와 현장의 규제개선 목소리를 충실히 담았다”며,
“개정된 「개인정보 보호법」은 달라지는 내용이 많아 현장에서 꼼꼼하게 확인하고 조치해야 할 사항이 많은 점을 고려하여 연말까지 현장 맞춤형 홍보와 계도 활동에 집중하여 바뀐 제도가 현장에서 안정적으로 정착될 수 있도록 지원해 나가겠다”고 밝혔다.
개인정보 보호법 주요 변경사항 (요약)
구분 | 개정 사항 | 주요 내용 |
정보주체의 권익 보호 | ① 국민의 생명·신체 등 보호를 위한 법 체계 정비 | 급박한 생명·신체·재산의 이익 보호를 위한 경우 우선하여 개인정보 수집ㆍ이용ㆍ제공 가능하도록 개선 |
코로나19 등 공공의 안전을 위한 경우에도 국민의 개인 정보를 안전하게 관리(안전조치·파기·권리보장 등 준수) | ||
국민의 민감정보가 의도치 않게 공개되지 않도록 공개 가능성 및 비공개 선택 방법을 알리도록 함 | ||
② 개인정보 처리 요건 개선 및 처리방침 평가 운영 | 동의 외에도 계약 이행 등 개인정보 처리 요건을 다양화하고, 자유로운 의사에 따른 정보주체의 선택권 보장 등 동의방법에 대한 원칙을 명시함(2024.9.15.시행) | |
개인정보 처리 요건 개선에 따라 개인정보 처리방침에 대한 적정성을 평가하고 개선권고할 수 있도록 함 | ||
③ 개인정보 분쟁조정 강화 | 분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대 | |
15일 이내 거부 의사가 없으면 수락한 것으로 간주 | ||
④ 손해배상청구소송 시 국민의 정보 접근권 강화 | 법원이 당사자의 신청에 따라 손해 증명 또는 손해액 산정에 필요한 자료제출을 명할 수 있는 근거 마련 | |
온·오프라인 이중 규제 개선 | ① 영상정보처리기기 운영기준 개선 | 영상정보를 저장하지 않고 통계 목적으로 일시적으로 처리하는 경우 고정형 영상정보처리기기 설치ㆍ운영 가능 |
드론, 자율주행차 등 이동형 영상정보처리기기의 촬영 사실 표시 등 운영 기준을 마련하고, 정보주체가 알기 어려운 경우 개인정보위 구축 사이트에 공지하게 함 | ||
② 수집 출처 통지 및 이용·제공 내역 통지 제도 합리화 | 통지 의무 대상자의 범위를 일원화하고 통지도 함께 할 수 있도록 개선 | |
서비스·기술 변화를 반영하여 알림창을 통해 개별적으로 알릴 수 있도록 하여 통지 방법을 다양화 | ||
③ 14세 미만 아동의 개인정보 수집 | 모든 개인정보처리자에게 법정대리인의 동의 확인, 알기 쉬운 언어 사용 등 의무 확대 | |
④ 개인정보 유출 등의 신고·통지 | 온라인과 오프라인·공공기관으로 이원화 되어 있는 유출 신고·통지를 일원화하여 알게된 때부터 72시간 내 통지 | |
⑤ 안전조치 기준 일원화 | 온라인과 오프라인으로 구분되어 있던 안전조치 기준을 온라인을 중심으로 일원화하고, 기술 중립적으로 정비 | |
⑥ 개인정보 파기 특례 정비 | 정보주체의 의사와 무관하게 1년 동안 서비스 이용이 없는 경우 파기 등 조치를 강제했던 규정 삭제 | |
⑦ 벌칙 규정 개선 | 소상공인 등 개인정보처리자의 규모, 경미한 위반행위 등을 종합적으로 고려해 과태료 면제가 가능하도록 개선 | |
형벌보다 경제적 제재로 사업자의 실질적 억지력을 유도할 수 있는 경우 과징금으로 전환 | ||
공공기관 안전성 강화 등 | ① 주요 공공시스템 안전조치 | 공공부문 개인정보 유출 방지 대책에 따라 공공시스템 운영기관에 대한 안전조치 기준을 강화(2024.9.15.시행) |
② 공공기관 개인정보파일 등록 확대 | 내부적 업무처리 목적이더라도 일시적으로 처리되는 경우 등을 제외하고는 모두 등록하여 관리 | |
통계법 적용 제외 규정이 개정됨에 따라 통계법에 따라 수집되는 개인정보파일도 60일 내에 개인정보위에 등록 | ||
③ 공공기관 개인정보 영향평가 개선 | 영향평가서 요약본을 공개할 수 있도록 하여 공공기관의 개인정보 처리 투명성을 강화 | |
공공기관이 통계법에 따라 개인정보파일을 운용하고 있는 경우 2년 이내 영향평가 실시 후 개인정보위에 결과 제출 | ||
④ 통계법 적용 제외 규정 개선 | 종전에는 통계법에 따라 수집되는 개인정보는 법 제3장 부터 제7장까지 적용을 배제하였으나, 통계법에 특별한 규정이 있는 경우를 제외하고는 법 적용하도록 개정 | |
⑤ 처리위탁·재위탁 보호조치 | 수탁자의 범위에 다시 위탁받은 제3자를 포함하고, 수탁자가 제3자에게 다시 위탁하려는 경우 위탁자 동의를 받도록 함 | |
수탁자의 경우에도 법 위반에 대한 책임이 있는 범위 내에서 과징금·과태료·형벌을 적용할 수 있도록 함 | ||
글로벌 스탠다드 | ① 국외 이전 및 이전 중지명령 | 글로벌 스탠다드에 맞게 국가등 인정, 개인정보 보호 인증 등을 받은 기업으로 국외 이전 가능하도록 다양화 |
법을 위반하거나 보호수준이 취약하여 정보주체에게 피해 발생 우려가 현저한 경우 국외 이전을 중지할 수 있도록 근거 마련 | ||
② 과징금 제도 개선 | 과징금 상한액을 전체 매출액 기준으로 한정하되, 과징금 산정기준이 되는 매출액은 전체 매출액에서 위반행위와 관련 없는 매출액을 제외하도록 함 | |
과징금 규정 일원화로 공공기관을 포함한 모든 개인정보처리자와 수탁자에게 과징금 규정 적용 | ||
중소·영세사업자 등의 부담능력을 감안하여 과징금 납부기한을 2년 범위 내에서 연기·분할 납부할 수 있도록 근거 마련 |
* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.
담당자 : 개인정보보호정책과 임종철(02-2100-3055), 정승인(02-2100-3057)
출처 : 개인정보보호위원회
2023.09.26 개인정보 보호법 위반에 대한 과태료 부과기준(2023.9.15. 시행)
2023.09.27 개인정보 보호법 및 시행령 개정사항 안내(초안)
ㅇ 자료명 : 개인정보 보호법 및 시행령 개정사항 안내(초안)
- (첨부파일) 230927_개인정보 보호법 개정 안내서 초안(공개)_배포.pdf
ㅇ 발행일 : 2023년 9월
ㅇ 주관부처 : 개인정보보호위원회
ㅇ 주요 내용
- 2023.9.15. 시행된 개인정보 보호법 및 시행령 개정사항에 대해 안내
- 이 안내서는 초안이며, 최종 안내서는 12월에 발간 예정
PGE & APBF 2023
일시 10월 12일(목) 09:30 ~ 16:30
신청 09월 27일(수) 10:00 ~ 10월 11일(수) 17:00 모집중
비용 무료
장소 서울 강남구 테헤란로7길 22 과학기술컨벤션센터 지하 1층
채널 정보 : 한국CPO포럼