2024-03-19 20:35 (화)
[PASCON 2021] 개인정보위, 개인정보보호법 2차 개정안 주요 내용과 향후 계획
상태바
[PASCON 2021] 개인정보위, 개인정보보호법 2차 개정안 주요 내용과 향후 계획
  • 길민권 기자
  • 승인 2021.11.17 16:44
이 기사를 공유합니다

이병남 과장 “데이터 경제 활성화와 국민의 개인정보 전송요구권 강화, 온·오프라인 이중규제 해소 위해 조속한 입법 필요”
PASCON 2021에서 개인정보보호위원회 개인정보보호정책과 이병남 과장이 ‘개인정보보호법 2차 개정안 주요내용 및 향후 계획’을 주제로 키노트 발표를 진행하고 있다.
PASCON 2021에서 개인정보보호위원회 개인정보보호정책과 이병남 과장이 ‘개인정보보호법 2차 개정안 주요내용 및 향후 계획’을 주제로 키노트 발표를 진행하고 있다.

하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2021이 11일위드코로나 상황에서 안전하게 성황리에 개최됐다.

PASCON 2021은 정보보안 전문 미디어 데일리시큐가 주최하고 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회 후원으로 개최됐으며 공공, 금융, 기업 각 분야 정보보안 및 개인정보보호 책임자, 실무자들이 대거 참석했다.

이 자리에서 개인정보보호위원회 개인정보보호정책과 이병남 과장은 ‘개인정보보호법 2차 개정안 주요내용 및 향후 계획’을 주제로 키노트 발표를 진행했다.

개인정보보호법 개정안 주요 내용은 다음과 같다.

◇개인정보 전송요구권 도입

본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송 요구할 수 있는 일반적 권리로서 개인정보 전송요구권을 신설했다.

시행 전에는, A는 B사의 인터넷쇼핑몰에 축적된 자신의 데이터를 기반으로 스타트업인 C사의 새로운 서비스를 이용하고 싶었으나, 데이터 이동이 되지 않아 서비스 이용을 포기해야 했다.

개정 후에는, A는 B사에 있는 자신의 데이터를 C사로 이동해 새로운 서비스 이용이 가능하고 새싹 기업인 C사는 데이터 기반의 새로운 서비스를 개발해 상용화가 가능하게 된 것이다.

◇자동화된 결정에 대한 정보주체의 권리 도입

산업적 효용과 정보주체 권리 간 균형을 고려해 자동화된 결정에 대한 거부권 및 설명요구권을 도입하되, 적용 범위를 명확히 했다.

자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명요구권 등을 신설한 것이다.

◇이원화된 규제정비 및 신기술 성장기반 마련

2차 개정안에서는 정보통신서비스 특례 규정을 폐지하고, 일반 규정으로 일원화해 모든 개인정보처리자 대상 ‘동일행위–동일규제' 원칙을 적용한다.

일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비해 온-오프라인 사업자 간 상이한 규정 내용 또는 벌칙을 단일화했다.

또 특례 규정에만 있는 손해배상 보장 제도, 국내 대리인 지정 제도, 개인정보 이용 내역 통지 등은 일반규정으로 전환해 모든 분야로 확대 적용했다.

동의없이 개인정보를 수집해 같은 위반 행위를 한 경우, 일반규정은 동의없이 개인정보를 수집해 같은 위반 행위를 한 경우, 온라인 기업은 관련 매출액의 3% 이하 과징금을 부과하게 된다.

◇이동형 영상기기 개인영상정보 보호 근거 마련

현행법은 고정형 영상기기(CCTV)만을 규율하고 있어, 드론, 자율주행차 등 이동형 영상정보처리기기의 특성에 맞는 기준제시에 한계가 존재했다. 현재 이동형 영상기기를 통한 개인정보 수집‧이용 시 일반 규정이 적용되어 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계가 있었던 것이다.

개정안에서는, 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 동의 또는 법률에 특별한 규정이 있거나, 촬영사실을 알 수 있었음에도 거부의사를 밝히지 않은 경우 예외적으로 허용한다.

◇개인정보 국외이전 방식 다양화

국경 없는 온라인 전자 상거래 확대로 개인정보의 국외 이전 필요성이 증가하고 있으나, 국외 이전 시 정보주체에 대한 동의 요구로 인한 기업 부담이 유발됐다. 반면, 정보주체로부터의 동의만 있으면 개인정보 보호가 취약한 지역으로 개인정보의 이전이 가능해 정보주체의 개인정보 보호에 소홀할 우려가 존재했다.

개정안에서는, 개인정보의 안전한 국외 이전을 위한 동의 이외의 국외이전 적법 요건을 다양화했다.

적정한 개인정보보호 수준이 보장된다고 개인정보보호위원회가 인정하는 국가 또는 기업으로 동의 없이 국외 이전을 허용한다. 또 법을 위반해 국외이전 하거나 개인정보를 적정하게 보호하고 있지 않다고 판단 된다면, 중지명령권도 신설했다.

◇형벌 중심을 경제제재 중심으로 전환

개인정보 침해에 대한 책임이 개인에 대한 형벌 중심으로 이루어지고 실질적 책임이 있는 기업에 대한 경제제재는 낮은 수준에 머물러, 개인정보 보호에 대한 기업의 투자를 촉진하지 못하는 한계가 있었다.

또 경제적 제재 수단인 과징금은 ‘위반 행위 관련 매출액’의 3% 이하로 정보통신서비스 제공자에게만 부과되고 있어 실효성 논란도 제기됐다.

이번 개정안에서는, 형벌 중심을 경제 제재 중심으로 전환해 실효성을 높였다. 온라인 서비스 분야의 과도한 형벌규정을 일반규정에 맞추어 정비하고, 유출 시 형벌규정은 삭제하는 대신 과징금 상한 및 대상을 확대했다.

정보통신서비스 제공자 등에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 부과 기준은 전체 매출액의 3% 이하로 상향했다.

◇개인정보 자율보호 활성화

개인정보 축적‧활용이 급증하는 데이터 경제 시대에는 정부 주도 규제만으로는 한계가 있다. 분야별 특성을 반영한 기업‧기관의 자율 보호 활성화가 필요하다.

이에 개정안에서는, 자율규제단체의 지정 및 자율규제 활성화를 위해 자율규제단체 지정 및 지원 근거를 마련했고 민간 자율규제단체의 자율보호 활동을 총괄·지원하고 정부와의 소통창구 기능을 수행하는 ‘자율규제단체 연합회’ 설립근거를 마련했다.

◇개인정보 분쟁조정제도 실질화

개인정보 권리 침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등) 하는 분쟁조정제도 운영 중이다. 하지만 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위원회에는 사실 확인을 위한 조사권이 없어 적극적 조정에는 한계가 있어왔다.

개정안에서는, 분쟁조정 요청 시, 의무 대상을 공공기관에서 모든 개인정보처리자로 확대하고 개인정보 분쟁조정위원회에 사실조사권을 부여했다.

◇안전한 가명정보 처리 환경 마련

가명정보 ‘파기 의무’ 및 반출 심사 위원 등의 ‘비밀유지 의무’ 누락 등 안전성 확보를 위한 미비점 보완이 필요했다.

개정안에서는 가명정보 처리 특례 규정의 일부내용 개정, 가명정보 결합 업무 수행에 대한 비밀유지 의무를 신설했다.

◇적용의 일부 제외 규정 정비

현행법상 폭넓게 인정하고 있는 적용 예외 규정을 환경변화에 따라 정비할 필요가 있었다. 감염병예방법 등은 개인정보 처리에 관한 규정을 구체화하고 있어, 보호법의 적용 예외 규정을 합리적으로 조정할 필요가 존재했다.

개정안에서는, 공중위생 목적의 개인정보 처리 항목을 수집·이용 근거로 이관했다.

◇개인정보 침해 조사 및 제재 기능 강화

현행법은 시정명령 부과 요건이 지나치게 경직적이고, 조사 거부 등에 대한 제재수준이 미흡했다. 개인정보취급자의 개인정보 사적 이용 및 수탁자에 대한 제재근거도 부재했다.

개인정보가 침해되었다고 판단 할 상당한 근거가 있고, 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되는 경우에 한해 시정 명령이 가능했다.

개정안에서는, 시정명령 부과 요건을 합리적으로 개선하고, 조사 거부 등에 대한 과태료를 상향했다. 개인정보취급자가 ‘업무상 알게 된 개인정보를 사적 목적으로 이용 시 처벌 근거를 마련하고, 개인정보 처리 수탁자도 과태료‧과징금‧형벌 등 제재 대상에 포함했다. 현행법은 수탁자에게 개인정보처리자의 의무 규정을 준용하도록 하고 있으나, 제재 대상에는 누락됐었다.

개인정보보호위원회 개인정보보호정책과 이병남 과장.
개인정보보호위원회 개인정보보호정책과 이병남 과장.

이병남 과장은 “데이터 경제 활성화와 국민의 개인정보 전송요구권 강화, 온·오프라인 이중규제 해소를 위해 조속한 입법이 필요하다”며 “개인정보 전송요구권(데이터 이동권) 도입을 통한 전 분야 마이데이터 산업기반을 마련하고, 국민이 자신의 개인정보에 대한 통제권 강화가 필요하다”고 강조했다.

이어 “온‧오프라인 이중규제 정비와 함께, 과도한 형벌은 완화하는 대신 과징금 상한액 조정을 통해 경제적 제재로 전환이 시급하다. 그리고 데이터 이용 활성화를 위해서는 온-오프라인 이중규제는 해소하고, 과도한 형벌은 완화하는 대신 과징금은 글로벌 추세에 맞게 조정이 필요하다”고 전했다.

PASCON 2021 발표자료는 아래 링크에서 다운로드 가능하다.(프로그램란 참조)

-발표자료 다운로드 클릭


[FICCA2021] 아시아 금융&산업 사이버보안 컨퍼런스 2021에 보안담당자 여러분을 초대합니다.

-주최: RALFKAIROS(랄프캐로스)

-공동주최: 데일리시큐

-날짜: 2021년 11월 26일(금) 온라인(무료참관)

-참석대상: 국내 및 해외 공공, 기업, 금융기관 CISO, 정보보안실무자

-강사: 국내·외 최고 사이버보안전문가 초청강연(통역지원)

-무료참관등록: 클릭

▶지금 사전등록하세요!

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★