디지털 시대개인정보 보호법개정안 국회제출
- 개인정보 전송요구권 도입, 디지털 중심 법체계 정비 등 -

개인정보보호위원회(위원장 윤종인이하 개인정보위’)928일 국무회의에서 정부 내 합의를 거친 개인정보 보호법개정안이 결되어 9월 중 국회에 제출될 예정이라고 밝혔다.

이번 개정안은 2011년 개인정보 보호법 제정 이후 최초로 정부가 주도하여 산업계, 시민단체, 관계부처 등의 다양한 의견을 반영하여 마련한 실질적인 전면 개정안이라는 점에서 그 의미가 크다.

개인정보위는 이번 개정안을 통해 코로나19에 따른 온택트(Ontact, 비대면ㆍ온라인 생활방식) 일상화 등 우리 사회의 디지털 대전환에 맞춰 민의 개인정보는 더욱 두텁게 보호하고 개선이 필요한 불합리한 규제는 대폭 정비한다.

디지털 대전환 시대에 적합한 국민의 권리 강화

첫째, 인공지능(AI) 등 신기술 발전에 대응하여 정보주체인 국민의 권리를 강화하기 위해 본인의 개인정보 이동을 요구할 수 있는 전송요구권과 자동화된 결정에 대한 거부 등 대응권을 신설한다.

전송요구권* 도입으로 정보주체인 국민은 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있게 된다.

* 개인정보 전송요구권 : 정보주체인 국민이 기업 등 개인정보처리자가 보유한 본인의 개인정보를 자신 또는 다른 기업에게 전송해 줄 것을 요구할 수 있는 권리

- 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융ㆍ공공 등 일부 분야에서만 추진 중인 마이데이터 사업이
국민, 분야 마이데이터 산업으로 확산될 것으로 전망된다.

- 또한, 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 새싹기업(스타트업) 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대된다.

인공지능(AI) 등 신기술이 국민활에 큰 영향을 미칠 것으로 예상됨에 따라, 과세대상ㆍ복지 수혜자격 결정ㆍ신용등급 완전히 동화결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권*를 도입한다.

* 자동화된 결정에 대한 대응권 : 사람의 개입없이 완전히 자동화된 시스템에 의한 결정으로 권리 또는 의무에 중대한 영향을 받은 경우 거부하거나 설명을 요구할 수 있는 권리

디지털 시대 아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 하여 아동의 개인정보 보호를 더욱 강화하였다.

디지털 중심 법체계 정비로 신기술 성장기반 마련

둘째, 그동안 일반 국민과 기업에게 법 적용의 혼선과 이중부담의 원인이 되어 왔던 온-오프라인 이중규제, 개인상정보 처리 등 술환경 변화에 따라가지 못하는 규제 등을 디지털 전환에 맞추 대폭 정비한다.

지난해 데이터 3법 개정으로 별도로 규율하고 있던 온라인 특례정을 통합하여 국민의 권리 보장에 도움이 되는 규정은 모든 분로 확대하여 정비*하고, 실효성이 낮은 규정은 삭제**하였다.

* 해외사업자의 국내대리인 지정 의무화, 14세 미만 아동의 개인정보 보호,
손해배상책임의 보장, 용내역 통지 등

** 방송사업자 준용규정, 개인정보 유효기간제

 

급증하는 고정형ㆍ이동형 영상기기 운영 기준이 명확하지 않은 문제를 개선하기 위해 촬영이 가능한 범위 등을 구체화하였다.

- 고정형 영상기기(CCTV)의 무분별한 운영을 방지하기 위해 정당한 권한을 가진 자만 설치ㆍ운영할 수 있도록 명확히 규정하였다.

- 드론, 자율주행차 등 이동형 영상기기의 경우, 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위*를 신설하였다.

* 동의, 계약, 법률의 규정 등 적법한 수집ㆍ이용이 가능한 경우(15조제1항 각 호), 정보주체가 촬영사실을 알 수 있었으나 거부의사를 밝히지 않은 경우

 

글로벌 규제와의 정합성 확보

셋째, 전자상거래 확대에 따른 개인정보의 국외이전 증가 등의 변화에 대하여 글로벌 수준에 부합하도록 개인정보 국외이전 제도를 개선하, 법 위반에 대한 형벌 완화와 함께 과징금 제도를 정비한다.

우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 기업이라고 인정되는 경우에 국외이전이 가능하도록 하고,

- 법을 위반하거나 보호수준이 취약하다고 판단되는 경우에는 국외이전을 중지할 수 있는 거를 마련하였다.

현행법은 글로벌 기준과는 달리 개인정보 보호에 대한 책임을 업보다는 담당자 개인에 대한 형벌 중심으로 규율하고 있는 문제점을 개선하기 위해, 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임은 강화하는 방향으로 전환하였다.

- 특히, 징금의 경우 상한액을 글로벌 수준*에 맞추어 전체 매출(3% 이하) 준으로 조정하고, 과징금이 책임의 범위를 벗어나 도하게 부과되지 않도록 위반행위상응하는 비해 예방에 대한 효과성이 모두 확보되도록 하였다.

* EU 개인정보보호법(GDPR) : 전세계 매출액의 4% 또는 2천만 유로 중 높은 금액

- 다만, 산업계ㆍ관계기관 등의 의견을 반영하여 개인정보가 유출경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외됨을 명확히 하였다.

과징금 부과의 합리적 산정기준을 마련하기 위하여 홍대식 교수(강대)반장으로 하는 과징금 부과기준 연구반을 구성하고,

- 10월부터 법률전문가와 산업계ㆍ시민단체 등 대표성 있는 이해관자가 참여하는 연구반 운영 결과를 하위규정(시행령·) 개정안에 반영할 예정이다.

그 외에도, 이번 개정안에는 기업 등 경제주체의 자율적인 보호동을 지원하고 분쟁조정을 활성화하는 등 개선사항을 포함하였.

분쟁조정 절차에 당사자의 참여를 의무화하고, 기업 내부의 개인정보보호책임자의 독립성을 강화하였으며,

자율규제단체 지정 및 연합회 설립 등을 통해 자율적인 보호활동을 지원할 수 있는 기반을 마련하였다.

붙임2 개인정보 보호법 개정안 주요내용 참조

윤종인 개인정보위 위원장은 이번 개정안은 디지털 대전환 시대에 제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어게 마련된 점을 고려하여, 국회에서 신속한 논의가 이루어지기를 희망한다면서,

앞으로도 이번 개정안에 머무르지 않고, 아동ㆍ청소년 등 취약계층 보호, 민감정보ㆍ생체정보ㆍ영상정보 등 국민생활에 큰 영향을 미치는 개인정보에 대하여도 지속적으로 개선하여 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력할 것이라고 밝혔다.

 

 

참고 1
개인정보보호법 개정의 기본 방향
참고 2
개정안 주요내용
1. 데이터 시대의 정보주체 권리 실질화

개인정보 전송요구권(이동권) 도입

(필요성) 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있으나, 정보주체는 본인정보를 자기주도적으로 유통·활용하는데 한계

금융·공공 등 일부 분야에서 전송요구권(이동권) 근거*를 마련하여 마이데이터 사업을 추진하고 있으나, 분야별 추진방식에 대한 개선 필요

* (신용정보법) 개인신용정보의 전송요구권, (전자정부법) 공공분야 행정정보 제공요구권

(개정안) 본인정보를 본인 또는 제3자에게 전송 요구할 수 있도록 일반적 권리(분야별 개인정보 이동권을 포섭)로서 개인정보 전송요구권(이동권) 신설

전송방법, 전송 요구의 거절 및 전송중단의 방법 등 구체적 사항은 시행령으로 위임

정보주체의 개인정보 통제권 강화와 함께 분야로의 마이데이터 확산 효과

 

동의제도 개선

(필요성) 주요국 대비 복잡하고 경직적인 동의제도 운용으로 기업기관 등 개인정보처리자는 합리적인 개인정보 처리 및 활용에 제약을 받고,

- 정보주체 또한 복잡한 고지사항과 절차 등으로 동의의 형식화가 만연

(개정안) 기업 등의 합리적 개인정보 수집·활용을 지원하고, 정보주체의 실질적 동의권을 보장하기 위한 동의제도 개선

(‘불가피요건 삭제) 서비스 계약체결이행에 필수적인 개인정보는 동의 없이도 수집·이용이 가능하도록 기존의 불가피하게요건을 삭제하여 과도한 사전동의 의존방식을 합리적으로 정비

(사후 통제 강화) 개인정보 처리방침에 대한 평가제도 도입으로 형식적 동의관행보완하고 실체적 통제권 강화 병행

자동화된 결정에 대한 정보주체의 권리 도입

(필요성) AI 발전에 따라 자동화된 결정(신용등급, 인사채용 등)광범위하게 활용되면서 특정인에 대한 감시·편견 등 새로운 프라이버시 이슈 제기

자동화 결정으로 인한 기본권 침해방지를 위해 최소한의 대응권 보장 필요

(개정안) 산업적 효용과 정보주체 권리 간 균형을 고려하여 자동화된 결정에 대한 거부, 설명요구 등 권리를 도입하되, 적용범위 명확화

자동화된 결정이 정보주체의 권리 또는 의무에 영향을 미치는 경우, 해당 결정에 대한 거부, 설명요구 등 권리를 신설

 

2. 이원화된 규제정비 및 신기술 성장기반 마련

 

이원화된 규제의 일원화(정보통신서비스 특례규정 정비)

(필요성) 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례규정(6)으로 단순 이전·병합

·오프라인 서비스 경계가 모호함에도 불구, 오프라인 규제(일반규정)와 온라인 규제(특례규정)의 이원화로 기업의 법 적용 혼선 및 이중부담 발생


< 사 례 >


동의없이 개인정보를 수집하여 같은 위반행위를 한 경우, 공공ㆍ오프라인 기업은 과태료 5천만원 이하, 온라인 기업은 관련 매출액의 3% 이하 과징금 및 5년 이하 징역

(개정안) 정보통신서비스 특례규정을 폐지하여 모든 개인정보처리자에게 동일한 규범 적용

(규정통합) 일반규정과 유사·중복되는 특례규정*일반규정으로 통합·정비하여 온-오프라인 사업자 간 상이한 규정내용 또는 벌칙을 단일화

* 개인정보 수집·이용 동의, 14세 미만 개인정보 수집, 개인정보 유출 시 통지·신고, 보호조치 특례 등

(적용확대) 특례규정에만 있는 손해배상 보장제도, 국내대리인 지정제도, 개인정보 이용내역 통지 등은 일반규정으로 전환하여 모든 분야로 확대 적용

이동형 영상기기 개인영상정보 보호 근거 마련

(필요성) 현행법은 고정형 영상기기(CCTV) 만을 규율하고 있어, 급증하는 이동형 영상기기(드론, 자율주행차 등)의 특성에 맞는 기준 제시에 한계

현재 이동형 영상기기를 통한 개인정보 수집이용 시 일반규정이 적용되어 정보주체의 개별적 동의를 요하는 등 산업진흥 측면에서 유연한 대처에 한계

(개정안) 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위원칙적으로 제한하고,

15조제1항 각 호의 어느 하나에 해당하거나, 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우에는 촬영허용

3. 글로벌 규제와의 정합성 확보

개인정보 국외이전 방식 다양화

(필요성) 국경 없는 온라인 전자상거래 확대로 개인정보의 국외이전 필요성이 증가하고 있으나, 국외이전시 정보주체 동의 요구로 기업부담 유발

반면, 동의만 있으면 개인정보 보호가 취약한 지역으로의 이전이 제한없이 가능하여 오히려 실질적 개인정보 보호에 소홀할 우려

(개정안) 개인정보의 안전한 국외이전을 위한 동의 외 요건 다양화

(요건 다양화) 적정한 개인정보 보호 수준이 보장된다고 개인정보위가 인정하는 국가 또는 기업으로 동의 없이 국외이전 허용 (EU GDPR 국외이전 제도 참조)

(보호조치 강화) 법을 위반하여 개인정보를 국외이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단 중지 명령권 신설

형벌 중심을 경제제재 중심으로 전환

(필요성) 과실로 인한 정보유출, 경미한 위반사항까지 징역 등의 형사벌을 규정함으로써 개인정보 업무담당자의 과중한 부담 및 업무회피 초래

과징금의 경우 위반행위 관련 매출액3% 이하정보통신서비스 제공자에게만 부과되고 있어 실효성 논란 제기

전세계 매출액 기준 : EU(4% 이하), 캐나다(5% 이하 추진중) / 전년도 매출액 기준 : 중국(5% 이하)

 

(개정안) 형사벌 중심을 경제제재 중심으로 전환하여 실효성 제고

(형벌 정비) 정보통신서비스 제공자에게만 적용되던 형벌규정*을 삭제하고, 개인정보 유출 시 형벌은 삭제하는 대신 과징금 실효성 확보

* 수집·이용 미동의 / 파기의무 위반 / 14세 미만 아동 법정대리인 동의확인 의무 위반 / 보호조치 불이행으로 인한 개인정보 유출 등 형벌규정 삭제

(과징금 실효성 확보) 정보통신서비스제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 위반행위 관련에서 전체 매출액으로 변경

- 과징금이 책임의 범위를 벗어나 과도하게 부과되지 않도록 위반행위에 상응하는 비례성침해 예방에 대한 효과성을 확보하도록 함

- 또한 개인정보 유출 등의 경우 개인정보처리자가 안전성 확보조치를 다한 경우에는 과징금 부과가 면제됨을 명확히 함

 

4. 개인정보 보호 생태계 조성

개인정보 자율보호 활성화

(필요성) 개인정보 축적활용이 급증하는 데이터 경제 시대에는 정부 주도 규제만으로는 한계 분야별 특성을 반영한 기업기관의 자율보호 활성화 필요

(개정안) 기업기관의 자율적 개인정보 보호 활동(자율규약, 개선지도, 교육홍보 등)을 활성화하기 위해 분야별 자율규제단체 지정 및 지원 근거 마련

 

분쟁조정 관련 사실조사제 도입

(필요성) 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등) 하는 분쟁조정제도 운영 중

조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에는 한계

(개정안) 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 개인정보 분쟁조정위에 사실조사권 부여

 

개인정보 침해 조사 및 제재 기능 강화

(필요성) 시정명령 부과 요건*지나치게 경직적이고 조사 거부 등에 대한 제재수준이 미흡

* 개인정보가 침해되었다고 판단할 상당한 근거가 있고, 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되는 경우에 한하여 시정명령 가능(법 제64)

개인정보취급자의 개인정보 사적이용 수탁자에 대한 제재근거 또한 부재

(개정안) 시정명령 부과 요건을 합리화하고 조사 거부 등에 대한 과태료 상향

개인정보취급자업무상 알게 된 개인정보를 사적 목적으로 이용 처벌근거 마련, 개인정보처리 수탁자과태료과징금형벌 등 제재대상에 포함*

* 현행법은 수탁자에게 개인정보처리자의 의무규정을 준용토록 하고 있으나, 제재대상에는 누락

210928 (석간) 디지털 시대 「개인정보 보호법」 개정안 국회제출(개인정보보호정책과).hwp
0.65MB

,